Connecter et déconnecter les magasins de clés externes - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connecter et déconnecter les magasins de clés externes

Les nouveaux magasins de clés externes ne sont pas connectés. Pour créer et utiliser AWS KMS keys dans votre magasin de clés externe, vous devez connecter votre magasin de clés externe à son proxy de magasin de clés externe. Vous pouvez connecter et déconnecter votre magasin de clés externe à tout moment, et afficher son état de connexion.

Lorsque votre magasin de clés externe est déconnecté, vous AWS KMS ne pouvez pas communiquer avec votre proxy de magasin de clés externe. Par conséquent, vous pouvez consulter et gérer votre magasin de clés externe et ses KMS clés existantes. Toutefois, vous ne pouvez pas créer de KMS clés dans votre magasin de clés externe, ni utiliser ses KMS clés dans des opérations cryptographiques. Il se peut que vous deviez déconnecter votre magasin de clés externe à un moment donné, par exemple lorsque vous modifiez ses propriétés, mais planifiez cette action en conséquence. La déconnexion du magasin de clés peut perturber le fonctionnement des AWS services qui utilisent ses KMS clés.

Vous n'avez pas besoin de connecter votre magasin de clés externe. Vous pouvez conserver un magasin de clés externe dans un état déconnecté indéfiniment et le connecter uniquement lorsque vous avez besoin de l'utiliser. Cependant, vous pouvez tester la connexion régulièrement pour vérifier que les paramètres sont corrects et que le magasin peut être connecté.

Lorsque vous déconnectez un magasin de clés personnalisé, les KMS clés du magasin de clés deviennent immédiatement inutilisables (sous réserve de cohérence éventuelle). Toutefois, les ressources chiffrées avec des clés de données protégées par la KMS clé ne sont pas affectées tant que la KMS clé n'est pas réutilisée, par exemple pour déchiffrer la clé de données. Ce problème affecte les Services AWS, dont beaucoup utilisent des clés de données pour protéger vos ressources. Pour plus de détails, consultez Comment les clés inutilisables affectent KMS les clés de données.

Note

Les magasins de clés externes sont à l'état DISCONNECTED uniquement lorsque le magasin de clés n'a jamais été connecté ou que vous le déconnectez explicitement. Un état CONNECTED n'indique pas que le magasin de clés externe ou ses composants de support fonctionnent efficacement. Pour plus d'informations sur les performances des composants de votre magasin de clés externe, veuillez consulter les graphiques de la section Monitoring (Surveillance) de la page détaillée de chaque magasin de clés externe. Pour plus de détails, consultez Surveillez les magasins de clés externes.

Votre gestionnaire de clés externe peut fournir des méthodes supplémentaires pour arrêter et redémarrer la communication entre votre magasin de clés AWS KMS externe et votre proxy de magasin de clés externe, ou entre votre proxy de magasin de clés externe et le gestionnaire de clés externe. Pour en savoir plus, veuillez consulter la documentation de votre gestionnaire de clés externe.

État de connexion

La connexion et la déconnexion modifient l'état de connexion de votre magasin de clés personnalisé. Les valeurs d'état de connexion sont les mêmes pour les magasins de AWS CloudHSM clés et les magasins de clés externes.

Pour afficher l'état de connexion de votre magasin de clés personnalisé, utilisez l'DescribeCustomKeyStoresopération ou la AWS KMS console. L'état de connexion apparaît dans le tableau de chaque magasin de clés personnalisé, dans la section Configuration générale de la page détaillée de chaque magasin de clés personnalisé et dans l'onglet Configuration cryptographique des KMS clés d'un magasin de clés personnalisé. Pour plus d'informations, consultez Afficher un magasin AWS CloudHSM de clés et Afficher les magasins de clés externes.

Un magasin de clés personnalisé peut avoir l'un des états de connexion suivants :

  • CONNECTED : le magasin de clés personnalisé est connecté à son magasin de clés de sauvegarde. Vous pouvez créer et utiliser des KMS clés dans le magasin de clés personnalisé.

    Le magasin de clés de sauvegarde d'un magasin de AWS CloudHSM clés est son AWS CloudHSM cluster associé. Le magasin de clés de sauvegarde d'un magasin de clés externe est constitué du proxy de magasin de clés externe et du gestionnaire de clés externe qu'il prend en charge.

    Un CONNECTED état signifie qu'une connexion a réussi et que le magasin de clés personnalisé n'a pas été déconnecté intentionnellement. Cela n'indique pas que la connexion fonctionne correctement. Pour plus d'informations sur l'état du AWS CloudHSM cluster associé à votre magasin de AWS CloudHSM clés, consultez la section Obtenir CloudWatch des métriques AWS CloudHSM dans le guide de AWS CloudHSM l'utilisateur. Pour plus d'informations sur l'état et le fonctionnement de votre magasin de clés externe, veuillez consulter les graphiques de la section Monitoring (Surveillance) de la page détaillée de chaque magasin de clés externe. Pour plus de détails, consultez Surveillez les magasins de clés externes.

  • CONNECTING : le processus de connexion d'un magasin de clés personnalisé est en cours. Il s'agit d'un état transitoire.

  • DISCONNECTED: Le magasin de clés personnalisé n'a jamais été connecté à son support, ou il a été déconnecté intentionnellement à l'aide de la AWS KMS console ou de l'DisconnectCustomKeyStoreopération.

  • DISCONNECTING : le processus de déconnexion d'un magasin de clés personnalisé est en cours. Il s'agit d'un état transitoire.

  • FAILED : une tentative de connexion du magasin de clés personnalisé a échoué. Le « ConnectionErrorCode in » de la DescribeCustomKeyStoresréponse indique le problème.

Pour connecter un magasin de clés personnalisé, son état de connexion doit être DISCONNECTED. Si l'état de la connexion est FAILED, utilisez le ConnectionErrorCode pour identifier et résoudre le problème. Déconnectez ensuite le magasin de clés personnalisé avant d'essayer de le connecter à nouveau. Pour obtenir de l'aide concernant les connexions ayant échoué, veuillez consulter Erreurs de connexion au magasin de clés externe. Pour obtenir de l'aide afin de répondre à un code d'erreur de connexion, veuillez consulter la rubrique Codes d'erreur de connexion pour les magasins de clés externes.

Pour consulter le code d'erreur de connexion, procédez comme suit :

  • Dans la DescribeCustomKeyStoresréponse, visualisez la valeur de l'ConnectionErrorCodeélément. Cet élément apparaît dans la réponse de DescribeCustomKeyStores uniquement lorsque le ConnectionState est FAILED.

  • Pour afficher le code d'erreur de connexion dans la AWS KMS console, sur la page détaillée du magasin de clés externe, passez le curseur sur la valeur Échec.

    Code d'erreur de connexion sur la page de détails du magasin de clés personnalisé