Affichage d'un magasin de clés personnalisé - AWS Key Management Service

Affichage d'un magasin de clés personnalisé

Vous pouvez afficher les magasin de clés personnalisés de chaque compte et région à l'aide d'AWS Management Console ou de l'API AWS KMS.

Pour obtenir de l'aide concernant l'affichage des CMK de votre magasin de clés personnalisé, veuillez consulter Affichage des clés KMS dans un magasin de clés personnalisé. Pour plus d'informations sur l'affichage des journaux AWS CloudTrail qui enregistrent toutes les opérations d'API dans un magasin de clés personnalisé, consultez Journalisation des appels d'API AWS KMS avec AWS CloudTrail.

Afficher un magasin de clés personnalisé (console)

Lorsque vous affichez les magasins de clés personnalisés dans AWS Management Console, vous pouvez voir les éléments suivants :

  • Nom du magasin de clés personnalisé

  • ID du cluster AWS CloudHSM associé.

  • Nombre de modules HSM dans le cluster

  • Statut actuel de la connexion

Un statut de connexion Disconnected indique que le magasin de clés personnalisé est nouveau et n'a jamais été connecté, ou qu'il a été intentionnellement déconnecté de son cluster AWS CloudHSM. Toutefois, si vos tentatives d'utiliser une clé KMS dans un magasin de clés personnalisé connecté échouent, cela peut signifier la présence d'un problème avec le magasin de clés personnalisé ou son cluster AWS CloudHSM. Pour obtenir de l'aide, veuillez consulter Comment corriger les clés KMS défaillantes.

Pour afficher les magasins de clés personnalisés d'un compte et d'une région donnés, utilisez la procédure suivante.

  1. Connectez-vous à la AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms

  2. Pour changer de Région AWS, utilisez Region selector (Sélecteur de Région) dans l'angle supérieur droit de la page.

  3. Dans le panneau de navigation, choisissez Custom key stores (Magasins de clés personnalisés).

Pour personnaliser l'affichage, cliquez sur l'icône d'engrenage qui apparaît sous le bouton Créer un magasin de clés.

Afficher un magasin de clés personnalisé (API)

Pour afficher vos magasins de clés personnalisés, utilisez l'opération DescribeCustomKeyStores. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Toutefois, vous pouvez utiliser le paramètre CustomKeyStoreId ou CustomKeyStoreName (mais pas les deux) pour limiter la sortie à un magasin de clés personnalisé en particulier. Le résultat se compose de l'ID et du nom du magasin de clés personnalisé, de l'ID du cluster AWS CloudHSM associé et de l'état de la connexion. Si l'état de la connexion indique une erreur, la sortie inclut également un code d'erreur qui décrit la raison de l'erreur.

Les exemples de cette section utilisent la AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

Par exemple, la commande suivante renvoie tous les magasins de clés personnalisées du compte et de la région. Vous pouvez utiliser les paramètres Limit et Marker pour parcourir les magasins de clés personnalisés de la sortie.

$ aws kms describe-custom-key-stores

L'exemple de commande suivant utilise le paramètre CustomKeyStoreName pour obtenir uniquement le magasin de clés personnalisé avec le nom convivial ExampleKeyStore. Vous pouvez utiliser le paramètre CustomKeyStoreName ou le paramètre CustomKeyStoreId (mais pas les deux) dans chaque commande.

L'exemple de sortie suivant représente un magasin de clés personnalisé qui est connecté à son cluster AWS CloudHSM. L'élément ConnectionState correspond au champ Status de la console.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore { "CustomKeyStores": [ { "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionState": "CONNECTED", "CreationDate": "1.499288695918E9", "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "TrustAnchorCertificate": "<certificate appears here>" } ] }

Si ConnectionState a la valeur Disconnected, cela indique que le magasin de clés personnalisé n'a jamais été connecté ou qu'il a été intentionnellement déconnecté de son cluster AWS CloudHSM. Toutefois, si les tentatives d'utiliser une clé KMS dans un magasin de clés personnalisé connecté échouent, cela peut signifier la présence d'un problème avec le magasin de clés personnalisé ou son cluster AWS CloudHSM. Pour obtenir de l'aide, veuillez consulter Comment corriger les clés KMS défaillantes.

Si ConnectionState a la valeur FAILED, la réponse DescribeCustomKeyStores inclut un élément ConnectionErrorCode qui explique la raison de l'erreur.

Par exemple, dans la sortie suivante, la valeur INVALID_CREDENTIALS indique que la connexion du magasin de clés personnalisé a échoué, car le mot de passe kmsuser n'est pas valide. Pour obtenir de l'aide sur ce sujet et sur d'autres échecs de connexion, consultez Dépannage d'un magasin de clés personnalisé.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0 { "CustomKeyStores": [ { "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionErrorCode": "INVALID_CREDENTIALS" "ConnectionState": "FAILED", "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CreationDate": "1.499288695918E9", "TrustAnchorCertificate": "<certificate appears here>" } ] }