Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Identifier et afficher les clés
Vous pouvez utiliser l'[API [AWS Management Console](https://console.aws.amazon.com/kms)or AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/APIReference/) pour afficher les informations AWS KMS keys relatives à chaque compte et région, y compris les clés KMS que vous gérez et les clés KMS gérées par AWS.
**Topics**
+ [Rechercher l’ID de clé et l’ARN de clé](find-cmk-id-arn.md)
+ [Accédez aux informations clés du KMS et listez-les](finding-keys.md)
+ [Identifier les différents types de clés](identify-key-types.md)
+ [Personnalisez l'affichage de votre console](viewing-console-customize.md)
+ [Trouvez les clés KMS et le matériel clé dans un magasin de AWS CloudHSM clés](find-key-material.md)
# Rechercher l’ID de clé et l’ARN de clé
Pour identifier un AWS KMS key, vous pouvez utiliser l'[ID de clé](concepts.md#key-id-key-id) ou le nom de ressource Amazon ([ARN clé](concepts.md#key-id-key-ARN)). Dans les [opérations de chiffrement](kms-cryptography.md#cryptographic-operations), vous pouvez également utiliser le [nom d'alias](concepts.md#key-id-alias-name) ou l'[ARN d'alias](concepts.md#key-id-alias-ARN).
Vous pouvez utiliser la [AWS KMS console](https://console.aws.amazon.com/kms) ou l'[ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)opération pour identifier l'ID de clé et l'ARN de chaque clé KMS de votre compte et de votre région.
Pour des informations détaillées sur les identificateurs de clé KMS pris en charge par AWS KMS, consultez[Identifiants clés () KeyId](concepts.md#key-id). Pour obtenir de l'aide afin de trouver un nom d'alias et un ARN d'alias, veuillez consulter [Trouvez le nom d'alias et l'ARN de l'alias pour une clé KMS](alias-view.md).
## Utilisation de la AWS KMS console
1. Ouvrez la AWS KMS console à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
1. Pour afficher les clés de votre compte que vous créez et gérez vous-même, dans le volet de navigation, choisissez **Clés gérées par le client**. Pour afficher les clés de votre compte qui AWS crée et gère pour vous, dans le volet de navigation, choisissez **les clés AWS gérées**.
1. Pour obtenir l'[ID de clé](concepts.md#key-id-key-id) d'une clé KMS, veuillez consulter la ligne qui commence par l'alias de clé KMS.
Par défaut, la colonne **ID de clé** apparaît dans les tables. Si la colonne ID de clé n'apparaît pas dans votre table, utilisez la procédure décrite à la section [Personnalisez l'affichage de votre console](viewing-console-customize.md) pour la restaurer. Vous pouvez également afficher l'ID de clé d'une clé KMS sur sa page de détails.
![\[Clés gérées par le client table showing Key ID for a single key-test alias.\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/find-key-id-new.png)
1. Pour rechercher l'Amazon Resource Name (ARN) de la clé KMS, choisissez l'ID de clé ou l'alias. L'[ARN de clé](concepts.md#key-id-key-ARN) apparaît dans la section **Configuration générale**.
![\[General configuration section showing key alias, status, and ARN details.\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/find-key-arn.png)
## Utilisation de l' AWS KMS API
Pour trouver l'[ID de clé](concepts.md#key-id-key-id) [et l'ARN](concepts.md#key-id-key-ARN) de clé d'un AWS KMS key, utilisez l'[ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)opération.
L'`ListKeys`opération renvoie l'ID de clé et le nom de ressource Amazon (ARN) de toutes les clés KMS du compte et de la région de l'appelant.
Par exemple, cet appel à l'opération `ListKeys` renvoie l'ID et l'ARN de chaque clé KMS de ce compte fictif. Pour obtenir des exemples dans plusieurs langages de programmation, veuillez consulter [Utilisation `ListKeys` avec un AWS SDK ou une CLI](example_kms_ListKeys_section.md).
```
$ aws kms list-keys
{
"Keys": [
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyArn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"KeyArn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
]
}
```
# Accédez aux informations clés du KMS et listez-les
Vous pouvez utiliser la [AWS KMS console](https://console.aws.amazon.com/kms) ou l'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)opération pour accéder aux informations détaillées sur les clés KMS du compte et de la région et les répertorier.
Les procédures suivantes montrent comment accéder aux détails des clés KMS, tels que l'identifiant de la clé, les spécifications de la clé, son utilisation, etc.
## Utilisation de la AWS KMS console
La page des détails de chaque clé KMS affiche les propriétés de la clé KMS. Elle diffère légèrement selon les différents types de clés KMS.
Pour afficher des informations détaillées sur une clé KMS, sur la page **Clés gérées par AWS **ou sur la page des **clés gérées par le client**, choisissez l'alias ou l'ID de clé de la clé KMS.
La page de détails d'une clé KMS inclut une section **General Configuration (Configuration générale)** qui affiche les propriétés de base de la clé KMS. Il comprend également des onglets dans lesquels vous pouvez afficher et modifier les propriétés de la clé KMS, telles que la **politique** de clé, la **configuration cryptographique**, les **balises**, le **contenu de la clé et les rotations** (pour les clés KMS qui prennent en charge la rotation automatique ou à la demande), la **régionalité** (pour les clés multirégionales) et la **clé publique** (pour les clés KMS asymétriques).
**Note**
La AWS KMS console affiche les clés KMS que vous êtes [autorisé à consulter](customer-managed-policies.md#iam-policy-example-read-only-console) dans votre compte et dans votre région. Les autres clés KMS Comptes AWS n'apparaissent pas dans la console, même si vous êtes autorisé à les consulter, à les gérer et à les utiliser. Pour afficher les clés KMS dans d'autres comptes, utilisez l'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)opération.
Pour accéder à la page des détails de clé d'une clé KMS.
1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
1. Pour afficher les clés de votre compte que vous créez et gérez vous-même, dans le volet de navigation, choisissez **Clés gérées par le client**. Pour afficher les clés de votre compte qui AWS crée et gère pour vous, dans le volet de navigation, choisissez **les clés AWS gérées**.
1. Pour ouvrir la page des détails de clé, dans la table de clés, choisissez l'ID de clé ou l'alias de la clé KMS.
Si la clé KMS comporte plusieurs alias, un résumé d'alias (**\$1*n* plus**) apparaît en regard du nom de l'un des alias. Le choix du résumé d'alias vous mène directement à l'onglet **Aliases (Alias)** dans la page des détails de la clé.
![\[AWS KMSclé gérée par le client details showing general and cryptographic configurations.\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/console-key-detail-view-symmetric-sm.png)
La liste suivante décrit les champs de l'affichage détaillé, y compris les champs dans les onglets. Certains de ces champs sont également disponibles sous forme de colonnes dans l'affichage de la table.
**les alias ;**
Où : Onglet Alias
Un nom convivial pour la clé KMS. Vous pouvez utiliser un alias pour identifier la clé KMS dans la console et dans certaines consoles AWS KMS APIs. Pour en savoir plus, consultez [Alias dans AWS KMS](kms-alias.md).
L'onglet **Alias** affiche tous les alias associés à la clé KMS dans la région Compte AWS et.
**ARN**
Où : section General configuration (Configuration générale)
Amazon Resource Name (ARN) de la clé KMS. Cette valeur identifie de manière unique la clé KMS. Vous pouvez l'utiliser pour identifier la clé KMS dans les opérations d'API AWS KMS .
**État de connexion**
Indique si un [magasin de clés personnalisé](key-store-overview.md#custom-key-store-overview) est connecté à son magasin de clés de sauvegarde. Ce champ ne s'affiche que lorsque la clé KMS est créée dans un magasin de clés personnalisé.
Pour plus d'informations sur les valeurs de ce champ, consultez [ConnectionState](https://docs.aws.amazon.com/kms/latest/APIReference/API_CustomKeyStoresListEntry.html#KMS-Type-CustomKeyStoresListEntry-ConnectionState)la *référence de l'AWS KMS API*.
**Date de création**
Où : section General configuration (Configuration générale)
Date et heure de création de la clé KMS. Cette valeur est affichée dans l'heure locale du périphérique. Le fuseau horaire ne dépend pas de la région.
Contrairement à **Expiration**, la création se réfère uniquement à la clé KMS, pas à ses éléments de clé.
**ID de cluster CloudHSM**
Où : onglet Cryptographic configuration (Configuration de chiffrement)
L'ID du AWS CloudHSM cluster qui contient le matériel clé pour la clé KMS. Ce champ ne s'affiche que lorsque la clé KMS est créée dans un [magasin de clés personnalisé](key-store-overview.md#custom-key-store-overview).
Si vous choisissez l'ID de cluster CloudHSM, la page Clusters s'ouvre **dans la** console. AWS CloudHSM
**Matériel clé actuel**
Où : section General configuration (Configuration générale)
Les clés de chiffrement symétriques avec `AWS_KMS` origine prennent en charge la rotation automatique et à la demande. Les clés de chiffrement symétriques avec `EXTERNAL` origine prennent en charge la rotation à la demande. Plusieurs matériaux clés peuvent être associés à ces clés. Le matériel clé le plus récemment modifié peut être utilisé à la fois pour le chiffrement et le déchiffrement. Ce matériel clé est identifié comme le matériel clé actuel. Les autres éléments clés ne peuvent être utilisés que pour le déchiffrement. La rotation automatique ou à la demande d'une clé KMS modifie son contenu clé actuel.
**ID du magasin de clés personnalisé**
Où : onglet Cryptographic configuration (Configuration de chiffrement)
L'ID du [magasin de clés personnalisé](key-store-overview.md#custom-key-store-overview) qui contient la clé KMS. Ce champ ne s'affiche que lorsque la clé KMS est créée dans un magasin de clés personnalisé.
Si vous choisissez l'ID du magasin de clés personnalisé, la page des **magasins de clés personnalisés** s'ouvre dans la AWS KMS console.
**Nom du magasin de clés personnalisé**
Où : onglet Cryptographic configuration (Configuration de chiffrement)
Le nom du [magasin de clés personnalisé](key-store-overview.md#custom-key-store-overview) qui contient la clé KMS. Ce champ ne s'affiche que lorsque la clé KMS est créée dans un magasin de clés personnalisé.
**Type de magasin de clés personnalisé**
Où : onglet Cryptographic configuration (Configuration de chiffrement)
Indique si le magasin de clés personnalisé est un [magasin de clés AWS CloudHSM](keystore-cloudhsm.md) ou un [magasin de clés externe](keystore-external.md). Ce champ ne s'affiche que lorsque la clé KMS est créée dans un [magasin de clés personnalisé](key-store-overview.md#custom-key-store-overview).
**Description**
Où : section General configuration (Configuration générale)
Une brève description facultative de la clé KMS que vous pouvez écrire et modifier. Pour ajouter ou mettre à jour la description d'une clé gérée par le client, au-dessus de **General Configuration (Configuration générale)**, choisissez **Edit (Modifier)**.
**Algorithmes de chiffrement**
Où : onglet Cryptographic configuration (Configuration de chiffrement)
Répertorie les algorithmes de chiffrement qui peuvent être utilisés avec la clé KMS dans AWS KMS. Ce champ s'affiche uniquement lorsque le **Type de clé** est **Asymmetric (Asymétrique)** et que **Key usage (Utilisation de la clé)** est **Encrypt and decrypt (Chiffrer et déchiffrer)**. Pour plus d'informations sur les algorithmes de chiffrement pris AWS KMS en charge, reportez-vous [Spécification de clé SYMMETRIC\$1DEFAULT](symm-asymm-choose-key-spec.md#symmetric-cmks) aux sections et[Spécifications des clés RSA pour le chiffrement et le déchiffrement](symm-asymm-choose-key-spec.md#key-spec-rsa-encryption).
**Date d’expiration**
Où : onglet Key material (Éléments de clé)
La date et l'heure auxquelles les éléments de clé KMS expirent. Ce champ s'affiche uniquement pour les clés KMS avec des [éléments de clé importés](importing-keys.md), c'est-à-dire lorsque l'**Origine** est **Externe** et que la clé KMS a des éléments de clé qui expirent. Les clés de chiffrement symétriques peuvent être associées à plusieurs éléments clés. Pour ces clés, ce champ indique la date et l'heure les plus anciennes auxquelles l'un des éléments clés associés expire.
**ID de clé externe**
Où : onglet Cryptographic configuration (Configuration de chiffrement)
L'ID de la [clé externe](keystore-external.md#concept-external-key) associée à une clé KMS dans un [magasin de clés externe](keystore-external.md). Ce champ ne s'affiche que pour les clés KMS dans un magasin de clés externe.
**État de la clé externe**
Où : onglet Cryptographic configuration (Configuration de chiffrement)
État le plus récent signalé par le [proxy de magasin de clés externe](keystore-external.md#concept-xks-proxy) pour la [clé externe](keystore-external.md#concept-external-key) associée à la clé KMS. Ce champ ne s'affiche que pour les clés KMS dans un magasin de clés externe.
**Utilisation d'une clé externe**
Où : onglet Cryptographic configuration (Configuration de chiffrement)
Opérations cryptographiques activées sur la [clé externe](keystore-external.md#concept-external-key) associée à la clé KMS. Ce champ ne s'affiche que pour les clés KMS dans un magasin de clés externe.
**Stratégie de clé**
Où : Onglet Key policy (Politique de clé)
Contrôle l'accès à la clé KMS ainsi qu'aux [politiques IAM](iam-policies.md) et aux [octrois](grants.md). Chaque clé KMS a une politique de clé. C'est le seul élément d'autorisation obligatoire. Pour modifier la politique d'une clé KMS gérée par un client, sous l'onglet **Key policy (Politique de clé)**, choisissez **Edit (Modifier)**. Pour en savoir plus, consultez [Politiques clés en AWS KMS](key-policies.md).
**Matériau clé et rotations**
Où : onglet Matériau clé et rotations
Cet onglet apparaît uniquement pour les clés de chiffrement symétriques avec `AWS_KMS` origine (qui prennent en charge la rotation automatique et à la demande) ainsi que pour les clés de chiffrement symétriques à région unique avec `EXTERNAL` origine (qui prennent en charge la rotation à la demande).
L'onglet comporte trois panneaux :
Rotation automatique : active et désactive la [rotation automatique](rotate-keys.md) du contenu clé d'une [clé KMS gérée par le client](concepts.md#customer-mgn-key). Pour modifier le statut de rotation des clés d'une [clé gérée par le client](concepts.md#customer-mgn-key), cochez la case. Vous ne pouvez pas activer ou désactiver la rotation des éléments de clé dans une [Clé gérée par AWS](concepts.md#aws-managed-key). Les Clés gérées par AWS sont automatiquement soumises à la rotation chaque année.
Rotation à la [demande : initiez une rotation à](rotate-keys.md) la demande du contenu clé d'une [clé gérée par le client](concepts.md#customer-mgn-key). Pour les clés importées, un matériau clé importé doit déjà être en `PENDING_ROTATION` état pour que l'option **Rotate now** soit disponible.
Matériaux clés : répertorie tous les éléments clés associés à la clé KMS. Chaque matériau clé possède un identifiant unique et sa rangée affiche des informations supplémentaires sur le matériau clé, telles que la date de rotation à laquelle le matériau clé est devenu disponible pour être utilisé dans KMS. Pour les clés importées, chaque ligne comporte également un menu **Actions** qui peut être utilisé pour supprimer un élément clé spécifique ou le réimporter dans la clé KMS.
**Spécifications de la clé**
Où : onglet Cryptographic configuration (Configuration de chiffrement)
Type de contenu clé contenu dans la clé KMS. AWS KMS prend en charge les clés KMS de chiffrement symétriques (SYMMETRIC\$1DEFAULT), les clés HMAC KMS de différentes longueurs, les clés KMS pour les clés RSA de différentes longueurs et les clés à courbe elliptique avec des courbes différentes. Pour en savoir plus, consultez [Key spec](create-keys.md#key-spec).
**Type de clé**
Où : onglet Cryptographic configuration (Configuration de chiffrement)
Indique si la clé KMS est **Symmetric (Symétrique)** ou **Asymmetric (Asymétrique)**.
**Utilisation de la clé**
Où : onglet Cryptographic configuration (Configuration de chiffrement)
Indique si une clé KMS peut être utilisée pour **Encrypt and decrypt** (Chiffrer et déchiffrer), **Sign and verify** (Signer et vérifier) ou **Generate and verify MAC** (Générer et vérifier le MAC). Pour en savoir plus, consultez [Key usage](create-keys.md#key-usage).
**Origin**
Où : onglet Cryptographic configuration (Configuration de chiffrement)
La source de l'élément de clé pour la clé KMS. Les valeurs valides sont :
+ **AWS KMS** pour les éléments de clé que AWS KMS génère
+ **AWS CloudHSM** pour les clés KMS dans le [magasin de clés AWS CloudHSM](keystore-cloudhsm.md)
+ **External** (Externe) pour les [éléments de clé importés](importing-keys.md) (BYOK)
+ **External key store** (Magasin de clés externe) pour les clés KMS dans un [magasin de clés externe](keystore-external.md)
**Algorithmes MAC**
Où : onglet Cryptographic configuration (Configuration de chiffrement)
Répertorie les algorithmes MAC qui peuvent être utilisés avec la clé KMS HMAC dans AWS KMS. Ce champ apparaît uniquement lorsque la **spécification de clé** est une spécification de clé HMAC (HMAC\$1\$1). Pour de plus amples informations sur les algorithmes MAC pris en charge par AWS KMS , veuillez consulter [Spécifications de clé pour les clés KMS HMAC](symm-asymm-choose-key-spec.md#hmac-key-specs).
**Clé primaire**
Où : Onglet Regionality (Régionalité)
Indique que cette clé KMS est une [clé primaire multi-région](multi-region-keys-overview.md#mrk-primary-key). Les utilisateurs autorisés peuvent utiliser cette section pour [modifier la clé primaire](multi-region-update.md) en une autre clé multi-région associée. Ce champ apparaît uniquement lorsque la clé KMS est une clé principale multi-région.
**Clé publique**
Où : Onglet Public key (Clé publique)
Affiche la clé publique d'une clé KMS asymétrique. Les utilisateurs autorisés peuvent utiliser cet onglet pour [copier et télécharger la clé publique](download-public-key.md).
**Régionalité**
Où : section General configuration (Configuration générale) et onglet Regionality (Régionalité)
Indique si une clé KMS est une clé de région unique, une [clé primaire multi-région](multi-region-keys-overview.md#mrk-primary-key) ou une [clé de réplica multi-région](multi-region-keys-overview.md#mrk-replica-key). Ce champ apparaît uniquement lorsque la clé KMS est une clé multi-région.
**Touches multi-région associées**
Où : Onglet Regionality (Régionalité)
Affiche tous les [clés primaires et de réplica multi-région](multi-region-keys-overview.md), à l'exception de la clé KMS actuelle. Ce champ apparaît uniquement lorsque la clé KMS est une clé multi-région.
Dans la section **Related multi-Region keys (Clés multi-région associées)** d'une clé primaire, les utilisateurs autorisés peuvent [créer des clés de réplica](multi-region-keys-replicate.md).
**Clé de réplica**
Où : Onglet Regionality (Régionalité)
Indique que cette clé KMS est une [clé de réplica multi-région](multi-region-keys-overview.md#mrk-replica-key). Ce champ apparaît uniquement lorsque la clé KMS est une clé de réplica multi-région.
**Algorithmes de signature**
Où : onglet Cryptographic configuration (Configuration de chiffrement)
Répertorie les algorithmes de signature qui peuvent être utilisés avec la clé KMS dans AWS KMS. Ce champ s'affiche uniquement lorsque le **Type de clé** est **Asymmetric (Asymétrique)** et que **Key usage (Utilisation de la clé)** est **Sign and verify (Signer et vérifier)**. Pour plus d'informations sur les algorithmes de signature compatibles AWS KMS , reportez-vous [Spécifications des clés RSA pour la signature et la vérification](symm-asymm-choose-key-spec.md#key-spec-rsa-sign) aux sections et[Spécifications de la clé de courbe elliptique](symm-asymm-choose-key-spec.md#key-spec-ecc).
**Statut**
Où : section General configuration (Configuration générale)
État de clé de la clé KMS. Vous pouvez utiliser la clé KMS dans les [opérations de chiffrement](kms-cryptography.md#cryptographic-operations) uniquement lorsque l'état est **Enabled (Activé)**. Pour obtenir une description détaillée de chaque état de clé KMS et de son effet sur les opérations que vous pouvez exécuter sur la clé KMS, veuillez consulter [États clés des AWS KMS clés](key-state.md).
**Étiquettes**
Où : Onglet Tags (Balises)
Paires clé-valeur facultatives décrivant la clé KMS. Pour ajouter ou modifier les balises d'une clé KMS, sous l'onglet **Tags (Balises)**, choisissez **Edit (Modifier)**.
Lorsque vous ajoutez des balises à vos AWS ressources, AWS génère un rapport de répartition des coûts avec l'utilisation et les coûts agrégés par balises. Les balises peuvent également être utilisées pour contrôler l'accès à une clé KMS. Pour de plus amples informations sur l'étiquetage des clés KMS, veuillez consulter [Tags dans AWS KMS](tagging-keys.md) et [ABAC pour AWS KMS](abac.md).
## Utilisation de l' AWS KMS API
L'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)opération renvoie des informations sur la clé KMS spécifiée. Pour identifier la clé KMS, utilisez son [ID de clé](concepts.md#key-id-key-id), son [ARN de clé](concepts.md#key-id-key-ARN), son [nom d'alias](concepts.md#key-id-alias-name) ou son [ARN d'alias](concepts.md#key-id-alias-ARN).
Contrairement à l'[ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)opération, qui affiche uniquement les clés KMS dans le compte et la région de l'appelant, les utilisateurs autorisés peuvent utiliser l'`DescribeKey`opération pour obtenir des informations sur les clés KMS d'autres comptes.
**Note**
La réponse `DescribeKey` inclut à la fois les membres `KeySpec` et `CustomerMasterKeySpec` avec les mêmes valeurs. Le membre `CustomerMasterKeySpec` est obsolète.
Par exemple, cet appel à `DescribeKey` renvoie des informations sur une clé KMS de chiffrement symétrique. Les champs de la réponse varient en fonction des [spécifications AWS KMS key](create-keys.md#key-spec), de [l'état de la clé](key-state.md) et de [l'origine des éléments de clé](create-keys.md#key-origin). Pour obtenir des exemples dans plusieurs langages de programmation, veuillez consulter [Utilisation `DescribeKey` avec un AWS SDK ou une CLI](example_kms_DescribeKey_section.md).
```
$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyMetadata": {
"Origin": "AWS_KMS",
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"Description": "",
"KeyManager": "CUSTOMER",
"Enabled": true,
"KeySpec": "SYMMETRIC_DEFAULT",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"CreationDate": 1499988169.234,
"MultiRegion": false,
"Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"AWSAccountId": "111122223333",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"CurrentKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
}
}
```
Cet exemple appelle une opération `DescribeKey` sur une clé KMS asymétrique utilisée pour la signature et la vérification. La réponse inclut les algorithmes de signature que AWS KMS prend en charge pour cette clé KMS.
```
$ aws kms describe-key --key-id 0987dcba-09fe-87dc-65ba-ab0987654321
{
"KeyMetadata": {
"KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"Origin": "AWS_KMS",
"Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"KeyState": "Enabled",
"KeyUsage": "SIGN_VERIFY",
"CreationDate": 1569973196.214,
"Description": "",
"KeySpec": "ECC_NIST_P521",
"CustomerMasterKeySpec": "ECC_NIST_P521",
"AWSAccountId": "111122223333",
"Enabled": true,
"MultiRegion": false,
"KeyManager": "CUSTOMER",
"SigningAlgorithms": [
"ECDSA_SHA_512"
]
}
}
```
# Identifier les différents types de clés
Les rubriques suivantes expliquent comment identifier les différents types de clés dans la AWS KMS console et [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)les réponses.
Pour obtenir de l'aide pour accéder à l'onglet **Configuration cryptographique** de la page de détails d'une clé KMS, consultez. [Accédez aux informations clés du KMS et listez-les](finding-keys.md)
**Topics**
+ [Identifier les clés KMS asymétriques](#identify-asymm-keys)
+ [Identifier les clés HMAC KMS](#hmac-view)
+ [Identifier les clés KMS multirégionales](#multi-region-keys-view)
+ [Identifiez les clés KMS avec du matériel clé importé](#identify-imported-keys)
+ [Identifiez les clés KMS dans les magasins de AWS CloudHSM clés](#identify-key-hsm-keystore)
+ [Identifier les clés KMS dans les magasins de clés externes](#view-xks-key)
## Identifier les clés KMS asymétriques
**Dans la AWS KMS console**
La colonne **Type de clé** du tableau des **clés gérées par le client** indique si chaque clé KMS est symétrique ou asymétrique. Vous pouvez filtrer le tableau en fonction de la valeur du **type de clé** pour afficher uniquement les clés KMS asymétriques. Pour de plus amples informations, veuillez consulter [Triez et filtrez vos clés KMS](viewing-console-customize.md#viewing-console-filter).
L'onglet **Configuration cryptographique** de la page de détails d'une clé KMS affiche le **type de clé**, qui indique si la clé est symétrique ou asymétrique. Il affiche également l'**utilisation de la clé**, qui indique si votre clé KMS asymétrique est utilisée pour le chiffrement et le déchiffrement, la signature et la vérification, ou pour la dérivation de secrets partagés.
**Dans les DescribeKey réponses**
Lorsque vous appelez l'`DescribeKey`opération sur une clé KMS asymétrique, la réponse inclut les `KeyUsage` valeurs `KeySpec` et, qui peuvent être utilisées pour déterminer si une clé KMS est symétrique ou asymétrique.
Si la `KeySpec` valeur est`SYMMETRIC_DEFAULT`, la clé est une clé KMS de chiffrement symétrique. Pour plus de détails sur les caractéristiques des clés asymétriques, voir[Référence de spécification clé](symm-asymm-choose-key-spec.md).
Si la `KeyUsage` valeur est `SIGN_VERIFY` ou`KEY_AGREEMENT`, la clé est une clé KMS asymétrique.
L'`DescribeKey`opération renvoie également les informations suivantes pour les clés KMS asymétriques.
+ Pour les clés KMS asymétriques dont `KeyUsage` la valeur est égale à`ENCRYPT_DECRYPT`, l'opération renvoie le`EncryptionAlgorithms`, qui répertorie les algorithmes de chiffrement valides pour la clé.
+ Pour les clés KMS asymétriques dont `KeyUsage` la valeur est égale à`SIGN_VERIFY`, l'opération renvoie le`SigningAlgorithms`, qui répertorie les algorithmes de signature valides pour la clé.
+ Pour les clés KMS asymétriques dont `KeyUsage` la valeur est égale à`KEY_AGREEMENT`, l'opération renvoie le`KeyAgreementAlgorithms`, qui répertorie les algorithmes d'accord de clé valides pour la clé.
Pour plus d'informations sur les clés KMS asymétriques, consultez[Clés asymétriques AWS KMS](symmetric-asymmetric.md).
## Identifier les clés HMAC KMS
**Dans la AWS KMS console**
Les clés HMAC KMS sont incluses dans le tableau des **clés gérées par le client**, mais vous ne pouvez pas trier ou filtrer ce tableau en fonction de la spécification des clés ou des valeurs d'utilisation des clés qui identifient les clés HMAC. Pour faciliter la recherche de vos clés HMAC, attribuez-leur un alias distinctif ou une balise distinctive. Vous pouvez ensuite trier ou filtrer par alias ou balise.
L'onglet **Configuration cryptographique** de la page de détails d'une clé KMS affiche le **type de clé**, qui indique si la clé est symétrique ou asymétrique. Les clés KMS HMAC sont symétriques. L'onglet **Configuration cryptographique** affiche également l'**utilisation de la clé**. Pour les clés HMAC KMS, la valeur d'utilisation de la clé est toujours **Générer et vérifier le MAC**.
**Dans les DescribeKey réponses**
Lorsque vous appelez l'`DescribeKey`opération sur une clé HMAC KMS, la réponse inclut les `KeyUsage` valeurs `KeySpec` et. Pour les clés HMAC KMS, la valeur d'utilisation de la clé est toujours `GENERATE_VERIFY_MAC` et la valeur de spécification de la clé commence toujours par. `HMAC_`
Pour plus d'informations sur les clés HMAC KMS, consultez[Clés HMAC entrées AWS KMS](hmac.md).
## Identifier les clés KMS multirégionales
**Dans la AWS KMS console**
Le tableau des **clés gérées par le client** affiche uniquement les clés KMS dans la région sélectionnée. Vous pouvez afficher les clés principales et de réplica multi-région dans la région sélectionnée. Pour modifier la AWS région, utilisez le sélecteur de région situé dans le coin supérieur droit de la console.
Pour faciliter l'identification des clés multirégionales dans le tableau des **clés gérées par le client**, ajoutez la colonne **Régionalité** à votre tableau. Pour obtenir de l'aide, veuillez consulter [Personnalisez vos tableaux de clés KMS](viewing-console-customize.md#console-customize-tables).
La page détaillée des clés KMS multirégionales inclut un onglet **Régionalité.** L'onglet **Regionality (Régionalité)** d'une clé principale inclut les boutons Change primary Region (Modifier la région principale) et Create new replica keys (Créer de nouvelles clés de réplica). (L'onglet Regionality (Régionalité) d'une clé de réplica n'a aucun bouton.) La section **Related multi-Region keys (Clés multi-région associées)** répertorie toutes les clés multi-région associées à la clé actuelle. Si la clé actuelle est une clé de réplica, cette liste inclut la clé principale.
Si vous choisissez une clé multirégionale associée dans le tableau des **clés multirégionales associées**, la AWS KMS console passe à la région de la clé sélectionnée et ouvre la page détaillée de la clé. Par exemple, si vous choisissez la clé de réplique dans la `sa-east-1` région dans la section d'exemple de **clés multirégionales associées** ci-dessous, la AWS KMS console passe à la `sa-east-1` région pour afficher la page détaillée de cette clé de réplique. Vous pouvez le faire pour afficher l'alias ou la politique de clé de la clé de réplica. Pour changer de région à nouveau, utilisez le Sélecteur de région dans l'angle supérieur droit de la page.
**Dans les DescribeKey réponses**
Par défaut, les opérations d' AWS KMS API sont régionales et ne renvoient que les ressources de la région actuelle ou spécifiée. Toutefois, lorsque vous appelez l'`DescribeKey`opération sur une clé KMS multirégionale, la réponse inclut toutes les clés multirégionales associées dans les autres AWS régions de l'`MultiRegionConfiguration`élément.
Pour plus d'informations sur les clés KMS multirégionales, consultez[Clés multirégionales dans AWS KMS](multi-region-keys-overview.md).
## Identifiez les clés KMS avec du matériel clé importé
**Dans la AWS KMS console**
Pour faciliter l'identification des clés KMS contenant des éléments clés importés dans le tableau des **clés gérées par le client**, ajoutez la colonne **Origine** à votre tableau. La colonne **Origine** permet d'identifier facilement les clés KMS avec une valeur de propriété d'origine **Externe (Importation d’éléments de clé)**. Pour obtenir de l'aide, veuillez consulter [Personnalisez vos tableaux de clés KMS](viewing-console-customize.md#console-customize-tables).
L'onglet **Configuration cryptographique** de la page de détails d'une clé KMS affiche l'**origine**, qui identifie la source du contenu clé de la clé KMS. Pour les clés KMS dont le matériel clé est importé, la valeur d'origine est toujours **Externe (matériau clé d'importation)**. La page de détails inclut également un onglet **Matériau clé** qui fournit des informations détaillées sur le matériau clé importé. Les clés de chiffrement symétriques avec `EXTERNAL` origine prennent en charge les rotations à la demande et peuvent être associées à plusieurs éléments clés. Pour ces touches, l'onglet est intitulé **Matériau clé et rotations.**
**Dans les DescribeKey réponses**
Lorsque vous appelez l'`DescribeKey`opération sur une clé KMS avec du matériel clé importé`Origin`, la réponse inclut les `ValidTo` valeurs`ExpirationModel`, et. Pour les clés KMS dont le matériel clé est importé, la valeur d'origine est toujours`EXTERNAL`. La `ExpirationModel` valeur indique si le matériau clé est configuré pour expirer ou non, et la `ValidTo` valeur indique quand le matériau clé expirera. Lorsque plusieurs documents clés sont associés à une clé, la `ValidTo` valeur indique le délai d'expiration le plus proche pour tous les documents clés (à l'exception de celui en attente de rotation) et `ExpirationModel` est définie sur `DOES_NOT_EXPIRE` uniquement si aucun de ces matériaux clés n'est configuré pour expirer. Pour de plus amples informations, veuillez consulter [Définir un délai d'expiration (facultatif)](importing-keys-import-key-material.md#importing-keys-expiration).
Pour plus d'informations sur les clés KMS contenant des éléments clés importés, consultez[Importation de matériel clé pour les AWS KMS clés](importing-keys.md).
## Identifiez les clés KMS dans les magasins de AWS CloudHSM clés
**Dans la AWS KMS console**
Pour faciliter l'identification des clés KMS dans les magasins de AWS CloudHSM clés du tableau des **clés gérées par le client**, ajoutez la colonne **Origine** à votre tableau. La colonne **Origin (Origine)** permet d'identifier facilement les clés KMS avec une valeur de propriété d'origine **AWS CloudHSM**. Pour obtenir de l'aide, veuillez consulter [Personnalisez vos tableaux de clés KMS](viewing-console-customize.md#console-customize-tables).
L'onglet **Configuration cryptographique** de la page de détails d'une clé KMS affiche l'**origine**, qui identifie la source du contenu clé de la clé KMS. Pour les clés KMS dans les magasins de AWS CloudHSM clés, la valeur d'origine est toujours **AWS CloudHSM**.
Pour une clé KMS dans un magasin de AWS CloudHSM clés, l'onglet **Configuration cryptographique** inclut une section supplémentaire, **Stockage de clés personnalisé**, qui fournit des informations sur le magasin de AWS CloudHSM clés et le AWS CloudHSM cluster associés à la clé KMS.
**Dans les DescribeKey réponses**
Lorsque vous appelez l'`DescribeKey`opération sur une clé KMS dans un magasin de AWS CloudHSM clés`Origin`, la réponse inclut le, qui identifie la source du matériel clé. Pour les clés KMS d'un magasin de AWS CloudHSM clés, la valeur d'origine est toujours`AWS_CLOUDHSM`. L'opération renvoie également les champs spéciaux suivants pour les clés KMS dans les magasins de AWS CloudHSM clés :
+ `CloudHsmClusterId`
+ `CustomKeyStoreId`
Pour plus d'informations sur les AWS CloudHSM principaux magasins, consultez[AWS CloudHSM magasins clés](keystore-cloudhsm.md).
## Identifier les clés KMS dans les magasins de clés externes
**Dans la AWS KMS console**
Pour faciliter l'identification des clés KMS dans les magasins de clés externes dans le tableau des **clés gérées par le client**, ajoutez la colonne **Origine** à votre tableau. La colonne **Origine** permet d'identifier facilement les clés KMS avec une valeur de propriété d'origine du **magasin de clés externes**. Pour obtenir de l'aide, veuillez consulter [Personnalisez vos tableaux de clés KMS](viewing-console-customize.md#console-customize-tables).
L'onglet **Configuration cryptographique** de la page de détails d'une clé KMS affiche l'**origine**, qui identifie la source du contenu clé de la clé KMS. Pour les clés KMS dans les magasins de clés externes, la valeur d'origine est toujours le **magasin de clés externe**.
Pour une clé KMS dans un magasin de clés externe, l'onglet **Configuration cryptographique** comprend deux sections supplémentaires, le **magasin de clés personnalisé** et la **clé externe**. Le tableau du **magasin de clés personnalisé** fournit des informations sur le magasin de clés externe associé à la clé KMS. Le tableau **des clés externes** apparaît dans la AWS KMS console uniquement pour les clés KMS dans les magasins de clés externes. Elle fournit des informations sur la clé externe associée à la clé KMS. La [*clé externe*](keystore-external.md#concept-external-key) est une clé cryptographique extérieure AWS qui sert de matériau clé pour la clé KMS dans le magasin de clés externe. Lorsque vous chiffrez ou déchiffrez à l'aide de la clé KMS, l'opération est exécutée par votre [gestionnaire de clés externe](keystore-external.md#concept-ekm) à l'aide de la clé externe spécifiée.
Les valeurs suivantes apparaissent dans la section **External key** (Clé externe).
**ID de clé externe**
L'identifiant de la clé externe dans son gestionnaire de clés externe. Il s'agit de la valeur que le proxy de magasin de clés externe utilise pour identifier la clé externe. Vous choisissez l'ID de la clé externe lorsque vous créez la clé KMS et vous ne pouvez pas le modifier. Si la valeur d'ID de clé externe que vous avez utilisée pour créer la clé KMS change ou devient invalide, vous devez [planifier la suppression de la clé KMS](deleting-keys.md) et [créer une clé KMS](create-xks-keys.md) avec la valeur d'ID de clé externe correcte.
**Dans les DescribeKey réponses**
Lorsque vous appelez l'`DescribeKey`opération sur une clé KMS dans un magasin de clés externe`Origin`, la réponse inclut le, qui identifie la source du contenu clé. Pour les clés KMS d'un magasin de AWS CloudHSM clés, la valeur d'origine est toujours`EXTERNAL_KEY_STORE`. L'opération renvoie également l'`CustomKeyStoreId`élément, qui identifie le magasin de clés externe associé aux clés KMS.
Pour plus d'informations sur les magasins de clés externes, consultez[Magasins de clés externes](keystore-external.md).
# Personnalisez l'affichage de votre console
Vous pouvez personnaliser l'affichage de la AWS KMS console pour retrouver plus facilement vos clés KMS. Personnalisez les tableaux qui apparaissent sur les pages **Clés gérées par AWS**et sur **les pages des clés gérées par le client** pour afficher les informations dont vous avez le plus besoin, ou triez et filtrez les clés KMS renvoyées dans les tableaux.
**Topics**
+ [Triez et filtrez vos clés KMS](#viewing-console-filter)
+ [Personnalisez vos tableaux de clés KMS](#console-customize-tables)
## Triez et filtrez vos clés KMS
Pour faciliter la recherche de vos clés KMS dans la console, vous pouvez trier et filtrer les tables de clés.
**Tri**
Vous pouvez trier les clés KMS par ordre croissant ou décroissant selon les valeurs de leurs colonnes. Cette fonction trie toutes les clés KMS de la table, même si elles n'apparaissent pas sur la page de la table en cours.
Les colonnes pouvant être triées sont indiquées par une flèche à côté du nom de la colonne. Dans la page **Clés gérées par AWS**, vous pouvez trier par **Alias** ou **ID de clé**. Sur la page **Customer managed keys (Clés gérées par le client)**, vous pouvez trier par **Alias**, **ID de clé** ou **Type de clé**.
Pour trier par ordre croissant, choisissez l'en-tête de colonne jusqu'à ce que la flèche pointe vers le haut. Pour trier par ordre décroissant, choisissez l'en-tête de colonne jusqu'à ce que la flèche pointe vers le bas. Vous pouvez trier uniquement selon une colonne à la fois.
Par exemple, vous pouvez trier les clés KMS par ordre croissant par ID de clé, au lieu d'alias, qui est la valeur par défaut.
![\[Clés gérées par AWS interface showing sortable columns for Aliases and Key ID.\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/console-sort.png)
Lorsque vous triez vos clés KMS sur la page **Clés gérées par le client** dans l'ordre croissant par **Type de clé**, toutes les clés asymétriques sont affichées avant toutes les clés symétriques.
**Filtre**
Vous pouvez filtrer les clés KMS en fonction de leurs valeurs de propriété ou de leurs balises. Le filtre s'applique à toutes les clés KMS de la table, même si elles n'apparaissent pas sur la page actuelle de la table. Le filtre n'est pas sensible à la casse.
Les propriétés pouvant être filtrées sont répertoriées dans la zone de filtre. Dans la page **Clés gérées par AWS **, vous pouvez filtrer par alias et ID de clé. Sur la page **Clés gérées par le client**, vous pouvez filtrer en fonction de leurs propriétés Alias, ID de clé et Type de clé et en fonction de leurs balises.
+ Dans la page **Clés gérées par AWS**, vous pouvez filtrer par alias et ID de clé.
+ Sur la page **Clés gérées par le client**, vous pouvez filtrer en fonction des balises ou de leurs propriétés Alias, ID de clé et Type de clé et de régionalité.
Pour filtrer en fonction d'une valeur de propriété, choisissez le filtre, le nom de la propriété, puis une valeur dans la liste des valeurs de propriété réelles. Pour filtrer par balise, choisissez la clé de balise, puis choisissez dans la liste des valeurs réelles de balise. Après avoir choisi une clé de propriété ou une clé de balise, vous pouvez également saisir l'ensemble ou une partie de la valeur de propriété ou de la balise. Vous verrez un aperçu des résultats avant de faire votre choix.
Par exemple, pour afficher les clés KMS avec un nom d'alias qui contient `aws/e`, choisissez la zone de filtre, choisissez **Alias**, saisissez `aws/e`, puis appuyez sur `Enter` ou `Return` pour ajouter le filtre.
![\[Search box for Clés gérées par AWS with Aliases filter and example entries.\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/filter-alias.png)
### Filtres du tableau des clés KMS suggérés
**Filtre pour clés KMS asymétriques**
Pour afficher uniquement les clés KMS asymétriques sur la page **Clés gérées par le client**, cliquez sur la zone de filtre, choisissez **Key type (Type de clé)** puis **Key type: Asymmetric (Type de clé : Asymétrique)**. L'option **Asymmetric (Asymétrique)** apparaît uniquement lorsque vous avez des clés KMS asymétriques dans le tableau.
**Filtre pour clés multirégionales**
Pour afficher uniquement les touches multi-région, dans la page **Clés gérées par le client**, choisissez la zone de filtre, puis **Regionality (Régionalité)** et **Regionality: Multi-Region (Régionalité : Multi-régions)**. L'option **Multi-Region (Multi-régions)** apparaît uniquement lorsque vous avez des clés multi-région dans la table.
**Filtre pour les tags**
Pour afficher uniquement les clés KMS avec une balise particulière, choisissez la zone de filtre, choisissez la clé de balise, puis choisissez parmi les valeurs réelles de balise. Vous pouvez également saisir l'ensemble ou une partie de la valeur de balise.
Le tableau résultant affiche toutes les clés KMS avec la balise choisie. Cependant, il n'affiche pas la balise. Pour afficher la balise, choisissez l'ID de clé ou l'alias de la clé KMS et, sur sa page de détails, choisissez l'option **Tags (Balises)**. Les onglets apparaissent sous la section **General configuration (Configuration générale)**.
Ce filtre nécessite à la fois la clé de balise et la valeur de balise. Il ne trouvera pas de clés KMS en tapant uniquement la clé de balise ou seulement sa valeur. Pour filtrer les balises en fonction de la totalité ou d'une partie de la clé ou de la valeur de balise, utilisez l'[ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)opération pour obtenir les clés KMS balisées, puis utilisez les fonctionnalités de filtrage de votre langage de programmation.
**Filtrer par texte**
Pour rechercher du texte, dans la zone de filtre, saisissez l'ensemble ou une partie d'alias, d'ID de clé, d'un type de clé ou d'une clé de balise. (Après avoir sélectionné la clé de balise, vous pouvez rechercher une valeur de balise). Vous verrez un aperçu des résultats avant de faire votre choix.
Par exemple, pour afficher les clés KMS avec `test` dans ses clés de balise ou ses propriétés filtrables, saisissez `test` dans la zone de filtre. La prévisualisation affiche les clés KMS que le filtre sélectionnera. Dans ce cas, `test` apparaît uniquement dans la propriété **Alias**.
## Personnalisez vos tableaux de clés KMS
Vous pouvez personnaliser les tableaux qui apparaissent sur les pages **Clés gérées par AWS**des **clés gérées par le client** en fonction AWS Management Console de vos besoins. Vous pouvez choisir les colonnes du tableau, le nombre de colonnes AWS KMS keys sur chaque page (**taille de page**) et l'habillage du texte. La configuration que vous choisissez est enregistrée lorsque vous la confirmez et réappliquée chaque fois que vous ouvrez les pages.
**Personnalisation de vos tables de clés KMS**
1. Sur la page des **Clés gérées par AWS** ou des **clés gérées par le client**, choisissez l'icône des paramètres (![\[Gear or cog icon representing settings or configuration options.\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/console-icon-settings-new.png)) dans le coin supérieur droit de la page.
1. Sur la page **Préférences**, choisissez vos paramètres préférés, puis choisissez **Confirmer**.
Pensez à utiliser le paramètre **Page size (Taille de page)** pour augmenter le nombre de clés KMS affichées sur chaque page, surtout si vous utilisez généralement un périphérique facile à faire défiler.
Les colonnes de données que vous affichez peuvent varier en fonction de la table, de votre rôle de tâche et des types de clés KMS dans le compte et la région. La table suivante propose quelques configurations. Pour obtenir une description des colonnes, veuillez consulter [Utilisation de la AWS KMS console](finding-keys.md#viewing-console-details).
### Configurations de tables de clés KMS suggérées
Vous pouvez personnaliser les colonnes qui apparaissent dans votre table de clés KMS pour afficher les informations dont vous avez besoin sur vos clés KMS.
**Clés gérées par AWS**
Par défaut, la table des **Clé gérée par AWS** affiche les colonnes **Alias**, **Key ID** (ID de clé) et **Status** (État). Ces colonnes sont idéales pour la plupart des cas d'utilisation.
**Clés KMS de chiffrement symétriques**
Si vous utilisez uniquement des clés KMS de chiffrement symétriques avec des éléments de clé générés par AWS KMS, les colonnes **Alias**, **Key ID** (ID de clé), **Status** (État) et **Creation date** (Date de création) sont susceptibles d'être les plus utiles.
**Clés KMS asymétriques**
Si vous utilisez des clés KMS asymétriques, en plus des colonnes **Alias**, **Key ID** (ID de clé) et **Status** (État), envisagez d'ajouter les colonnes **Key type** (Type de clé), **Key spec** (Spécifications de la clé) et **Key usage** (Utilisation de la clé). Ces colonnes indiquent si une clé KMS est symétrique ou asymétrique, le type d'élément de clé et si la clé KMS peut être utilisée pour le chiffrement ou la signature.
**Clés KMS HMAC**
Si vous utilisez des clés KMS HMAC, en plus des colonnes **Alias**, **Key ID** (ID de clé) et **Status** (État), envisagez d'ajouter les colonnes **Key spec** (Spécifications de la clé) et **Key usage** (Utilisation de la clé). Ces colonnes vous indiqueront si une clé KMS est une clé HMAC. Comme vous ne pouvez pas trier les clés KMS par spécification de clé ou par utilisation des clés, utilisez des alias et des balises pour identifier vos clés HMAC, puis utilisez les [fonctionnalités de filtrage](#viewing-console-filter) de la AWS KMS console pour filtrer par alias ou balises.
**Éléments de clé importés**
Si vous avez des clés KMS avec des [éléments de clé importés](importing-keys.md), envisagez d'ajouter les colonnes **Origin (Origine)** et **Expiration date (Date d'expiration)**. Ces colonnes vous indiqueront si le contenu clé d'une clé KMS est importé ou généré par AWS KMS et quand le contenu clé expire, le cas échéant. Le champ **Creation date (Date de création)** affiche la date à laquelle la clé KMS a été créée (sans élément de clé). Il ne reflète aucune caractéristique de l'élément de clé.
**Clés dans des magasins de clés personnalisés**
Si vous avez des clés KMS dans des [magasins de clés personnalisés](key-store-overview.md#custom-key-store-overview), envisagez d'ajouter les colonnes **Origin** (Origine) et **Custom key store ID** (ID du magasin de clés personnalisé). Ces colonnes indiquent que la clé KMS se trouve dans un magasin de clés personnalisé, identifient celui-ci et affichent son type.
**Clés multi-région**
Si vous disposez de [clés multi-région](multi-region-keys-overview.md), envisagez d'ajouter la colonne **Regionality (Régionalité)**. Cela indique si une clé KMS est une clé de région unique, une [clé primaire multi-région](multi-region-keys-overview.md#mrk-primary-key) ou une [clé de réplica multi-région](multi-region-keys-overview.md#mrk-replica-key).
# Trouvez les clés KMS et le matériel clé dans un magasin de AWS CloudHSM clés
Si vous gérez un magasin de AWS CloudHSM clés, vous devrez peut-être identifier les clés KMS dans chaque magasin de AWS CloudHSM clés. Par exemple, il se peut que vous ayez besoin de faire certaines tâches suivantes.
+ Suivez les clés KMS dans le magasin de AWS CloudHSM clés dans AWS CloudTrail les journaux.
+ Prédisez l'effet sur les clés KMS de la déconnexion d'un magasin de AWS CloudHSM clés.
+ Planifiez la suppression des clés KMS avant de supprimer un magasin de AWS CloudHSM clés.
En outre, vous souhaiterez peut-être identifier les clés de votre AWS CloudHSM cluster qui servent de matériau clé pour vos clés KMS. Bien AWS KMS que vous gériez les clés KMS et le matériel clé, vous conservez le contrôle et la responsabilité de la gestion de votre AWS CloudHSM cluster, ainsi que des sauvegardes HSMs et des clés contenues dans le HSMs. Vous devrez peut-être identifier les clés afin d'auditer le contenu clé, de le protéger contre toute suppression accidentelle ou de le supprimer HSMs des sauvegardes de clusters après avoir supprimé la clé KMS.
Tous les éléments clés des clés KMS de votre magasin de AWS CloudHSM clés appartiennent à l'[utilisateur `kmsuser` cryptographique](keystore-cloudhsm.md#concept-kmsuser) (CU). AWS KMS définit l'attribut key label, qui n'est visible que dans AWS CloudHSM, sur le nom de ressource Amazon (ARN) de la clé KMS.
Pour rechercher les clés KMS et les éléments de clé, utilisez l'une des techniques suivantes.
+ [Trouvez les clés KMS dans un magasin de AWS CloudHSM clés](find-cmk-in-keystore.md)— Comment identifier les clés KMS dans l'un ou l'ensemble de vos magasins de AWS CloudHSM clés.
+ [Trouvez toutes les clés d'un magasin de AWS CloudHSM clés](find-all-kmsuser-keys.md) : comment trouver toutes les clés de votre cluster qui font office d'éléments de clé pour les clés KMS dans votre magasin de clés AWS CloudHSM .
+ [Trouvez la AWS CloudHSM clé d'une clé KMS](find-handle-for-cmk-id.md)— Comment trouver la clé de votre cluster qui sert de matériau clé pour une clé KMS particulière dans votre magasin de AWS CloudHSM clés.
+ [Trouvez la clé KMS pour une AWS CloudHSM clé](find-label-for-key-handle.md) — Comment trouver la clé KMS pour une clé particulière de votre cluster.
# Trouvez les clés KMS dans un magasin de AWS CloudHSM clés
Si vous gérez un magasin de AWS CloudHSM clés, vous devrez peut-être identifier les clés KMS dans chaque magasin de AWS CloudHSM clés. Vous pouvez utiliser ces informations pour suivre les opérations relatives aux clés KMS dans AWS CloudTrail les journaux, prévoir l'effet de la déconnexion d'un magasin de clés personnalisé sur les clés KMS ou planifier la suppression des clés KMS avant de supprimer un magasin de AWS CloudHSM clés.
## Pour trouver les clés KMS dans un magasin de AWS CloudHSM clés (console)
Pour trouver les clés KMS dans un magasin de AWS CloudHSM clés en particulier, sur la page des **clés gérées par le client**, consultez les valeurs des champs **Nom du magasin de clés personnalisé** **ou ID du magasin de clés personnalisé**. Pour identifier les clés KMS dans n'importe quel magasin de AWS CloudHSM clés, recherchez les clés KMS dont la valeur d'**origine** est de **AWS CloudHSM**. Pour ajouter des colonnes facultatives à l'affichage, choisissez l'icône d'engrenage dans le coin supérieur droit de la page.
## Pour trouver les clés KMS dans un magasin de AWS CloudHSM clés (API)
Pour rechercher les clés KMS dans un magasin de AWS CloudHSM clés, utilisez les [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)opérations [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)et filtrez par `CustomKeyStoreId` valeur. Avant d'exécuter les exemples suivants, remplacez les valeurs fictives de l'identifiant du magasin de clés personnalisé par une valeur valide.
------
#### [ Bash ]
Pour trouver des clés KMS dans un magasin de AWS CloudHSM clés en particulier, procurez-vous toutes vos clés KMS dans le compte et dans la région. Ensuite, filtrez sur l'ID de magasin de clés personnalisé.
```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ;
do aws kms describe-key --key-id $key |
grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done
```
Pour obtenir des clés KMS dans n'importe quel magasin de AWS CloudHSM clés du compte et de la région, recherchez `CustomKeyStoreType` avec une valeur de`AWS_CloudHSM`.
```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ;
do aws kms describe-key --key-id $key |
grep '"CustomKeyStoreType": "AWS_CloudHSM"' --context 100; done
```
------
#### [ PowerShell ]
Pour rechercher des clés KMS dans un magasin de AWS CloudHSM clés en particulier, utilisez les KmsKey applets de commande KmsKeyList [Get [-](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-KMSKeyList.html)](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-KMSKey.html) pour obtenir toutes vos clés KMS dans le compte et la région. Ensuite, filtrez sur l'ID de magasin de clés personnalisé.
```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'
```
Pour obtenir des clés KMS dans n'importe quel magasin de AWS CloudHSM clés du compte et de la région, filtrez en fonction de la CustomKeyStoreType valeur de`AWS_CLOUDHSM`.
```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreType -eq 'AWS_CLOUDHSM'
```
------
# Trouvez toutes les clés d'un magasin de AWS CloudHSM clés
Vous pouvez identifier les clés de votre AWS CloudHSM cluster qui servent de matériau clé pour votre magasin de AWS CloudHSM clés. Pour ce faire, utilisez la commande [key list](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) dans la CLI CloudHSM.
Vous pouvez également utiliser la commande de **liste de touches** pour rechercher la AWS CloudHSM touche « AWS KMS for an ». Lorsque vous AWS KMS créez le matériel clé pour une clé KMS dans votre AWS CloudHSM cluster, il écrit le nom de ressource Amazon (ARN) de la clé KMS dans le libellé de la clé. La commande **key list** renvoie le `key-reference` et le`label`.
**Remarques**
Les procédures suivantes utilisent l'outil de ligne de commande du SDK AWS CloudHSM client 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. La CLI `key-handle` CloudHSM remplace par. `key-reference`
Le 1er janvier 2025, la prise en charge des outils de ligne de commande du SDK client 3, de l'utilitaire de gestion CloudHSM (CMU) et de l'utilitaire de gestion des clés (KMU) AWS CloudHSM prendra fin. *Pour plus d'informations sur les différences entre les outils de ligne de commande du SDK client 3 et l'outil de ligne de commande du SDK client 5, consultez la section [Migrer de la CMU et de la KMU du SDK client 3 vers la CLI CloudHSM du SDK client 5](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) dans le guide de l'utilisateur.AWS CloudHSM *
Pour exécuter cette procédure, vous devez déconnecter temporairement le magasin de AWS CloudHSM clés afin de pouvoir vous connecter en tant que `kmsuser` CU.
1. Déconnectez le magasin de AWS CloudHSM clés, s'il n'est pas déjà déconnecté, puis connectez-vous en tant que`kmsuser`, comme expliqué dans[Comment se déconnecter et se connecter](fix-keystore.md#login-kmsuser-1).
**Note**
Même si un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de clés KMS dans le magasin de clés personnalisé ou d'utilisation de clés KMS existantes dans les opérations de chiffrement échouent. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.
1. Utilisez la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) de la CLI CloudHSM pour rechercher toutes les clés de l'utilisateur actuel présent AWS CloudHSM dans votre cluster.
Par défaut, seules 10 touches de l'utilisateur actuellement connecté sont affichées, et seules les touches `key-reference` et `label` sont affichées en sortie. Pour plus d'options, consultez la [liste des clés](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html#chsm-cli-key-list-syntax) dans le *guide de AWS CloudHSM l'utilisateur*.
```
aws-cloudhsm > key list
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000000123",
"attributes": {
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
},
{
"key-reference": "0x0000000000000456",
"attributes": {
"label": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
},.
...8 keys later...
],
"total_key_count": 56,
"returned_key_count": 10,
"next_token": "10"
}
}
```
1. Déconnectez-vous et reconnectez le magasin de AWS CloudHSM clés comme décrit dans[Comment se déconnecter et se reconnecter](fix-keystore.md#login-kmsuser-2).
# Trouvez la clé KMS pour une AWS CloudHSM clé
Si vous connaissez la référence clé ou l'ID d'une clé qu'il `kmsuser` possède dans le cluster, vous pouvez utiliser cette valeur pour identifier la clé KMS associée dans votre magasin de AWS CloudHSM clés.
Lorsque vous AWS KMS créez le matériel clé pour une clé KMS dans votre AWS CloudHSM cluster, il écrit le nom de ressource Amazon (ARN) de la clé KMS dans le libellé de la clé. À moins que vous n'ayez modifié la valeur de l'étiquette, vous pouvez utiliser la commande [key list](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) de la CLI CloudHSM pour identifier la clé KMS associée AWS CloudHSM à la clé.
**Remarques**
Les procédures suivantes utilisent l'outil de ligne de commande du SDK AWS CloudHSM client 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. La CLI `key-handle` CloudHSM remplace par. `key-reference`
Le 1er janvier 2025, la prise en charge des outils de ligne de commande du SDK client 3, de l'utilitaire de gestion CloudHSM (CMU) et de l'utilitaire de gestion des clés (KMU) AWS CloudHSM prendra fin. *Pour plus d'informations sur les différences entre les outils de ligne de commande du SDK client 3 et l'outil de ligne de commande du SDK client 5, consultez la section [Migrer de la CMU et de la KMU du SDK client 3 vers la CLI CloudHSM du SDK client 5](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) dans le guide de l'utilisateur.AWS CloudHSM *
Pour exécuter ces procédures, vous devez déconnecter temporairement le magasin de AWS CloudHSM clés afin de pouvoir vous connecter en tant que `kmsuser` CU.
**Note**
Même si un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de clés KMS dans le magasin de clés personnalisé ou d'utilisation de clés KMS existantes dans les opérations de chiffrement échouent. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.
**Topics**
+ [Identifier la clé KMS associée à une référence clé](#key-reference-filter)
+ [Identifiez la clé KMS associée à un ID de clé de sauvegarde](#backing-key-id-filter)
## Identifier la clé KMS associée à une référence clé
Les procédures suivantes montrent comment utiliser la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) dans la CLI CloudHSM `key-reference` avec le filtre d'attributs pour trouver la clé de votre cluster qui sert de clé pour une clé KMS spécifique AWS CloudHSM dans votre magasin de clés.
1. Déconnectez le magasin de AWS CloudHSM clés, s'il n'est pas déjà déconnecté, puis connectez-vous en tant que`kmsuser`, comme expliqué dans[Comment se déconnecter et se connecter](fix-keystore.md#login-kmsuser-1).
1. Utilisez la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) de la CLI CloudHSM pour filtrer `key-reference` en fonction de l'attribut. Spécifiez l'`verbose`argument pour inclure tous les attributs et les informations clés de la clé correspondante. Si vous ne spécifiez pas l'`verbose`argument, l'opération de **liste de clés** renvoie uniquement la référence clé et l'attribut label de la clé correspondante.
Avant d'exécuter cette commande, remplacez l'exemple `key-reference` par un exemple valide provenant de votre compte.
```
aws-cloudhsm > key list --filter attr.key-reference="0x0000000000120034" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0xbacking-key-id",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. Déconnectez-vous et reconnectez le magasin de AWS CloudHSM clés comme décrit dans[Comment se déconnecter et se reconnecter](fix-keystore.md#login-kmsuser-2).
## Identifiez la clé KMS associée à un ID de clé de sauvegarde
Toutes les entrées de CloudTrail journal relatives aux opérations cryptographiques effectuées avec une clé KMS dans un magasin de AWS CloudHSM clés incluent un `additionalEventData` champ avec le `customKeyStoreId` et`backingKeyId`. La valeur renvoyée dans le `backingKeyId` champ est en corrélation avec l'attribut clé `id` CloudHSM. Vous pouvez filtrer l'opération de [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) par `id` attribut afin d'identifier la clé KMS associée à une clé spécifique`backingKeyId`.
1. Déconnectez le magasin de AWS CloudHSM clés, s'il n'est pas déjà déconnecté, puis connectez-vous en tant que`kmsuser`, comme expliqué dans[Comment se déconnecter et se connecter](fix-keystore.md#login-kmsuser-1).
1. Utilisez la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) de la CLI CloudHSM avec le filtre d'attributs pour trouver la clé de votre cluster qui sert de matériau clé pour une clé KMS spécifique AWS CloudHSM dans votre magasin de clés.
L'exemple suivant montre comment filtrer en fonction de l'`id`attribut. AWS CloudHSM reconnaît la `id` valeur sous forme de valeur hexadécimale. Pour filtrer l'opération de **liste de clés** en fonction de l'`id`attribut, vous devez d'abord convertir la `backingKeyId` valeur que vous avez identifiée dans votre entrée de CloudTrail journal dans un format AWS CloudHSM reconnu.
1. Utilisez la commande Linux suivante pour convertir le `backingKeyId` en une représentation hexadécimale.
```
echo backingKeyId | tr -d '\n' | xxd -p
```
L'exemple suivant montre comment convertir le tableau d'`backingKeyId`octets en une représentation hexadécimale.
```
echo 5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d | tr -d '\n' | xxd -p
35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. Ajoutez la représentation hexadécimale du `backingKeyId` with`0x`.
```
0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. Utilisez la `backingKeyId` valeur convertie pour filtrer en fonction de l'`id`attribut. Spécifiez l'`verbose`argument pour inclure tous les attributs et les informations clés de la clé correspondante. Si vous ne spécifiez pas l'`verbose`argument, l'opération de **liste de clés** renvoie uniquement la référence clé et l'attribut label de la clé correspondante.
```
aws-cloudhsm > key list --filter attr.id="0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. Déconnectez-vous et reconnectez le magasin de AWS CloudHSM clés comme décrit dans[Comment se déconnecter et se reconnecter](fix-keystore.md#login-kmsuser-2).
# Trouvez la AWS CloudHSM clé d'une clé KMS
Vous pouvez utiliser l'ID de clé KMS d'une clé KMS dans un magasin de AWS CloudHSM clés pour identifier la clé de votre AWS CloudHSM cluster qui lui sert de matériau clé.
Lorsque vous AWS KMS créez le matériel clé pour une clé KMS dans votre AWS CloudHSM cluster, il écrit le nom de ressource Amazon (ARN) de la clé KMS dans le libellé de la clé. À moins que vous n'ayez modifié la valeur de l'étiquette, vous pouvez utiliser la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) de la CLI CloudHSM pour trouver la ressource clé et l'identifiant du matériau clé pour la clé KMS.
Toutes les entrées du CloudTrail journal relatives aux opérations cryptographiques effectuées avec une clé KMS dans un magasin de AWS CloudHSM clés incluent un `additionalEventData` champ avec le `customKeyStoreId` et`backingKeyId`. La valeur renvoyée dans le `backingKeyId` champ est l'attribut `id` AWS CloudHSM clé. Vous pouvez filtrer l'opération de la AWS CloudHSM CLI de **liste de clés** par ARN de clé KMS afin d'identifier l'attribut `id` clé CloudHSM associé à une clé KMS spécifique.
Pour exécuter cette procédure, vous devez déconnecter temporairement le magasin de AWS CloudHSM clés afin de pouvoir vous connecter en tant que `kmsuser` CU.
**Remarques**
Les procédures suivantes utilisent l'outil de ligne de commande du SDK AWS CloudHSM client 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. La CLI `key-handle` CloudHSM remplace par. `key-reference`
Le 1er janvier 2025, la prise en charge des outils de ligne de commande du SDK client 3, de l'utilitaire de gestion CloudHSM (CMU) et de l'utilitaire de gestion des clés (KMU) AWS CloudHSM prendra fin. *Pour plus d'informations sur les différences entre les outils de ligne de commande du SDK client 3 et l'outil de ligne de commande du SDK client 5, consultez la section [Migrer de la CMU et de la KMU du SDK client 3 vers la CLI CloudHSM du SDK client 5](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) dans le guide de l'utilisateur.AWS CloudHSM *
1. Déconnectez le magasin de AWS CloudHSM clés, s'il n'est pas déjà déconnecté, puis connectez-vous en tant que`kmsuser`, comme expliqué dans[Comment se déconnecter et se connecter](fix-keystore.md#login-kmsuser-1).
**Note**
Même si un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de clés KMS dans le magasin de clés personnalisé ou d'utilisation de clés KMS existantes dans les opérations de chiffrement échouent. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.
1. Utilisez la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) dans la CLI CloudHSM et `label` filtrez par pour trouver la clé KMS correspondant à une clé AWS CloudHSM spécifique dans votre cluster. Spécifiez l'`verbose`argument pour inclure tous les attributs et les informations clés de la clé correspondante. Si vous ne spécifiez pas d'`verbose`argument, l'opération de **liste de clés** renvoie uniquement les attributs de référence et d'étiquette de la clé correspondante.
L'exemple suivant montre comment filtrer en fonction de l'`label`attribut qui stocke l'ARN de la clé KMS. Avant d'exécuter cette commande, remplacez l'exemple d'ARN de la clé KMS par une clé valide provenant de votre compte.
```
aws-cloudhsm > key list --filter attr.label="arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0xbacking-key-id",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. Déconnectez-vous et reconnectez le magasin de AWS CloudHSM clés comme décrit dans[Comment se déconnecter et se reconnecter](fix-keystore.md#login-kmsuser-2).