Connecter et déconnecter un magasin de clés externe

Les nouveaux magasins de clés externes ne sont pas connectés. Pour créer et utiliser des AWS KMS keys dans votre magasin de clés externe, vous devez connecter votre magasin de clés externe à son proxy de magasin de clés externe. Vous pouvez connecter et déconnecter votre magasin de clés externe à tout moment, et afficher son état de connexion.

Lorsque votre magasin de clés externe est déconnecté, AWS KMS ne peut pas communiquer avec votre proxy de magasin de clés externe. Par conséquent, vous pouvez afficher et gérer votre magasin de clés externe et ses clés KMS existantes. Toutefois, vous ne pouvez pas créer de clés KMS dans votre magasin de clés externe, ni utiliser ses clés KMS dans des opérations cryptographiques. Il se peut que vous deviez déconnecter votre magasin de clés externe à un moment donné, par exemple lorsque vous modifiez ses propriétés, mais planifiez cette action en conséquence. La déconnexion du magasin de clés peut perturber le fonctionnement des services AWS qui utilisent ses clés KMS.

Vous n'avez pas besoin de connecter votre magasin de clés externe. Vous pouvez conserver un magasin de clés externe dans un état déconnecté indéfiniment et le connecter uniquement lorsque vous avez besoin de l'utiliser. Cependant, vous pouvez tester la connexion régulièrement pour vérifier que les paramètres sont corrects et que le magasin peut être connecté.

Lorsque vous déconnectez un magasin de clés personnalisé, les clés KMS du magasin de clés deviennent immédiatement inutilisables (sous réserve d'une éventuelle cohérence). Toutefois, les ressources chiffrées à l'aide de clés de données protégées par la clé KMS ne sont pas affectées tant que la clé KMS n'est pas réutilisée, par exemple pour déchiffrer la clé de données. Ce problème affecte les Services AWS, dont beaucoup utilisent des clés de données pour protéger vos ressources. Pour plus de détails, consultez Comment les clés KMS inutilisables affectent les clés de données.

Note

Les magasins de clés externes sont à l'état DISCONNECTED uniquement lorsque le magasin de clés n'a jamais été connecté ou que vous le déconnectez explicitement. Un état CONNECTED n'indique pas que le magasin de clés externe ou ses composants de support fonctionnent efficacement. Pour plus d'informations sur les performances des composants de votre magasin de clés externe, veuillez consulter les graphiques de la section Monitoring (Surveillance) de la page détaillée de chaque magasin de clés externe. Pour plus de détails, consultez Surveiller un magasin de clés externe.

Votre gestionnaire de clés externe peut fournir des méthodes supplémentaires pour arrêter et redémarrer la communication entre votre magasin de clés externe AWS KMS et votre proxy de magasin de clés externe, ou entre votre proxy de magasin de clés externe et le gestionnaire de clés externe. Pour en savoir plus, veuillez consulter la documentation de votre gestionnaire de clés externe.

Connecter un magasin de clés externe

Lorsque votre magasin de clés externe est connecté à son proxy de magasin de clés externe, vous pouvez créer des clés KMS dans votre magasin de clés externe et utiliser les clés KMS existantes dans les opérations cryptographiques.

Le processus qui connecte un magasin de clés externe à son proxy de magasin de clés externe varie en fonction de la connectivité du magasin de clés externe.

• Lorsque vous connectez un magasin de clés externe connecté à un point de terminaison public, AWS KMS envoie une GetHealthStatus demande au proxy du magasin de clés externe pour valider le point de terminaison de l'URI du proxy, le chemin de l'URI du proxy et les informations d'authentification du proxy. Une réponse positive du proxy confirme que le point de terminaison d'URI de proxy et le chemin d'URI de proxy sont exacts et accessibles, et que le proxy a authentifié la requête signée à l'aide des informations d'identification pour l'authentification du proxy pour le magasin de clés externe.

• Lorsque vous connectez un magasin de clés externe doté d'une connectivité au service de point de terminaison d'un VPC à son proxy de magasin de clés externe, AWS KMS procède ainsi :

  • Il confirme que le domaine pour le nom DNS privé spécifié dans le point de terminaison d'URI de proxy est vérifié.

  • Il crée un point de terminaison d'interface à partir d'un VPC AWS KMS vers votre service de point de terminaison d'un VPC.

  • Il crée une zone hébergée privée pour le nom DNS privé spécifié dans le point de terminaison d'URI de proxy.

  • Envoie une GetHealthStatusdemande au proxy de stockage de clés externe. Une réponse positive du proxy confirme que le point de terminaison d'URI de proxy et le chemin d'URI de proxy sont exacts et accessibles, et que le proxy a authentifié la requête signée à l'aide des informations d'identification pour l'authentification du proxy pour le magasin de clés externe.

L'opération de connexion lance le processus de connexion de votre magasin de clés personnalisé, mais la connexion d'un magasin de clés externe à son proxy externe prend environ cinq minutes. Une réponse positive à l'opération de connexion n'indique pas que le magasin de clés externe est connecté. Pour confirmer que la connexion a été établie, utilisez la AWS KMS console ou l'DescribeCustomKeyStoresopération pour afficher l'état de connexion de votre magasin de clés externe.

Lorsque l'état de la connexion est FAILED, un code d'erreur de connexion s'affiche dans la console AWS KMS et est ajouté à la réponse DescribeCustomKeyStore. Pour obtenir de l'aide sur l'interprétation des codes d'erreur de connexion, veuillez consulter la rubrique Codes d'erreur de connexion pour les magasins de clés externes.

Déconnexion d'un magasin de clés externe

Lorsque vous déconnectez un magasin de clés externe doté d'une connectivité au service de point de terminaison d'un VPC de son proxy de magasin de clés externe, AWS KMS supprime son point de terminaison d'interface vers le service de point de terminaison d'un VPC et supprime l'infrastructure réseau qu'il a créée pour prendre en charge la connexion. Aucun processus équivalent n'est requis pour les magasins de clés externes disposant d'une connectivité au point de terminaison public. Cette action n'affecte pas le service de point de terminaison d'un VPC ni aucun de ses composants de support, et elle n'affecte pas le proxy de magasin de clés externe ni aucun composant externe.

Lorsque le magasin de clés externe est déconnecté, AWS KMS n'envoie aucune requête au proxy de magasin de clés externe. L'état de connexion du magasin de clés externe est DISCONNECTED. Les clés KMS du magasin de clés externe déconnecté sont dans un état de clé UNAVAILABLE (sauf si elles sont en attente de suppression), ce qui signifie qu'elles ne peuvent pas être utilisées dans des opérations cryptographiques. Toutefois, vous pouvez toujours consulter et gérer votre magasin de clés externe et ses clés KMS existantes.

L'état déconnecté est conçu pour être temporaire et réversible. Vous pouvez reconnecter votre magasin de clés externe à tout moment. En général, aucune reconfiguration n'est nécessaire. Cependant, si des propriétés du proxy de magasin de clés externe associé ont changé pendant sa déconnexion, par exemple la rotation de ses informations d'identification pour l'authentification du proxy, vous devez modifier les paramètres du magasin de clés externe avant de le reconnecter.

Note

Même si un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de clés KMS dans le magasin de clés personnalisé ou d'utilisation de clés KMS existantes dans les opérations de chiffrement échouent. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.

Pour mieux estimer l'effet de la déconnexion de votre magasin de clés externe, identifiez les clés KMS du magasin de clés externe et déterminez leur utilisation antérieure.

Vous pouvez déconnecter le magasin de clés externe pour des raisons telles que les suivantes :

• Pour modifier ses propriétés. Vous pouvez modifier le nom du magasin de clés personnalisé, le chemin d'URI de proxy et les informations d'identification pour l'authentification du proxy lorsque le magasin de clés externe est connecté. Toutefois, pour modifier le type de connectivité du proxy, le point de terminaison de l'URI de proxy ou le nom du service de point de terminaison d'un VPC, vous devez d'abord déconnecter le magasin de clés externe. Pour plus de détails, consultez Modifier les propriétés du magasin de clés externe.

• Pour arrêter toute communication entre AWS KMS et le proxy de magasin de clés externe. Vous pouvez également arrêter la communication entre AWS KMS et votre proxy en désactivant votre point de terminaison ou le service de point de terminaison d'un VPC. En outre, votre proxy de magasin de clés externe ou votre logiciel de gestion de clés pourrait fournir des mécanismes supplémentaires pour empêcher AWS KMS de communiquer avec le proxy ou pour empêcher le proxy d'accéder à votre gestionnaire de clés externe.

• Pour désactiver toutes les clés KMS du magasin de clés externe. Vous pouvez désactiver et réactiver les clés KMS dans un magasin de clés externe à l'aide de la AWS KMS console ou de l'DisableKeyopération. Ces opérations se déroulent rapidement (sous réserve d'une éventuelle cohérence), mais elles n'agissent que sur une seule clé KMS à la fois. La déconnexion du magasin de clés externe fait passer l'état de clé de toutes les clés KMS dans le magasin de clés externe à Unavailable, ce qui empêche leur utilisation dans les opérations cryptographiques.

• Pour réparer un échec de tentative de connexion. Si une tentative de connexion d'un magasin de clés externe échoue (l'état de connexion du magasin de clés personnalisé est FAILED), vous devez déconnecter le magasin de clés externe avant d'essayer de le connecter à nouveau.

État de connexion

La connexion et la déconnexion modifient l'état de connexion de votre magasin de clés personnalisé. Les valeurs d'état de connexion sont les mêmes pour les magasins de clés AWS CloudHSM et les magasins de clés externes.

Pour afficher l'état de connexion de votre magasin de clés personnalisé, utilisez l'DescribeCustomKeyStoresopération ou la AWS KMS console. L'état de la connexion apparaît dans chaque tableau de magasin de clés personnalisé, dans la section General configuration (Configuration générale) de la page détaillée de chaque magasin de clés personnalisé et dans l'onglet Cryptographic configuration (Configuration cryptographique) des clés KMS d'un magasin de clés personnalisé. Pour plus d'informations, consultez Afficher un magasin de clés AWS CloudHSM et Afficher un magasin de clés externe.

Un magasin de clés personnalisé peut avoir l'un des états de connexion suivants :

• CONNECTED : le magasin de clés personnalisé est connecté à son magasin de clés de sauvegarde. Vous pouvez créer et utiliser les clés KMS dans le magasin de clés personnalisé.

  Le magasin de clés de sauvegarde d'un magasin de clés AWS CloudHSM est son cluster AWS CloudHSM associé. Le magasin de clés de sauvegarde d'un magasin de clés externe est constitué du proxy de magasin de clés externe et du gestionnaire de clés externe qu'il prend en charge.

  Un état CONNECTÉ signifie que la connexion s'est établie et que le magasin de clés personnalisé n'a pas été déconnecté intentionnellement. Cela n'indique pas que la connexion fonctionne correctement. Pour plus d'informations sur l'état du AWS CloudHSM cluster associé à votre magasin de AWS CloudHSM clés, consultez la section Obtenir CloudWatch des métriques AWS CloudHSM dans le guide de AWS CloudHSM l'utilisateur. Pour plus d'informations sur l'état et le fonctionnement de votre magasin de clés externe, veuillez consulter les graphiques de la section Monitoring (Surveillance) de la page détaillée de chaque magasin de clés externe. Pour plus de détails, consultez Surveiller un magasin de clés externe.

• CONNECTING : le processus de connexion d'un magasin de clés personnalisé est en cours. Il s'agit d'un état transitoire.

• DISCONNECTED: Le magasin de clés personnalisé n'a jamais été connecté à son support, ou il a été déconnecté intentionnellement à l'aide de la AWS KMS console ou de l'DisconnectCustomKeyStoreopération.

• DISCONNECTING : le processus de déconnexion d'un magasin de clés personnalisé est en cours. Il s'agit d'un état transitoire.

• FAILED : une tentative de connexion du magasin de clés personnalisé a échoué. Le ConnectionErrorCode dans la DescribeCustomKeyStoresréponse indique le problème.

Pour connecter un magasin de clés personnalisé, son état de connexion doit être DISCONNECTED. Si l'état de la connexion est FAILED, utilisez le ConnectionErrorCode pour identifier et résoudre le problème. Déconnectez ensuite le magasin de clés personnalisé avant d'essayer de le connecter à nouveau. Pour obtenir de l'aide concernant les connexions ayant échoué, veuillez consulter Erreurs de connexion au magasin de clés externe. Pour obtenir de l'aide afin de répondre à un code d'erreur de connexion, veuillez consulter la rubrique Codes d'erreur de connexion pour les magasins de clés externes.

Pour consulter le code d'erreur de connexion, procédez comme suit :

• Dans la DescribeCustomKeyStoresréponse, visualisez la valeur de l'ConnectionErrorCodeélément. Cet élément apparaît dans la réponse de DescribeCustomKeyStores uniquement lorsque le ConnectionState est FAILED.

• Pour afficher le code d'erreur de connexion dans la console AWS KMS, sur la page de détails du magasin de clés externe, passez la souris sur la valeur Failed (Échec).

  

Connecter un magasin de clés externe (console)

Vous pouvez utiliser la console AWS KMS pour connecter un magasin de clés externe à son proxy de magasin de clés externe.

1. Connectez-vous à AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms.

2. Pour changer le paramètre Région AWS, utilisez le sélecteur de région dans l'angle supérieur droit de la page.

3. Dans le panneau de navigation, sélectionnez Custom key stores (Magasins de clés personnalisés), External key stores (Magasins de clés externes).

4. Choisissez la ligne du magasin de clés externe que vous souhaitez connecter.

   Si l'état de connexion du magasin de clés externe est FAILED (ÉCHEC), vous devez déconnecter le magasin de clés externe avant de le connecter.

5. Dans le menu Key store actions (Actions de magasin de clés), choisissez Connect (Connecter).

Le processus de connexion prend en général environ cinq minutes. Lorsque l'opération est terminée, l'état de connexion passe à CONNECTED (CONNECTÉ).

Si l'état de connexion est Failed (Échec), passez la souris sur l'état de la connexion pour voir le code d'erreur de connexion, qui explique la cause de l'erreur. Pour obtenir de l'aide afin de répondre à un code d'erreur de connexion, veuillez consulter la rubrique Codes d'erreur de connexion pour les magasins de clés externes. Pour connecter un magasin de clés externe dont l'état de connexion est Failed (Échec), vous devez d'abord déconnecter le magasin de clés personnalisé.

Connecter un magasin de clés externe (API)

Pour connecter un magasin de clés externe déconnecté, utilisez l'ConnectCustomKeyStoreopération.

Avant la connexion, l'état de connexion du magasin de clés externe doit être DISCONNECTED. Si l'état actuel de la connexion est FAILED, déconnectez le magasin de clés externe, puis connectez-le.

Le processus de connexion prend environ cinq minutes. À moins qu'elle n'échoue rapidement, ConnectCustomKeyStore renvoie une réponse HTTP 200 et un objet JSON sans propriétés. Cependant, cette réponse initiale n'indique pas que la connexion a abouti. Pour déterminer si le magasin de clés externe est connecté, consultez l'état de la connexion dans la DescribeCustomKeyStoresréponse.

Les exemples de cette section utilisent la AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

Pour identifier le magasin de clés externe, utilisez son ID du magasin de clés personnalisé. Vous pouvez trouver l'ID sur la page des stockages de clés personnalisés de la console ou en utilisant l'DescribeCustomKeyStoresopération. Avant d'exécuter cet exemple, remplacez l'ID de l'exemple par un ID valide.

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

L'opération ConnectCustomKeyStore ne renvoie pas de ConnectionState dans sa réponse. Pour vérifier que le magasin de clés externe est connecté, utilisez l'DescribeCustomKeyStoresopération. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Toutefois, vous pouvez utiliser le paramètre CustomKeyStoreNameou CustomKeyStoreId (mais pas les deux) pour limiter la réponse à des magasins de clés personnalisés en particulier. Une valeur de ConnectionState égale à CONNECTED indique que le magasin de clés externe est connecté à son proxy de magasin de clés externe.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "CONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}

Si la valeur de ConnectionState dans la réponse de DescribeCustomKeyStores est FAILED, l'élément ConnectionErrorCode indique la raison de l'échec.

Dans l'exemple suivant, la valeur XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND affectée à ConnectionErrorCode indique que AWS KMS ne peut pas trouver le service de point de terminaison d'un VPC qu'il utilise pour communiquer avec le proxy de magasin de clés externe. Vérifiez que le XksProxyVpcEndpointServiceName est correct, que le principal de service AWS KMS est un principal autorisé sur le service de point de terminaison d'un Amazon VPC et que le service de point de terminaison d'un VPC ne nécessite pas l'acceptation des requêtes de connexion. Pour obtenir de l'aide afin de répondre à un code d'erreur de connexion, veuillez consulter la rubrique Codes d'erreur de connexion pour les magasins de clés externes.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "FAILED",
      "ConnectionErrorCode": "XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}

Déconnecter un magasin de clés externe (console)

Vous pouvez utiliser la console AWS KMS pour connecter un magasin de clés externe à son proxy de magasin de clés externe. Ce processus prend environ cinq minutes.

1. Connectez-vous à AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms.

2. Pour changer le paramètre Région AWS, utilisez le sélecteur de région dans l'angle supérieur droit de la page.

3. Dans le panneau de navigation, sélectionnez Custom key stores (Magasins de clés personnalisés), External key stores (Magasins de clés externes).

4. Choisissez la ligne du magasin de clés externe que vous souhaitez déconnecter.

5. Dans le menu Key store actions (Actions de magasin de clés), choisissez Disconnect (Déconnecter).

Une fois l'opération terminée, l'état de la connexion passe de DISCONNECTING à DISCONNECTED. Si l'opération échoue, un message d'erreur s'affiche qui décrit le problème et fournit une aide pour le résoudre. Si vous avez besoin d'aide supplémentaire, consultez Erreurs de connexion au magasin de clés externe.

Déconnecter un magasin de clés externe (API)

Pour déconnecter un magasin de clés externe connecté, utilisez l'DisconnectCustomKeyStoreopération. Si l'opération aboutit, AWS KMS renvoie une réponse HTTP 200 et un objet JSON sans propriétés. Le processus prend environ cinq minutes. Pour connaître l'état de connexion du magasin de clés externe, utilisez l'DescribeCustomKeyStoresopération.

Les exemples de cette section utilisent la AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

Cet exemple déconnecte un magasin de clés externe doté d'une connectivité au service de point de terminaison d'un VPC. Avant d'exécuter cet exemple, remplacez l'exemple d'ID de magasin de clés personnalisé par un ID valide.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Pour vérifier que le magasin de clés externe est déconnecté, utilisez l'DescribeCustomKeyStoresopération. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Toutefois, vous pouvez utiliser le paramètre CustomKeyStoreName ou CustomKeyStoreId (mais pas les deux) pour limiter la réponse à des magasins de clés personnalisés en particulier. La valeur de ConnectionState égale à DISCONNECTED indique que cet exemple de magasin de clés externe n'est plus connecté à son proxy de magasin de clés externe.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}