Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Lorsque vous déconnectez un magasin de clés externe doté d'une connectivité au service de point de terminaison d'un VPC de son proxy de magasin de clés externe, AWS KMS supprime son point de terminaison d'interface vers le service de point de terminaison d'un VPC et supprime l'infrastructure réseau qu'il a créée pour prendre en charge la connexion. Aucun processus équivalent n'est requis pour les magasins de clés externes disposant d'une connectivité au point de terminaison public. Cette action n'affecte pas le service de point de terminaison d'un VPC ni aucun de ses composants de support, et elle n'affecte pas le proxy de magasin de clés externe ni aucun composant externe.
Lorsque le magasin de clés externe est déconnecté, AWS KMS n'envoie aucune demande au proxy du magasin de clés externe. L'état de connexion du magasin de clés externe est DISCONNECTED. Les clés KMS du magasin de clés externe déconnecté sont dans un état de clé UNAVAILABLE (sauf si elles sont en attente de suppression), ce qui signifie qu'elles ne peuvent pas être utilisées dans des opérations cryptographiques. Toutefois, vous pouvez toujours consulter et gérer votre magasin de clés externe et ses clés KMS existantes.
L'état déconnecté est conçu pour être temporaire et réversible. Vous pouvez reconnecter votre magasin de clés externe à tout moment. En général, aucune reconfiguration n'est nécessaire. Cependant, si des propriétés du proxy de magasin de clés externe associé ont changé pendant sa déconnexion, par exemple la rotation de ses informations d'identification pour l'authentification du proxy, vous devez modifier les paramètres du magasin de clés externe avant de le reconnecter.
Note
Même si un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de clés KMS dans le magasin de clés personnalisé ou d'utilisation de clés KMS existantes dans les opérations de chiffrement échouent. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.
Pour mieux estimer l'effet de la déconnexion de votre magasin de clés externe, identifiez les clés KMS du magasin de clés externe et déterminez leur utilisation antérieure.
Vous pouvez déconnecter le magasin de clés externe pour des raisons telles que les suivantes :
-
Pour modifier ses propriétés. Vous pouvez modifier le nom du magasin de clés personnalisé, le chemin d'URI de proxy et les informations d'identification pour l'authentification du proxy lorsque le magasin de clés externe est connecté. Toutefois, pour modifier le type de connectivité du proxy, le point de terminaison de l'URI de proxy ou le nom du service de point de terminaison d'un VPC, vous devez d'abord déconnecter le magasin de clés externe. Pour plus de détails, consultez Modifier les propriétés du magasin de clés externe.
-
Pour arrêter toute communication entre AWS KMS et le proxy de stockage de clés externe. Vous pouvez également arrêter la communication entre AWS KMS et votre proxy en désactivant votre point de terminaison ou le service de point de terminaison VPC. En outre, votre proxy de stockage de clés externe ou votre logiciel de gestion de clés peuvent fournir des mécanismes supplémentaires pour AWS KMS empêcher la communication avec le proxy ou pour empêcher le proxy d'accéder à votre gestionnaire de clés externe.
-
Pour désactiver toutes les clés KMS du magasin de clés externe. Vous pouvez désactiver et réactiver les clés KMS dans un magasin de clés externe à l'aide de la AWS KMS console ou de l'DisableKeyopération. Ces opérations se déroulent rapidement (sous réserve d'une éventuelle cohérence), mais elles n'agissent que sur une seule clé KMS à la fois. La déconnexion du magasin de clés externe fait passer l'état de clé de toutes les clés KMS dans le magasin de clés externe à
Unavailable, ce qui empêche leur utilisation dans les opérations cryptographiques. -
Pour réparer un échec de tentative de connexion. Si une tentative de connexion d'un magasin de clés externe échoue (l'état de connexion du magasin de clés personnalisé est
FAILED), vous devez déconnecter le magasin de clés externe avant d'essayer de le connecter à nouveau.
Déconnectez votre magasin de clés externe
Vous pouvez déconnecter votre porte-clés externe dans la AWS KMS console ou en utilisant cette DisconnectCustomKeyStoreopération.
Vous pouvez utiliser la AWS KMS console pour connecter un magasin de clés externe à son proxy de magasin de clés externe. Ce processus prend environ cinq minutes.
-
Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.
-
Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
Dans le panneau de navigation, sélectionnez Custom key stores (Magasins de clés personnalisés), External key stores (Magasins de clés externes).
-
Choisissez la ligne du magasin de clés externe que vous souhaitez déconnecter.
-
Dans le menu Key store actions (Actions de magasin de clés), choisissez Disconnect (Déconnecter).
Une fois l'opération terminée, l'état de la connexion passe de DISCONNECTING à DISCONNECTED. Si l'opération échoue, un message d'erreur s'affiche qui décrit le problème et fournit une aide pour le résoudre. Si vous avez besoin d'aide supplémentaire, consultez Erreurs de connexion au magasin de clés externe.
Pour déconnecter un magasin de clés externe connecté, utilisez l'DisconnectCustomKeyStoreopération. Si l'opération aboutit, AWS KMS renvoie une réponse HTTP 200 et un objet JSON sans propriétés. Le processus prend environ cinq minutes. Pour connaître l'état de connexion du magasin de clés externe, utilisez l'DescribeCustomKeyStoresopération.
Les exemples de cette section utilisent la AWS Command Line Interface
(AWS CLI)
Cet exemple déconnecte un magasin de clés externe doté d'une connectivité au service de point de terminaison d'un VPC. Avant d'exécuter cet exemple, remplacez l'exemple d'ID de magasin de clés personnalisé par un ID valide.
$aws kms disconnect-custom-key-store --custom-key-store-idcks-1234567890abcdef0
Pour vérifier que le magasin de clés externe est déconnecté, utilisez l'DescribeCustomKeyStoresopération. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Toutefois, vous pouvez utiliser le paramètre CustomKeyStoreName ou CustomKeyStoreId (mais pas les deux) pour limiter la réponse à des magasins de clés personnalisés en particulier. La valeur de ConnectionState égale à DISCONNECTED indique que cet exemple de magasin de clés externe n'est plus connecté à son proxy de magasin de clés externe.
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
"CustomKeyStores": [
{
"CustomKeyStoreId": "cks-9876543210fedcba9",
"CustomKeyStoreName": "ExampleXksVpc",
"ConnectionState": "DISCONNECTED",
"CreationDate": "2022-12-13T18:34:10.675000+00:00",
"CustomKeyStoreType": "EXTERNAL_KEY_STORE",
"XksProxyConfiguration": {
"AccessKeyId": "ABCDE98765432EXAMPLE",
"Connectivity": "VPC_ENDPOINT_SERVICE",
"UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
"UriPath": "/example/prefix/kms/xks/v1",
"VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
}
}
]
}