Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Création d'une clé KMS dans des magasins de clés externes
Après avoir [créé](create-xks-keystore.md) et [connecté](xks-connect-disconnect.md) votre magasin de clés externe, vous pouvez le créer AWS KMS keys dans votre magasin de clés. Il doit s'agir de [clés KMS de chiffrement symétrique](symm-asymm-choose-key-spec.md#symmetric-cmks) dont la valeur d'origine est **External key store** (Magasin de clés externe) (`EXTERNAL_KEY_STORE`). Vous ne pouvez pas créer de [clés KMS asymétriques](symmetric-asymmetric.md), de [clés KMS HMAC](hmac.md) ou de clés KMS avec des [éléments de clé importés](importing-keys.md) dans un magasin de clé personnalisé. De plus, vous ne pouvez pas utiliser de clés KMS de chiffrement symétriques dans un magasin de clés personnalisé pour générer des paires de clés de données asymétriques.
Une clé KMS dans un magasin de clés externe peut présenter une latence, une durabilité et une disponibilité inférieures à celles d'une clé KMS standard, car elle dépend de composants situés à l'extérieur d' AWS. Avant de créer ou d'utiliser une clé KMS dans un magasin de clés externe, vérifiez que vous avez besoin d'une clé dotée de propriétés de magasin de clés externe.
**Note**
Certains gestionnaires de clés externes proposent une méthode plus simple pour créer des clés KMS dans un magasin de clés externe. Pour en savoir plus, veuillez consulter la documentation de votre gestionnaire de clés externe.
Pour créer une clé KMS dans votre magasin de clés externe, vous devez spécifier les éléments suivants :
+ L'ID de votre magasin de clés externe.
+ Une [origine des éléments de clé](create-keys.md#key-origin) du magasin de clés externe (`EXTERNAL_KEY_STORE`).
+ L'ID d'une [clé externe](keystore-external.md#concept-external-key) existante dans le [gestionnaire de clés externe](keystore-external.md#concept-ekm) associé à votre magasin de clés externe. Cette clé externe fait office d'éléments de clé pour la clé KMS. Vous ne pouvez pas modifier l'ID de clé externe une fois que vous avez créé la clé KMS.
AWS KMS fournit l'ID de clé externe à votre proxy de stockage de clés externe dans les demandes d'opérations de chiffrement et de déchiffrement. AWS KMS ne peut pas accéder directement à votre gestionnaire de clés externe ou à l'une de ses clés cryptographiques.
Outre la clé externe, une clé KMS dans un magasin de clés externe contient également du matériel AWS KMS clé. Toutes les données chiffrées sous la clé KMS sont d'abord cryptées à l' AWS KMS aide du contenu de la AWS KMS clé, puis par votre gestionnaire de clés externe à l'aide de votre clé externe. Ce processus de [double chiffrement](keystore-external.md#concept-double-encryption) garantit que le texte chiffré protégé par une clé KMS dans un magasin de clés externe est au moins aussi robuste que le texte chiffré protégé uniquement par AWS KMS. Pour en savoir plus, consultez [Fonctionnement des magasins de clés externes](keystore-external.md#xks-how-it-works).
Lorsque l'opération `CreateKey` aboutit, l'[état de clé](key-state.md) de la nouvelle clé KMS est `Enabled`. Lorsque vous [consultez une clé KMS dans un magasin de clés externe](identify-key-types.md#view-xks-key), vous pouvez afficher les propriétés classiques, comme son ID de clé, sa [spécification de clé](create-keys.md#key-spec), son [utilisation de clé](create-keys.md#key-usage), son [état de clé](key-state.md) et sa date de création. Mais vous pouvez également voir l'ID et [l'état de connexion](xks-connect-disconnect.md#xks-connection-state) du magasin de clés externe ainsi que l'ID de la clé externe.
Si votre tentative de créer une clé KMS dans votre magasin de clés externe échoue, utilisez le message d'erreur pour identifier la cause. Il peut indiquer que le magasin de clés externe n'est pas connecté (`CustomKeyStoreInvalidStateException`), que le proxy de votre magasin de clés externe ne trouve pas de clé externe avec l'ID de clé externe spécifié (`XksKeyNotFoundException`) ou que la clé externe est déjà associée à une clé KMS dans le même magasin de clés externe `XksKeyAlreadyInUseException`.
Pour un exemple du AWS CloudTrail journal de l'opération qui crée une clé KMS dans un magasin de clés externe, consultez[CreateKey](ct-createkey.md).
**Topics**
+ [Exigences relatives à une clé KMS dans un magasin de clés externe](#xks-key-requirements)
+ [Créez une nouvelle clé KMS dans votre magasin de clés externe](#create-key-xks)
## Exigences relatives à une clé KMS dans un magasin de clés externe
Pour créer une clé KMS dans un magasin de clés externe, les propriétés suivantes sont requises pour le magasin de clés externe, la clé KMS et la clé externe qui fait office d'éléments de clé cryptographique externe pour la clé KMS.
**Exigences relatives au magasin de clés externe**
+ Doit être connecté à son proxy de magasin de clés externe.
Pour consulter l'[état de connexion](xks-connect-disconnect.md#xks-connection-state) de votre magasin de clés externe, veuillez consulter la rubrique [Afficher les magasins de clés externes](view-xks-keystore.md). Pour connecter votre magasin de clés externe, veuillez consulter la rubrique [Connecter et déconnecter les magasins de clés externes](xks-connect-disconnect.md).
**Exigences relatives aux clés KMS**
Vous ne pouvez pas modifier ces propriétés après la création de la clé KMS.
+ Spécification de clé : SYMMETRIC\$1DEFAULT
+ Utilisation de clé : ENCRYPT\$1DECRYPT
+ Origine des éléments de clé : EXTERNAL\$1KEY\$1STORE
+ Multi-région : FALSE
**Exigences relatives aux clés externes**
+ Clé cryptographique AES 256 bits (256 bits aléatoires). La propriété `KeySpec` de la clé externe doit être `AES_256`.
+ Activé et disponible pour utilisation. La propriété `Status` de la clé externe doit être `ENABLED`.
+ Configuré pour le chiffrement et le déchiffrement. La propriété `KeyUsage` de la clé externe doit inclure `ENCRYPT` et `DECRYPT`.
+ Utilisé uniquement avec cette clé KMS. Chaque `KMS key` d'un magasin de clés externe doit être associée à une clé externe différente.
AWS KMS recommande également que la clé externe soit utilisée exclusivement pour le magasin de clés externe. Cette restriction facilite l'identification et la résolution des problèmes liés à la clé.
+ Accessible par le [proxy de magasin de clés externe](keystore-external.md#concept-xks-proxy) pour le magasin de clés externe.
Si le proxy de magasin de clés externe ne trouve pas la clé à l'aide de l'ID de clé externe spécifié, l'opération `CreateKey` échoue.
+ Peut gérer le trafic prévu Services AWS généré par votre utilisation. AWS KMS recommande que les clés externes soient préparées pour traiter jusqu'à 1 800 demandes par seconde.
## Créez une nouvelle clé KMS dans votre magasin de clés externe
Vous pouvez créer une nouvelle clé KMS dans votre magasin de clés externe dans la AWS KMS console ou en utilisant l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération.
### Utilisation de la AWS KMS console
Il existe deux manières de créer une clé KMS dans un magasin de clés externe.
+ Méthode 1 (recommandée) : choisissez un magasin de clés externe, puis créez une clé KMS dans ce magasin de clés externe.
+ Méthode 2 : créez une clé KMS, puis indiquez qu'elle se trouve dans un magasin de clés externe.
Si vous utilisez la méthode 1, dans laquelle vous choisissez votre magasin de clés externe avant de créer votre clé, choisissez AWS KMS toutes les propriétés de clé KMS requises pour vous et renseignez l'ID de votre magasin de clés externe. Cette méthode évite les erreurs que vous pourriez commettre lors de la création de votre clé KMS.
**Note**
N'incluez pas d'informations confidentielles ou sensibles dans l'alias, la description ou les balises. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
**Méthode 1 (recommandée) : démarrer dans votre magasin de clés externe**
Pour utiliser cette méthode, choisissez votre magasin de clés externe, puis créez une clé KMS. La AWS KMS console choisit pour vous toutes les propriétés requises et renseigne l'ID de votre banque de clés externe. Cette méthode évite les nombreuses erreurs que vous pourriez commettre lors de la création de votre clé KMS.
1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
1. Dans le panneau de navigation, sélectionnez **Custom key stores** (Magasins de clés personnalisés), **External key stores** (Magasins de clés externes).
1. Choisissez le nom de votre magasin de clés externe.
1. Dans le coin supérieur droit, choisissez **Create a KMS key in this key store** (Créer une clé KMS dans ce magasin de clés).
Si le magasin de clés externe *n'est pas* connecté, vous serez invité à le connecter. Si la tentative de connexion échoue, vous devez résoudre le problème et connecter le magasin de clés externe avant de pouvoir y créer une clé KMS.
Si le magasin de clés externe est connecté, vous êtes redirigé vers la page **Customer managed keys** (Clés gérées par le client) pour créer une clé. Les valeurs de **Key configuration** (Configuration de clé) requises sont déjà choisies pour vous. En outre, l'ID du magasin de clés personnalisé de votre magasin de clés externe est renseigné, bien que vous puissiez le modifier.
1. Saisissez l'ID de clé d'une [clé externe](keystore-external.md#concept-external-key) dans votre [gestionnaire de clés externe](keystore-external.md#concept-ekm). Cette clé externe doit [remplir les conditions requises](#xks-key-requirements) pour être utilisée avec une clé KMS. Vous ne pouvez pas modifier cette valeur après la création de la clé.
Si la clé externe en possède plusieurs IDs, entrez l'ID de clé utilisé par le proxy de stockage de clés externe pour identifier la clé externe.
1. Confirmez que vous avez l'intention de créer une clé KMS dans le magasin de clés externe spécifié.
1. Choisissez **Suivant**.
Le reste de cette procédure est identique à la [création d'une clé KMS standard](create-keys.md).
1. Saisissez un alias (obligatoire) et une description (facultative) pour la clé KMS.
1. (Facultatif) Sur la page **Ajouter des identifications**, ajoutez des identifications qui identifient ou catégorisent votre clé KMS.
Lorsque vous ajoutez des balises à vos AWS ressources, AWS génère un rapport de répartition des coûts avec l'utilisation et les coûts agrégés par balises. Les balises peuvent également être utilisées pour contrôler l'accès à une clé KMS. Pour de plus amples informations sur l'étiquetage des clés KMS, veuillez consulter [Tags dans AWS KMS](tagging-keys.md) et [ABAC pour AWS KMS](abac.md).
1. Choisissez **Suivant**.
1. Dans la section **Administrateurs de clé**, sélectionnez les utilisateurs et les rôles IAM qui peuvent gérer la clé KMS. Pour plus d'informations, veuillez consulter la rubrique [Autorise les administrateurs de clé à administrer la clé KMS](key-policy-default.md#key-policy-default-allow-administrators).
**Note**
Les politiques IAM peuvent accorder à d'autres utilisateurs et rôles IAM l'autorisation d'utiliser la clé KMS.
Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez [Security best practices in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) (Bonnes pratiques de sécurité dans IAM) dans le *Guide de l'utilisateur IAM*.
1. (Facultatif) Pour empêcher les administrateurs de clé de supprimer cette clé KMS, décochez la case **Allow key administrators to delete this key** (Autoriser les administrateurs de clé à supprimer cette clé).
La suppression d'une clé KMS est une opération destructrice et irréversible, qui peut rendre le texte chiffré irrécupérable. Vous ne pouvez pas recréer une clé KMS symétrique dans un magasin de clés externe, même si vous disposez des éléments de clé externe. Cependant, la suppression d'une clé KMS n'a aucun effet sur la clé externe qui lui est associée. Pour plus d'informations sur la suppression d'une clé KMS d'un magasin de clés externe, consultez la section [Considérations spéciales relatives à la suppression de clés](deleting-keys.md#special-considerations-delete).
1. Choisissez **Suivant**.
1. Dans la section **Ce compte**, sélectionnez les utilisateurs et les rôles IAM autorisés à utiliser la clé KMS dans le cadre d'opérations [cryptographiques](kms-cryptography.md#cryptographic-operations). Compte AWS Pour plus d'informations, veuillez consulter la rubrique [Allows key users to use the KMS key](key-policy-default.md#key-policy-default-allow-users) (Autorise les utilisateurs de clé à utiliser la clé KMS).
**Note**
Les politiques IAM peuvent accorder à d'autres utilisateurs et rôles IAM l'autorisation d'utiliser la clé KMS.
Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez [Security best practices in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) (Bonnes pratiques de sécurité dans IAM) dans le *Guide de l'utilisateur IAM*.
1. (Facultatif) Vous pouvez autoriser d'autres Comptes AWS utilisateurs à utiliser cette clé KMS pour des opérations cryptographiques. Pour ce faire, dans la Comptes AWS section **Autre** au bas de la page, choisissez **Ajouter un autre** compte Compte AWS et entrez l' Compte AWS identifiant d'un compte externe. Pour ajouter plusieurs comptes externes, répétez cette étape.
**Note**
Les administrateurs de l'autre Comptes AWS doivent également autoriser l'accès à la clé KMS en créant des politiques IAM pour leurs utilisateurs. Pour de plus amples informations, veuillez consulter [Autoriser des utilisateurs d'autres comptes à utiliser une clé KMS](key-policy-modifying-external-accounts.md).
1. Choisissez **Suivant**.
1. Passez en revue les paramètres de clé que vous avez choisis. Vous pouvez toujours revenir en arrière et modifier tous les paramètres.
1. Lorsque vous avez terminé, choisissez **Finish (Terminer)** pour créer la clé.
**Méthode 2 : démarrer avec les clés gérées par le client**
Cette procédure est identique à la procédure de création d'une clé de chiffrement symétrique avec du matériel AWS KMS clé. Mais, dans le cadre de cette procédure, vous spécifiez l'ID du magasin de clés personnalisé du magasin de clés externe et l'ID de la clé externe. Vous devez également spécifier les [valeurs de propriété requises](#xks-key-requirements) pour une clé KMS dans un magasin de clés externe, telles que la spécification de clé et l'utilisation de la clé.
1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
1. Dans le panneau de navigation, choisissez **Clés gérées par le client**.
1. Choisissez **Create key**.
1. Choisissez **Symmetric (Symétrique)**.
1. Dans **Key usage** (Utilisation de la clé), l'option **Encrypt and decrypt** (Chiffrer et déchiffrer) est sélectionnée pour vous. Ne la modifiez pas.
1. Choisissez **Options avancées**.
1. Pour **Key material origin** (Origine des éléments de clé), choisissez **External key store** (Magasin de clés externe).
1. Confirmez que vous avez l'intention de créer une clé KMS dans le magasin de clés externe spécifié.
1. Choisissez **Suivant**.
1. Choisissez la ligne qui représente le magasin de clés externe pour votre nouvelle clé KMS.
Vous ne pouvez pas choisir un magasin de clés externe déconnecté. Pour connecter un magasin de clés déconnecté, choisissez le nom du magasin de clés, puis, dans **Key store actions** (Actions du magasin de clés), choisissez **Connect** (Connecter). Pour en savoir plus, consultez [Utilisation de la AWS KMS console](about-xks-connecting.md#connect-xks-console).
1. Saisissez l'ID de clé d'une [clé externe](keystore-external.md#concept-external-key) dans votre [gestionnaire de clés externe](keystore-external.md#concept-ekm). Cette clé externe doit [remplir les conditions requises](#xks-key-requirements) pour être utilisée avec une clé KMS. Vous ne pouvez pas modifier cette valeur après la création de la clé.
Si la clé externe en possède plusieurs IDs, entrez l'ID de clé utilisé par le proxy de stockage de clés externe pour identifier la clé externe.
1. Choisissez **Suivant**.
Le reste de cette procédure est identique à la [création d'une clé KMS standard](create-keys.md).
1. Saisissez un alias et éventuellement une description pour la clé KMS.
1. (Facultatif). Sur la page **Ajouter des identifications**, ajoutez des identifications qui identifient ou catégorisent votre clé KMS.
Lorsque vous ajoutez des balises à vos AWS ressources, AWS génère un rapport de répartition des coûts avec l'utilisation et les coûts agrégés par balises. Les balises peuvent également être utilisées pour contrôler l'accès à une clé KMS. Pour de plus amples informations sur l'étiquetage des clés KMS, veuillez consulter [Tags dans AWS KMS](tagging-keys.md) et [ABAC pour AWS KMS](abac.md).
1. Choisissez **Suivant**.
1. Dans la section **Administrateurs de clé**, sélectionnez les utilisateurs et les rôles IAM qui peuvent gérer la clé KMS. Pour plus d'informations, veuillez consulter la rubrique [Autorise les administrateurs de clé à administrer la clé KMS](key-policy-default.md#key-policy-default-allow-administrators).
**Note**
Les politiques IAM peuvent accorder à d'autres utilisateurs et rôles IAM l'autorisation d'utiliser la clé KMS.
1. (Facultatif) Pour empêcher les administrateurs de clé de supprimer cette clé KMS, décochez la case **Allow key administrators to delete this key** (Autoriser les administrateurs de clé à supprimer cette clé).
La suppression d'une clé KMS est une opération destructrice et irréversible, qui peut rendre le texte chiffré irrécupérable. Vous ne pouvez pas recréer une clé KMS symétrique dans un magasin de clés externe, même si vous disposez des éléments de clé externe. Cependant, la suppression d'une clé KMS n'a aucun effet sur la clé externe qui lui est associée. Pour plus d'informations sur la suppression d'une clé KMS d'un magasin de clés externe, veuillez consulter la rubrique [Supprimer un AWS KMS key](deleting-keys.md).
1. Choisissez **Suivant**.
1. Dans la section **Ce compte**, sélectionnez les utilisateurs et les rôles IAM autorisés à utiliser la clé KMS dans le cadre d'opérations [cryptographiques](kms-cryptography.md#cryptographic-operations). Compte AWS Pour plus d'informations, veuillez consulter la rubrique [Allows key users to use the KMS key](key-policy-default.md#key-policy-default-allow-users) (Autorise les utilisateurs de clé à utiliser la clé KMS).
**Note**
Les politiques IAM peuvent accorder à d'autres utilisateurs et rôles IAM l'autorisation d'utiliser la clé KMS.
1. (Facultatif) Vous pouvez autoriser d'autres Comptes AWS utilisateurs à utiliser cette clé KMS pour des opérations cryptographiques. Pour ce faire, dans la Comptes AWS section **Autre** au bas de la page, choisissez **Ajouter un autre** compte Compte AWS et entrez l' Compte AWS identifiant d'un compte externe. Pour ajouter plusieurs comptes externes, répétez cette étape.
**Note**
Les administrateurs de l'autre Comptes AWS doivent également autoriser l'accès à la clé KMS en créant des politiques IAM pour leurs utilisateurs. Pour de plus amples informations, veuillez consulter [Autoriser des utilisateurs d'autres comptes à utiliser une clé KMS](key-policy-modifying-external-accounts.md).
1. Choisissez **Suivant**.
1. Passez en revue les paramètres de clé que vous avez choisis. Vous pouvez toujours revenir en arrière et modifier tous les paramètres.
1. Lorsque vous avez terminé, choisissez **Finish (Terminer)** pour créer la clé.
Lorsque la procédure réussit, l'écran affiche la nouvelle clé KMS dans le magasin de clés externe que vous avez choisi. Lorsque vous choisissez le nom ou l'alias de la nouvelle clé KMS, l'onglet **Cryptographic configuration** (Configuration cryptographique) de sa page de détails affiche l'origine de la clé KMS (**External key store** [Magasin de clés externe]), le nom, l'ID et le type du magasin de clés personnalisé, et l'ID, l'utilisation de clé et l'état de la clé externe. Si la procédure échoue, un message d'erreur s'affiche qui décrit l'échec. Pour , veuillez consulter la rubrique [Résoudre les problèmes liés aux magasins de clés externes](xks-troubleshooting.md).
**Astuce**
Pour faciliter l'identification des clés KMS dans un magasin de clés personnalisé, sur la page **Customer managed keys** (Clés gérées par le client), ajoutez les colonnes **Origin** (Origine) et **Custom key store ID** (ID de magasin de clés personnalisé) à l'affichage. Pour modifier les champs du tableau, cliquez sur l'icône d'engrenage dans le coin supérieur droit de la page. Pour en savoir plus, consultez [Personnalisez l'affichage de votre console](viewing-console-customize.md).
### Utilisation de l' AWS KMS API
Pour créer une nouvelle clé KMS dans un magasin de clés externe, utilisez l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération. Les paramètres suivants sont obligatoires :
+ La valeur `Origin` doit être `EXTERNAL_KEY_STORE`.
+ Le paramètre `CustomKeyStoreId` identifie votre magasin de clés externe. La valeur [`ConnectionState`](xks-connect-disconnect.md#xks-connection-state) du magasin de clés externe spécifié doit être `CONNECTED`. Pour trouver les valeurs de `CustomKeyStoreId` et de `ConnectionState`, utilisez l'opération `DescribeCustomKeyStores`.
+ Le paramètre `XksKeyId` identifie la clé externe. Cette clé externe doit [remplir les conditions requises](#xks-key-requirements) pour être associée à une clé KMS.
Vous pouvez également utiliser n'importe lequel des paramètres facultatifs de l'opération `CreateKey`, tels que les paramètres `Policy` ou [Balises](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html).
**Note**
N'incluez pas d'informations confidentielles ou sensibles dans les champs `Description` ou `Tags`. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
Les exemples de cette section utilisent la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.
Cet exemple de commande utilise l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération pour créer une clé KMS dans un magasin de clés externe. La réponse contient les propriétés des clés KMS, l'ID du magasin de clés externe, ainsi que l'ID, l'utilisation et l'état de la clé externe.
Avant d'exécuter cette commande, remplacez l'exemple d'ID de magasin de clés personnalisé par un ID valide.
```
$ aws kms create-key --origin EXTERNAL_KEY_STORE --custom-key-store-id cks-1234567890abcdef0 --xks-key-id bb8562717f809024
{
"KeyMetadata": {
"Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"AWSAccountId": "111122223333",
"CreationDate": "2022-12-02T07:48:55-07:00",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"CustomKeyStoreId": "cks-1234567890abcdef0",
"Description": "",
"Enabled": true,
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyManager": "CUSTOMER",
"KeySpec": "SYMMETRIC_DEFAULT",
"KeyState": "Enabled",
"KeyUsage": "ENCRYPT_DECRYPT",
"MultiRegion": false,
"Origin": "EXTERNAL_KEY_STORE",
"XksKeyConfiguration": {
"Id": "bb8562717f809024"
}
}
}
```