Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Choisissez une option de connectivité proxy pour un magasin de clés externe
<a name="choose-xks-connectivity"></a>

Avant de créer votre magasin de clés externe, choisissez l'option de connectivité qui détermine le mode de AWS KMS communication avec les composants de votre magasin de clés externe. L'option de connectivité que vous choisissez détermine le reste du processus de planification.

Si vous créez un magasin de clés externe, vous devez déterminer le mode de AWS KMS communication avec votre [proxy de magasin de clés externe](keystore-external.md#concept-xks-proxy). Ce choix déterminera les composants dont vous avez besoin et la manière dont vous les configurez. AWS KMS prend en charge les options de connectivité suivantes.
+ [Connectivité au point de terminaison public](#xks-connectivity-public-endpoint)
+ [Connectivité au service de point de terminaison d'un VPC](#xks-vpc-connectivity)

Choisissez l'option qui répond à vos objectifs de performance et de sécurité.

Avant de commencer, [vérifiez que vous avez besoin d'un magasin de clés externe](keystore-external.md#do-i-need-xks). La plupart des clients peuvent utiliser des clés KMS soutenues par du matériel AWS KMS clé.

**Considérations**
+ Si votre proxy de magasin de clés externe est intégré à votre gestionnaire de clés externe, votre connectivité peut être prédéterminée. Pour obtenir des conseils, consultez la documentation de votre gestionnaire de clés externe ou de votre proxy de magasin de clés externe.
+ Vous pouvez [modifier l'option de connectivité de votre proxy de magasin de clés externe](update-xks-keystore.md), même sur un magasin de clés externe opérationnel. Toutefois, le processus doit être soigneusement planifié et exécuté afin de minimiser les interruptions, d'éviter les erreurs et de garantir un accès continu aux clés cryptographiques qui chiffrent vos données.

## Connectivité au point de terminaison public
<a name="xks-connectivity-public-endpoint"></a>

AWS KMS se connecte au proxy de stockage de clés externe (proxy XKS) via Internet à l'aide d'un point de terminaison public.

Cette option de connectivité est plus facile à configurer et à gérer, et elle s'adapte parfaitement à certains modèles de gestion des clés. Toutefois, il se peut qu'elle ne réponde pas aux exigences de sécurité de certaines organisations.

![\[Connectivité au point de terminaison public\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/xks-public-endpoint-60.png)


**Exigences**

Si vous optez pour la connectivité au point de terminaison public, les éléments suivants sont requis. 
+ Le proxy de votre magasin de clés externe doit être accessible à partir d'un point de terminaison publiquement routable. 
+ Vous pouvez utiliser le même point de terminaison public pour plusieurs magasins de clés externes à condition qu'ils utilisent des valeurs de [chemin d'URI de proxy](create-xks-keystore.md#require-path) différentes. 
+ Vous ne pouvez pas utiliser le même point de terminaison pour un magasin de clés externe connecté à un point de terminaison public et un magasin de clés externe doté d'une connectivité aux services de point de terminaison VPC Région AWS, même si les magasins de clés se trouvent dans des emplacements différents. Comptes AWS
+ Vous devez obtenir un certificat TLS émis par une autorité de certification publique prise en charge pour les magasins de clés externes. Pour obtenir une liste, veuillez consulter les [Autorités de certification approuvées](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities) (langue française non garantie). 

  Le nom commun (CN) du sujet figurant sur le certificat TLS doit correspondre au nom de domaine indiqué dans le [point de terminaison URI de proxy](create-xks-keystore.md#require-endpoint) pour le proxy du magasin de clés externe. Par exemple, si le point de terminaison public est `https://myproxy.xks.example.com`, le TLS, le CN du certificat TLS doit être `myproxy.xks.example.com` ou `*.xks.example.com`.
+ Assurez-vous que tous les pare-feux situés entre le proxy de stockage de clés externe AWS KMS et le proxy autorisent le trafic à destination et en provenance du port 443 du proxy. AWS KMS communique sur le port 443 IPv4. Cette valeur n’est pas configurable.

Pour connaître toutes les exigences relatives à un magasin de clés externe, veuillez consulter la rubrique [Réunir les conditions préalables](create-xks-keystore.md#xks-requirements).

## Connectivité au service de point de terminaison d'un VPC
<a name="xks-vpc-connectivity"></a>

AWS KMS se connecte au proxy de stockage de clés externe (proxy XKS) en créant un point de terminaison d'interface vers un service de point de terminaison Amazon VPC que vous créez et configurez. Vous êtes responsable de la [création du service de point de terminaison d'un VPC](vpc-connectivity.md) et de la connexion de votre VPC à votre gestionnaire de clés externe.

Votre service de point de terminaison peut utiliser n'importe laquelle des [options network-to-Amazon VPC prises en charge](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html) pour les communications, notamment. [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/) 

Cette option de connectivité est plus compliquée à configurer et à gérer. Mais il utilise AWS PrivateLink, ce qui permet AWS KMS de se connecter en privé à votre Amazon VPC et à votre proxy de magasin de clés externe sans utiliser l'Internet public.

Vous pouvez localiser le proxy de votre magasin de clés externe dans votre Amazon VPC.

![\[Connectivité au service de point de terminaison d'un VPC : proxy XKS dans votre VPC\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/xks-proxy-in-vpc-60.png)


Vous pouvez également localiser votre proxy de stockage de clés externe à l'extérieur AWS Cloud et utiliser votre service de point de terminaison Amazon VPC uniquement pour des communications sécurisées avec. AWS KMS

![\[Connectivité du service de point de terminaison VPC : proxy XKS en dehors de AWS\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/xks-proxy-via-vpc-60.png)


Vous pouvez également connecter un magasin de clés externe à un service de point de terminaison Amazon VPC appartenant à un autre. Compte AWS Les deux Comptes AWS ont besoin des [autorisations nécessaires](authorize-xks-key-store.md#authorize-xks-managers) pour autoriser les communications entre AWS KMS et le service de point de terminaison VPC 

**En savoir plus :**
+ Passez en revue le processus de création d'un magasin de clés externe, ce qui inclut de [réunir les conditions préalables](create-xks-keystore.md#xks-requirements). Cela vous aidera à vous assurer que vous disposez de tous les composants dont vous avez besoin lorsque vous créez votre magasin de clés externe.
+ Découvrez comment [contrôler l'accès à votre magasin de clés externe](authorize-xks-key-store.md), notamment les autorisations requises par les administrateurs et les utilisateurs du magasin de clés externe. 
+ Découvrez les [ CloudWatch statistiques et les dimensions Amazon](monitoring-cloudwatch.md#kms-metrics) AWS KMS enregistrées pour les principaux magasins externes. Nous vous recommandons vivement de créer des alertes pour surveiller votre magasin de clés externe afin de détecter les premiers signes de problèmes de performance et de fonctionnement.

# Configurer la connectivité du service de point de terminaison VPC
<a name="vpc-connectivity"></a>

Suivez les instructions de cette section pour créer et configurer les AWS ressources et les composants associés requis pour un magasin de clés externe utilisant la connectivité du [service de point de terminaison VPC](choose-xks-connectivity.md#xks-vpc-connectivity). Les ressources répertoriées pour cette option de connectivité complètent les [ressources requises pour tous les magasins de clés externes](create-xks-keystore.md#xks-requirements). Après avoir créé et configuré les ressources requises, vous pouvez [créer votre magasin de clés externe](create-xks-keystore.md).

Vous pouvez localiser votre proxy de stockage de clés externe dans votre Amazon VPC ou le localiser à l'extérieur AWS et utiliser votre service de point de terminaison VPC pour communiquer.

Avant de commencer, [vérifiez que vous avez besoin d'un magasin de clés externe](keystore-external.md#do-i-need-xks). La plupart des clients peuvent utiliser des clés KMS soutenues par du matériel AWS KMS clé.

**Note**  
Certains des éléments requis pour la connectivité au service de point de terminaison d'un VPC peuvent être inclus dans votre gestionnaire de clés externe. En outre, votre logiciel peut avoir des exigences de configuration supplémentaires. Avant de créer et de configurer les AWS ressources de cette section, consultez la documentation de votre proxy et de votre gestionnaire de clés.

**Topics**
+ [Exigences pour la connectivité au service de point de terminaison d'un VPC](#xks-vpce-service-requirements)
+ [Étape 1 : créer un Amazon VPC et des sous-réseaux](#xks-create-vpc)
+ [Étape 2 : Création d'un groupe cible](#xks-target-group)
+ [Étape 3 : créer un équilibreur de charge réseau](#xks-nlb)
+ [Étape 4 : créer un service de point de terminaison VPC](#xks-vpc-svc)
+ [Étape 5 : Vérifiez votre nom de domaine DNS privé](#xks-private-dns)
+ [Étape 6 : Autoriser AWS KMS la connexion au service de point de terminaison VPC](#xks-vpc-authorize-kms)

## Exigences pour la connectivité au service de point de terminaison d'un VPC
<a name="xks-vpce-service-requirements"></a>

Si vous choisissez la connectivité au service de point de terminaison d'un VPC pour votre magasin de clés externe, les ressources suivantes sont requises. 
+ Un Amazon VPC connecté à votre gestionnaire de clés externe. Il doit avoir au moins deux [sous-réseaux](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html) privés dans deux zones de disponibilité différentes.

  Vous pouvez utiliser un Amazon VPC existant pour votre magasin de clés externe, à condition qu'il [réponde aux exigences](#xks-vpc-requirements) d'utilisation avec un magasin de clés externe. Plusieurs magasins de clés externes peuvent partager un Amazon VPC, mais chaque magasin de clés externe doit disposer de son propre service de point de terminaison d'un VPC et d'un nom DNS privé.
+ Un [service de point de terminaison d'un Amazon VPC à technologie AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-share-your-services.html) avec un [équilibreur de charge réseau](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html) et un [groupe cible](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html). 

  Le service de point de terminaison ne peut pas exiger d'acceptation. Vous devez également ajouter AWS KMS en tant que principal autorisé. Cela permet AWS KMS de créer des points de terminaison d'interface afin qu'elle puisse communiquer avec votre proxy de stockage de clés externe.
+ Un nom DNS privé pour le service de point de terminaison d'un VPC qui est unique dans sa Région AWS. 

  Le nom DNS privé doit être un sous-domaine d'un domaine public de niveau supérieur. Par exemple, si le nom DNS privé est `myproxy-private.xks.example.com`, il doit être un sous-domaine d'un domaine public tel que `xks.example.com` ou `example.com`.

  Vous devez [vérifier la propriété](#xks-private-dns) du domaine DNS pour le nom DNS privé.
+ Un certificat TLS émis par une [autorité de certification publique prise en charge](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities) pour votre proxy de magasin de clés externe. 

  Le nom commun (CN) du sujet sur le certificat TLS doit correspondre au nom DNS privé. Par exemple, si le nom DNS privé est `myproxy-private.xks.example.com`, le CN du certificat TLS doit être `myproxy-private.xks.example.com` ou `*.xks.example.com`.
+ Pour minimiser la latence du réseau, créez vos AWS composants dans le [Région AWS support](keystore-external.md#xks-regions) le plus proche de votre [gestionnaire de clés externe](keystore-external.md#concept-ekm). Si possible, choisissez une région dont le temps d'aller-retour sur le réseau (RTT, round-trip time) est inférieur ou égal à 35 millisecondes.

Pour connaître toutes les exigences relatives à un magasin de clés externe, veuillez consulter la rubrique [Réunir les conditions préalables](create-xks-keystore.md#xks-requirements).

## Étape 1 : créer un Amazon VPC et des sous-réseaux
<a name="xks-create-vpc"></a>

La connectivité au service de point de terminaison d'un VPC nécessite un Amazon VPC connecté à votre gestionnaire de clés externe avec au moins deux sous-réseaux privés. Vous pouvez créer un Amazon VPC ou utiliser un Amazon VPC existant qui répond aux exigences relatives aux magasins de clés externes. Pour de plus amples informations sur la création d'un VPC, veuillez consulter la rubrique [Créer un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC) dans le *Guide de l'utilisateur Amazon Virtual Private Cloud*.

### Exigences pour votre Amazon VPC
<a name="xks-vpc-requirements"></a>

Le service de point de terminaison Amazon VPC doit avoir les propriétés suivantes pour fonctionner avec des magasins de clés externes.
+ Vous devez vous trouver dans une [région prise en charge](keystore-external.md#xks-regions) en tant que magasin de clés externe.
+ Comporter au moins deux sous-réseaux privés, chacun dans une zone de disponibilité différente.
+ La plage d'adresses IP privées de votre Amazon VPC ne doit pas chevaucher la plage d'adresses IP privées du centre de données hébergeant votre [gestionnaire de clés externe](keystore-external.md#concept-ekm).
+ Tous les composants doivent être utilisés IPv4.

Vous disposez de nombreuses options pour connecter l'Amazon VPC à votre proxy de magasin de clés externe. Choisissez une option qui répond à vos exigences de performance et de sécurité. Pour obtenir une liste, consultez [Connecter votre VPC à d'autres réseaux](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html) et options de connectivité [Network-to-Amazon VPC](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html). Pour de plus amples informations, veuillez consulter [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) et le [Guide de l'utilisateur AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/).

### Créer un Amazon VPC pour votre magasin de clés externe
<a name="xks-vpc-create"></a>

Utilisez les instructions suivantes pour créer l'Amazon VPC pour votre magasin de clés externe. Un Amazon VPC n'est requis que si vous choisissez l'option de [connectivité au service de point de terminaison d'un VPC](choose-xks-connectivity.md). Vous pouvez utiliser un Amazon VPC existant qui répond aux exigences d'un magasin de clés externe.

Suivez les instructions de la section [Créer un VPC, des sous-réseaux et d'autres ressources VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#create-vpc-and-other-resources) à l'aide des valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.


| Champ | Value | 
| --- | --- | 
| IPv4 Bloc d'adresse CIDR | Saisissez les adresses IP de votre VPC. La plage d'adresses IP privées de votre Amazon VPC ne doit pas chevaucher la plage d'adresses IP privées du centre de données hébergeant votre [gestionnaire de clés externe](keystore-external.md#concept-ekm). | 
| Nombre de zones de disponibilité (AZs) | 2 ou plus | 
| Nombre de sous-réseaux publics |  Pas d'exigence minimale (0)  | 
| Nombre de sous-réseaux privés | Un pour chaque AZ | 
| Passerelles NAT | Pas d'exigence minimale. | 
| Points de terminaison d’un VPC | Pas d'exigence minimale. | 
| Enable DNS hostnames | Oui | 
| Activer la résolution DNS | Oui | 

Assurez-vous de tester la communication de votre VPC. Par exemple, si le proxy de votre magasin de clés externe ne se trouve pas dans votre Amazon VPC, créez une instance Amazon EC2 dans votre Amazon VPC et vérifiez que l'Amazon VPC peut communiquer avec le proxy de votre magasin de clés externe.

### Connecter le VPC au gestionnaire de clés externe
<a name="xks-vpc-to-ekm"></a>

Connectez le VPC au centre de données qui héberge votre gestionnaire de clés externe en utilisant l'une des [options de connectivité réseau](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html) prises en charge par Amazon VPC. Assurez-vous que l'instance Amazon EC2 du VPC (ou le proxy de magasin de clés externe, s'il se trouve dans le VPC) peut communiquer avec le centre de données et le gestionnaire de clés externe.

## Étape 2 : Création d'un groupe cible
<a name="xks-target-group"></a>

Avant de créer le service de point de terminaison d'un VPC requis, créez ses composants requis, un équilibreur de charge réseau (NLB) et un groupe cible. L'équilibreur de charge réseau (NLB) distribue les requêtes entre plusieurs cibles saines, chacune pouvant répondre à la requête. Au cours de cette étape, vous créez un groupe cible avec au moins deux hôtes pour votre proxy de magasin de clés externe et vous enregistrez vos adresses IP auprès du groupe cible.

Suivez les instructions de la section [Configure a target group](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html#configure-target-group) (Configurer un groupe cible) à l'aide des valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.


| Champ | Value | 
| --- | --- | 
| Type de cible | Adresses IP | 
|  Protocole | TCP | 
|  Port |  443  | 
| Type d'adresse IP | IPv4 | 
| VPC | Choisissez le VPC dans lequel vous allez créer le service de point de terminaison d'un VPC pour votre magasin de clés externe. | 
| Protocole et chemin de surveillance de l'état | Votre protocole et votre chemin de surveillance de l'état varient en fonction de la configuration du proxy de votre magasin de clés externe. Consultez la documentation de votre gestionnaire de clés externe ou de votre proxy de magasin de clés externe.Pour des informations générales sur la configuration de la surveillance de l'état de vos groupes cibles, veuillez consulter la rubrique [Health checks for your target groups](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-health-checks.html) (Surveillance de l'état de vos groupes cibles) dans le Guide de l'utilisateur Elastic Load Balancing pour les Network Load Balancers. | 
| Réseau | Autre adresse IP privée | 
| IPv4 adresse | Les adresses privées de votre proxy de magasin de clés externe | 
| Ports | 443 | 

## Étape 3 : créer un équilibreur de charge réseau
<a name="xks-nlb"></a>

L'équilibreur de charge réseau distribue le trafic réseau, y compris les requêtes d' AWS KMS auprès de votre proxy de magasin de clés externe, aux cibles configurées.

Suivez les instructions de la rubrique [Configure a load balancer and a listener](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html#configure-load-balancer) (Configurer un équilibreur de charge et un écouteur) pour configurer et ajouter un écouteur et créer un équilibreur de charge en utilisant les valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.


| Champ | Value | 
| --- | --- | 
| Scheme | Internal (Interne) | 
| Type d’adresse IP | IPv4 | 
| Mappage du réseau |  Choisissez le VPC dans lequel vous allez créer le service de point de terminaison d'un VPC pour votre magasin de clés externe.  | 
| Mappage | Choisissez les deux zones de disponibilité (au moins deux) que vous avez configurées pour vos sous-réseaux VPC. Vérifiez les noms de sous-réseaux et l'adresse IP privée. | 
|  Protocole | TCP | 
|  Port | 443 | 
| Action par défaut : Réacheminer vers | Choisissez le [groupe cible](#xks-target-group) pour votre équilibreur de charge réseau. | 

## Étape 4 : créer un service de point de terminaison VPC
<a name="xks-vpc-svc"></a>

En général, vous créez un point de terminaison vers un service. Toutefois, lorsque vous créez un service de point de terminaison VPC, vous êtes le fournisseur et vous AWS KMS créez un point de terminaison pour votre service. Pour un magasin de clés externe, créez un service de point de terminaison d'un VPC à l'aide de l'équilibreur de charge réseau que vous avez créé à l'étape précédente. Le service de point de terminaison VPC peut se trouver dans le même Compte AWS que votre magasin de clés externe ou dans un autre. Compte AWS

Plusieurs magasins de clés externes peuvent partager un Amazon VPC, mais chaque magasin de clés externe doit disposer de son propre service de point de terminaison d'un VPC et d'un nom DNS privé.

Suivez les instructions de la rubrique [Create an endpoint service](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html#create-endpoint-service-nlb) (Créer un service de point de terminaison) pour créer votre service de point de terminaison d'un VPC avec les valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.


| Champ | Value | 
| --- | --- | 
| Type d'équilibreur de charge | Réseau | 
| Équilibreurs de charge disponibles | Choisissez l'[équilibreur de charge réseau](#xks-nlb) que vous avez créé à l'étape précédente.Si votre nouvel équilibreur de charge ne figure pas dans la liste, vérifiez que son état est actif. Il peut s'écouler quelques minutes avant que l'état de l'équilibreur de charge ne passe d'alloué à actif. | 
| Acceptation requise | Faux. Désactivez la case à cocher.*N'exigez pas d'acceptation*. AWS KMS Impossible de se connecter au service de point de terminaison VPC sans acceptation manuelle. Si l'acceptation est requise, les tentatives de [création du magasin de clés externe](create-xks-keystore.md) échouent avec une exception `XksProxyInvalidConfigurationException`.  | 
| Activer un nom DNS privé | Associez un nom DNS privé au service | 
| Nom DNS privé | Saisissez un nom DNS privé unique dans sa Région AWS. Le nom DNS privé doit être un sous-domaine d'un domaine public de niveau supérieur. Par exemple, si le nom DNS privé est `myproxy-private.xks.example.com`, il doit être un sous-domaine d'un domaine public tel que `xks.example.com` ou `example.com`.Ce nom DNS privé doit correspondre au nom commun (CN) du sujet figurant dans le certificat TLS configuré sur le proxy de votre magasin de clés externe. Par exemple, si le nom DNS privé est `myproxy-private.xks.example.com`, le CN du certificat TLS doit être `myproxy-private.xks.example.com` ou `*.xks.example.com`.Si le certificat et le nom DNS privé ne correspondent pas, les tentatives de connexion d'un magasin de clés externe à son proxy de magasin de clés externe échouent avec le code d'erreur de connexion de `XKS_PROXY_INVALID_TLS_CONFIGURATION`. Pour en savoir plus, consultez [Erreurs de configuration générale](xks-troubleshooting.md#fix-xks-gen-configuration). | 
| Types d'adresses IP pris en charge | IPv4 | 

## Étape 5 : Vérifiez votre nom de domaine DNS privé
<a name="xks-private-dns"></a>

Lorsque vous créez votre service de point de terminaison d'un VPC, son statut de vérification de domaine est `pendingVerification`. Avant d'utiliser le service de point de terminaison d'un VPC pour créer un magasin de clés externe, ce statut doit être `verified`. Pour vérifier que vous êtes bien le propriétaire du domaine associé à votre nom DNS privé, vous devez créer un enregistrement TXT sur un serveur DNS public.

Par exemple, si le nom DNS privé de votre service de point de terminaison VPC est`myproxy-private.xks.example.com`, vous devez créer un enregistrement TXT dans un domaine public, tel que `xks.example.com` ou`example.com`, selon ce qui est public. AWS PrivateLink recherche d'abord l'enregistrement TXT activé, `xks.example.com` puis activé`example.com`.

**Astuce**  
Après avoir ajouté un enregistrement TXT, il peut s'écouler quelques minutes avant que la valeur du **Domain verification status** (Statut de vérification du domaine) passe de `pendingVerification` à `verify`.

Pour commencer, identifiez le statut de vérification de votre domaine à l'aide de l'une des méthodes suivantes. Les valeurs valides sont `verified`, `pendingVerification` et `failed`. 
+ Dans la [console Amazon VPC](https://console.aws.amazon.com/vpc), choisissez **Endpoint services** (Services de points de terminaison), puis choisissez votre service de point de terminaison. Dans le volet d'informations, veuillez consulter la rubrique **Domain verification status** (Statut de vérification du domaine).
+ Utilisez l'[DescribeVpcEndpointServiceConfigurations](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpointServiceConfigurations.html)opération. La valeur de `State` se trouve dans le champ `ServiceConfigurations.PrivateDnsNameConfiguration.State`.

Si le statut de vérification n'est pas `verified`, suivez les instructions de la rubrique [Domain ownership verification](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html#verify-domain-ownership) (Vérification de la propriété du domaine) pour ajouter un enregistrement TXT au serveur DNS de votre domaine et vérifier que l'enregistrement TXT est publié. Vérifiez ensuite à nouveau votre statut de vérification.

Vous n'êtes pas obligé de créer un enregistrement A pour le nom de domaine DNS privé. Lorsque vous AWS KMS créez un point de terminaison d'interface pour le service de point de terminaison de votre VPC, il crée AWS PrivateLink automatiquement une zone hébergée avec l'enregistrement A requis pour le nom de domaine privé dans le AWS KMS VPC. Pour les magasins de clés externes dotés d'une connectivité au service de point de terminaison d'un VPC, cela se produit lorsque vous [connectez votre magasin de clés externe](xks-connect-disconnect.md) à son proxy de magasin de clés externe.

## Étape 6 : Autoriser AWS KMS la connexion au service de point de terminaison VPC
<a name="xks-vpc-authorize-kms"></a>

Consultez les procédures suivantes pour gérer les autorisations de votre service de point de terminaison Amazon VPC. Chaque étape dépend de votre connectivité et de votre configuration entre votre magasin de clés externe, le service de point de terminaison VPC et. Compte AWS

------
#### [ Same Compte AWS ]

Lorsque votre service de point de terminaison VPC appartient au même Compte AWS que votre magasin de clés externe, vous devez l'ajouter AWS KMS à la liste des **principaux autorisés pour votre service de point de** terminaison VPC. Cela permet de AWS KMS créer des points de terminaison d'interface pour votre service de point de terminaison VPC. S'il ne s' AWS KMS agit pas d'un principal autorisé, les tentatives de création d'un magasin de clés externe échoueront, `XksProxyVpcEndpointServiceNotFoundException` sauf exception.

Suivez les instructions de la rubrique [Manage permissions](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) (Gérer les autorisations) du *Guide AWS PrivateLink *. Utilisez la valeur obligatoire suivante.


| Champ | Value | 
| --- | --- | 
| AWS KMS ARN | cks.kms.<region>.amazonaws.com.rproxy.govskope.caPar exemple, `cks.kms.us-east-1.amazonaws.com` | 

------
#### [ Cross Compte AWS ]

Lorsque votre service de point de terminaison VPC appartient à un autre, Compte AWS vous devez ajouter les deux, AWS KMS ainsi que votre compte, à la liste **Autoriser les principaux**. Cela permet à votre magasin AWS KMS de clés externe de créer des points de terminaison d'interface pour votre service de point de terminaison VPC. Si AWS KMS n'est pas un principal autorisé, les tentatives de création d'un magasin de clés externe échoueront avec une exception `XksProxyVpcEndpointServiceNotFoundException`. Vous devez fournir l' Compte AWS ARN dans lequel se trouve le magasin de clés externe.

Suivez les instructions de la rubrique [Manage permissions](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) (Gérer les autorisations) du *Guide AWS PrivateLink *. Utilisez la valeur obligatoire suivante.


| Champ | Value | 
| --- | --- | 
| AWS KMS ARN | cks.kms.<region>.amazonaws.com.rproxy.govskope.caPar exemple, `cks.kms.us-east-1.amazonaws.com` | 
| Compte AWS ARN | arn:aws:iam::111122223333:role/role\$1namePar exemple, `arn:aws:iam::123456789012:role/cks_role` | 

------

**Suivant :** [Création d'un magasin de clés externe](create-xks-keystore.md)