Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Déconnecter un magasin de AWS CloudHSM clés
Lorsque vous déconnectez un magasin de AWS CloudHSM clés, AWS KMS que vous vous déconnectez du AWS CloudHSM client, que vous vous déconnectez du AWS CloudHSM cluster associé et que vous supprimez l'infrastructure réseau créée pour prendre en charge la connexion.
Lorsqu'un magasin de AWS CloudHSM clés est déconnecté, vous pouvez gérer le magasin de AWS CloudHSM clés et ses clés KMS, mais vous ne pouvez pas créer ou utiliser de clés KMS dans le magasin de AWS CloudHSM clés. L'état de connexion du magasin de clés est `DISCONNECTED` et l'[état de la clé](key-state.md) des clés KMS du magasin de clés personnalisé est `Unavailable`, sauf si elles sont `PendingDeletion`. Vous pouvez reconnecter le magasin de AWS CloudHSM clés à tout moment.
**Note**
AWS CloudHSM les magasins de clés ont un état de `DISCONNECTED` connexion uniquement lorsque le magasin de clés n'a jamais été connecté ou que vous le déconnectez explicitement. Si l'état de votre connexion au magasin de AWS CloudHSM clés est le même `CONNECTED` mais que vous ne parvenez pas à l'utiliser, assurez-vous que le AWS CloudHSM cluster associé est actif et qu'il en contient au moins un actif HSMs. Pour obtenir de l'aide concernant les connexions ayant échoué, veuillez consulter [Dépannage d'un magasin de clés personnalisé](fix-keystore.md).
Lorsque vous déconnectez un magasin de clés personnalisé, les clés KMS du magasin de clés deviennent immédiatement inutilisables (sous réserve d'une éventuelle cohérence). Toutefois, les ressources chiffrées à l'aide de [clés de données](data-keys.md) protégées par la clé KMS ne sont pas affectées tant que la clé KMS n'est pas réutilisée, par exemple pour déchiffrer la clé de données. Ce problème affecte les Services AWS, dont beaucoup utilisent des clés de données pour protéger vos ressources. Pour en savoir plus, consultez [Comment les clés KMS inutilisables affectent les clés de données](unusable-kms-keys.md).
**Note**
Même si un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de clés KMS dans le magasin de clés personnalisé ou d'utilisation de clés KMS existantes dans les opérations de chiffrement échouent. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.
Pour mieux estimer l'effet de la déconnexion de votre magasin de clés personnalisé, [identifiez les clés KMS](find-cmk-in-keystore.md) du magasin de clés personnalisé et [déterminez leur utilisation antérieure](deleting-keys-determining-usage.md).
Vous pouvez déconnecter un magasin de AWS CloudHSM clés pour les raisons suivantes :
+ **Pour effectuer une rotation du mot de passe `kmsuser`. ** AWS KMS modifie le mode de passe de `kmsuser` chaque fois qu'il se connecte au cluster AWS CloudHSM . Pour forcer une rotation de mot de passe, déconnectez-vous et reconnectez-vous.
+ **Pour auditer le matériel clé** des clés KMS du AWS CloudHSM cluster. Lorsque vous déconnectez le magasin de clés personnalisé AWS KMS , vous vous déconnectez du compte [utilisateur `kmsuser` cryptographique](keystore-cloudhsm.md#concept-kmsuser) du AWS CloudHSM client. Ceci vous permet de vous connecter au cluster en tant qu'utilisateur du chiffrement `kmsuser`, et d'auditer et gérer les éléments de clé pour la clé KMS.
+ **Pour désactiver immédiatement toutes les clés KMS** dans le magasin de clés AWS CloudHSM . Vous pouvez [désactiver et réactiver les clés KMS](enabling-keys.md) dans un magasin de AWS CloudHSM clés en utilisant l'[DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)opération AWS Management Console ou. Ces opérations s'effectuent rapidement, mais elles agissent sur une seule clé KMS à la fois. La déconnexion du magasin de AWS CloudHSM clés change immédiatement l'état de toutes les clés KMS du magasin de AWS CloudHSM clés`Unavailable`, ce qui empêche leur utilisation dans le cadre d'une opération cryptographique.
+ **Pour réparer un échec de tentative de connexion**. Si la tentative de connexion d'un magasin de AWS CloudHSM clés échoue (l'état de connexion du magasin de clés personnalisé est le cas`FAILED`), vous devez déconnecter le magasin de AWS CloudHSM clés avant de réessayer de le connecter.
## Déconnectez votre magasin de AWS CloudHSM clés
Vous pouvez déconnecter votre AWS CloudHSM porte-clés dans la AWS KMS console ou en utilisant l'[DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)opération.
### Déconnexion à l'aide de la AWS KMS console
Pour déconnecter un magasin de AWS CloudHSM clés connecté dans la AWS KMS console, commencez par choisir le magasin de AWS CloudHSM clés **sur la page Stockages de clés personnalisés**.
1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
1. Dans le panneau de navigation, sélectionnez **Custom key stores** (Magasins de clés personnalisés), **AWS CloudHSM key stores** (Magasins de clés).
1. Choisissez la ligne du magasin de clés externe que vous souhaitez déconnecter.
1. Dans le menu **Key store actions** (Actions de magasin de clés), choisissez **Disconnect** (Déconnecter).
Une fois l'opération terminée, l'état de la connexion passe de **Disconnecting** à **Disconnected**. Si l'opération échoue, un message d'erreur s'affiche qui décrit le problème et fournit une aide pour le résoudre. Si vous avez besoin d'aide supplémentaire, consultez [Dépannage d'un magasin de clés personnalisé](fix-keystore.md).
### Déconnectez-vous à l'aide de l' AWS KMS API
Pour déconnecter un magasin de AWS CloudHSM clés connecté, utilisez l'[DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)opération. Si l'opération aboutit, AWS KMS renvoie une réponse HTTP 200 et un objet JSON sans propriétés.
Les exemples de cette section utilisent la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.
Cet exemple déconnecte un magasin de AWS CloudHSM clés. Avant d'exécuter cet exemple, remplacez l'ID de l'exemple par un ID valide.
```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
Pour vérifier que le magasin de AWS CloudHSM clés est déconnecté, utilisez l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Toutefois, vous pouvez utiliser le paramètre `CustomKeyStoreName` ou `CustomKeyStoreId` (mais pas les deux) pour limiter la réponse à des magasins de clés personnalisés en particulier. La `ConnectionState` valeur de `DISCONNECTED` indique que cet exemple de magasin de AWS CloudHSM clés n'est pas connecté à son AWS CloudHSM cluster.
```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
"CustomKeyStores": [
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"ConnectionState": "DISCONNECTED",
"CreationDate": "1.499288695918E9",
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"CustomKeyStoreType": "AWS_CLOUDHSM",
"TrustAnchorCertificate": ""
],
}
```