Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Dépannage d'un magasin de clés personnalisé
<a name="fix-keystore"></a>

AWS CloudHSM les magasins clés sont conçus pour être disponibles et résilients. Cependant, vous devrez peut-être corriger certaines erreurs pour que votre magasin de AWS CloudHSM clés reste opérationnel.

**Topics**
+ [Comment corriger les clés KMS non disponibles](#fix-unavailable-cmks)
+ [Comment corriger les clés KMS défaillantes](#fix-cmk-failed)
+ [Comment corriger un échec de connexion](#fix-keystore-failed)
+ [Comment répondre à un échec d'opération de chiffrement](#fix-keystore-communication)
+ [Comment corriger les informations d'identification `kmsuser` non valides](#fix-keystore-password)
+ [Comment supprimer les éléments de clé orphelins](#fix-keystore-orphaned-key)
+ [Comment récupérer les éléments de clé supprimés pour une clé KMS](#fix-keystore-recover-backing-key)
+ [Comment se connecter en tant que `kmsuser`](#fix-login-as-kmsuser)

## Comment corriger les clés KMS non disponibles
<a name="fix-unavailable-cmks"></a>

L'[état clé](key-state.md) de AWS KMS keys dans un magasin de AWS CloudHSM clés est généralement`Enabled`. Comme toutes les clés KMS, l'état de la clé change lorsque vous désactivez les clés KMS dans un magasin de AWS CloudHSM clés ou que vous planifiez leur suppression. Toutefois, contrairement à d'autres clés KMS, les clés KMS d'un magasin de clés personnalisé peuvent également avoir un [état de clé](key-state.md) de `Unavailable`. 

Un état de clé `Unavailable` indique que la clé KMS est dans un magasin de clés personnalisé qui a été intentionnellement [déconnecté](disconnect-keystore.md) et que les tentatives pour le reconnecter, le cas échéant, ont échoué. Lorsqu'une clé KMS n'est pas disponible, vous pouvez afficher et gérer la clé KMS, mais vous ne pouvez pas l'utiliser dans les [opérations de chiffrement](manage-cmk-keystore.md#use-cmk-keystore).

Pour obtenir l'état de clé d'une clé KMS, sur la page **Clés gérées par le client**, veuillez consulter le champ **Status (État)** de la clé KMS. Vous pouvez également utiliser l'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)opération et afficher l'`KeyState`élément dans la réponse. Pour plus de détails, veuillez consulter [Identifier et afficher les clés](viewing-keys.md).

Les clés KMS d'un magasin de clés personnalisé déconnecté possèdent l'état de clé `Unavailable` ou `PendingDeletion`. Les clés KMS dont la suppression a été planifiée à partir d'un magasin de clés personnalisé ont un état de clé `Pending Deletion`, même si le magasin de clés personnalisé est déconnecté. Cela vous permet d'annuler la suppression de clé planifiée sans reconnecter le magasin de clés personnalisé. 

Pour corriger une clé KMS indisponible, [reconnectez le magasin de clés personnalisé](disconnect-keystore.md). Une fois le magasin de clés personnalisé reconnecté, l'état de clé des clés KMS du magasin de clés personnalisé est automatiquement restauré à son état précédent, comme `Enabled` ou `Disabled`. Les clés KMS qui sont en attente de suppression restent dans l'état `PendingDeletion`. Toutefois, si le problème persiste, [l'activation et la désactivation d'une clé KMS indisponible](enabling-keys.md) ne changent pas son état. L'action d'activation ou de désactivation prend effet uniquement lorsque la clé devient disponible.

Pour obtenir de l'aide concernant les connexions ayant échoué, consultez [Comment corriger un échec de connexion](#fix-keystore-failed). 

## Comment corriger les clés KMS défaillantes
<a name="fix-cmk-failed"></a>

Les problèmes liés à la création et à l'utilisation de clés KMS dans AWS CloudHSM les magasins de clés peuvent être dus à un problème lié à votre magasin de AWS CloudHSM clés, au AWS CloudHSM cluster associé, à la clé KMS ou à son contenu clé. 

Lorsqu'un magasin de AWS CloudHSM clés est déconnecté de son AWS CloudHSM cluster, l'état clé des clés KMS dans le magasin de clés personnalisé est`Unavailable`. Toutes les demandes de création de clés KMS dans un magasin de AWS CloudHSM clés déconnecté renvoient une `CustomKeyStoreInvalidStateException` exception. Toutes les demandes pour chiffrer, déchiffrer, rechiffrer ou générer les clés de données renvoient une exception `KMSInvalidStateException`. Pour résoudre le problème, [reconnectez le magasin de AWS CloudHSM clés.](connect-keystore.md)

Toutefois, vos tentatives d'utilisation d'une clé KMS dans un magasin de AWS CloudHSM clés pour [des opérations cryptographiques](manage-cmk-keystore.md#use-cmk-keystore) peuvent échouer même si l'état de la clé est `Enabled` identique à celui de la connexion du magasin de AWS CloudHSM clés. `Connected` Cela peut être dû à l'une des conditions suivantes.
+ Les éléments de clé de la clé KMS peuvent avoir été supprimés du cluster AWS CloudHSM associé. Pour étudier, [recherchez l'identifiant](find-handle-for-cmk-id.md) de la clé d'une clé KMS et, si nécessaire, essayez de [récupérer la clé](#fix-keystore-recover-backing-key).
+ Tous HSMs ont été supprimés du AWS CloudHSM cluster associé au magasin de AWS CloudHSM clés. Pour utiliser une clé KMS dans un magasin de AWS CloudHSM clés dans le cadre d'une opération cryptographique, son AWS CloudHSM cluster doit contenir au moins un HSM actif. Pour vérifier le nombre et l'état de HSMs dans un AWS CloudHSM cluster, [utilisez la AWS CloudHSM console](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html) ou l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)opération. Pour ajouter un HSM au cluster, utilisez la AWS CloudHSM console ou l'[CreateHsm](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateHsm.html)opération.
+ Le AWS CloudHSM cluster associé au magasin de AWS CloudHSM clés a été supprimé. Pour corriger le problème, [créez un cluster à partir d'une sauvegarde](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) qui est liée au cluster d'origine, telle qu'une sauvegarde du cluster d'origine ou une sauvegarde qui a été utilisée pour créer le cluster d'origine. Ensuite, [modifiez l'ID de cluster](update-keystore.md) dans les paramètres du magasin de clés personnalisé. Pour obtenir des instructions, veuillez consulter [Comment récupérer les éléments de clé supprimés pour une clé KMS](#fix-keystore-recover-backing-key).
+ Le AWS CloudHSM cluster associé au magasin de clés personnalisé ne disposait d'aucune session PKCS \$111 disponible. Cela se produit généralement pendant les périodes de fort trafic en rafale, lorsque des sessions supplémentaires sont nécessaires pour traiter le trafic. Pour réagir à une exception `KMSInternalException` avec un message d'erreur concernant les sessions PKCS \$111, revenez en arrière et relancez la requête. 

## Comment corriger un échec de connexion
<a name="fix-keystore-failed"></a>

Si vous essayez de [connecter un magasin de AWS CloudHSM clés](connect-keystore.md) à son AWS CloudHSM cluster, mais que l'opération échoue, l'état de connexion du magasin de AWS CloudHSM clés passe à`FAILED`. Pour connaître l'état de connexion d'un magasin de AWS CloudHSM clés, utilisez la AWS KMS console ou l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération. 

Sinon, certains tentatives de connexion échouent rapidement en raison d'erreurs de configuration de cluster facilement détectées. Dans ce cas, l'état de la connexion est toujours `DISCONNECTED`. Ces échecs renvoient un message d'erreur ou une [exception](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html#API_ConnectCustomKeyStore_Errors) qui explique pourquoi la tentative a échoué. Consultez la description de l'exception et [les exigences du cluster](create-keystore.md#before-keystore), résolvez le problème, [mettez à jour le magasin de AWS CloudHSM clés](update-keystore.md), si nécessaire, et réessayez de vous connecter.

Lorsque l'état de connexion est `FAILED` défini, exécutez l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération et voyez l'`ConnectionErrorCode`élément dans la réponse.

**Note**  
Lorsque l'état de connexion d'un magasin de AWS CloudHSM clés est `FAILED` atteint, vous devez [le AWS CloudHSM déconnecter](disconnect-keystore.md) avant de tenter de le reconnecter. Vous ne pouvez pas connecter un magasin de AWS CloudHSM clés doté d'un état de `FAILED` connexion.
+ `CLUSTER_NOT_FOUND`indique qu'il est AWS KMS impossible de trouver un AWS CloudHSM cluster avec l'ID de cluster spécifié. Cela peut se produire parce que le mauvais ID de cluster a été fourni à une opération d'API ou que le cluster a été supprimé et n'a pas été remplacé. Pour corriger cette erreur, vérifiez l'ID du cluster, par exemple à l'aide de la AWS CloudHSM console ou de l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)opération. Si le cluster a été supprimé, la [créez un cluster à partir d'une sauvegarde récente](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) de l'original. [Déconnectez ensuite le magasin de AWS CloudHSM clés](disconnect-keystore.md), [modifiez le AWS CloudHSM paramètre d'ID du cluster de magasins](update-keystore.md) de clés et [reconnectez le magasin de AWS CloudHSM clés](connect-keystore.md) au cluster.
+ `INSUFFICIENT_CLOUDHSM_HSMS`indique que le AWS CloudHSM cluster associé n'en contient aucun HSMs. Pour vous connecter, le cluster doit avoir au moins un HSM. Pour trouver le nombre de HSMs dans le cluster, utilisez l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)opération. Pour résoudre cette erreur, [ajoutez au moins un module HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-hsm.html) au cluster. Si vous en ajoutez plusieurs HSMs, il est préférable de les créer dans différentes zones de disponibilité.
+ `INSUFFICIENT_FREE_ADDRESSES_IN_SUBNET`indique qu'il n' AWS KMS a pas pu connecter le magasin de AWS CloudHSM clés à son AWS CloudHSM cluster car au moins un [sous-réseau privé associé au cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html) ne dispose d'aucune adresse IP disponible. Une connexion au magasin de AWS CloudHSM clés nécessite une adresse IP libre dans chacun des sous-réseaux privés associés, bien que deux soient préférables.

  Vous [ne pouvez pas ajouter des adresses IP](https://aws.amazon.com/premiumsupport/knowledge-center/vpc-ip-address-range/) (blocs CIDR) vers un sous-réseau existant. Si possible, déplacez ou supprimez les autres ressources qui utilisent les adresses IP du sous-réseau, telles que les instances EC2 inutilisées ou les interfaces réseau Elastic. Sinon, vous pouvez [créer un cluster à partir d'une sauvegarde récente](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) du AWS CloudHSM cluster avec des sous-réseaux privés nouveaux ou existants qui disposent de [plus d'espace d'adressage libre](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing). Ensuite, pour associer le nouveau cluster à votre magasin de AWS CloudHSM clés, [déconnectez le magasin de clés personnalisé](disconnect-keystore.md), [remplacez l'ID de cluster](update-keystore.md) du magasin de AWS CloudHSM clés par l'ID du nouveau cluster, puis réessayez de vous connecter.
**Astuce**  
Pour éviter [de réinitialiser le `kmsuser` mot de passe](#fix-keystore-password), utilisez la sauvegarde la plus récente du AWS CloudHSM cluster.
+ `INTERNAL_ERROR`indique que la demande n' AWS KMS a pas pu être traitée en raison d'une erreur interne. Réitérez la demande. Pour les `ConnectCustomKeyStore` demandes, déconnectez le magasin de AWS CloudHSM clés avant de réessayer de vous connecter.
+ `INVALID_CREDENTIALS`indique qu'il AWS KMS ne peut pas se connecter au AWS CloudHSM cluster associé car le mot de passe du `kmsuser` compte n'est pas correct. Pour obtenir de l'aide sur cette erreur, veuillez consulter [Comment corriger les informations d'identification `kmsuser` non valides](#fix-keystore-password).
+ `NETWORK_ERRORS` indique généralement des problèmes réseau temporaires. [Déconnectez le magasin de AWS CloudHSM clés](disconnect-keystore.md), attendez quelques minutes, puis réessayez de vous connecter.
+ `SUBNET_NOT_FOUND`indique qu'au moins un sous-réseau de la configuration du AWS CloudHSM cluster a été supprimé. Si vous AWS KMS ne trouvez pas tous les sous-réseaux dans la configuration du cluster, les tentatives de connexion du magasin de AWS CloudHSM clés au AWS CloudHSM cluster échouent. 

  Pour corriger cette erreur, [créez un cluster à partir d'une sauvegarde récente](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) du même AWS CloudHSM cluster. (Ce processus crée une nouvelle configuration de cluster avec un VPC et des sous-réseaux privés.) Vérifiez que le nouveau cluster répond aux [conditions requises pour un magasin de clés personnalisé](create-keystore.md#before-keystore) et notez l'ID du nouveau cluster. Ensuite, pour associer le nouveau cluster à votre magasin de AWS CloudHSM clés, [déconnectez le magasin de clés personnalisé](disconnect-keystore.md), [remplacez l'ID de cluster](update-keystore.md) du magasin de AWS CloudHSM clés par l'ID du nouveau cluster, puis réessayez de vous connecter.
**Astuce**  
Pour éviter [de réinitialiser le `kmsuser` mot de passe](#fix-keystore-password), utilisez la sauvegarde la plus récente du AWS CloudHSM cluster.
+ `USER_LOCKED_OUT` indique que le [compte CU (utilisateur de chiffrement) `kmsuser`](keystore-cloudhsm.md#concept-kmsuser) est verrouillé pour le cluster AWS CloudHSM associé en raison d'un trop grand nombre de tentatives de mot de passe ayant échoué. Pour obtenir de l'aide sur cette erreur, veuillez consulter [Comment corriger les informations d'identification `kmsuser` non valides](#fix-keystore-password).

  Pour corriger cette erreur, [déconnectez le magasin de AWS CloudHSM clés](disconnect-keystore.md) et utilisez la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) dans la CLI CloudHSM pour modifier le mot de passe du compte. `kmsuser` Ensuite, [modifiez le `kmsuser` paramètre de mot de passe](update-keystore.md) pour le magasin de clés personnalisé, et essayez de vous connecter à nouveau. Pour obtenir de l'aide, utilisez la procédure décrite dans la rubrique [Comment corriger les informations d'identification `kmsuser` non valides](#fix-keystore-password).
+ `USER_LOGGED_IN`indique que le compte `kmsuser` CU est connecté au AWS CloudHSM cluster associé. Cela AWS KMS empêche la rotation du mot de passe du `kmsuser` compte et la connexion au cluster. Pour corriger cette erreur, déconnectez le compte CU `kmsuser` du cluster. Si vous avez modifié le `kmsuser` mot de passe pour vous connecter au cluster, vous devez également mettre à jour la valeur du mot de passe du magasin de clés pour le magasin de AWS CloudHSM clés. Pour obtenir de l'aide, veuillez consulter [Comment se déconnecter et se reconnecter](#login-kmsuser-2).
+ `USER_NOT_FOUND`indique qu'il est AWS KMS impossible de trouver un compte `kmsuser` CU dans le AWS CloudHSM cluster associé. Pour corriger cette erreur, [créez un compte `kmsuser` CU](create-keystore.md#kmsuser-concept) dans le cluster, puis [mettez à jour la valeur du mot de passe du magasin de clés](update-keystore.md) pour le magasin de AWS CloudHSM clés. Pour obtenir de l'aide, veuillez consulter [Comment corriger les informations d'identification `kmsuser` non valides](#fix-keystore-password).

## Comment répondre à un échec d'opération de chiffrement
<a name="fix-keystore-communication"></a>

Une opération de chiffrement qui utilise une clé KMS dans un magasin de clés personnalisé peut échouer avec un `KMSInvalidStateException`. Les messages d'erreur suivants peuvent accompagner le `KMSInvalidStateException`.


|  | 
| --- |
| KMS ne peut pas communiquer avec votre cluster CloudHSM. Il peut s'agir d'un problème réseau transitoire. Si cette erreur s'affiche à plusieurs reprises, vérifiez que les règles du réseau ACLs et du groupe de sécurité pour le VPC de votre AWS CloudHSM cluster sont correctes. | 
+ Bien qu'il s'agisse d'une erreur HTTPS 400, elle peut résulter de problèmes réseau transitoires. Pour répondre, commencez par relancer la demande. Toutefois, si elle continue d'échouer, examinez la configuration de vos composants réseau. Cette erreur est probablement causée par une mauvaise configuration d'un composant réseau, telle qu'une règle de pare-feu ou une règle de groupe de sécurité VPC qui bloque le trafic sortant. Par exemple, KMS ne peut pas communiquer avec AWS CloudHSM les clusters IPv6. Pour plus de détails sur les prérequis, voir[Création d'un magasin de AWS CloudHSM clés](create-keystore.md).


|  | 
| --- |
| KMS ne peut pas communiquer avec votre AWS CloudHSM cluster car l'utilisateur kmsuser est verrouillé. Si cette erreur s'affiche à plusieurs reprises, déconnectez le magasin de AWS CloudHSM clés et réinitialisez le mot de passe du compte kmsuser. Mettez à jour le mot de passe kmsuser pour le magasin de clés personnalisé et réessayez la demande. | 
+ Ce message d’erreur indique que le [compte CU (utilisateur de chiffrement) `kmsuser`](keystore-cloudhsm.md#concept-kmsuser) est verrouillé pour le cluster AWS CloudHSM associé en raison d'un trop grand nombre de tentatives de mot de passe ayant échoué. Pour obtenir de l'aide sur cette erreur, veuillez consulter [Comment se déconnecter et se connecter](#login-kmsuser-1).

## Comment corriger les informations d'identification `kmsuser` non valides
<a name="fix-keystore-password"></a>

Lorsque vous [connectez un magasin de AWS CloudHSM clés](connect-keystore.md), vous AWS KMS vous connectez au AWS CloudHSM cluster associé en tant qu'[utilisateur `kmsuser` cryptographique](keystore-cloudhsm.md#concept-kmsuser) (CU). Il reste connecté jusqu'à ce que le magasin de AWS CloudHSM clés soit déconnecté. La réponse [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) réponse affiche pour `ConnectionState` la valeur `FAILED` et pour `ConnectionErrorCode` la valeur `INVALID_CREDENTIALS`, comme indiqué dans l'exemple suivant.

Si vous déconnectez le magasin de AWS CloudHSM clés et modifiez le `kmsuser` mot de passe, vous AWS KMS ne pouvez pas vous connecter au AWS CloudHSM cluster avec les informations d'identification du compte `kmsuser` CU. Par conséquent, toutes les tentatives de connexion au magasin de AWS CloudHSM clés échouent. La réponse `DescribeCustomKeyStores` réponse affiche pour `ConnectionState` la valeur `FAILED` et pour `ConnectionErrorCode` la valeur `INVALID_CREDENTIALS`, comme indiqué dans l'exemple suivant.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "INVALID_CREDENTIALS"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}
```

De plus, au bout de cinq tentatives de connexion au cluster ayant échoué avec un mot de passe incorrect, AWS CloudHSM verrouille le compte utilisateur. Pour se connecter au cluster, vous devez modifier le mot de passe du compte.

S'il AWS KMS obtient une réponse de verrouillage lorsqu'il essaie de se connecter au cluster en tant que `kmsuser` CU, la demande de connexion au magasin de AWS CloudHSM clés échoue. La [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)réponse inclut un `ConnectionState` de `FAILED` et une `ConnectionErrorCode` valeur de`USER_LOCKED_OUT`, comme indiqué dans l'exemple suivant.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "USER_LOCKED_OUT"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}
```

Pour réparer l'une ou l'autre de ces conditions, utilisez la procédure suivante. 

1. [Déconnectez le magasin de AWS CloudHSM clés](disconnect-keystore.md). 

1. Exécutez l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération et visualisez la valeur de l'`ConnectionErrorCode`élément dans la réponse. 
   + Si la valeur de `ConnectionErrorCode` est `INVALID_CREDENTIALS`, déterminez le mot de passe actuel pour le compte `kmsuser`. Si nécessaire, utilisez la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) dans la CLI CloudHSM pour définir le mot de passe sur une valeur connue.
   + Si la `ConnectionErrorCode` valeur est`USER_LOCKED_OUT`, vous devez utiliser la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) dans la CLI CloudHSM pour modifier le mot de passe. `kmsuser`

1. [Modifiez le mot de passe actuel de `kmsuser`](update-keystore.md) afin qu'il corresponde au mot de passe actuel de `kmsuser` dans le cluster. Cette action indique à AWS KMS le mot de passe à utiliser pour se connecter au cluster. Elle ne change pas le mot de passe de `kmsuser` dans le cluster.

1. [Connectez le magasin de clés personnalisé](connect-keystore.md).

## Comment supprimer les éléments de clé orphelins
<a name="fix-keystore-orphaned-key"></a>

Après avoir planifié la suppression d'une clé KMS d'un magasin de AWS CloudHSM clés, vous devrez peut-être supprimer manuellement le matériel clé correspondant du AWS CloudHSM cluster associé. 

Lorsque vous créez une clé KMS dans un magasin de AWS CloudHSM clés, AWS KMS crée les métadonnées de la clé KMS AWS KMS et génère le matériel clé dans le AWS CloudHSM cluster associé. Lorsque vous planifiez la suppression d'une clé KMS dans un magasin de AWS CloudHSM clés, les métadonnées de la clé KMS sont AWS KMS supprimées après la période d'attente. AWS KMS Fait ensuite de son mieux pour supprimer le matériel clé correspondant du AWS CloudHSM cluster. La tentative peut échouer si vous AWS KMS ne pouvez pas accéder au cluster, par exemple s'il est déconnecté du magasin de AWS CloudHSM clés ou si le `kmsuser` mot de passe est modifié. AWS KMS ne tente pas de supprimer les éléments clés des sauvegardes du cluster.

AWS KMS rapporte les résultats de sa tentative de suppression du contenu clé du cluster lors de `DeleteKey` la saisie de vos AWS CloudTrail journaux. Ils apparaissent dans l'élément `backingKeysDeletionStatus` de l'élément `additionalEventData`, comme illustré dans l'exemple d'entrée suivant. L'entrée inclut également l'ARN de la clé KMS, l'ID du AWS CloudHSM cluster et l'ID (`backing-key-id`) du matériau clé.

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "accountId": "111122223333",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2021-12-10T14:23:51Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DeleteKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": null,
    "responseElements":  {
        "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "additionalEventData": {
        "customKeyStoreId": "cks-1234567890abcdef0",
        "clusterId": "cluster-1a23b4cdefg",
        "backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]",
        "backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"FAILURE\"}]"
    },
    "eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsServiceEvent",
    "recipientAccountId": "111122223333",
    "managementEvent": true,
    "eventCategory": "Management"
}
```

**Remarques**  
Les procédures suivantes utilisent l'outil de ligne de commande du SDK AWS CloudHSM client 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. La CLI `key-handle` CloudHSM remplace par. `key-reference`  
Le 1er janvier 2025, la prise en charge des outils de ligne de commande du SDK client 3, de l'utilitaire de gestion CloudHSM (CMU) et de l'utilitaire de gestion des clés (KMU) AWS CloudHSM prendra fin. *Pour plus d'informations sur les différences entre les outils de ligne de commande du SDK client 3 et l'outil de ligne de commande du SDK client 5, consultez la section [Migrer de la CMU et de la KMU du SDK client 3 vers la CLI CloudHSM du SDK client 5](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) dans le guide de l'utilisateur.AWS CloudHSM *

Les procédures suivantes montrent comment supprimer le matériel clé orphelin du AWS CloudHSM cluster associé.

1. Déconnectez le magasin de AWS CloudHSM clés, s'il ne l'est pas déjà, [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html), comme expliqué dans[Comment se déconnecter et se connecter](#login-kmsuser-1).
**Note**  
Même si un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de clés KMS dans le magasin de clés personnalisé ou d'utilisation de clés KMS existantes dans les opérations de chiffrement échouent. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.

1. Utilisez la commande [key delete](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-delete.html) de la CLI CloudHSM pour supprimer la clé HSMs du cluster.

   Toutes les entrées du CloudTrail journal relatives aux opérations cryptographiques effectuées avec une clé KMS dans un magasin de AWS CloudHSM clés incluent un `additionalEventData` champ avec le `customKeyStoreId` et`backingKey`. La valeur renvoyée dans le `backingKeyId` champ est l'attribut clé `id` CloudHSM. Nous vous recommandons de filtrer l'opération de **suppression des clés** `id` afin de supprimer le contenu clé orphelin que vous avez identifié dans vos CloudTrail journaux.

   AWS CloudHSM reconnaît la `backingKeyId` valeur sous forme de valeur hexadécimale. Pour filtrer par`id`, vous devez ajouter le mot `backingKeyId` avec`Ox`. Par exemple, si `backingKeyId` dans votre CloudTrail journal l'est`1a2b3c45678abcdef`, vous devez filtrer par`0x1a2b3c45678abcdef`.

   L'exemple suivant supprime une clé de HSMs votre cluster. Le `backing-key-id` est répertorié dans l'entrée du CloudTrail journal. Avant d'exécuter cette commande, remplacez l'exemple `backing-key-id` par un exemple valide provenant de votre compte.

   ```
   aws-cloudhsm key delete --filter attr.id="0x<backing-key-id>"
   {
     "error_code": 0,
     "data": {
       "message": "Key deleted successfully"
     }
   }
   ```

1. Déconnectez-vous et reconnectez le magasin de AWS CloudHSM clés comme décrit dans[Comment se déconnecter et se reconnecter](#login-kmsuser-2).

## Comment récupérer les éléments de clé supprimés pour une clé KMS
<a name="fix-keystore-recover-backing-key"></a>

Si le contenu clé d'un AWS KMS key est supprimé, la clé KMS est inutilisable et tout le texte chiffré sous la clé KMS ne peut pas être déchiffré. Cela peut se produire si le matériel clé d'une clé KMS dans un magasin de AWS CloudHSM clés est supprimé du AWS CloudHSM cluster associé. Toutefois, il peut être possible de récupérer les clés.

Lorsque vous créez une AWS KMS key (clé KMS) dans un magasin de AWS CloudHSM clés AWS KMS , connectez-vous au AWS CloudHSM cluster associé et créez le matériel clé pour la clé KMS. Il remplace également le mot de passe par une valeur qu'il est le seul à connaître et reste connecté tant que le magasin de AWS CloudHSM clés est connecté. Étant donné que seul le propriétaire de la clé, c'est-à-dire le CU qui a créé une clé, peut supprimer la clé, il est peu probable que la clé soit supprimée HSMs accidentellement. 

Toutefois, si le contenu clé d'une clé KMS est supprimé HSMs d'un cluster, l'état de la clé KMS devient finalement`UNAVAILABLE`. Si vous essayez d'utiliser la clé KMS pour une opération cryptographique, l'opération échoue avec une exception `KMSInvalidStateException`. Et surtout, toutes les données chiffrées à l'aide de la clé KMS ne peuvent pas être déchiffrées.

Dans certains cas, vous pouvez récupérer les clés supprimés par [en créant un cluster à partir d'une sauvegarde](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) qui contient les clés. Cette stratégie fonctionne uniquement lorsqu'au moins une sauvegarde a été créée, tandis que la clé existait et avant qu'elle n'ait été supprimée. 

Utilisez la procédure suivante pour récupérer les éléments de clé.

1. Recherchez une sauvegarde de cluster qui contient les éléments de clé. La sauvegarde doit également contenir tous les utilisateurs et toutes les clés dont vous avez besoin pour prendre en charge le cluster et ses données chiffrées.

   Utilisez l'[DescribeBackups](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeBackups.html)opération pour répertorier les sauvegardes d'un cluster. Utilisez ensuite l'horodatage de la sauvegarde afin de vous aider à sélectionner une sauvegarde. Pour limiter la sortie au cluster associé au magasin de AWS CloudHSM clés, utilisez le `Filters` paramètre, comme indiqué dans l'exemple suivant. 

   ```
   $ aws cloudhsmv2 describe-backups --filters clusterIds=<cluster ID>
   {
       "Backups": [
           {
               "ClusterId": "cluster-1a23b4cdefg",
               "BackupId": "backup-9g87f6edcba",
               "CreateTimestamp": 1536667238.328,
               "BackupState": "READY"
           },
                ...
       ]
   }
   ```

1. [Créez un cluster à partir de la sauvegarde sélectionnée](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html). Vérifiez que la sauvegarde contient la clé supprimée et les clés que le cluster nécessite. 

1. [Déconnectez le magasin de AWS CloudHSM clés](disconnect-keystore.md) afin de pouvoir modifier ses propriétés.

1. [Modifiez l'ID de cluster](update-keystore.md) du magasin de AWS CloudHSM clés. Entrez l'ID du cluster que vous avez créé à partir de la sauvegarde. Étant donné que le cluster partage un historique des sauvegardes avec le cluster d'origine, le nouvel ID de cluster doit être valide. 

1. [Reconnectez le magasin de AWS CloudHSM clés.](connect-keystore.md)

## Comment se connecter en tant que `kmsuser`
<a name="fix-login-as-kmsuser"></a>

Pour créer et gérer les éléments clés du AWS CloudHSM cluster pour votre magasin de AWS CloudHSM clés, utilisez AWS KMS le [compte `kmsuser` Crypto User (CU)](keystore-cloudhsm.md#concept-kmsuser). Vous [créez le compte `kmsuser` CU](create-keystore.md#before-keystore) dans votre cluster et vous fournissez son mot de passe AWS KMS lorsque vous créez votre magasin de AWS CloudHSM clés.

En général, AWS KMS gère le `kmsuser` compte. Toutefois, pour certaines tâches, vous devez déconnecter le magasin de AWS CloudHSM clés, vous connecter au cluster en tant que `kmsuser` CU et utiliser l'[interface de ligne de commande (CLI) CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html).

**Note**  
Même si un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de clés KMS dans le magasin de clés personnalisé ou d'utilisation de clés KMS existantes dans les opérations de chiffrement échouent. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.

Cette rubrique explique comment [déconnecter votre magasin de AWS CloudHSM clés et vous connecter en](#login-kmsuser-1) tant que tel`kmsuser`, exécuter l'outil de ligne de AWS CloudHSM commande, puis [vous déconnecter et reconnecter votre magasin de AWS CloudHSM clés](#login-kmsuser-2).

**Topics**
+ [Comment se déconnecter et se connecter](#login-kmsuser-1)
+ [Comment se déconnecter et se reconnecter](#login-kmsuser-2)

### Comment se déconnecter et se connecter
<a name="login-kmsuser-1"></a>

Utilisez la procédure suivante à chaque fois pour vous connecter à un cluster associé en tant qu'utilisateur du `kmsuser` chiffrement.

**Remarques**  
Les procédures suivantes utilisent l'outil de ligne de commande du SDK AWS CloudHSM client 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. La CLI `key-handle` CloudHSM remplace par. `key-reference`  
Le 1er janvier 2025, la prise en charge des outils de ligne de commande du SDK client 3, de l'utilitaire de gestion CloudHSM (CMU) et de l'utilitaire de gestion des clés (KMU) AWS CloudHSM prendra fin. *Pour plus d'informations sur les différences entre les outils de ligne de commande du SDK client 3 et l'outil de ligne de commande du SDK client 5, consultez la section [Migrer de la CMU et de la KMU du SDK client 3 vers la CLI CloudHSM du SDK client 5](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) dans le guide de l'utilisateur.AWS CloudHSM *

1. Déconnectez le magasin de AWS CloudHSM clés, s'il ne l'est pas déjà. Vous pouvez utiliser la AWS KMS console ou AWS KMS l'API. 

   Lorsque votre AWS CloudHSM clé est connectée, elle AWS KMS est connectée en tant que`kmsuser`. Cela vous empêche de vous connecter comme `kmsuser` ou de modifier le mot de passe `kmsuser`.

   Par exemple, cette commande permet [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)de déconnecter un exemple de magasin de clés. Remplacez l'exemple d'ID de magasin de AWS CloudHSM clés par un identifiant valide.

   ```
   $ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
   ```

1. Utilisez la commande **de connexion** pour vous connecter en tant qu'administrateur. Utilisez les procédures décrites dans la section [Utilisation de la CLI CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7) du Guide *AWS CloudHSM de l'*utilisateur.

   ```
   aws-cloudhsm > login --username admin --role admin
             Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "admin",
       "role": "admin"
     }
   }
   ```

1. Utilisez la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) la CLI CloudHSM pour remplacer le mot de passe du compte par un mot de passe `kmsuser` que vous connaissez. (AWS KMS fait pivoter le mot de passe lorsque vous connectez votre magasin de AWS CloudHSM clés.) Le mot de passe doit contenir entre 7 et 32 caractères alphanumériques. Il est sensible à la casse et ne peut contenir aucun des caractères spéciaux.

1. Connectez-vous en `kmsuser` utilisant le mot de passe que vous avez défini. Pour obtenir des instructions détaillées, consultez la section [Utilisation de la CLI CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7) du Guide *AWS CloudHSM de l'*utilisateur.

   ```
   aws-cloudhsm > login --username kmsuser --role crypto-user
             Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "kmsuser",
       "role": "crypto-user"
     }
   }
   ```

### Comment se déconnecter et se reconnecter
<a name="login-kmsuser-2"></a>

Suivez la procédure suivante chaque fois que vous devez vous déconnecter en tant qu'utilisateur `kmsuser` cryptographique et reconnecter votre magasin de clés.

**Remarques**  
Les procédures suivantes utilisent l'outil de ligne de commande du SDK AWS CloudHSM client 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. La CLI `key-handle` CloudHSM remplace par. `key-reference`  
Le 1er janvier 2025, la prise en charge des outils de ligne de commande du SDK client 3, de l'utilitaire de gestion CloudHSM (CMU) et de l'utilitaire de gestion des clés (KMU) AWS CloudHSM prendra fin. *Pour plus d'informations sur les différences entre les outils de ligne de commande du SDK client 3 et l'outil de ligne de commande du SDK client 5, consultez la section [Migrer de la CMU et de la KMU du SDK client 3 vers la CLI CloudHSM du SDK client 5](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) dans le guide de l'utilisateur.AWS CloudHSM *

1. Effectuez la tâche, puis utilisez la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html) dans la CLI CloudHSM pour vous déconnecter. Si vous ne vous déconnectez pas, les tentatives de reconnexion de votre magasin de AWS CloudHSM clés échoueront.

   ```
   aws-cloudhsm  logout
   {
     "error_code": 0,
     "data": "Logout successful"
   }
   ```

1. [Modifiez le paramètre de mot de passe de `kmsuser`](update-keystore.md) pour le magasin de clés personnalisé. 

   Cela indique AWS KMS le mot de passe actuel pour `kmsuser` le cluster. Si vous omettez cette étape, vous ne AWS KMS pourrez pas vous connecter au cluster et toutes les tentatives de reconnexion à votre banque de clés personnalisée échoueront. `kmsuser` Vous pouvez utiliser la AWS KMS console ou le `KeyStorePassword` paramètre de l'[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)opération.

   Par exemple, cette commande indique AWS KMS que le mot de passe actuel est`tempPassword`. Remplacez l'exemple de mot de passe par le mot de passe réel. 

   ```
   $ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password tempPassword
   ```

1. Reconnectez le magasin de AWS KMS clés à son AWS CloudHSM cluster. Remplacez l'exemple d'ID de magasin de AWS CloudHSM clés par un identifiant valide. Au cours du processus de connexion, AWS KMS remplace le `kmsuser` mot de passe par une valeur qu'il est le seul à connaître.

   L'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)opération revient rapidement, mais le processus de connexion peut prendre un certain temps. Cependant, cette réponse initiale n'indique pas que la connexion a réussi.

   ```
   $ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
   ```

1. Utilisez cette [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération pour vérifier que le magasin de AWS CloudHSM clés est connecté. Remplacez l'exemple d'ID de magasin de AWS CloudHSM clés par un identifiant valide.

   Dans cet exemple, le champ d'état de connexion indique que le magasin de AWS CloudHSM clés est désormais connecté.

   ```
   $ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
   {
      "CustomKeyStores": [
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleKeyStore",
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "TrustAnchorCertificate": "<certificate string appears here>",
         "CreationDate": "1.499288695918E9",
         "ConnectionState": "CONNECTED"
      ],
   }
   ```