Utiliser les clés KMS dans un magasin de clés AWS CloudHSM - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utiliser les clés KMS dans un magasin de clés AWS CloudHSM

Après avoir créé une clé KMS de chiffrement symétrique dans un magasin de clés AWS CloudHSM, vous pouvez l'utiliser pour les opérations cryptographiques suivantes :

Les opérations qui génèrent des paires de clés de données asymétriques GenerateDataKeyPairet GenerateDataKeyPairWithoutPlaintextne sont pas prises en charge dans les magasins de clés personnalisés.

Lorsque vous utilisez votre clé KMS dans une requête, vous devez identifier la clé KMS par son ID ou alias ; vous n'avez pas besoin de spécifier le magasin de clés AWS CloudHSM ou le cluster AWS CloudHSM. La réponse inclut les mêmes champs qui sont renvoyés pour une clé KMS de chiffrement symétrique.

Toutefois, lorsque vous utilisez une clé KMS dans un magasin de clés AWS CloudHSM, l'opération cryptographique est effectuée entièrement au sein du cluster AWS CloudHSM associé au magasin de clés AWS CloudHSM. L'opération utilise les éléments de clé du cluster associés à la clé KMS que vous avez choisie.

Pour que cela soit possible, les conditions suivantes sont requises.

  • L'état de la clé KMS doit être Enabled. Pour trouver l'état clé, utilisez le champ Status de la AWS KMSconsole ou le KeyState champ de la DescribeKeyréponse.

  • Le magasin de clés AWS CloudHSM doit être connecté à son cluster AWS CloudHSM. Son statut dans la AWS KMSconsole ou ConnectionState dans la DescribeCustomKeyStoresréponse doit êtreCONNECTED.

  • Le cluster AWS CloudHSM associé au magasin de clés personnalisé doit contenir au moins un module HSM. Pour connaître le nombre de HSM actifs dans le cluster, utilisez la AWS KMSconsole, la AWS CloudHSM console ou l'DescribeClustersopération.

  • Le cluster AWS CloudHSM doit contenir les éléments de clé de la clé KMS. Si la clé a été supprimé du cluster, ou qu'un module HSM a été créé à partir d'une sauvegarde qui n'inclut pas la clé de chiffrement, l'opération de chiffrement échoue.

Si ces conditions ne sont pas satisfaites, l'opération de chiffrement échoue, et AWS KMS renvoie une exception KMSInvalidStateException. En général, vous devez simplement reconnecter le magasin de clés AWS CloudHSM. Pour obtenir de l'aide supplémentaire, consultez Comment corriger les clés KMS défaillantes.

Lorsque vous utilisez les clés KMS dans un magasin de clés AWS CloudHSM, sachez que les clés KMS de chaque magasin de clés AWS CloudHSM partagent un quota de requête de magasin de clés personnalisé pour les opérations cryptographiques. Si vous dépassez le quota, AWS KMS renvoie un ThrottlingException. Si le cluster AWS CloudHSM associé au magasin de clés AWS CloudHSM traite de nombreuses commandes, y compris celles non liées au magasin de clés AWS CloudHSM, une ThrottlingException peut être levée à un taux plus faible que prévu. Si vous obtenez une exception ThrottlingException pour une demande, réduisez la fréquence des demandes et essayez les commandes à nouveau. Pour plus d'informations sur le quota de magasin de clés personnalisé, veuillez consulter la rubrique Quotas de demandes de magasin de clés personnalisé.