Connectez un magasin AWS CloudHSM de clés - AWS Key Management Service
Connectez-vous et reconnectez-vous à votre magasin de AWS CloudHSM clés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connectez un magasin AWS CloudHSM de clés

Les nouveaux magasins de AWS CloudHSM clés ne sont pas connectés. Avant de pouvoir créer et utiliser AWS KMS keys dans votre magasin de AWS CloudHSM clés, vous devez le connecter au AWS CloudHSM cluster associé. Vous pouvez connecter et déconnecter votre magasin de AWS CloudHSM clés à tout moment et consulter son état de connexion.

Vous n'êtes pas obligé de connecter votre magasin de AWS CloudHSM clés. Vous pouvez laisser un magasin de AWS CloudHSM clés dans un état déconnecté indéfiniment et le connecter uniquement lorsque vous en avez besoin. Cependant, vous pouvez tester la connexion régulièrement pour vérifier que les paramètres sont corrects et que le magasin peut être connecté.

Note

AWS CloudHSM les magasins de clés ont un état de DISCONNECTED connexion uniquement lorsque le magasin de clés n'a jamais été connecté ou que vous le déconnectez explicitement. Si l'état de votre connexion au magasin de AWS CloudHSM clés est le même CONNECTED mais que vous ne parvenez pas à l'utiliser, assurez-vous que le AWS CloudHSM cluster associé est actif et qu'il en contient au moins un actifHSMs. Pour obtenir de l'aide concernant les connexions ayant échoué, veuillez consulter Dépannage d'un magasin de clés personnalisé.

Lorsque vous connectez un magasin de AWS CloudHSM clés, AWS KMS trouvez le AWS CloudHSM cluster associé, vous y connectez, vous connectez au AWS CloudHSM client en tant qu'utilisateur kmsuser cryptographique (CU), puis modifiez le kmsuser mot de passe. AWS KMS reste connecté au AWS CloudHSM client tant que le magasin de AWS CloudHSM clés est connecté.

Pour établir la connexion, AWS KMS crée un groupe de sécurité nommé kms-<custom key store ID> dans le cloud privé virtuel (VPC) du cluster. Le groupe de sécurité dispose d'une règle unique qui autorise le trafic entrant en provenance du groupe de sécurité du cluster. AWS KMS crée également une elastic network interface (ENI) dans chaque zone de disponibilité du sous-réseau privé du cluster. AWS KMS ajoute le ENIs au groupe kms-<cluster ID> de sécurité et le groupe de sécurité du cluster. La description de chacun ENI estKMS managed ENI for cluster <cluster-ID>.

Le processus de connexion peut prendre un certain temps pour s'achever, jusqu'à 20 minutes.

Avant de connecter le magasin de AWS CloudHSM clés, vérifiez qu'il répond aux exigences.

  • Son AWS CloudHSM cluster associé doit contenir au moins un actifHSM. Pour trouver le nombre de HSMs dans le cluster, visualisez le cluster dans la AWS CloudHSM console ou utilisez l'DescribeClustersopération. Si nécessaire, vous pouvez ajouter un HSM.

  • Le cluster doit disposer d'un compte utilisateur kmsuser crypté (CU), mais ce CU ne peut pas être connecté au cluster lorsque vous connectez le magasin de AWS CloudHSM clés. Pour obtenir de l'aide sur la déconnexion, reportez-vous à la section Comment se déconnecter et se reconnecter.

  • L'état de connexion du magasin de AWS CloudHSM clés ne peut pas être DISCONNECTING ouFAILED. Pour afficher l'état de la connexion, utilisez la AWS KMS console ou la DescribeCustomKeyStoresréponse. Si l'état de la connexion est FAILED, déconnectez le magasin de clés personnalisé, résolvez le problème, puis connectez-le à nouveau.

Pour obtenir de l'aide concernant les connexions ayant échoué, veuillez consulter Comment corriger un échec de connexion.

Lorsque votre magasin de AWS CloudHSM clés est connecté, vous pouvez y créer des KMS clés et utiliser les KMS clés existantes dans des opérations cryptographiques.

Connectez-vous et reconnectez-vous à votre magasin de AWS CloudHSM clés

Vous pouvez connecter ou reconnecter votre magasin de AWS CloudHSM clés dans la AWS KMS console ou en utilisant l'ConnectCustomKeyStoreopération.

Pour connecter un magasin de AWS CloudHSM clés dans le AWS Management Console, commencez par sélectionner le magasin de AWS CloudHSM clés sur la page Stockages de clés personnalisés. Le processus de connexion peut prendre jusqu'à 20 minutes.

  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le panneau de navigation, sélectionnez Custom key stores (Magasins de clés personnalisés), AWS CloudHSM key stores (Magasins de clés).

  4. Choisissez la ligne du magasin de AWS CloudHSM clés que vous souhaitez connecter.

    Si l'état de connexion du magasin de AWS CloudHSM clés est Échec, vous devez déconnecter le magasin de clés personnalisé avant de le connecter.

  5. Dans le menu Key store actions (Actions de magasin de clés), choisissez Connect (Connecter).

AWS KMS lance le processus de connexion à votre magasin de clés personnalisé. Il recherche le cluster AWS CloudHSM associé, crée l'infrastructure réseau requise, la connecte, se connecte au cluster AWS CloudHSM en tant qu'utilisateur de chiffrement (CU) kmsuser et effectue une rotation du mot de passe kmsuser. Une fois l'opération terminée, l'état de la connexion devient Connected.

Si l'opération échoue, un message d'erreur s'affiche qui décrit la raison de l'échec. Avant de réessayer de vous connecter, consultez l'état de connexion de votre magasin de AWS CloudHSM clés. Si le statut est Failed, vous devez déconnecter le magasin de clés personnalisé avant de vous connecter à nouveau. Si vous avez besoin d'aide, consultez Dépannage d'un magasin de clés personnalisé.

Suivant : Création d'une KMS clé dans un magasin de AWS CloudHSM clés.

Pour connecter un magasin de AWS CloudHSM clés déconnecté, utilisez l'ConnectCustomKeyStoreopération. Le AWS CloudHSM cluster associé doit contenir au moins un élément actif HSM et l'état de connexion ne peut pas l'êtreFAILED.

Le processus de connexion peut prendre un certain temps pour s'achever, jusqu'à 20 minutes. À moins qu'elle n'échoue rapidement, l'opération renvoie une réponse HTTP 200 et un JSON objet sans propriétés. Cependant, cette réponse initiale n'indique pas que la connexion a abouti. Pour déterminer l'état de connexion du magasin de clés personnalisé, consultez la DescribeCustomKeyStoresréponse.

Les exemples de cette section utilisent la AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

Pour identifier le magasin de AWS CloudHSM clés, utilisez son identifiant de magasin de clés personnalisé. Vous pouvez trouver l'ID sur la page des stockages de clés personnalisés de la console ou en utilisant l'DescribeCustomKeyStoresopération sans paramètres. Avant d'exécuter cet exemple, remplacez l'ID de l'exemple par un ID valide.

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Pour vérifier que le magasin de AWS CloudHSM clés est connecté, utilisez l'DescribeCustomKeyStoresopération. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Toutefois, vous pouvez utiliser le paramètre CustomKeyStoreNameou CustomKeyStoreId (mais pas les deux) pour limiter la réponse à des magasins de clés personnalisés en particulier. Si ConnectionState a la valeur CONNECTED, cela indique que le magasin de clés personnalisé est connecté à son cluster AWS CloudHSM .

Note

Le CustomKeyStoreType champ a été ajouté à la DescribeCustomKeyStores réponse pour distinguer les magasins de AWS CloudHSM clés des magasins de clés externes.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}

Si la valeur de ConnectionState est failed, l'élément ConnectionErrorCode indique la raison de l'échec. Dans ce cas, vous AWS KMS n'avez pas trouvé de AWS CloudHSM cluster dans votre compte avec l'ID du clustercluster-1a23b4cdefg. Si vous avez supprimé le cluster, vous pouvez le restaurer à partir d'une sauvegarde du cluster d'origine, puis modifier l'ID de cluster pour le magasin de clés personnalisé. Pour obtenir de l'aide afin de répondre à un code d'erreur de connexion, veuillez consulter la rubrique Comment corriger un échec de connexion.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
      "ConnectionErrorCode": "CLUSTER_NOT_FOUND"
   ],
}