Afficher un magasin AWS CloudHSM de clés - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Afficher un magasin AWS CloudHSM de clés

Vous pouvez consulter les AWS CloudHSM principaux magasins de chaque compte et région à l'aide de la AWS KMS console ou de l'DescribeCustomKeyStoresopération.

Lorsque vous consultez les AWS CloudHSM principaux magasins du AWS Management Console, vous pouvez voir ce qui suit :

  • Nom et ID du magasin de clés personnalisé

  • L'ID du AWS CloudHSM cluster associé

  • Le nombre de personnes HSMs dans le cluster

  • État actuel de la connexion

Une valeur d'état de connexion (Status) de Disconnected indique que le magasin de clés personnalisé est nouveau et n'a jamais été connecté, ou qu'il a été intentionnellement déconnecté de son AWS CloudHSM cluster. Toutefois, si vos tentatives d'utilisation d'une KMS clé dans un magasin de clés personnalisé connecté échouent, cela peut indiquer un problème lié au magasin de clés personnalisé ou à son AWS CloudHSM cluster. Pour obtenir de l'aide, veuillez consulter Comment réparer une KMS clé défaillante.

Pour consulter les AWS CloudHSM principaux magasins d'un compte et d'une région donnés, procédez comme suit.

  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le panneau de navigation, sélectionnez Custom key stores (Magasins de clés personnalisés), AWS CloudHSM key stores (Magasins de clés).

Pour personnaliser l'affichage, cliquez sur l'icône d'engrenage qui apparaît sous le bouton Créer un magasin de clés.

Pour consulter vos AWS CloudHSM principaux magasins, utilisez l'DescribeCustomKeyStoresopération. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Toutefois, vous pouvez utiliser le paramètre CustomKeyStoreName ou CustomKeyStoreId (mais pas les deux) pour limiter la sortie à un magasin de clés personnalisé en particulier. Pour les AWS CloudHSM banques de clés, la sortie comprend l'ID et le nom de la banque de clés personnalisée, le type de banque de clés personnalisé, l'ID du AWS CloudHSM cluster associé et l'état de la connexion. Si l'état de la connexion indique une erreur, la sortie inclut également un code d'erreur qui décrit la raison de l'erreur.

Les exemples de cette section utilisent la AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

Par exemple, la commande suivante renvoie tous les magasins de clés personnalisées du compte et de la région. Vous pouvez utiliser les paramètres Marker et Limit pour parcourir les magasins de clés personnalisés de la sortie.

$ aws kms describe-custom-key-stores

L'exemple de commande suivant utilise le paramètre CustomKeyStoreName pour obtenir uniquement le magasin de clés personnalisé avec le nom convivial ExampleCloudHSMKeyStore. Vous pouvez utiliser le paramètre CustomKeyStoreName ou le paramètre CustomKeyStoreId (mais pas les deux) dans chaque commande.

L'exemple de sortie suivant représente un magasin de AWS CloudHSM clés connecté à son AWS CloudHSM cluster.

Note

Le CustomKeyStoreType champ a été ajouté à la DescribeCustomKeyStores réponse pour distinguer les magasins de AWS CloudHSM clés des magasins de clés externes.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleCloudHSMKeyStore
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionState": "CONNECTED",
         "CreationDate": "1.499288695918E9",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}

Un ConnectionState de Disconnected indique qu'un magasin de clés personnalisé n'a jamais été connecté ou qu'il a été intentionnellement déconnecté de son AWS CloudHSM cluster. Toutefois, si les tentatives d'utilisation d'une KMS clé dans un magasin de AWS CloudHSM clés connecté échouent, cela peut indiquer un problème lié au magasin de AWS CloudHSM clés ou à son AWS CloudHSM cluster. Pour obtenir de l'aide, veuillez consulter Comment réparer une KMS clé défaillante.

Si ConnectionState a la valeur FAILED, la réponse DescribeCustomKeyStores inclut un élément ConnectionErrorCode qui explique la raison de l'erreur.

Par exemple, dans la sortie suivante, la valeur INVALID_CREDENTIALS indique que la connexion du magasin de clés personnalisé a échoué, car le mot de passe kmsuser n'est pas valide. Pour obtenir de l'aide sur ce sujet et sur d'autres échecs de connexion, consultez Dépannage d'un magasin de clés personnalisé.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionErrorCode": "INVALID_CREDENTIALS",
         "ConnectionState": "FAILED",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "CreationDate": "1.499288695918E9",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}
En savoir plus :