Afficher les magasins de clés externes - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Afficher les magasins de clés externes

Vous pouvez consulter les banques de clés externes de chaque compte et de chaque région à l'aide de la AWS KMS console ou de l'DescribeCustomKeyStoresopération.

Lorsque vous consultez un magasin de clés externe, vous pouvez voir les éléments suivants :

Propriétés du magasin de clés externe

Les propriétés suivantes d'un magasin de clés externe sont visibles dans la AWS KMS console et dans la DescribeCustomKeyStoresréponse.

Propriétés du magasin de clés personnalisé

Les valeurs suivantes apparaissent dans la section Configuration générale de la page détaillée de chaque magasin de clés personnalisé. Ces propriétés s'appliquent à tous les magasins de clés personnalisés, y compris les magasins de AWS CloudHSM clés et les magasins de clés externes.

ID du magasin de clés personnalisé

Un identifiant unique AWS KMS attribué au magasin de clés personnalisé.

Nom du magasin de clés personnalisé

Un nom convivial que vous attribuez au magasin de clés personnalisé lorsque vous le créez. Vous pouvez modifier cette valeur à tout moment.

Type de magasin de clés personnalisé

Le type de magasin de clés personnalisé. Les valeurs valides sont AWS CloudHSM (AWS_CLOUDHSM) ou Magasin de clés externe (EXTERNAL_KEY_STORE). Vous ne pouvez pas modifier le type après avoir créé le magasin de clés personnalisé.

Date de création

La date à laquelle le magasin de clés personnalisé a été créé. Cette date est affichée en heure locale pour l' Région AWS.

État de connexion

Indique si le magasin de clés personnalisé est connecté au magasin de clés de sauvegarde. L'état de connexion est DISCONNECTED uniquement si le magasin de clés personnalisé n'a jamais été connecté à son magasin de clés de sauvegarde, ou s'il a été déconnecté intentionnellement. Pour plus de détails, consultez État de connexion.

Propriétés de configuration du magasin de clés externe

Les valeurs suivantes apparaissent dans la section Configuration du proxy du magasin de clés externe de la page détaillée de chaque magasin de clés externe et dans l'XksProxyConfigurationélément de DescribeCustomKeyStoresréponse. Pour obtenir une description détaillée de chaque champ, y compris les exigences d'unicité et de l'aide pour déterminer la valeur correcte de chaque champ, veuillez consulter Rassembler les conditions requises dans la rubrique Créer un magasin de clés externe.

Connectivité de proxy

Indique si le magasin de clés externe utilise une connectivité de point de terminaison public ou une connectivité de service de VPC point de terminaison.

Point de URI terminaison proxy

Le point de terminaison AWS KMS utilisé pour se connecter à votre proxy de stockage de clés externe.

URIChemin du proxy

Le chemin depuis le point de URI terminaison du proxy où AWS KMS envoie les APIdemandes de proxy.

Informations d'identification du proxy : ID de la clé d'accès

Fait partie des informations d'identification pour l'authentification du proxy que vous définissez sur votre proxy de magasin de clés externe. L'ID de clé d'accès identifie la clé d'accès secrète dans les informations d'identification.

AWS KMS utilise le processus de signature SigV4 et les informations d'authentification du proxy pour signer ses demandes à votre proxy de stockage de clés externe. Les informations d'identification figurant dans la signature permettent au proxy de stockage de clés externe d'authentifier les demandes en votre nom auprès de. AWS KMS

VPCnom du service du terminal

Le nom du service Amazon VPC Endpoint qui prend en charge votre magasin de clés externe. Cette valeur apparaît uniquement lorsque le magasin de clés externe utilise la connectivité du service de VPC point de terminaison. Vous pouvez localiser votre proxy de magasin de clés externe dans le VPC ou utiliser le service de point de VPC terminaison pour communiquer en toute sécurité avec votre proxy de magasin de clés externe.

Afficher les propriétés de votre magasin de clés externe

Vous pouvez consulter votre magasin de clés externe et ses propriétés associées dans la AWS KMS console ou en utilisant l'DescribeCustomKeyStoresopération.

Pour consulter les magasins de clés externes d'un compte et d'une région donnés, utilisez la procédure suivante.

  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le panneau de navigation, sélectionnez Custom key stores (Magasins de clés personnalisés), External key stores (Magasins de clés externes).

  4. Pour consulter des informations détaillées sur un magasin de clés externe, sélectionnez le nom du magasin de clés.

Pour afficher vos stockages de clés externes, utilisez l'DescribeCustomKeyStoresopération. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Toutefois, vous pouvez utiliser le paramètre CustomKeyStoreName ou CustomKeyStoreId (mais pas les deux) pour limiter la sortie à un magasin de clés personnalisé en particulier.

Pour les magasins de clés personnalisées, la sortie contient l'ID, le nom et le type du magasin de clés personnalisé, ainsi que l'état de connexion du magasin de clés. Si l'état de connexion est FAILED, la sortie contient également un ConnectionErrorCode qui décrit la raison de l'erreur. Pour obtenir de l'aide pour interpréter le ConnectionErrorCode pour un magasin de clés externe, veuillez consulter la rubrique Codes d'erreur de connexion pour les magasins de clés externes.

Pour les magasins de clés externes, la sortie contient également l'élément XksProxyConfiguration. Cet élément inclut le type de connectivité, le point de URIterminaison du proxy, le URI chemin du proxy et l'ID de clé d'accès des informations d'authentification du proxy.

Les exemples de cette section utilisent la AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

Par exemple, la commande suivante renvoie tous les magasins de clés personnalisées du compte et de la région. Vous pouvez utiliser les paramètres Marker et Limit pour parcourir les magasins de clés personnalisés de la sortie.

$ aws kms describe-custom-key-stores

La commande suivante utilise le paramètre CustomKeyStoreName pour obtenir uniquement l'exemple de magasin de clés externe avec le nom convivial ExampleXksPublic. Cet exemple de magasin de clés utilise la connectivité au point de terminaison public. Il est connecté à son proxy de magasin de clés externe.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksPublic { "CustomKeyStores": [ { "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleXksPublic", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-14T20:17:36.419000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE12345670EXAMPLE", "Connectivity": "PUBLIC_ENDPOINT", "UriEndpoint": "https://xks.example.com:6443", "UriPath": "/example/prefix/kms/xks/v1" } } ] }

La commande suivante permet d'obtenir un exemple de banque de clés externe avec connectivité aux services de VPC point de terminaison. Dans cet exemple, le magasin de clés externe est connecté à son proxy de magasin de clés externe.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc { "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }

Un ConnectionState dont la valeur est Disconnected indique que le magasin de clés externe n'a jamais été connecté ou qu'il a été intentionnellement déconnecté de son proxy de magasin de clés externe. Toutefois, si les tentatives d'utilisation d'une KMS clé dans un magasin de clés externe connecté échouent, cela peut indiquer un problème lié au proxy du magasin de clés externe ou à d'autres composants externes.

Si le ConnectionState du magasin de clés externe est FAILED, la réponse de DescribeCustomKeyStores inclut un élément ConnectionErrorCode qui explique la raison de l'erreur.

Par exemple, dans le résultat suivant, la XKS_PROXY_TIMED_OUT valeur indique qu'il est AWS KMS possible de se connecter au proxy de banque de clés externe, mais que la connexion a échoué car le proxy de banque de clés externe n'a pas répondu AWS KMS dans le délai imparti. Si ce code d'erreur de connexion s'affiche à plusieurs reprises, informez-en le fournisseur du proxy de votre magasin de clés externe. Pour obtenir de l'aide sur ce sujet et sur d'autres échecs de connexion, consultez Résoudre les problèmes liés aux magasins de clés externes.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc { "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "FAILED", "ConnectionErrorCode": "XKS_PROXY_TIMED_OUT", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }