Création d'un magasin de clés externe - AWS Key Management Service
Rassembler les conditions requisesCréation d'un nouveau magasin de clés externe

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un magasin de clés externe

Vous pouvez créer un ou plusieurs magasins de clés externes dans chaque Compte AWS région. Chaque magasin de clés externe doit être associé à un gestionnaire de clés externe et à un proxy de AWS magasin de clés externe (proxy XKS) qui assure la communication entre AWS KMS et votre gestionnaire de clés externe. Pour plus de détails, consultez Choisissez une option de connectivité proxy pour un magasin de clés externe. Avant de commencer, vérifiez que vous avez besoin d'un magasin de clés externe. La plupart des clients peuvent utiliser des clés KMS soutenues par du matériel AWS KMS clé.

Astuce

Certains gestionnaires de clés externes proposent une méthode plus simple pour créer un magasin de clés externe. Pour en savoir plus, veuillez consulter la documentation de votre gestionnaire de clés externe.

Avant de créer votre magasin de clés externe, vous devez réunir les conditions préalables. Au cours du processus de création, vous définissez les propriétés de votre magasin de clés externe. Plus important encore, vous indiquez si votre magasin de clés externe AWS KMS utilise un point de terminaison public ou un service de point de terminaison VPC pour se connecter à son proxy de magasin de clés externe. Vous spécifiez également les détails de la connexion, notamment le point de terminaison URI du proxy et le chemin au sein de ce point de terminaison du proxy où les demandes d'API sont AWS KMS envoyées au proxy.

  • Si vous utilisez une connectivité de point de terminaison public, assurez-vous qu'il AWS KMS peut communiquer avec votre proxy via Internet à l'aide d'une connexion HTTPS. Cela implique de configurer le protocole TLS sur le proxy de stockage de clés externe et de s'assurer que tous les pare-feux situés entre le proxy AWS KMS et le proxy autorisent le trafic à destination et en provenance du port 443 du proxy. Lors de la création d'un magasin de clés externe connecté à un point de terminaison public, AWS KMS teste la connexion en envoyant une demande d'état au proxy du magasin de clés externe. Ce test vérifie que le point de terminaison est accessible et que votre proxy de magasin de clés externe acceptera une requête signée avec vos informations d'identification pour l'authentification du proxy de magasin de clés externe. Si cette requête de test échoue, l'opération de création du magasin de clés externe échoue.

  • Si vous utilisez la connectivité au service de point de terminaison d'un VPC, assurez-vous que l'équilibreur de charge réseau, le nom DNS privé et le service de point de terminaison d'un VPC sont correctement configurés et opérationnels. Si le proxy de banque de clés externe ne se trouve pas dans le VPC, vous devez vous assurer que le service de point de terminaison du VPC peut communiquer avec le proxy de banque de clés externe. (AWS KMS teste la connectivité du service de point de terminaison VPC lorsque vous connectez le magasin de clés externe à son proxy de magasin de clés externe.)

Considérations supplémentaires :

  • AWS KMS enregistre les CloudWatch statistiques et les dimensions d'Amazon, en particulier pour les principaux magasins externes. Des graphiques de surveillance basés sur certaines de ces mesures apparaissent dans la AWS KMS console pour chaque magasin de clés externe. Nous vous recommandons vivement d'utiliser ces métriques afin de créer des alertes qui surveillent votre magasin de clés externe. Ces alertes vous préviennent des signes précoces de problèmes de performance et de fonctionnement avant qu'ils ne se produisent. Pour obtenir des instructions, consultez Surveillez les magasins de clés externes.

  • Les magasins de clés externes sont soumis à des quotas de ressources. L'utilisation de clés KMS dans un magasin de clés externe est soumise à des quotas de requêtes. Passez en revue ces quotas avant de concevoir l'implémentation de votre magasin de clés externe.

Note

Vérifiez votre configuration pour détecter les dépendances circulaires susceptibles de l'empêcher de fonctionner.

Par exemple, si vous créez votre proxy de stockage de clés externe à l'aide de AWS ressources, assurez-vous que le fonctionnement du proxy ne nécessite pas la disponibilité d'une clé KMS dans un magasin de clés externe accessible via ce proxy.

Tous les nouveaux magasins de clés externes sont créés dans un état déconnecté. Avant de créer des clés KMS dans votre magasin de clés externe, vous devez le connecter à son proxy de magasin de clés externe. Pour modifier les propriétés de votre magasin de clés externe, modifiez les paramètres de votre magasin de clés externe.

Rassembler les conditions requises

Avant de créer un magasin de clés externe, vous devez assembler les composants requis, notamment le gestionnaire de clés externe que vous utiliserez pour prendre en charge le magasin de clés externe et le proxy de magasin de clés externe qui traduit les AWS KMS demandes dans un format compréhensible par votre gestionnaire de clés externe.

Les composants suivants sont requis pour tous les magasins de clés externes. Outre ces composants, vous devez fournir les composants qui prennent en charge l'option de connectivité par proxy de magasin de clés externe que vous choisissez.

Astuce

Votre gestionnaire de clés externe peut inclure certains de ces composants, ou ils peuvent être configurés pour vous. Pour en savoir plus, veuillez consulter la documentation de votre gestionnaire de clés externe.

Si vous créez votre banque de clés externe dans la AWS KMS console, vous avez la possibilité de télécharger un fichier de configuration de proxy basé sur JSON qui spécifie le chemin de l'URI du proxy et les informations d'identification d'authentification du proxy. Certains proxys de magasin de clés externe génèrent ce fichier pour vous. Pour plus de détails, veuillez consulter la documentation de votre proxy de magasin de clés externe ou de votre gestionnaire de clés externe.

Gestionnaire de clés externe

Chaque magasin de clés externe nécessite au moins une instance de gestionnaire de clés externe. Il peut s'agir d'un module de sécurité matérielle (HSM) physique ou virtuel ou d'un logiciel de gestion des clés.

Vous pouvez utiliser un seul gestionnaire de clés, mais nous recommandons au moins deux instances de gestionnaire de clés connexes qui partagent des clés cryptographiques pour des raisons de redondance. Le magasin de clés externe ne nécessite pas l'utilisation exclusive du gestionnaire de clés externe. Toutefois, le gestionnaire de clés externe doit être en mesure de gérer la fréquence prévue des demandes de chiffrement et de déchiffrement émanant des AWS services qui utilisent des clés KMS dans le magasin de clés externe afin de protéger vos ressources. Votre gestionnaire de clés externe doit être configuré pour traiter jusqu'à 1 800 requêtes par seconde et pour répondre dans le délai d'expiration de 250 millisecondes pour chaque requête. Nous vous recommandons de placer le gestionnaire de clés externe à proximité et de Région AWS manière à ce que le temps d'aller-retour (RTT) du réseau soit inférieur ou égal à 35 millisecondes.

Si le proxy de votre magasin de clés externe le permet, vous pouvez modifier le gestionnaire de clés externe que vous associez à votre proxy de magasin de clés externe, mais le nouveau gestionnaire de clés externe doit être une sauvegarde ou un instantané contenant les mêmes éléments de clé. Si la clé externe que vous associez à une clé KMS n'est plus disponible pour votre proxy de stockage de clés externe, vous AWS KMS ne pouvez pas déchiffrer le texte chiffré avec la clé KMS.

Le gestionnaire de clés externe doit être accessible au proxy de magasin de clés externe. Si la GetHealthStatusréponse du proxy indique que toutes les instances du gestionnaire de clés externe le sontUnavailable, toutes les tentatives de création d'une banque de clés externe échouent avec un XksProxyUriUnreachableException.

Proxy de magasin de clés externe

Vous devez spécifier un proxy de magasin de clés externe (proxy XKS) conforme aux exigences de conception de spécification de l'API du proxy de magasin de clés externe AWS KMS (langue française non garantie). Vous pouvez développer ou acheter un proxy de stockage de clés externe, ou utiliser un proxy de stockage de clés externe fourni par ou intégré à votre gestionnaire de clés externe. AWS KMS recommande que votre proxy de stockage de clés externe soit configuré pour traiter jusqu'à 1 800 demandes par seconde et répondre dans le délai de 250 millisecondes pour chaque demande. Nous vous recommandons de placer le gestionnaire de clés externe à proximité et de Région AWS manière à ce que le temps d'aller-retour (RTT) du réseau soit inférieur ou égal à 35 millisecondes.

Vous pouvez utiliser un proxy de magasin de clés externe pour plusieurs magasins de clés externes, mais chaque magasin de clés externe doit disposer d'un point de terminaison et d'un chemin d'URI uniques au sein du proxy de magasin de clés externe pour ses requêtes.

Si vous utilisez la connectivité au service de point de terminaison d'un VPC, vous pouvez localiser le proxy de votre magasin de clés externe dans votre Amazon VPC, mais cela n'est pas obligatoire. Vous pouvez localiser votre proxy à l'extérieur AWS, par exemple dans votre centre de données privé, et utiliser le service de point de terminaison VPC uniquement pour communiquer avec le proxy.

Informations d'identification pour l'authentification du proxy

Pour créer un magasin de clés externe, vous devez spécifier vos informations d'identification pour l'authentification du proxy de magasin de clés externe (XksProxyAuthenticationCredential).

Vous devez établir un identifiant d'authentification (XksProxyAuthenticationCredential) pour votre proxy AWS KMS de magasin de clés externe. AWS KMS s'authentifie auprès de votre proxy en signant ses demandes à l'aide du processus Signature Version 4 (SigV4) avec les informations d'identification d'authentification du proxy de stockage de clés externe. Vous spécifiez les informations d'identification pour l'authentification lorsque vous créez votre magasin de clés externe et vous pouvez les modifier à tout moment. Si votre proxy effectue une rotation de vos informations d'identification, veillez à mettre à jour les valeurs d'informations d'identification de votre magasin de clés externe.

Les informations d'identification pour l'authentification du proxy comportent deux parties. Vous devez fournir les deux parties pour votre magasin de clés externe.

  • ID de la clé d'accès : identifie la clé d'accès secrète. Vous pouvez fournir cet ID en texte brut.

  • Clé d'accès secrète : partie secrète de l'identifiant. AWS KMS chiffre la clé d'accès secrète contenue dans les informations d'identification avant de les stocker.

Les informations d'identification SigV4 AWS KMS utilisées pour signer les demandes adressées au proxy de stockage de clés externe ne sont pas liées aux informations d'identification Sigv4 associées aux AWS Identity and Access Management principaux de vos comptes. AWS Ne réutilisez aucune information d'identification IAM SigV4 pour votre proxy de magasin de clés externe.

Connectivité de proxy

Pour créer un magasin de clés externe, vous devez spécifier l'option de connectivité de proxy de votre magasin de clés externe (XksProxyConnectivity).

AWS KMS peut communiquer avec votre proxy de stockage de clés externe à l'aide d'un point de terminaison public ou d'un service de point de terminaison Amazon Virtual Private Cloud (Amazon VPC). Bien qu'un point de terminaison public soit plus simple à configurer et à gérer, il se peut qu'il ne réponde pas aux exigences de sécurité de chaque installation. Si vous choisissez l'option de connectivité au service de point de terminaison d'un Amazon VPC, vous devez créer et gérer les composants requis, notamment un Amazon VPC avec au moins deux sous-réseaux dans deux zones de disponibilité différentes, un service de point de terminaison d'un VPC avec un équilibreur de charge réseau et un groupe cible, ainsi qu'un nom DNS privé pour le service de point de terminaison d'un VPC.

Vous pouvez modifier l'option de connectivité de proxy pour votre magasin de clés externe. Toutefois, vous devez vous assurer de la disponibilité continue des éléments de clé associés aux clés KMS dans votre magasin de clés externe. Sinon, AWS KMS impossible de déchiffrer le texte chiffré avec ces clés KMS.

Pour savoir quelle option de connectivité de proxy convient le mieux à votre magasin de clés externe, veuillez consulter la rubrique Choisissez une option de connectivité proxy pour un magasin de clés externe. Pour obtenir de l'aide sur la création et la configuration de la connectivité au service de point de terminaison d'un VPC, veuillez consulter la rubrique Configurer la connectivité du service de point de terminaison VPC.

Point de terminaison d'URI de proxy

Pour créer un magasin de clés externe, vous devez spécifier le point de terminaison (XksProxyUriEndpoint) AWS KMS utilisé pour envoyer des demandes au proxy du magasin de clés externe.

Le protocole doit être HTTPS. AWS KMS communique sur le port 443. Ne spécifiez pas le port dans la valeur de point de terminaison d'URI de proxy.

Le certificat de serveur TLS configuré sur le proxy de magasin de clés externe doit correspondre au nom de domaine indiqué dans le point de terminaison de l'URI de proxy de magasin de clés externe et être émis par une autorité de certification prise en charge pour les magasins de clés externes. Pour obtenir une liste, veuillez consulter les Autorités de certification approuvées (langue française non garantie). Votre autorité de certification exigera une preuve de propriété du domaine avant de délivrer le certificat TLS.

Le nom commun (CN) du sujet sur le certificat TLS doit correspondre au nom DNS privé. Par exemple, si le nom DNS privé est myproxy-private.xks.example.com, le CN du certificat TLS doit être myproxy-private.xks.example.com ou *.xks.example.com.

Vous pouvez modifier le point de terminaison de l'URI de votre proxy, mais assurez-vous que le proxy de magasin de clés externe a accès aux éléments de clé associés aux clés KMS de votre magasin de clés externe. Sinon, AWS KMS impossible de déchiffrer le texte chiffré avec ces clés KMS.

Exigences relatives à l'unicité

  • La combinaison du point de terminaison d'URI de proxy (XksProxyUriEndpoint) et de la valeur du chemin d'URI de proxy (XksProxyUriPath) doit être unique dans l' Compte AWS et la région.

  • Les magasins de clés externes connectés à un point de terminaison public peuvent partager le même point de terminaison d'URI de proxy, à condition qu'ils aient des valeurs de chemin d'URI de proxy différentes.

  • Un magasin de clés externe connecté à un point de terminaison public ne peut pas utiliser la même valeur de point de terminaison d'URI proxy qu'un magasin de clés externe doté d'une connectivité aux services de point de terminaison VPC Région AWS, même si les magasins de clés se trouvent dans des emplacements différents. Comptes AWS

  • Chaque magasin de clés externe connecté à un point de terminaison d'un VPC doit avoir son propre nom DNS privé. Le point de terminaison URI du proxy (nom DNS privé) doit être unique dans la région Compte AWS et.

Chemin d'URI de proxy

Pour créer un magasin de clés externe, vous devez spécifier le chemin de base dans votre proxy de magasin de clés externe vers le proxy requis APIs. La valeur doit commencer par / et se terminer par/kms/xks/v1, qui v1 représente la version de l' AWS KMS API pour le proxy de stockage de clés externe. Ce chemin peut inclure un préfixe facultatif entre les éléments requis tels que /example-prefix/kms/xks/v1. Pour trouver cette valeur, veuillez consulter la documentation de votre proxy de magasin de clés externe.

AWS KMS envoie des demandes de proxy à l'adresse spécifiée par la concaténation du point de terminaison de l'URI du proxy et du chemin de l'URI du proxy. Par exemple, si le point de terminaison de l'URI du proxy est https://myproxy.xks.example.com et que le chemin de l'URI du proxy est/kms/xks/v1, AWS KMS envoie ses demandes d'API proxy àhttps://myproxy.xks.example.com/kms/xks/v1.

Vous pouvez modifier le chemin d'URI de votre proxy, mais assurez-vous que le proxy de magasin de clés externe a accès aux éléments de clé associés aux clés KMS de votre magasin de clés externe. Sinon, AWS KMS impossible de déchiffrer le texte chiffré avec ces clés KMS.

Exigences relatives à l'unicité

  • La combinaison du point de terminaison d'URI de proxy (XksProxyUriEndpoint) et de la valeur du chemin d'URI de proxy (XksProxyUriPath) doit être unique dans l' Compte AWS et la région.

Service de point de terminaison d’un VPC

Spécifie le nom du service de point de terminaison d'un Amazon VPC utilisé pour communiquer avec le proxy de votre magasin de clés externe. Ce composant n'est requis que pour les magasins de clés externes qui utilisent la connectivité au service de point de terminaison d'un VPC. Pour obtenir de l'aide sur la configuration de votre service de point de terminaison d'un VPC pour un magasin de clés externe, veuillez consulter la rubrique Configurer la connectivité du service de point de terminaison VPC.

Le service de point de terminaison d'un VPC doit posséder les propriétés suivantes :

  • Le service de point de terminaison VPC doit se trouver dans la même Compte AWS région que le magasin de clés externe.

  • Il doit comporter un équilibreur de charge réseau (NLB) connecté à au moins deux sous-réseaux, dans deux zones de disponibilités distinctes.

  • La liste des principaux autorisés pour le service de point de terminaison VPC doit inclure AWS KMS le principal de service pour la région cks.kms.<region>.amazonaws.com :, tel que. cks.kms.us-east-1.amazonaws.com

  • L'acceptation des requêtes de connexion ne doit pas être requise.

  • Il doit avoir un nom DNS privé dans un domaine public de niveau supérieur. Par exemple, vous pouvez avoir un nom DNS privé myproxy-private.xks.example.com dans le domaine public xks.example.com.

    Le nom DNS privé d'un magasin de clés externe doté d'une connectivité au service de point de terminaison d'un VPC doit être unique dans sa Région AWS.

  • L'état de vérification du domaine du nom DNS privé doit être verified.

  • Le certificat de serveur TLS configuré sur le proxy de magasin de clés externe doit spécifier le nom d'hôte DNS privé auquel le point de terminaison est accessible.

Exigences relatives à l'unicité

  • Les magasins de clés externes connectés à des points de terminaison d'un VPC peuvent partager un Amazon VPC, mais chaque magasin de clés externe doit disposer de son propre service de point de terminaison d'un VPC et d'un nom DNS privé.

Fichier de configuration du proxy

Un fichier de configuration de proxy est un fichier JSON facultatif qui contient des valeurs pour le chemin d'URI de proxy et les propriétés d'informations d'identification pour l'authentification du proxy de votre magasin de clés externe. Lorsque vous créez ou modifiez un magasin de clés externe dans la console AWS KMS , vous pouvez télécharger un fichier de configuration de proxy pour fournir des valeurs de configuration pour votre magasin de clés externe. L'utilisation de ce fichier évite les erreurs de saisie et de collage et garantit que les valeurs de votre magasin de clés externe correspondent à celles de votre proxy de magasin de clés externe.

Les fichiers de configuration du proxy sont générés par le proxy de magasin de clés externe. Pour savoir si votre proxy de magasin de clés externe propose un fichier de configuration de proxy, veuillez consulter la documentation relative à votre proxy de magasin de clés externe.

Voici un exemple de fichier de configuration de proxy correctement formaté avec des valeurs fictives.

{
  "XksProxyUriPath": "/example-prefix/kms/xks/v1",
  "XksProxyAuthenticationCredential": {
    "AccessKeyId": "ABCDE12345670EXAMPLE",
    "RawSecretAccessKey": "0000EXAMPLEFA5FT0mCc3DrGUe2sti527BitkQ0Zr9MO9+vE="
  }
}

Vous pouvez télécharger un fichier de configuration de proxy uniquement lors de la création ou de la modification d'un magasin de clés externe dans la AWS KMS console. Vous ne pouvez pas l'utiliser avec les UpdateCustomKeyStoreopérations CreateCustomKeyStoreor, mais vous pouvez utiliser les valeurs du fichier de configuration du proxy pour vous assurer que les valeurs de vos paramètres sont correctes.

Création d'un nouveau magasin de clés externe

Une fois que vous avez réuni les prérequis nécessaires, vous pouvez créer un nouveau magasin de clés externe dans la AWS KMS console ou en utilisant l'CreateCustomKeyStoreopération.

Avant de créer un magasin de clés externe, choisissez votre type de connectivité proxy et assurez-vous d'avoir créé et configuré tous les composants requis. Si vous avez besoin d'aide pour trouver l'une des valeurs requises, consultez la documentation de votre proxy de magasin de clés externe ou de votre logiciel de gestion des clés.

Note

Lorsque vous créez un magasin de clés externe dans le AWS Management Console, vous pouvez télécharger un fichier de configuration de proxy basé sur JSON avec des valeurs pour le chemin de l'URI du proxy et les informations d'identification d'authentification du proxy. Certains proxys génèrent ce fichier pour vous. Il n'est pas obligatoire.

  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le panneau de navigation, sélectionnez Custom key stores (Magasins de clés personnalisés), External key stores (Magasins de clés externes).

  4. Choisissez Create external key store (Créer un magasin de clés externe).

  5. Saisissez un nom convivial pour le magasin de clés externe. Le nom doit être unique parmi tous les magasins de clés externes de votre compte.

    Important

    N'incluez pas d'informations confidentielles ou sensibles dans ce champ. Ce champ peut être affiché en texte brut dans les CloudTrail journaux et autres sorties.

  6. Choisissez votre type de connectivité de proxy.

    Votre choix de connectivité de proxy détermine les composants requis pour votre proxy de magasin de clés externe. Pour obtenir de l'aide pour faire ce choix, veuillez consulter la rubrique Choisissez une option de connectivité proxy pour un magasin de clés externe.

  7. Choisissez ou saisissez le nom du service de point de terminaison d'un VPC pour ce magasin de clés externe. Cette étape s'affiche uniquement lorsque le type de connectivité du proxy de votre magasin de clés externe est VPC endpoint service (Service de point de terminaison d'un VPC).

    Le service de point de terminaison VPC et son service VPCs doivent répondre aux exigences d'un magasin de clés externe. Pour plus de détails, consultez Rassembler les conditions requises.

  8. Saisissez votre point de terminaison d'URI de proxy. Le protocole doit être HTTPS. AWS KMS communique sur le port 443. Ne spécifiez pas le port dans la valeur de point de terminaison d'URI de proxy.

    S'il AWS KMS reconnaît le service de point de terminaison VPC que vous avez spécifié à l'étape précédente, il complète ce champ pour vous.

    Pour la connectivité au point de terminaison public, saisissez un URI de point de terminaison accessible au public. Pour la connectivité au point de terminaison d'un VPC, saisissez https:// suivi du nom DNS privé du service de point de terminaison d'un VPC.

  9. Pour saisir les valeurs du préfixe du chemin d'URI de proxy et des informations d'identification pour l'authentification du proxy, chargez un fichier de configuration de proxy ou saisissez les valeurs manuellement.

    • Si vous disposez d'un fichier de configuration de proxy facultatif contenant des valeurs pour le chemin d'URI de votre proxy et les informations d'identification pour l'authentification du proxy, choisissez Upload configuration file (Charger le fichier de configuration). Suivez les instructions pour charger le fichier.

      Lorsque le fichier est chargé, la console affiche les valeurs du fichier dans des champs modifiables. Vous pouvez changer les valeurs maintenant ou modifier ces valeurs après la création du magasin de clés externe.

      Pour afficher la valeur de la clé d'accès secrète, choisissez Show secret access key (Afficher la clé d'accès secrète).

    • Si vous ne disposez pas d'un fichier de configuration du proxy, vous pouvez saisir manuellement le chemin d'URI de proxy et les valeurs d'informations d'identification pour l'authentification du proxy.

      1. Si vous n'avez pas de fichier de configuration de proxy, vous pouvez saisir manuellement l'URI de votre proxy. La console fournit la valeur/kms/xks/v1 requise.

        Si votre chemin d'URI de proxy inclut un préfixe facultatif, tel que l'example-prefix dans /example-prefix/kms/xks/v1, saisissez le préfixe dans le champ Proxy URI path prefix (Préfixe du chemin d'URI de proxy). Sinon, laissez le champ vide.

      2. Si vous ne disposez pas d'un fichier de configuration du proxy, vous pouvez saisir vos informations d'identification pour l'authentification du proxy manuellement. L'ID de clé d'accès et la clé d'accès secrète sont tous deux requis.

        • Dans Proxy credential: Access key ID (Informations d'identification du proxy : identifiant de la clé d'accès), saisissez l'ID de clé d'accès des informations d'identification pour l'authentification du proxy. L'ID de clé d'accès identifie la clé d'accès secrète.

        • Dans Proxy credential: Secret access key (Informations d'identification du proxy : clé d'accès secrète), saisissez la clé d'accès secrète des informations d'identification pour l'authentification du proxy.

        Pour afficher la valeur de la clé d'accès secrète, choisissez Show secret access key (Afficher la clé d'accès secrète).

        Cette procédure ne définit ni ne modifie les informations d'identification pour l'authentification que vous avez établies sur votre proxy de magasin de clés externe. Elle associe simplement ces valeurs à votre magasin de clés externe. Pour plus d'informations sur la définition, la modification et la rotation de vos informations d'identification pour l'authentification du proxy, veuillez consulter la documentation de votre proxy de magasin de clés externe ou de votre logiciel de gestion des clés.

        Si vos informations d'identification pour l'authentification du proxy changent, modifiez le paramètre des informations d'identification de votre magasin de clés externe.

  10. Choisissez Create external key store (Créer un magasin de clés externe).

Lorsque la procédure se termine avec succès, le nouveau magasin de clés externe s'affiche dans la liste des magasins de clés externes du compte et de la région. S'il ne réussit pas, un message d'erreur s'affiche qui décrit le problème et fournit une aide pour le résoudre. Si vous avez besoin d'aide supplémentaire, consultez CreateKey erreurs pour la clé externe.

Suivant : les nouveaux magasins de clés externes ne sont pas automatiquement connectés. Avant de pouvoir créer AWS KMS keys dans votre magasin de clés externe, vous devez connecter le magasin de clés externe à son proxy de magasin de clés externe.

Vous pouvez utiliser cette CreateCustomKeyStoreopération pour créer un nouveau magasin de clés externe. Pour obtenir de l'aide pour trouver les valeurs des paramètres requis, veuillez consulter la documentation de votre proxy de magasin de clés externe ou de votre logiciel de gestion des clés.

Astuce

Vous ne pouvez pas charger de fichier de configuration de proxy lors de l'utilisation de l'opération CreateCustomKeyStore. Vous pouvez toutefois utiliser les valeurs du fichier de configuration de proxy pour vous assurer que les valeurs de vos paramètres sont correctes.

Pour créer un magasin de clés externe, l'opération CreateCustomKeyStore nécessite les valeurs de paramètres suivantes.

  • CustomKeyStoreName : un nom convivial pour le magasin de clés externe qui est unique dans le compte.

    Important

    N'incluez pas d'informations confidentielles ou sensibles dans ce champ. Ce champ peut être affiché en texte brut dans les CloudTrail journaux et autres sorties.

  • CustomKeyStoreType : spécifiez EXTERNAL_KEY_STORE.

  • XksProxyConnectivity : spécifiez PUBLIC_ENDPOINT ou VPC_ENDPOINT_SERVICE.

  • XksProxyAuthenticationCredential : spécifiez à la fois l'ID de clé d'accès et la clé d'accès secrète.

  • XksProxyUriEndpoint— Le point de terminaison AWS KMS utilisé pour communiquer avec votre proxy de stockage de clés externe.

  • XksProxyUriPath— Le chemin d'accès au proxy au sein du proxy APIs.

  • XksProxyVpcEndpointServiceName : obligatoire uniquement lorsque la valeur de votre XksProxyConnectivity est VPC_ENDPOINT_SERVICE.

Note

Si vous utilisez AWS CLI la version 1.0, exécutez la commande suivante avant de spécifier un paramètre avec une valeur HTTP ou HTTPS, tel que le XksProxyUriEndpoint paramètre.

aws configure set cli_follow_urlparam false

Dans le cas contraire, la AWS CLI version 1.0 remplace la valeur du paramètre par le contenu trouvé à cette adresse URI, ce qui provoque l'erreur suivante :

Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve 
https:// : received non 200 status code of 404

Les exemples suivants utilisent des valeurs fictives. Avant d'exécuter la commande, remplacez-les par des valeurs valides pour votre magasin de clés externe.

Créez un magasin de clés externe avec une connectivité au point de terminaison public.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStorePublic \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity PUBLIC_ENDPOINT \
        --xks-proxy-uri-endpoint https://myproxy.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>

Créez un magasin de clés externe avec une connectivité au service de point de terminaison d'un VPC.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStoreVPC \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity VPC_ENDPOINT_SERVICE \
        --xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example \
        --xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>

Lorsque l'opération est réussie, CreateCustomKeyStore renvoie l'ID du magasin de clés personnalisé, comme illustré dans l'exemple de réponse suivant.

{
    "CustomKeyStoreId": cks-1234567890abcdef0
}

Si l'opération échoue, corrigez l'erreur indiquée par l'exception, puis réessayez. Pour obtenir de l'aide supplémentaire, consultez Résoudre les problèmes liés aux magasins de clés externes.

Suivant : pour utiliser le magasin de clés externe, connectez-le à son proxy de magasin de clés externe.