Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Modifier les propriétés du magasin de clés externe
Vous pouvez modifier les propriétés sélectionnées d'un magasin de clés externe existant.
Vous pouvez modifier certaines propriétés lorsque le magasin de clés externe est connecté ou déconnecté. Pour les autres propriétés, vous devez d'abord déconnecter votre magasin de clés externe de son proxy de magasin de clés externe. L'état de connexion du magasin de clés externe doit être DISCONNECTED
. Lorsque votre magasin de clés externe est déconnecté, vous pouvez gérer le magasin de clés et ses KMS clés, mais vous ne pouvez pas créer ou utiliser de KMS clés dans le magasin de clés externe. Pour connaître l'état de connexion de votre magasin de clés externe, utilisez l'DescribeCustomKeyStoresopération ou consultez la section Configuration générale sur la page détaillée du magasin de clés externe.
Avant de mettre à jour les propriétés de votre magasin de clés externe, AWS KMS envoie une GetHealthStatusdemande au proxy du magasin de clés externe en utilisant les nouvelles valeurs. Si la requête aboutit, cela indique que vous pouvez vous connecter et vous authentifier à un proxy de magasin de clés externe avec les valeurs de propriété mises à jour. Si la requête échoue, l'opération de modification échoue avec une exception qui identifie l'erreur.
Lorsque l'opération de modification est terminée, les valeurs de propriété mises à jour pour votre magasin de clés externe apparaissent dans la AWS KMS console et dans la DescribeCustomKeyStores
réponse. Toutefois, il peut s'écouler jusqu'à cinq minutes avant que les modifications ne soient pleinement effectives.
Si vous modifiez votre banque de clés externe dans la AWS KMS console, vous avez la possibilité de télécharger un fichier de configuration de JSON proxy qui spécifie le URIchemin du proxy et les informations d'identification d'authentification du proxy. Certains proxys de magasin de clés externe génèrent ce fichier pour vous. Pour plus de détails, veuillez consulter la documentation de votre proxy de magasin de clés externe ou de votre gestionnaire de clés externe.
Avertissement
Les valeurs de propriété mises à jour doivent connecter votre magasin de clés externe à un proxy pour le même gestionnaire de clés externe que celui utilisé dans les valeurs précédentes, ou pour une sauvegarde ou un instantané du gestionnaire de clés externe avec les mêmes clés cryptographiques. Si votre banque de clés externe perd définitivement son accès aux clés externes associées à ses KMS clés, le texte chiffré sous ces clés externes est irrécupérable. En particulier, la modification de la connectivité proxy d'un magasin de clés externe peut AWS KMS empêcher l'accès à vos clés externes.
Astuce
Certains gestionnaires de clés externes proposent une méthode plus simple pour modifier les propriétés du magasin de clés externe. Pour en savoir plus, veuillez consulter la documentation de votre gestionnaire de clés externe.
Vous pouvez modifier les propriétés suivantes d'un magasin de clés externe.
Propriétés du magasin de clés externe modifiables | Tout état de connexion | Exiger l'état Déconnecté |
---|---|---|
Nom du magasin de clés personnalisé Un nom convivial requis pour un magasin de clés personnalisé. ImportantN'incluez pas d'informations confidentielles ou sensibles dans ce champ. Ce champ peut être affiché en texte brut dans les CloudTrail journaux et autres sorties. |
||
Identifiant d'authentification du proxy () XksProxyAuthenticationCredential (Vous devez spécifier à la fois l'ID de clé d'accès et la clé d'accès secrète, même si vous ne modifiez qu'un seul élément.) |
||
URIChemin du proxy (XksProxyUriPath) | ||
Connectivité proxy (XksProxyConnectivity) (Vous devez également mettre à jour le point de URI terminaison du proxy. Si vous passez à la connectivité du service de VPC point de terminaison, vous devez spécifier un nom de service de VPC point de terminaison proxy.) |
||
Point de URIterminaison proxy (XksProxyUriEndpoint) Si vous modifiez le point de terminaison du proxyURI, vous devrez peut-être également modifier le TLS certificat associé. |
||
Nom du service du VPC point de terminaison du proxy (XksProxyVpcEndpointServiceName) (Ce champ est obligatoire pour la connectivité des services de VPC point de terminaison) |
Modifier les propriétés de votre magasin de clés externe
Vous pouvez modifier les propriétés de votre magasin de clés externe dans la AWS KMS console ou en utilisant cette UpdateCustomKeyStoreopération.
Lorsque vous modifiez un magasin de clés, vous pouvez changer n'importe laquelle des valeurs modifiables. Certaines modifications nécessitent que le magasin de clés externe soit déconnecté de son proxy de magasin de clés externe.
Si vous modifiez le URI chemin du proxy ou les informations d'identification d'authentification du proxy, vous pouvez entrer les nouvelles valeurs ou télécharger un fichier de configuration du proxy de stockage de clés externe qui inclut les nouvelles valeurs.
-
Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.
-
Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
Dans le panneau de navigation, sélectionnez Custom key stores (Magasins de clés personnalisés), External key stores (Magasins de clés externes).
-
Choisissez la ligne du magasin de clés externe que vous souhaitez modifier.
-
Si nécessaire, déconnectez le magasin de clés externe de son proxy de magasin de clés externe. Dans le menu Key store actions (Actions de magasin de clés), choisissez Disconnect (Déconnecter).
-
À partir du menu Key store actions (Actions de magasin de clés), choisissez Edit (Modifier).
-
Modifiez une ou plusieurs propriétés modifiables du magasin de clés externe. Vous pouvez également télécharger un fichier de configuration de proxy de banque de clés externe contenant des valeurs pour le URI chemin du proxy et les informations d'authentification du proxy. Vous pouvez utiliser un fichier de configuration proxy même si certaines valeurs spécifiées dans le fichier n'ont pas changé.
-
Choisissez Update external key store (Mettre à jour le magasin de clés externe).
-
Passez en revue l'avertissement et, si vous décidez de continuer, confirmez-le, puis choisissez Update external key store (Mettre à jour le magasin de clés externe).
Lorsque la procédure se déroule avec succès, un message décrit les propriétés que vous avez modifiées. Si elle ne réussit pas, un message d'erreur s'affiche qui décrit le problème et fournit une aide pour le résoudre.
-
Si nécessaire, reconnectez le magasin de clés externe. Dans le menu Key store actions (Actions de magasin de clés), choisissez Connect (Connecter).
Vous pouvez laisser le magasin de clés externe déconnecté. Toutefois, tant qu'il est déconnecté, vous ne pouvez pas créer de KMS clés dans le magasin de clés externe ni utiliser les KMS clés du magasin de clés externe dans le cadre d'opérations cryptographiques.
Pour modifier les propriétés d'un magasin de clés externe, utilisez l'UpdateCustomKeyStoreopération. Vous pouvez modifier plusieurs propriétés d'un magasin de clés externe dans la même opération. Si l'opération est réussie, AWS KMS renvoie une réponse HTTP 200 et un JSON objet sans propriétés.
Utilisez le paramètre CustomKeyStoreId
pour identifier le magasin de clés externe. Utilisez les autres paramètres pour modifier les propriétés. Vous ne pouvez pas utiliser de fichier de configuration de proxy pour l'opération UpdateCustomKeyStore
. Le fichier de configuration du proxy n'est pris en charge que par la AWS KMS console. Vous pouvez toutefois utiliser le fichier de configuration du proxy pour vous aider à déterminer les valeurs de paramètres correctes pour le proxy de votre magasin de clés externe.
Les exemples de cette section utilisent la AWS Command Line Interface
(AWS CLI)
Avant de commencer, si nécessaire, déconnectez le magasin de clés externe de son proxy de magasin de clés externe. Après la mise à jour, vous pouvez, si nécessaire, reconnecter le magasin de clés externe à son proxy de magasin de clés externe. Vous pouvez laisser le magasin de clés externe à l'état déconnecté, mais vous devez le reconnecter avant de pouvoir créer de nouvelles KMS clés dans le magasin de clés ou utiliser des KMS clés existantes dans le magasin de clés pour des opérations cryptographiques.
Note
Si vous utilisez AWS CLI la version 1.0, exécutez la commande suivante avant de spécifier un paramètre avec une HTTPS valeur HTTP ou, tel que le XksProxyUriEndpoint
paramètre.
aws configure set cli_follow_urlparam false
Dans le cas contraire, la AWS CLI version 1.0 remplace la valeur du paramètre par le contenu trouvé à cette URI adresse, ce qui provoque l'erreur suivante :
Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve https:// : received non 200 status code of 404
Modifier le nom du magasin de clés externe
Le premier exemple utilise l'UpdateCustomKeyStoreopération pour changer le nom convivial du magasin de clés externe enXksKeyStore
. La commande utilise le paramètre CustomKeyStoreId
pour identifier le magasin de clés personnalisé et le paramètre CustomKeyStoreName
pour spécifier le nouveau nom du magasin de clés personnalisé. Remplacez toutes les valeurs d'exemple par des valeurs réelles pour votre magasin de clés externe.
$
aws kms update-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
--new-custom-key-store-nameXksKeyStore
Modifier les informations d'identification pour l'authentification du proxy
L'exemple suivant met à jour les informations d'identification d'authentification du proxy AWS KMS utilisées pour s'authentifier auprès du proxy de stockage de clés externe. Vous pouvez utiliser une commande comme celle-ci pour effectuer une rotation des informations d'identification si elles ont subi une rotation sur votre proxy.
Mettez d'abord à jour les informations d'identification sur le proxy de votre magasin de clés externe. Utilisez ensuite cette fonctionnalité pour signaler la modification à AWS KMS. (Votre proxy prendra brièvement en charge l'ancienne et la nouvelle identification afin que vous ayez le temps de mettre à jour vos informations d'identification.) AWS KMS
Vous devez toujours spécifier à la fois l'ID de la clé d'accès et la clé d'accès secrète dans les informations d'identification, même si une seule valeur est modifiée.
Les deux premières commandes définissent des variables pour contenir les valeurs des informations d'identification. Les opérations UpdateCustomKeyStore
utilisent le paramètre CustomKeyStoreId
pour identifier le magasin de clés externe. Il utilise le paramètre XksProxyAuthenticationCredential
avec ses champs AccessKeyId
et RawSecretAccessKey
pour spécifier les nouvelles informations d'identification. Remplacez toutes les valeurs d'exemple par des valeurs réelles pour votre magasin de clés externe.
$
accessKeyID=
access key id
$
secretAccessKey=
secret access key
$
aws kms update-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
\ --xks-proxy-authentication-credential \ AccessKeyId=$accessKeyId
,RawSecretAccessKey=$secretAccessKey
Modifier le URI chemin du proxy
L'exemple suivant met à jour le URI chemin du proxy (XksProxyUriPath
). La combinaison du point de URI terminaison du proxy et du URI chemin du proxy doit être unique dans la région Compte AWS et. Remplacez toutes les valeurs d'exemple par des valeurs réelles pour votre magasin de clés externe.
$
aws kms update-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
\ --xks-proxy-uri-path/kms/xks/v1
Modification de la connectivité des services de VPC point de terminaison
L'exemple suivant utilise l'UpdateCustomKeyStoreopération pour modifier le type de connectivité du proxy du magasin de clés externe enVPC_ENDPOINT_SERVICE
. Pour effectuer cette modification, vous devez spécifier les valeurs requises pour la connectivité du service de point de VPC terminaison, notamment le nom du service de point de VPC terminaison (XksProxyVpcEndpointServiceName
) et une valeur de point de URI terminaison du proxy (XksProxyUriEndpoint
) qui inclut le DNS nom privé du service de point de VPC terminaison. Remplacez toutes les valeurs d'exemple par des valeurs réelles pour votre magasin de clés externe.
$
aws kms update-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
\ --xks-proxy-connectivity "VPC_ENDPOINT_SERVICE" \ --xks-proxy-uri-endpointhttps://myproxy-private.xks.example.com
\ --xks-proxy-vpc-endpoint-service-namecom.amazonaws.vpce.us-east-1.vpce-svc-example
Passer à une connectivité au point de terminaison public
L'exemple suivant remplace le type de connectivité du proxy de magasin de clés externe par PUBLIC_ENDPOINT
. Lorsque vous apportez cette modification, vous devez mettre à jour la valeur du point de URI terminaison du proxy (XksProxyUriEndpoint
). Remplacez toutes les valeurs d'exemple par des valeurs réelles pour votre magasin de clés externe.
Note
VPCla connectivité des terminaux offre une sécurité supérieure à celle des terminaux publics. Avant de passer à la connectivité des terminaux publics, envisagez d'autres options, notamment la localisation de votre proxy de stockage de clés externe sur site et l'utilisation du proxy VPC uniquement pour la communication.
$
aws kms update-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
\ --xks-proxy-connectivity "PUBLIC_ENDPOINT" \ --xks-proxy-uri-endpoint https://myproxy.xks.example.com