Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Principaux magasins
<a name="key-store-overview"></a>

Un *magasin de clés* est un emplacement sécurisé pour le stockage et l'utilisation de clés cryptographiques. Le magasin de clés par défaut prend AWS KMS également en charge les méthodes de génération et de gestion des clés qu'il stocke. Par défaut, le contenu de la clé cryptographique dans AWS KMS keys lequel vous créez AWS KMS est généré et protégé par des modules de sécurité matériels (HSMs) qui sont le programme de validation des modules [cryptographiques FIPS 140-3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884). Les éléments clés de vos clés KMS ne sont jamais HSMs non chiffrés.

AWS KMS prend en charge plusieurs types de magasins de clés pour protéger le contenu de vos clés lorsque vous AWS KMS les utilisez pour créer et gérer vos clés de chiffrement. Toutes les options de stockage de clés proposées par AWS KMS sont continuellement validées selon la norme FIPS 140-3 au niveau de sécurité 3 et sont conçues pour empêcher quiconque, y compris AWS les opérateurs, d'accéder à vos clés en texte brut ou de les utiliser sans votre autorisation.

## AWS KMS magasin de clés standard
<a name="default-key-store"></a>

Par défaut, une clé KMS est créée à l'aide du AWS KMS HSM standard. Ce type de HSM peut être considéré comme un parc multi-locataires HSMs qui permet de disposer du magasin de clés le plus évolutif, le moins coûteux et le plus simple à gérer de votre point de vue. Si vous créez une clé KMS à utiliser dans un ou plusieurs services Services AWS afin que le service puisse chiffrer vos données en votre nom, vous allez créer une clé symétrique. Si vous utilisez une clé KMS pour la conception de votre propre application, vous pouvez choisir de créer une clé de chiffrement symétrique, une clé asymétrique ou une clé HMAC.

Dans l'option de stockage de clés standard, AWS KMS crée votre clé, puis la chiffre sous des clés gérées en interne par le service. Plusieurs copies des versions cryptées de vos clés sont ensuite stockées dans des systèmes conçus pour durer. La génération et la protection de votre matériel clé dans le type de magasin de clés standard vous permettent de tirer pleinement parti de l'évolutivité, de la disponibilité et de la durabilité des magasins AWS clés AWS KMS avec les charges opérationnelles et les coûts les plus faibles.

## AWS KMS magasin de clés standard avec matériel de clé importé
<a name="imported-key-material"></a>

Au lieu de demander AWS KMS à la fois de générer et de stocker les seules copies d'une clé donnée, vous pouvez choisir d'importer le contenu de la clé AWS KMS, ce qui vous permet de générer votre propre clé de chiffrement symétrique de 256 bits, une clé RSA ou à courbe elliptique (ECC) ou une clé HMAC (Hash-Based Message Authentication Code), et de l'appliquer à un identifiant de clé KMS (KeyID). C'est ce que l'on appelle parfois « *apportez votre propre clé* » (BYOK). Les éléments clés importés depuis votre système de gestion de clés local doivent être protégés à l'aide d'une clé publique émise par AWS KMS, d'un algorithme d'encapsulage cryptographique pris en charge et d'un jeton d'importation basé sur le temps fourni par. AWS KMS Ce processus vérifie que votre clé cryptée et importée ne peut être déchiffrée par un AWS KMS HSM qu'une fois qu'elle a quitté votre environnement.

Le matériel clé importé peut être utile si vous avez des exigences spécifiques concernant le système qui génère les clés, ou si vous souhaitez une copie de votre clé à l'extérieur AWS comme sauvegarde. Notez que vous êtes responsable de la disponibilité et de la durabilité globales d'un matériau clé importé. Bien qu'il AWS KMS dispose d'une copie de votre clé importée et qu'il restera hautement disponible lorsque vous en aurez besoin, les clés importées offrent une API spéciale pour la suppression — DeleteImportedKeyMaterial. Cette API supprimera immédiatement toutes les copies du matériel clé importé qui en AWS KMS possède, sans possibilité AWS de récupérer la clé. En outre, vous pouvez définir une date d'expiration pour une clé importée, après laquelle la clé sera inutilisable. Pour que la clé soit à nouveau utile dans AWS KMS, vous devrez réimporter le contenu clé et l'attribuer au même KeyID. Cette action de suppression pour les clés importées est différente de celle des clés standard qui sont AWS KMS générées et stockées pour vous en votre nom. Dans le cas standard, le processus de suppression des clés comporte une période d'attente obligatoire au cours de laquelle l'utilisation d'une clé dont la suppression est prévue est d'abord bloquée. Cette action vous permet de voir les erreurs de refus d'accès dans les journaux de toute application ou AWS service susceptible d'avoir besoin de cette clé pour accéder aux données. Si vous recevez de telles demandes d'accès, vous pouvez choisir d'annuler la suppression planifiée et de réactiver la clé. Après une période d'attente configurable (entre 7 et 30 jours), ce n'est qu'alors que KMS supprimera réellement le contenu clé, le KeyID et toutes les métadonnées associées à la clé. Pour plus d'informations sur la disponibilité et la durabilité, consultez [la section Protection du matériel clé importé](import-keys-protect.md) dans le *Guide du AWS KMS développeur*.

Il convient de prendre en compte certaines limites supplémentaires liées au matériel clé importé. Comme il est AWS KMS impossible de générer de nouveaux éléments clés, il n'existe aucun moyen de configurer la rotation automatique des clés importées. Vous devrez créer une nouvelle clé KMS avec un nouveau KeyID, puis importer de nouveaux éléments clés pour obtenir une rotation efficace. De plus, les textes chiffrés créés AWS KMS sous une clé symétrique importée ne peuvent pas être facilement déchiffrés à l'aide de votre copie locale de la clé extérieure à. AWS Cela est dû au fait que le format de chiffrement authentifié utilisé par AWS KMS ajoute des métadonnées supplémentaires au texte chiffré pour garantir lors de l'opération de déchiffrement que le texte chiffré a été créé par la clé KMS attendue lors d'une opération de chiffrement précédente. La plupart des systèmes cryptographiques externes ne comprendront pas comment analyser ces métadonnées pour accéder au texte chiffré brut afin de pouvoir utiliser leur copie d'une clé symétrique. Les textes chiffrés créés AWS KMS avec des clés asymétriques importées (par exemple RSA ou ECC) peuvent être utilisés en dehors de la partie correspondante (publique ou privée) de la clé car aucune métadonnée supplémentaire n'est ajoutée au texte chiffré. AWS KMS 

## AWS KMS magasins de clés personnalisés
<a name="custom-key-store-overview"></a>

Toutefois, si vous avez besoin d'un contrôle encore plus poussé HSMs, vous pouvez créer un magasin de clés personnalisé.

Un *magasin de clés personnalisé* est un magasin de clés AWS KMS intégré qui est soutenu par un gestionnaire de clés extérieur AWS KMS, que vous possédez et gérez. Les magasins de clés personnalisés combinent l'interface de gestion des clés pratique et complète AWS KMS avec la capacité de posséder et de contrôler le matériel clé et les opérations cryptographiques. Lorsque vous utilisez une clé KMS dans un magasin de clés personnalisé, les opérations cryptographiques sont effectuées par votre gestionnaire de clés en utilisant vos clés cryptographiques. Par conséquent, vous assumez une plus grande responsabilité quant à la disponibilité et à la durabilité des clés cryptographiques, ainsi qu'au fonctionnement des HSMs. 

Posséder le vôtre HSMs peut être utile pour répondre à certaines exigences réglementaires qui n'autorisent pas encore les services Web mutualisés tels que le magasin de clés KMS standard à détenir vos clés cryptographiques. Les magasins de clés personnalisés ne sont pas plus sécurisés que les magasins de clés KMS gérés par AWS-managed HSMs, mais ils ont des implications différentes (et supérieures) en termes de gestion et de coûts. Par conséquent, vous assumez une plus grande responsabilité quant à la disponibilité et à la durabilité des clés cryptographiques ainsi qu'au fonctionnement des HSMs. Que vous utilisiez le magasin de clés standard AWS KMS HSMs ou un magasin de clés personnalisé, le service est conçu de telle sorte que personne, y compris les AWS employés, ne puisse récupérer vos clés en texte clair ou les utiliser sans votre autorisation. AWS KMS prend en charge deux types de magasins de clés personnalisés, les magasins de AWS CloudHSM clés et les magasins de clés externes.

**Fonctions non prises en charge**

AWS KMS ne prend pas en charge les fonctionnalités suivantes dans les magasins de clés personnalisés.
+ [Clés KMS asymétriques](symmetric-asymmetric.md)
+ [Clés KMS HMAC](hmac.md)
+ [Clés KMS avec des éléments de clé importés](importing-keys.md)
+ [Rotation automatique des clés](rotate-keys.md)
+ [Clés multi-région](multi-region-keys-overview.md)

### AWS CloudHSM magasin de clés
<a name="hsm-store"></a>

 Vous pouvez créer une clé KMS dans un magasin de [AWS CloudHSM](https://aws.amazon.com/kms/pricing/)clés, où les clés utilisateur root sont générées, stockées et utilisées dans un AWS CloudHSM cluster que vous possédez et gérez. Les demandes AWS KMS d'utilisation d'une clé pour une opération cryptographique sont transmises à votre AWS CloudHSM cluster pour effectuer l'opération. Bien qu'un AWS CloudHSM cluster soit hébergé par AWS, il s'agit d'une solution à locataire unique que vous gérez et exploitez directement. Vous êtes le principal responsable de la disponibilité et des performances des clés KMS dans un AWS CloudHSM cluster. Pour savoir si un magasin de clés AWS CloudHSM personnalisé répond à vos besoins, lisez l'article [Les magasins de clés AWS KMS personnalisés vous conviennent-ils ?](https://aws.amazon.com/blogs/security/are-kms-custom-key-stores-right-for-you/) sur le blog consacré à AWS la sécurité.

### Magasin de clés externe
<a name="external-store"></a>

 Vous pouvez configurer AWS KMS pour utiliser un magasin de clés externe (XKS), dans lequel les clés de l'utilisateur root sont générées, stockées et utilisées dans un système de gestion des clés extérieur au AWS Cloud. Les demandes AWS KMS d'utilisation d'une clé pour une opération cryptographique sont transmises à votre système hébergé en externe pour effectuer l'opération. Plus précisément, les demandes sont transmises à un proxy XKS de votre réseau, qui les transmet ensuite au système cryptographique que vous utilisez. Le proxy XKS est une spécification open source à laquelle tout le monde peut s'intégrer. De nombreux fournisseurs commerciaux de gestion de clés prennent en charge la spécification XKS Proxy. Comme un magasin de clés externe est hébergé par vous ou par un tiers, vous êtes responsable de la disponibilité, de la durabilité et des performances des clés du système. Pour savoir si un magasin de clés externe répond à vos besoins, lisez [Announding AWS KMS External Key Store (XKS)](https://aws.amazon.com/blogs/aws/announcing-aws-kms-external-key-store-xks/) sur le blog AWS News.

# AWS CloudHSM magasins clés
<a name="keystore-cloudhsm"></a>

Un magasin de AWS CloudHSM clés est un [magasin de clés personnalisé](key-store-overview.md#custom-key-store-overview) soutenu par un [AWS CloudHSM cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/). Lorsque vous créez un magasin AWS KMS key de clés personnalisé, vous AWS KMS générez et stockez des éléments clés non extractibles pour la clé KMS dans un AWS CloudHSM cluster que vous possédez et gérez. Lorsque vous utilisez une clé KMS dans un magasin de clés personnalisé, les [opérations cryptographiques](manage-cmk-keystore.md#use-cmk-keystore) sont effectuées HSMs dans le cluster. Cette fonctionnalité combine la commodité et AWS KMS l'intégration généralisée d'un AWS CloudHSM cluster dans votre Compte AWS. 

AWS KMS fournit un support complet de console et d'API pour la création, l'utilisation et la gestion de vos magasins de clés personnalisés. Vous pouvez utiliser les clés KMS dans votre magasin de clés personnalisé de la même manière que vous utilisez n'importe quelle clé KMS. Par exemple, vous pouvez utiliser les clés KMS pour générer des clés de données et chiffrer des données. Vous pouvez également utiliser les clés KMS dans votre magasin de clés personnalisé avec des AWS services prenant en charge les clés gérées par le client.

**Est-ce que j'ai besoin d'un magasin de clés personnalisé ?**

Pour la plupart des utilisateurs, le magasin de AWS KMS clés par défaut, qui est protégé par des [modules cryptographiques validés par la norme FIPS 140-3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884), répond à leurs exigences de sécurité. Il n'est pas nécessaire d'ajouter une couche supplémentaire de responsabilité de maintenance ou une dépendance à l'égard d'un service supplémentaire. 

Cependant, vous pouvez envisager la création d'un magasin de clés personnalisé si votre organisation possède l'une des exigences suivantes :
+ Vous avez des clés qui doivent explicitement être protégées dans un HSM à locataire unique ou dans un HSM sur lequel vous avez un contrôle direct.
+ Vous devez être en mesure de retirer immédiatement les éléments clés de AWS KMS.
+ Vous devez être en mesure d'auditer toute utilisation de vos clés indépendamment de AWS KMS ou AWS CloudTrail.

**Comment fonctionnent les magasins de clés personnalisés ?**

Chaque magasin de clés personnalisé est associé à un AWS CloudHSM cluster dans votre Compte AWS. Lorsque vous connectez le magasin de clés personnalisé à son cluster, il AWS KMS crée l'infrastructure réseau pour prendre en charge la connexion. Il se connecte ensuite au AWS CloudHSM client clé du cluster à l'aide des informations d'identification d'un [utilisateur cryptographique dédié](#concept-kmsuser) du cluster.

Vous créez et gérez vos magasins de clés personnalisés dans AWS KMS et vous créez et gérez vos clusters HSM dans AWS CloudHSM. Lorsque vous créez AWS KMS keys dans un magasin de clés AWS KMS personnalisé, vous visualisez et gérez les clés KMS dans AWS KMS. Mais vous pouvez également afficher et gérer leurs clés dans AWS CloudHSM, tout comme vous le feriez pour d'autres clés du cluster.

![\[Gestion des clés KMS dans un magasin de clés personnalisé\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/kms-hsm-view.png)


Vous pouvez [créer des clés KMS de chiffrement symétriques](create-cmk-keystore.md) à partir du contenu clé généré par AWS KMS votre magasin de clés personnalisé. Utilisez ensuite les mêmes techniques pour afficher et gérer les clés KMS dans votre magasin de clés personnalisé que celles que vous utilisez pour les clés KMS dans le magasin de AWS KMS clés. Vous pouvez contrôler l'accès aux politiques IAM et aux politiques de clé, créer des balises et des alias, activer et désactiver les clés KMS, et planifier la suppression de clés. Vous pouvez utiliser les clés KMS pour [des opérations cryptographiques](manage-cmk-keystore.md#use-cmk-keystore) et les utiliser avec AWS des services intégrés à AWS KMS. 

En outre, vous avez le contrôle total du AWS CloudHSM cluster, y compris la création, la suppression HSMs et la gestion des sauvegardes. Vous pouvez utiliser le AWS CloudHSM client et les bibliothèques logicielles prises en charge pour visualiser, auditer et gérer les éléments clés de vos clés KMS. Lorsque le magasin de clés personnalisé est déconnecté, il AWS KMS ne peut pas y accéder et les utilisateurs ne peuvent pas utiliser les clés KMS du magasin de clés personnalisé pour des opérations cryptographiques. Cette nouvelle couche de contrôle fait du magasin de clés personnalisé une solution puissante pour les organisations qui en ont besoin.

**Où commencer ?**

Pour créer et gérer un magasin de AWS CloudHSM clés, vous utilisez les fonctionnalités de AWS KMS et AWS CloudHSM.

1. Commencez par AWS CloudHSM[Créez un cluster AWS CloudHSM actif](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) ou sélectionnez un cluster existant. Le cluster doit en avoir au moins deux actifs HSMs dans différentes zones de disponibilité. Ensuite, créez [un compte CU (utilisateur de chiffrement) dédié](#concept-kmsuser) dans ce cluster pour AWS KMS. 

1. Dans AWS KMS, [créez un magasin de clés personnalisé](create-keystore.md) associé au AWS CloudHSM cluster sélectionné. AWS KMS fournit une interface de gestion complète qui vous permet de créer, d'afficher, de modifier et de supprimer vos banques de clés personnalisées.

1. Lorsque vous êtes prêt à utiliser votre magasin de clés personnalisé, [connectez-le au AWS CloudHSM cluster associé](connect-keystore.md). AWS KMS crée l'infrastructure réseau dont elle a besoin pour prendre en charge la connexion. Ensuite, il se connecte au cluster à l'aide des informations d'identification du compte CU dédié afin de générer et de gérer les clés dans le cluster.

1. Vous pouvez désormais [créer des clés KMS de chiffrement symétriques dans votre magasin de clés personnalisé](create-cmk-keystore.md). Il vous suffit de spécifier le magasin de clés personnalisé lorsque vous créez la clé KMS.

Si vous vous retrouvez bloqué à un moment, vous pouvez obtenir de l'aide dans la rubrique [Dépannage d'un magasin de clés personnalisé](fix-keystore.md). Si vous ne trouvez pas de réponse à votre question, utilisez le lien situé en bas de chaque page de ce guide ou publiez une question sur le [AWS Key Management Service forum de discussion](https://repost.aws/tags/TAMC3vcPOPTF-rPAHZVRj1PQ/aws-key-management-service).

**Quotas**

AWS KMS autorise jusqu'à [10 magasins de clés personnalisés](resource-limits.md) dans chaque Compte AWS région, y compris les magasins de [AWS CloudHSM clés et les magasins](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-cloudhsm.html) de [clés externes](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html), quel que soit leur état de connexion. En outre, il existe des quotas de AWS KMS demandes concernant l'[utilisation des clés KMS dans un magasin de AWS CloudHSM clés](requests-per-second.md#rps-key-stores).

**Tarification**

Pour plus d'informations sur le coût des magasins de clés AWS KMS personnalisés et des clés gérées par le client dans un magasin de clés personnalisé, consultez [AWS Key Management Service les tarifs](https://aws.amazon.com/kms/pricing/). Pour plus d'informations sur le coût des AWS CloudHSM clusters HSMs, consultez la section [AWS CloudHSM Tarification](https://aws.amazon.com/cloudhsm/pricing/).<a name="cks-regions"></a>

**Régions**

AWS KMS prend en charge les AWS CloudHSM principaux magasins dans Régions AWS tous AWS KMS les pays concernés, à l'exception de l'Asie-Pacifique (Melbourne), de la Chine (Pékin), de la Chine (Ningxia) et de l'Europe (Espagne).

**Fonctions non prises en charge**

AWS KMS ne prend pas en charge les fonctionnalités suivantes dans les magasins de clés personnalisés.
+ [Clés KMS asymétriques](symmetric-asymmetric.md)
+ [Clés KMS HMAC](hmac.md)
+ [Clés KMS avec des éléments de clé importés](importing-keys.md)
+ [Rotation automatique des clés](rotate-keys.md)
+ [Clés multi-région](multi-region-keys-overview.md)

## AWS CloudHSM concepts clés du magasin
<a name="hsm-key-store-concepts"></a>

Cette rubrique explique certains termes et concepts utilisés dans les AWS CloudHSM principaux magasins.

### AWS CloudHSM magasin de clés
<a name="concept-hsm-key-store"></a>

Un *magasin de AWS CloudHSM clés* est un [magasin de clés personnalisé](key-store-overview.md#custom-key-store-overview) associé à un AWS CloudHSM cluster que vous possédez et gérez. AWS CloudHSM les clusters sont soutenus par des modules de sécurité matériels (HSMs) certifiés [FIPS 140-2 ou FIPS 140-3](https://docs.aws.amazon.com/cloudhsm/latest/userguide/compliance.html) de niveau 3.

Lorsque vous créez une clé KMS dans votre magasin de AWS CloudHSM clés, elle AWS KMS génère une clé symétrique AES (Advanced Encryption Standard) de 256 bits, persistante et non exportable dans le cluster associé. AWS CloudHSM Ce matériel clé ne vous laisse jamais HSMs déchiffré. Lorsque vous utilisez une clé KMS dans un magasin de AWS CloudHSM clés, les opérations cryptographiques sont effectuées HSMs dans le cluster. 

AWS CloudHSM les magasins de clés associent l'interface de gestion des clés pratique et complète AWS KMS aux commandes supplémentaires fournies par un AWS CloudHSM cluster intégré à votre Compte AWS. Cette fonctionnalité intégrée vous permet de créer, de gérer et d'utiliser des clés KMS AWS KMS tout en gardant le contrôle total sur ceux HSMs qui stockent leurs informations clés, y compris la gestion des clusters et des sauvegardes. HSMs Vous pouvez utiliser la AWS KMS console et APIs gérer le magasin de AWS CloudHSM clés et ses clés KMS. Vous pouvez également utiliser la AWS CloudHSM console APIs, le logiciel client et les bibliothèques de logiciels associées pour gérer le cluster associé.

Vous pouvez [afficher et gérer](view-keystore.md) votre magasin de AWS CloudHSM clés, [modifier ses propriétés](update-keystore.md), le [[connecter](disconnect-keystore.md)](connect-keystore.md) et le déconnecter du AWS CloudHSM cluster associé. Si vous devez [supprimer un magasin de AWS CloudHSM clés](delete-keystore.md#delete-keystore-console), vous devez d'abord supprimer les clés KMS du AWS CloudHSM magasin de clés en programmant leur suppression et en attendant l'expiration du délai de grâce. La suppression du magasin de AWS CloudHSM clés entraîne la suppression de la ressource AWS KMS, mais cela n'affecte pas votre AWS CloudHSM cluster.

### AWS CloudHSM grappe
<a name="concept-cluster"></a>

Chaque magasin de AWS CloudHSM clés est associé à un *AWS CloudHSM cluster*. Lorsque vous créez un élément AWS KMS key dans votre magasin de AWS CloudHSM clés, il AWS KMS crée son contenu clé dans le cluster associé. Lorsque vous utilisez une clé KMS dans votre magasin de clés AWS CloudHSM , les opérations cryptographiques sont effectuées dans le cluster associé.

Chaque AWS CloudHSM cluster ne peut être associé qu'à un seul magasin de AWS CloudHSM clés. Le cluster que vous choisissez ne peut pas être associé à un autre magasin de AWS CloudHSM clés ni partager un historique de sauvegarde avec un cluster associé à un autre magasin de AWS CloudHSM clés. Le cluster doit être initialisé et actif, et il doit se trouver dans la même Compte AWS région que le magasin de AWS CloudHSM clés. Vous pouvez créer un nouveau cluster ou utiliser un cluster existant. AWS KMS ne nécessite pas l'utilisation exclusive du cluster. Pour créer des clés KMS dans le magasin de AWS CloudHSM clés, son cluster associé doit contenir au moins deux clés actives HSMs. Toutes les autres opérations nécessitent un seul HSM.

Vous spécifiez le AWS CloudHSM cluster lorsque vous créez le magasin de AWS CloudHSM clés, et vous ne pouvez pas le modifier. Cependant, vous pouvez remplacer n'importe quel cluster qui partage un historique de sauvegardes avec le cluster d'origine. Cela vous permet de supprimer le cluster, si nécessaire, et de le remplacer-le par un cluster créé à partir de l'une de ses sauvegardes. Vous conservez le contrôle total du AWS CloudHSM cluster associé, ce qui vous permet de gérer les utilisateurs et les clés, de créer et de supprimer HSMs, ainsi que d'utiliser et de gérer des sauvegardes. 

Lorsque vous êtes prêt à utiliser votre magasin de AWS CloudHSM clés, vous le connectez au AWS CloudHSM cluster associé. Vous pouvez connecter et déconnecter votre magasin de clés personnalisé à tout moment. Lorsqu'un magasin de clés personnalisé est connecté, vous pouvez créer et utiliser ses clés KMS. Lorsqu'il est déconnecté, vous pouvez consulter et gérer le magasin de AWS CloudHSM clés et ses clés KMS. Toutefois, vous ne pouvez pas créer de nouvelles clés KMS ni utiliser les clés KMS du magasin de AWS CloudHSM clés pour des opérations cryptographiques.

### Utilisateur de chiffrement `kmsuser`
<a name="concept-kmsuser"></a>

Pour créer et gérer des éléments clés dans le AWS CloudHSM cluster associé en votre nom, AWS KMS utilisez un *[utilisateur AWS CloudHSM cryptographique](https://docs.aws.amazon.com/cloudhsm/latest/userguide/hsm-users.html#crypto-user) (CU)* dédié dans le cluster nommé`kmsuser`. Le `kmsuser` CU est un compte CU standard qui est automatiquement synchronisé avec tous les membres HSMs du cluster et enregistré dans les sauvegardes du cluster. 

Avant de créer votre magasin de AWS CloudHSM clés, vous devez [créer un compte `kmsuser` CU](create-keystore.md#before-keystore) dans votre AWS CloudHSM cluster à l'aide de la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html) de la CLI CloudHSM. Ensuite, lorsque vous [créez le magasin de AWS CloudHSM clés](create-keystore.md), vous fournissez le mot de passe du `kmsuser` compte à AWS KMS. Lorsque vous [connectez le magasin de clés personnalisé](connect-keystore.md), vous AWS KMS vous connectez au cluster en tant que `kmsuser` CU et changez son mot de passe. AWS KMS chiffre votre `kmsuser` mot de passe avant de le stocker en toute sécurité. Lorsque le mot de passe a effectué une rotation, le nouveau mot de passe est chiffré et stocké de la même manière.

AWS KMS reste connecté `kmsuser` tant que le magasin de AWS CloudHSM clés est connecté. Vous ne devez pas utiliser ce compte CU à d'autres fins. Toutefois, vous gardez le contrôle ultime du compte CU `kmsuser`. À tout moment, vous pouvez [retrouver les clés](find-key-material.md) qui en sont `kmsuser` propriétaires. Si nécessaire, vous pouvez [déconnecter le magasin de clés personnalisé](disconnect-keystore.md), modifier le mot de passe `kmsuser`, [vous connecter au cluster en tant que `kmsuser`](fix-keystore.md#fix-login-as-kmsuser) et afficher et gérer les clés que `kmsuser` détient.

Pour obtenir des instructions sur la création de votre compte CU `kmsuser`, consultez [Créer l'utilisateur de chiffrement (CU) `kmsuser`](create-keystore.md#before-keystore).

### Clés KMS dans un magasin de AWS CloudHSM clés
<a name="concept-cmk-key-store"></a>

Vous pouvez utiliser l' AWS KMS API AWS KMS or pour créer un AWS KMS keys dans un magasin de AWS CloudHSM clés. Vous utilisez la même technique que celle que vous utiliseriez sur n'importe quelle clé KMS. La seule différence est que vous devez identifier le magasin de AWS CloudHSM clés et spécifier que l'origine du matériau clé est le AWS CloudHSM cluster. 

Lorsque vous [créez une clé KMS dans un magasin de AWS CloudHSM clés](create-cmk-keystore.md), vous AWS KMS créez la clé KMS dans AWS KMS et celle-ci génère une clé symétrique AES (Advanced Encryption Standard) de 256 bits, persistante et non exportable dans le cluster associé. Lorsque vous utilisez la AWS KMS clé dans une opération cryptographique, l'opération est effectuée dans le cluster à l'aide de la clé AES basée sur le AWS CloudHSM cluster. Bien qu' AWS CloudHSM ils prennent en charge les clés symétriques et asymétriques de différents types, les magasins de clés ne prennent en charge que les AWS CloudHSM clés de chiffrement symétriques AES.

Vous pouvez afficher les clés KMS dans un magasin de AWS CloudHSM clés de la AWS KMS console et utiliser les options de la console pour afficher l'ID de magasin de clés personnalisé. Vous pouvez également utiliser cette [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)opération pour trouver l'ID du magasin de AWS CloudHSM clés et l'ID AWS CloudHSM du cluster.

Les clés KMS d'un magasin de AWS CloudHSM clés fonctionnent comme n'importe quelle clé KMS dans un magasin de clés AWS KMS. Les utilisateurs autorisés ont besoin des mêmes autorisations pour utiliser et gérer les clés KMS. Vous utilisez les mêmes procédures de console et les mêmes opérations d'API pour afficher et gérer les clés KMS dans un magasin de AWS CloudHSM clés. Cela inclut l'activation et la désactivation de clés KMS, la création et l'utilisation de balises et d'alias, et la définition et la modification des politiques de clé et des politiques IAM. Vous pouvez utiliser les clés KMS d'un magasin de AWS CloudHSM clés pour des opérations cryptographiques et les utiliser avec des [AWS services intégrés](service-integration.md) qui prennent en charge l'utilisation de clés gérées par le client. Cependant, vous ne pouvez pas activer la [rotation automatique des clés](rotate-keys.md) ni [importer le contenu des clés](importing-keys.md) dans une clé KMS dans un magasin de AWS CloudHSM clés. 

Vous utilisez également le même processus pour [planifier la suppression](deleting-keys.md#delete-cmk-keystore) d'une clé KMS dans un magasin de AWS CloudHSM clés. Une fois le délai d'attente expiré, AWS KMS supprime la clé KMS de KMS. Il fait ensuite de son mieux pour supprimer le contenu clé de la clé KMS du AWS CloudHSM cluster associé. Cependant, il se peut que vous ayez besoin de [supprimer manuellement les éléments de clé orphelins](fix-keystore.md#fix-keystore-orphaned-key) du cluster et de ses sauvegardes.

# Contrôlez l'accès à votre magasin de AWS CloudHSM clés
<a name="authorize-key-store"></a>

Vous utilisez des politiques IAM pour contrôler l'accès à votre magasin de AWS CloudHSM clés et à votre AWS CloudHSM cluster. Vous pouvez utiliser des politiques clés, des politiques IAM et des autorisations pour contrôler l'accès AWS KMS keys à votre magasin de AWS CloudHSM clés. Nous vous recommandons de fournir aux utilisateurs, groupes et rôles uniquement les autorisations dont ils ont besoin pour les tâches qu'ils sont susceptibles d'effectuer.

Pour prendre en charge vos AWS CloudHSM principaux magasins, vous AWS KMS avez besoin d'une autorisation pour obtenir des informations sur vos AWS CloudHSM clusters. Il a également besoin d'une autorisation pour créer l'infrastructure réseau qui connecte votre magasin de AWS CloudHSM clés à son AWS CloudHSM cluster. Pour obtenir ces autorisations, AWS KMS crée le rôle **AWSServiceRoleForKeyManagementServiceCustomKeyStores**lié au service dans votre. Compte AWS Pour de plus amples informations, veuillez consulter [Autorisation AWS KMS de gestion AWS CloudHSM et ressources Amazon EC2](authorize-kms.md).

Lorsque vous concevez votre magasin de AWS CloudHSM clés, assurez-vous que les principaux responsables qui l'utilisent et le gèrent disposent uniquement des autorisations dont ils ont besoin. La liste suivante décrit les autorisations minimales requises pour les AWS CloudHSM principaux responsables de magasins et utilisateurs.
+ Les principaux responsables qui créent et gèrent votre magasin de AWS CloudHSM clés ont besoin de l'autorisation suivante pour utiliser les opérations de l'API du magasin de AWS CloudHSM clés.
  + `cloudhsm:DescribeClusters`
  + `kms:CreateCustomKeyStore`
  + `kms:ConnectCustomKeyStore`
  + `kms:DeleteCustomKeyStore`
  + `kms:DescribeCustomKeyStores`
  + `kms:DisconnectCustomKeyStore`
  + `kms:UpdateCustomKeyStore`
  + `iam:CreateServiceLinkedRole`
+ Les principaux responsables qui créent et gèrent le AWS CloudHSM cluster associé à votre banque de AWS CloudHSM clés doivent être autorisés à créer et à initialiser un AWS CloudHSM cluster. Cela inclut l'autorisation de créer ou d'utiliser un Amazon Virtual Private Cloud (VPC), de créer des sous-réseaux et de créer une instance Amazon. EC2 Ils peuvent également avoir besoin de créer HSMs, de supprimer et de gérer des sauvegardes. Pour obtenir la liste des autorisations requises, veuillez consulter la rubrique [Identity and access management for AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/identity-access-management.html) (Gestion des identités et des accès pour ) dans le *Guide de l'utilisateur AWS CloudHSM *.
+ Les principaux responsables qui créent et gèrent AWS KMS keys dans votre magasin de AWS CloudHSM clés ont besoin des [mêmes autorisations](create-keys.md#create-key-permissions) que ceux qui créent et gèrent n'importe quelle clé KMS dans AWS KMS votre magasin de clés. La [politique de clé par défaut](key-policy-default.md) pour une clé KMS dans un magasin de AWS CloudHSM clés est identique à la politique de clé par défaut pour les clés KMS dans AWS KMS. Le [contrôle d'accès basé sur les attributs](abac.md) (ABAC), qui utilise des balises et des alias pour contrôler l'accès aux clés KMS, est également efficace sur les clés KMS dans les magasins de clés. AWS CloudHSM 
+ [Les principaux qui utilisent les clés KMS de votre AWS CloudHSM magasin de clés pour des [opérations cryptographiques](manage-cmk-keystore.md#use-cmk-keystore) doivent être autorisés à effectuer l'opération cryptographique avec la clé KMS, par exemple KMS:Decrypt.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) Vous pouvez fournir ces autorisations dans une politique de clé, ou une politique IAM. Toutefois, ils n'ont pas besoin d'autorisations supplémentaires pour utiliser une clé KMS dans un magasin de AWS CloudHSM clés.

# Création d'un magasin de AWS CloudHSM clés
<a name="create-keystore"></a>

Vous pouvez créer un ou plusieurs magasins AWS CloudHSM clés dans votre compte. Chaque magasin de AWS CloudHSM clés est associé à un AWS CloudHSM cluster de la même Compte AWS région. Avant de créer votre magasin de clés AWS CloudHSM , vous devez [réunir les conditions préalables](#before-keystore). Ensuite, avant de pouvoir utiliser votre magasin de AWS CloudHSM clés, vous devez [le connecter](connect-keystore.md) à son AWS CloudHSM cluster.

**Remarques**  
KMS ne peut pas communiquer IPv6 avec les magasins de AWS CloudHSM clés.  
Si vous essayez de créer un magasin de AWS CloudHSM clés avec toutes les mêmes valeurs de propriétés qu'un magasin de AWS CloudHSM clés *déconnecté* existant, AWS KMS cela ne crée pas de nouveau magasin de AWS CloudHSM clés et ne génère aucune exception ni n'affiche d'erreur. AWS KMS Reconnaît plutôt le doublon comme la conséquence probable d'une nouvelle tentative et renvoie l'ID du magasin de AWS CloudHSM clés existant.   
Il n'est pas nécessaire de connecter immédiatement votre magasin de AWS CloudHSM clés. Vous pouvez le conserver dans un état déconnecté jusqu'à ce que vous soyez prêt à l'utiliser. Cependant, afin de vérifier qu'il est correctement configuré, vous pouvez [le connecter](connect-keystore.md), [afficher son état de connexion](view-keystore.md), puis [le déconnecter](disconnect-keystore.md).

**Topics**
+ [Rassembler les conditions requises](#before-keystore)
+ [Création d'un nouveau magasin de AWS CloudHSM clés](#create-hsm-keystore)

## Rassembler les conditions requises
<a name="before-keystore"></a>

Chaque magasin de AWS CloudHSM clés est soutenu par un AWS CloudHSM cluster. Pour créer un magasin de AWS CloudHSM clés, vous devez spécifier un AWS CloudHSM cluster actif qui n'est pas déjà associé à un autre magasin de clés. Vous devez également créer un utilisateur cryptographique (CU) dédié dans le cluster HSMs qui AWS KMS peut l'utiliser pour créer et gérer des clés en votre nom.

Avant de créer un magasin de AWS CloudHSM clés, procédez comme suit :

**Sélectionnez un AWS CloudHSM cluster**  
Chaque magasin de AWS CloudHSM clés est [associé à un seul AWS CloudHSM cluster](keystore-cloudhsm.md#concept-cluster). Lorsque vous créez AWS KMS keys dans votre magasin de AWS CloudHSM clés, vous AWS KMS créez les métadonnées de la clé KMS, telles qu'un identifiant et un Amazon Resource Name (ARN) dans AWS KMS. Il crée ensuite le matériau clé dans HSMs le cluster associé. Vous pouvez [créer un nouveau AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) cluster ou utiliser un cluster existant. AWS KMS ne nécessite pas d'accès exclusif au cluster.  
Le AWS CloudHSM cluster que vous sélectionnez est associé de façon permanente au magasin de AWS CloudHSM clés. Après avoir créé le magasin de AWS CloudHSM clés, vous pouvez [modifier l'ID du cluster](update-keystore.md) associé, mais le cluster que vous spécifiez doit partager un historique de sauvegarde avec le cluster d'origine. Pour utiliser un cluster indépendant, vous devez créer un nouveau magasin de AWS CloudHSM clés.  
Le AWS CloudHSM cluster que vous sélectionnez doit présenter les caractéristiques suivantes :  
+ **Le cluster doit être actif**. 

  Vous devez créer le cluster, l'initialiser, installer le logiciel AWS CloudHSM client pour votre plate-forme, puis activer le cluster. Pour plus d'informations, veuillez consulter la rubrique [Getting started with AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) (Démarrer avec ) dans le *Guide de l'utilisateur AWS CloudHSM *.
+ **Le protocole TLS mutuel (mTLS) n'est pas activé.** 

  KMS ne prend pas en charge les MTL pour les clusters. Ce paramètre ne doit pas être activé.
+ **Le cluster doit se trouver dans le même compte et dans la même région** que le magasin de AWS CloudHSM clés. Vous ne pouvez pas associer un magasin de AWS CloudHSM clés d'une région à un cluster d'une autre région. Pour créer une infrastructure clé dans plusieurs régions, vous devez créer des magasins de AWS CloudHSM clés et des clusters dans chaque région.
+ **Le cluster ne peut pas être associé à un autre magasin de clés personnalisé** à partir du même compte et de la même région. Chaque magasin de AWS CloudHSM clés du compte et de la région doit être associé à un AWS CloudHSM cluster différent. Vous ne pouvez pas spécifier un cluster qui est déjà associé à un magasin de clés personnalisé ou un cluster qui partage un historique des sauvegardes avec un cluster associé. Les clusters qui partagent un historique des sauvegardes historique ont le même certificat de cluster. Pour afficher le certificat de cluster d'un cluster, utilisez la AWS CloudHSM console ou l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)opération.

  Si vous [sauvegardez un cluster AWS CloudHSM dans une autre région](https://docs.aws.amazon.com/cloudhsm/latest/userguide/copy-backup-to-region.html), il est considéré comme un cluster différent et vous pouvez associer la sauvegarde à un magasin de clés personnalisé dans sa région. Cependant, les clés KMS des deux magasins de clés personnalisés ne sont pas interopérables, même si elles possèdent la même clé de sauvegarde. AWS KMS lie les métadonnées au texte chiffré afin qu'il ne puisse être déchiffré que par la clé KMS qui l'a chiffré.
+ Le cluster doit être configuré avec des [sous-réseaux privés](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html) dans **au moins deux zones de disponibilité** de la région. Comme il n' AWS CloudHSM est pas pris en charge dans toutes les zones de disponibilité, nous vous recommandons de créer des sous-réseaux privés dans toutes les zones de disponibilité de la région. Vous ne pouvez pas reconfigurer les sous-réseaux d'un cluster existant, mais vous pouvez [créer un cluster à partir d'une sauvegarde](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) avec différents sous-réseaux dans la configuration du cluster.
**Important**  
Après avoir créé votre magasin de AWS CloudHSM clés, ne supprimez aucun des sous-réseaux privés configurés pour son AWS CloudHSM cluster. Si vous AWS KMS ne trouvez pas tous les sous-réseaux dans la configuration du cluster, les tentatives de [connexion au magasin de clés personnalisé](connect-keystore.md) échouent avec un état d'erreur de `SUBNET_NOT_FOUND` connexion. Pour en savoir plus, consultez [Comment corriger un échec de connexion](fix-keystore.md#fix-keystore-failed).
+ Le [groupe de sécurité du cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/configure-sg.html) (`cloudhsm-cluster-<cluster-id>-sg`) doit inclure des règles entrantes et sortantes qui autorisent le trafic TCP sur les ports IPv4 2223-2225. La **source** des règles entrantes et la **destination** des règles sortantes doit correspondre à l'ID du groupe de sécurité. Ces règles sont définies par défaut lorsque vous créez le cluster. Ne pas les supprimer ou les modifier.
+ **Le cluster doit contenir au moins deux actifs HSMs** dans des zones de disponibilité différentes. Pour vérifier le nombre de HSMs, utilisez la AWS CloudHSM console ou l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)opération. Si nécessaire, vous pouvez [ajouter un module HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html#add-hsm).

**Recherche le certificat approuvé (ou « trust anchor »)**  
Lorsque vous créez un magasin de clés personnalisé, vous devez télécharger le certificat d'ancrage de confiance du AWS CloudHSM cluster sur AWS KMS. AWS KMS a besoin du certificat Trust Anchor pour connecter le magasin de AWS CloudHSM clés à son AWS CloudHSM cluster associé.  
Chaque AWS CloudHSM cluster actif possède un *certificat d'ancrage de confiance*. Lorsque vous [initialisez le cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr), vous devez générer ce certificat, l'enregistrer dans le fichier `customerCA.crt` et le copier sur les hôtes qui se connectent au cluster.

**Créez l'utilisateur `kmsuser` cryptographique pour AWS KMS**  <a name="kmsuser-concept"></a>
Pour administrer votre magasin de AWS CloudHSM clés AWS KMS , connectez-vous au compte [utilisateur `kmsuser` cryptographique](keystore-cloudhsm.md#concept-kmsuser) (CU) du cluster sélectionné. Avant de créer votre magasin de AWS CloudHSM clés, vous devez créer le `kmsuser` CU. Ensuite, lorsque vous créez votre magasin de AWS CloudHSM clés, vous fournissez le mot de passe `kmsuser` pour AWS KMS. Chaque fois que vous connectez le magasin de AWS CloudHSM clés à son AWS CloudHSM cluster associé, connectez-vous AWS KMS en tant que `kmsuser` et alternez le mot de `kmsuser` passe   
Ne spécifiez pas l'option `2FA` lorsque vous créez l'`kmsuser`utilisateur de chiffrement. Si vous le faites, vous AWS KMS ne pouvez pas vous connecter et votre magasin de AWS CloudHSM clés ne peut pas être connecté à ce AWS CloudHSM cluster. Une fois que vous spécifiez 2FA, vous ne pouvez pas l'annuler. Vous devez à la place supprimer l'utilisateur de chiffrement et le recréer.
**Remarques**  
Les procédures suivantes utilisent l'outil de ligne de commande du SDK AWS CloudHSM client 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. La CLI `key-handle` CloudHSM remplace par. `key-reference`  
Le 1er janvier 2025, la prise en charge des outils de ligne de commande du SDK client 3, de l'utilitaire de gestion CloudHSM (CMU) et de l'utilitaire de gestion des clés (KMU) AWS CloudHSM prendra fin. *Pour plus d'informations sur les différences entre les outils de ligne de commande du SDK client 3 et l'outil de ligne de commande du SDK client 5, voir [Migrer de la CMU et de la KMU du SDK client 3 vers la CLI CloudHSM du SDK client 5](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) dans le guide de l'utilisateur.AWS CloudHSM *

1. *Suivez les procédures de démarrage décrites dans la rubrique [Getting Started with CloudHSM Command Line Interface (CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html)) du Guide de l'AWS CloudHSM utilisateur.*

1. Utilisez la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html) pour créer une CU nommée`kmsuser`.

   Le mot de passe doit contenir entre 7 et 32 caractères alphanumériques. Il est sensible à la casse et ne peut contenir aucun des caractères spéciaux.

   L'exemple de commande suivant crée une `kmsuser` CU. 

   ```
   aws-cloudhsm > user create --username kmsuser --role crypto-user
   Enter password:
   Confirm password:
   {
    "error_code": 0,
    "data": {
      "username": "kmsuser",
      "role": "crypto-user"
    }
   }
   ```

## Création d'un nouveau magasin de AWS CloudHSM clés
<a name="create-hsm-keystore"></a>

Après avoir [assemblé les prérequis](#before-keystore), vous pouvez créer un nouveau magasin de AWS CloudHSM clés dans la AWS KMS console ou en utilisant l'[CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)opération.

### Utilisation de la AWS KMS console
<a name="create-keystore-console"></a>

Lorsque vous créez un magasin de AWS CloudHSM clés dans le AWS Management Console, vous pouvez ajouter et créer les [prérequis](#before-keystore) dans le cadre de votre flux de travail. Toutefois, le processus est plus rapide que vous les avez assemblées au préalable.

1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

1. Dans le panneau de navigation, sélectionnez **Custom key stores** (Magasins de clés personnalisés), **AWS CloudHSM key stores** (Magasins de clés ).

1. Choisissez **Créer un magasin de clés**.

1. Entrez un nom convivial pour le magasin de clés personnalisé. Le nom doit être unique parmi tous les magasins de clés personnalisés de votre compte.
**Important**  
N'incluez pas d'informations confidentielles ou sensibles dans ce champ. Ce champ peut être affiché en texte brut dans les CloudTrail journaux et autres sorties.

1. Sélectionnez [un AWS CloudHSM cluster](keystore-cloudhsm.md#concept-cluster) pour le magasin de AWS CloudHSM clés. Ou, pour créer un nouveau AWS CloudHSM cluster, cliquez sur le lien **Créer un AWS CloudHSM cluster**.

   Le menu affiche les AWS CloudHSM clusters de votre compte et de votre région qui ne sont pas encore associés à un magasin de AWS CloudHSM clés. Le cluster doit [respecter les exigences](#before-keystore) d'association à un magasin de clés personnalisé. 

1. Choisissez **Choisir un fichier**, puis téléchargez le certificat d'ancrage de confiance pour le AWS CloudHSM cluster que vous avez choisi. Il s'agit du fichier `customerCA.crt` que vous avez créé lorsque vous [avez initialisé le cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr).

1. Entrez le mot de passe de [l'utilisateur de chiffrement `kmsuser`](keystore-cloudhsm.md#concept-kmsuser) (CU) que vous avez créé dans le cluster sélectionné. 

1. Choisissez **Créer**.

Lorsque la procédure aboutit, le nouveau magasin de AWS CloudHSM clés apparaît dans la liste des magasins de AWS CloudHSM clés du compte et de la région. S'il ne réussit pas, un message d'erreur s'affiche qui décrit le problème et fournit une aide pour le résoudre. Si vous avez besoin d'aide supplémentaire, consultez [Dépannage d'un magasin de clés personnalisé](fix-keystore.md).

Si vous essayez de créer un magasin de AWS CloudHSM clés avec toutes les mêmes valeurs de propriétés qu'un magasin de AWS CloudHSM clés *déconnecté* existant, AWS KMS cela ne crée pas de nouveau magasin de AWS CloudHSM clés et ne génère aucune exception ni n'affiche d'erreur. AWS KMS Reconnaît plutôt le doublon comme la conséquence probable d'une nouvelle tentative et renvoie l'ID du magasin de AWS CloudHSM clés existant. 

**Suivant** : Les nouveaux magasins de AWS CloudHSM clés ne sont pas automatiquement connectés. Avant de créer AWS KMS keys dans le magasin de AWS CloudHSM clés, vous devez [connecter le magasin de clés personnalisé](connect-keystore.md) au AWS CloudHSM cluster associé.

### Utilisation de l' AWS KMS API
<a name="create-keystore-api"></a>

Vous pouvez utiliser cette [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)opération pour créer un nouveau magasin de AWS CloudHSM clés associé à un AWS CloudHSM cluster dans le compte et la région. Ces exemples utilisent l' AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

L'opération `CreateCustomKeyStore` nécessite les valeurs de paramètre suivantes.
+ CustomKeyStoreName — Un nom convivial pour le magasin de clés personnalisé, unique dans le compte.
**Important**  
N'incluez pas d'informations confidentielles ou sensibles dans ce champ. Ce champ peut être affiché en texte brut dans les CloudTrail journaux et autres sorties.
+ CloudHsmClusterId — L'ID de cluster d'un AWS CloudHSM cluster [répondant aux exigences](#before-keystore) d'un magasin de AWS CloudHSM clés.
+ KeyStorePassword — Le mot de passe du compte `kmsuser` CU dans le cluster spécifié. 
+ TrustAnchorCertificate — Le contenu du `customerCA.crt` fichier que vous avez créé lors de l'[initialisation du cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html).

L'exemple suivant utilise un ID de cluster fictif. Avant d'exécuter la commande, remplacez-le par un ID de cluster valide.

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate <certificate-goes-here>
```

Si vous utilisez le AWS CLI, vous pouvez spécifier le fichier de certificat d'ancrage de confiance au lieu de son contenu. Dans l'exemple suivant, le fichier `customerCA.crt` se trouve dans le répertoire racine.

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate file://customerCA.crt
```

Lorsque l'opération est réussie, `CreateCustomKeyStore` renvoie l'ID du magasin de clés personnalisé, comme illustré dans l'exemple de réponse suivant.

```
{
    "CustomKeyStoreId": cks-1234567890abcdef0
}
```

Si l'opération échoue, corrigez l'erreur indiquée par l'exception, puis réessayez. Pour obtenir de l'aide supplémentaire, consultez [Dépannage d'un magasin de clés personnalisé](fix-keystore.md).

Si vous essayez de créer un magasin de AWS CloudHSM clés avec toutes les mêmes valeurs de propriétés qu'un magasin de AWS CloudHSM clés *déconnecté* existant, AWS KMS cela ne crée pas de nouveau magasin de AWS CloudHSM clés et ne génère aucune exception ni n'affiche d'erreur. AWS KMS Reconnaît plutôt le doublon comme la conséquence probable d'une nouvelle tentative et renvoie l'ID du magasin de AWS CloudHSM clés existant. 

**Suivant** : Pour utiliser le magasin de AWS CloudHSM clés, [connectez-le à son AWS CloudHSM cluster](connect-keystore.md).

# Afficher un magasin AWS CloudHSM de clés
<a name="view-keystore"></a>

Vous pouvez consulter les AWS CloudHSM principaux magasins de chaque compte et région à l'aide de la AWS KMS console ou de l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération. 

## Utilisation de la AWS KMS console
<a name="view-keystore-console"></a>

Lorsque vous consultez les AWS CloudHSM principaux magasins du AWS Management Console, vous pouvez voir ce qui suit :
+ Nom et ID du magasin de clés personnalisé
+ L'ID du AWS CloudHSM cluster associé
+ Le nombre de personnes HSMs dans le cluster
+ État actuel de la connexion

Une valeur d'état de connexion (**Status**) de **Disconnected** indique que le magasin de clés personnalisé est nouveau et n'a jamais été connecté, ou qu'il a été intentionnellement [déconnecté de son AWS CloudHSM cluster](disconnect-keystore.md). Toutefois, si vos tentatives d'utilisation d'une clé KMS dans un magasin de clés personnalisé connecté échouent, cela peut indiquer un problème avec le magasin de clés personnalisé ou son AWS CloudHSM cluster. Pour obtenir de l'aide, veuillez consulter [Comment corriger les clés KMS défaillantes](fix-keystore.md#fix-cmk-failed).

Pour consulter les AWS CloudHSM principaux magasins d'un compte et d'une région donnés, procédez comme suit.

1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

1. Dans le panneau de navigation, sélectionnez **Custom key stores** (Magasins de clés personnalisés), **AWS CloudHSM key stores** (Magasins de clés).

Pour personnaliser l'affichage, cliquez sur l'icône d'engrenage qui apparaît sous le bouton **Créer un magasin de clés**.

## Utilisation de l' AWS KMS API
<a name="view-keystore-api"></a>

Pour consulter vos AWS CloudHSM principaux magasins, utilisez l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Toutefois, vous pouvez utiliser le paramètre `CustomKeyStoreName` ou `CustomKeyStoreId` (mais pas les deux) pour limiter la sortie à un magasin de clés personnalisé en particulier. Pour les AWS CloudHSM banques de clés, la sortie comprend l'ID et le nom de la banque de clés personnalisée, le type de banque de clés personnalisé, l'ID du AWS CloudHSM cluster associé et l'état de la connexion. Si l'état de la connexion indique une erreur, la sortie inclut également un code d'erreur qui décrit la raison de l'erreur.

Les exemples de cette section utilisent la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge. 

Par exemple, la commande suivante renvoie tous les magasins de clés personnalisées du compte et de la région. Vous pouvez utiliser les paramètres `Marker` et `Limit` pour parcourir les magasins de clés personnalisés de la sortie.

```
$ aws kms describe-custom-key-stores
```

L'exemple de commande suivant utilise le paramètre `CustomKeyStoreName` pour obtenir uniquement le magasin de clés personnalisé avec le nom convivial `ExampleCloudHSMKeyStore`. Vous pouvez utiliser le paramètre `CustomKeyStoreName` ou le paramètre `CustomKeyStoreId` (mais pas les deux) dans chaque commande.

L'exemple de sortie suivant représente un magasin de AWS CloudHSM clés connecté à son AWS CloudHSM cluster.

**Note**  
Le `CustomKeyStoreType` champ a été ajouté à la `DescribeCustomKeyStores` réponse pour distinguer les magasins de AWS CloudHSM clés des magasins de clés externes.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleCloudHSMKeyStore
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionState": "CONNECTED",
         "CreationDate": "1.499288695918E9",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}
```

Un `ConnectionState` de `Disconnected` indique qu'un magasin de clés personnalisé n'a jamais été connecté ou qu'il a été intentionnellement [déconnecté de son AWS CloudHSM cluster](disconnect-keystore.md). Toutefois, si les tentatives d'utilisation d'une clé KMS dans un magasin de AWS CloudHSM clés connecté échouent, cela peut indiquer un problème lié au magasin de AWS CloudHSM clés ou à son AWS CloudHSM cluster. Pour obtenir de l'aide, veuillez consulter [Comment corriger les clés KMS défaillantes](fix-keystore.md#fix-cmk-failed).

Si `ConnectionState` a la valeur `FAILED`, la réponse `DescribeCustomKeyStores` inclut un élément `ConnectionErrorCode` qui explique la raison de l'erreur.

Par exemple, dans la sortie suivante, la valeur `INVALID_CREDENTIALS` indique que la connexion du magasin de clés personnalisé a échoué, car le mot de passe [`kmsuser` n'est pas valide](fix-keystore.md#fix-keystore-password). Pour obtenir de l'aide sur ce sujet et sur d'autres échecs de connexion, consultez [Dépannage d'un magasin de clés personnalisé](fix-keystore.md).

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionErrorCode": "INVALID_CREDENTIALS",
         "ConnectionState": "FAILED",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "CreationDate": "1.499288695918E9",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}
```

**En savoir plus :**
+ [Afficher les magasins de clés externes](view-xks-keystore.md)
+ [Identifiez les clés KMS dans les magasins de AWS CloudHSM clés](identify-key-types.md#identify-key-hsm-keystore)
+ [Journalisation des appels d' AWS KMS API avec AWS CloudTrail](logging-using-cloudtrail.md)

# Modifier les paramètres du magasin AWS CloudHSM clé
<a name="update-keystore"></a>

Vous pouvez modifier les paramètres d'un magasin de AWS CloudHSM clés existant. Le magasin de clés personnalisé doit être déconnecté de son AWS CloudHSM cluster.

Pour modifier les paramètres AWS CloudHSM du magasin de clés :

1. [Déconnectez le magasin de clés personnalisé](disconnect-keystore.md) de son cluster AWS CloudHSM .

   Lorsque le magasin de clés personnalisé est déconnecté, vous ne pouvez pas créer AWS KMS keys (clés KMS) dans le magasin de clés personnalisé et vous ne pouvez pas utiliser les clés KMS qu'il contient pour des [opérations cryptographiques](manage-cmk-keystore.md#use-cmk-keystore). 

1. Modifiez un ou plusieurs des AWS CloudHSM principaux paramètres du magasin.

   Vous pouvez modifier les paramètres suivants d'un magasin de clés personnalisé :  
Le nom convivial du magasin de clés personnalisé.  
Entrez un nouveau nom convivial. Le nouveau nom doit être unique parmi tous les magasins de clés personnalisés de votre Compte AWS.  
N'incluez pas d'informations confidentielles ou sensibles dans ce champ. Ce champ peut être affiché en texte brut dans les CloudTrail journaux et autres sorties.  
L'ID de cluster du AWS CloudHSM cluster associé.  
Modifiez cette valeur pour remplacer le AWS CloudHSM cluster d'origine par un cluster associé. Vous pouvez utiliser cette fonctionnalité pour réparer un magasin de clés personnalisé si son AWS CloudHSM cluster est endommagé ou supprimé.   
Spécifiez un AWS CloudHSM cluster qui partage un historique de sauvegarde avec le cluster d'origine et qui [répond aux exigences](create-keystore.md#before-keystore) d'association avec un magasin de clés personnalisé, dont deux actifs HSMs dans des zones de disponibilité différentes. Les clusters qui partagent un historique des sauvegardes historique ont le même certificat de cluster. Pour afficher le certificat de cluster d'un cluster, utilisez l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)opération. Vous ne pouvez pas utiliser la fonctionnalité de modification pour associer le magasin de clés personnalisé à un cluster AWS CloudHSM sans relation.   
Mot de passe actuel de l'[`kmsuser` utilisateur de chiffrement](keystore-cloudhsm.md#concept-kmsuser) (CU).  
 AWS KMS Indique le mot de passe actuel du `kmsuser` CU du AWS CloudHSM cluster. Cette action ne modifie pas le mot de passe du `kmsuser` CU dans le AWS CloudHSM cluster.  
Si vous modifiez le mot de passe de la `kmsuser` CU dans le AWS CloudHSM cluster, utilisez cette fonctionnalité pour indiquer AWS KMS le nouveau `kmsuser` mot de passe. Dans le cas contraire, AWS KMS peut pas se connecter au cluster et toutes les tentatives pour connecter le magasin de clés personnalisé au cluster échouent. 

1. [Reconnectez le magasin de clés personnalisé](connect-keystore.md) à son cluster AWS CloudHSM .

## Modifiez les paramètres de votre magasin de clés
<a name="edit-keystore-settings"></a>

Vous pouvez modifier les paramètres de votre magasin de AWS CloudHSM clés dans la AWS KMS console ou en utilisant l'[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)opération.

### Utilisation de la AWS KMS console
<a name="update-keystore-console"></a>

Lorsque vous modifiez un magasin de AWS CloudHSM clés, vous pouvez modifier n'importe laquelle des valeurs configurables.

1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

1. Dans le panneau de navigation, sélectionnez **Custom key stores** (Magasins de clés personnalisés), **AWS CloudHSM key stores** (Magasins de clés).

1. Choisissez la ligne du magasin de AWS CloudHSM clés que vous souhaitez modifier. 

   Si la valeur de la colonne **Status** n'est pas **Disconnected**, vous devez déconnecter le magasin de clés personnalisé avant de pouvoir le modifier. (Dans le menu **Key store actions** (Actions de magasin de clés), choisissez **Disconnect** [Déconnecter].)

   Lorsqu'un magasin de AWS CloudHSM clés est déconnecté, vous pouvez gérer le magasin de AWS CloudHSM clés et ses clés KMS, mais vous ne pouvez pas créer ou utiliser de clés KMS dans le magasin de AWS CloudHSM clés. 

1. À partir du menu **Key store actions** (Actions de magasin de clés), choisissez **Edit** (Modifier).

1. Effectuez une ou plusieurs des actions suivantes :
   + Entrez un nouveau nom convivial pour le magasin de clés personnalisé.
   + Entrez l'ID de cluster d'un AWS CloudHSM cluster associé.
   + Entrez le mot de passe actuel de l'utilisateur `kmsuser` crypté dans le AWS CloudHSM cluster associé.

1. Choisissez **Enregistrer**.

   Quand la procédure est réussie, un message décrit les paramètres que vous avez modifiés. Si elle ne réussit pas, un message d'erreur s'affiche qui décrit le problème et fournit une aide pour le résoudre. Si vous avez besoin d'aide supplémentaire, consultez [Dépannage d'un magasin de clés personnalisé](fix-keystore.md).

1. [Reconnectez le magasin de clés personnalisé.](connect-keystore.md)

   Pour utiliser le magasin de AWS CloudHSM clés, vous devez le reconnecter après l'avoir modifié. Vous pouvez laisser le magasin de clés AWS CloudHSM déconnecté. Toutefois, tant qu'il est déconnecté, vous ne pouvez pas créer de clés KMS dans le magasin de AWS CloudHSM clés ni utiliser les clés KMS du magasin de clés dans le AWS CloudHSM cadre d'[opérations cryptographiques](manage-cmk-keystore.md#use-cmk-keystore).

### Utilisation de l' AWS KMS API
<a name="update-keystore-api"></a>

Pour modifier les propriétés d'un magasin de AWS CloudHSM clés, utilisez l'[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)opération. Vous pouvez modifier plusieurs propriétés d'un magasin de clés personnalisé dans la même commande. Si l'opération aboutit, AWS KMS renvoie une réponse HTTP 200 et un objet JSON sans propriétés. Pour vérifier que les modifications sont effectives, utilisez l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération.

Les exemples de cette section utilisent la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge. 

Commencez par utiliser [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)pour [déconnecter le magasin de clés personnalisé](disconnect-keystore.md) de son AWS CloudHSM cluster. Remplacez l'exemple d'ID de magasin de clés personnalisé, cks-1234567890abcdef0, par un ID réel.

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Le premier exemple utilise [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)pour remplacer le nom convivial du magasin de AWS CloudHSM clés par`DevelopmentKeys`. La commande utilise le `CustomKeyStoreId` paramètre pour identifier le magasin de AWS CloudHSM clés et `CustomKeyStoreName` pour spécifier le nouveau nom du magasin de clés personnalisé.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys
```

L'exemple suivant remplace le cluster associé à une banque de AWS CloudHSM clés par une autre sauvegarde du même cluster. La commande utilise le `CustomKeyStoreId` paramètre pour identifier le magasin de AWS CloudHSM clés et le `CloudHsmClusterId` paramètre pour spécifier le nouvel ID de cluster. 

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg
```

L'exemple suivant indique AWS KMS que le mot de `kmsuser` passe actuel est`ExamplePassword`. La commande utilise le `CustomKeyStoreId` paramètre pour identifier le magasin de AWS CloudHSM clés et le `KeyStorePassword` paramètre pour spécifier le mot de passe actuel.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword
```

La commande finale reconnecte le magasin de AWS CloudHSM clés à son AWS CloudHSM cluster. Vous pouvez laisser le magasin de clés personnalisé à l'état déconnecté, mais vous devez le connecter avant de pouvoir créer des clés KMS ou d'utiliser les clés KMS existantes pour les [opérations de chiffrement](manage-cmk-keystore.md#use-cmk-keystore). Remplacez l'exemple d'ID de magasin de clés personnalisé par un ID réel.

```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

# Connectez un magasin AWS CloudHSM de clés
<a name="connect-keystore"></a>

Les nouveaux magasins de AWS CloudHSM clés ne sont pas connectés. Avant de pouvoir créer et utiliser AWS KMS keys dans votre magasin de AWS CloudHSM clés, vous devez le connecter au AWS CloudHSM cluster associé. Vous pouvez connecter et déconnecter votre magasin de AWS CloudHSM clés à tout moment et [consulter son état de connexion](view-keystore.md#view-keystore-console). 

Vous n'êtes pas obligé de connecter votre magasin de AWS CloudHSM clés. Vous pouvez laisser un magasin de AWS CloudHSM clés dans un état déconnecté indéfiniment et le connecter uniquement lorsque vous en avez besoin. Cependant, vous pouvez tester la connexion régulièrement pour vérifier que les paramètres sont corrects et que le magasin peut être connecté.

**Note**  
AWS CloudHSM les magasins de clés ont un état de `DISCONNECTED` connexion uniquement lorsque le magasin de clés n'a jamais été connecté ou que vous le déconnectez explicitement. Si l'état de votre connexion au magasin de AWS CloudHSM clés est le même `CONNECTED` mais que vous ne parvenez pas à l'utiliser, assurez-vous que le AWS CloudHSM cluster associé est actif et qu'il en contient au moins un actif HSMs. Pour obtenir de l'aide concernant les connexions ayant échoué, veuillez consulter [Dépannage d'un magasin de clés personnalisé](fix-keystore.md).

Lorsque vous connectez un magasin de AWS CloudHSM clés, AWS KMS trouvez le AWS CloudHSM cluster associé, vous y connectez, vous connectez au AWS CloudHSM client en tant qu'[utilisateur `kmsuser` cryptographique](keystore-cloudhsm.md#concept-kmsuser) (CU), puis modifiez le `kmsuser` mot de passe. AWS KMS reste connecté au AWS CloudHSM client tant que le magasin de AWS CloudHSM clés est connecté.

Pour établir la connexion, AWS KMS crée un [groupe de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) nommé `kms-<custom key store ID>` dans le cloud privé virtuel (VPC) du cluster. Le groupe de sécurité dispose d'une règle unique qui autorise le trafic entrant en provenance du groupe de sécurité du cluster. AWS KMS crée également une [Elastic Network Interface](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) (ENI) dans chaque zone de disponibilité du sous-réseau privé du cluster. AWS KMS ajoute le ENIs au groupe `kms-<cluster ID>` de sécurité et le groupe de sécurité du cluster. La description de chaque ENI est `KMS managed ENI for cluster <cluster-ID>`.

Le processus de connexion peut prendre un certain temps pour s'achever, jusqu'à 20 minutes. 

Avant de connecter le magasin de AWS CloudHSM clés, vérifiez qu'il répond aux exigences.
+ Son AWS CloudHSM cluster associé doit contenir au moins un HSM actif. Pour trouver le nombre de HSMs dans le cluster, visualisez le cluster dans la AWS CloudHSM console ou utilisez l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)opération. Si nécessaire, vous pouvez [ajouter un module HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html).
+ Le cluster doit disposer d'un compte [utilisateur `kmsuser` crypté](create-keystore.md#kmsuser-concept) (CU), mais ce CU ne peut pas être connecté au cluster lorsque vous connectez le magasin de AWS CloudHSM clés. Pour obtenir de l'aide sur la déconnexion, reportez-vous à la section [Comment se déconnecter et se reconnecter](fix-keystore.md#login-kmsuser-2).
+ L'état de connexion du magasin de AWS CloudHSM clés ne peut pas être `DISCONNECTING` ou`FAILED`. Pour afficher l'état de la connexion, utilisez la AWS KMS console ou la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)réponse. Si l'état de la connexion est `FAILED`, déconnectez le magasin de clés personnalisé, résolvez le problème, puis connectez-le à nouveau.

Pour obtenir de l'aide concernant les connexions ayant échoué, veuillez consulter [Comment corriger un échec de connexion](fix-keystore.md#fix-keystore-failed).

Lorsque votre magasin de AWS CloudHSM clés est connecté, vous pouvez y [créer des clés KMS et utiliser](create-cmk-keystore.md) les clés KMS existantes dans [des opérations cryptographiques](manage-cmk-keystore.md#use-cmk-keystore).

## Connectez-vous et reconnectez-vous à votre magasin de AWS CloudHSM clés
<a name="connect-hsm-keystore"></a>

Vous pouvez connecter ou reconnecter votre magasin de AWS CloudHSM clés dans la AWS KMS console ou en utilisant l'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)opération.

### Utilisation de la AWS KMS console
<a name="connect-keystore-console"></a>

Pour connecter un magasin de AWS CloudHSM clés dans le AWS Management Console, commencez par sélectionner le magasin de AWS CloudHSM clés **sur la page Stockages de clés personnalisés**. Le processus de connexion peut prendre jusqu'à 20 minutes.

1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

1. Dans le panneau de navigation, sélectionnez **Custom key stores** (Magasins de clés personnalisés), **AWS CloudHSM key stores** (Magasins de clés).

1. Choisissez la ligne du magasin de AWS CloudHSM clés que vous souhaitez connecter. 

   Si l'état de connexion du magasin de AWS CloudHSM clés est **Échec**, vous devez [déconnecter le magasin de clés personnalisé](disconnect-keystore.md#disconnect-keystore-console) avant de le connecter.

1. Dans le menu **Key store actions** (Actions de magasin de clés), choisissez **Connect** (Connecter).

AWS KMS lance le processus de connexion à votre magasin de clés personnalisé. Il recherche le cluster AWS CloudHSM associé, crée l'infrastructure réseau requise, la connecte, se connecte au cluster AWS CloudHSM en tant qu'utilisateur de chiffrement (CU) `kmsuser` et effectue une rotation du mot de passe `kmsuser`. Une fois l'opération terminée, l'état de la connexion devient **Connected**. 

Si l'opération échoue, un message d'erreur s'affiche qui décrit la raison de l'échec. Avant de réessayer de vous connecter, [consultez l'état de connexion](view-keystore.md) de votre magasin de AWS CloudHSM clés. Si le statut est **Failed**, vous devez [déconnecter le magasin de clés personnalisé](disconnect-keystore.md#disconnect-keystore-console) avant de vous connecter à nouveau. Si vous avez besoin d'aide, consultez [Dépannage d'un magasin de clés personnalisé](fix-keystore.md).

**Suivant :** [Création d'une clé KMS dans un magasin de AWS CloudHSM clés](create-cmk-keystore.md).

### Utilisation de l' AWS KMS API
<a name="connect-keystore-api"></a>

Pour connecter un magasin de AWS CloudHSM clés déconnecté, utilisez l'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)opération. Le AWS CloudHSM cluster associé doit contenir au moins un HSM actif et l'état de connexion ne peut pas l'être`FAILED`.

Le processus de connexion peut prendre un certain temps pour s'achever, jusqu'à 20 minutes. Sauf si elle échoue rapidement, l'opération renvoie une réponse HTTP 200 et un objet JSON sans propriétés. Cependant, cette réponse initiale n'indique pas que la connexion a abouti. Pour déterminer l'état de connexion du magasin de clés personnalisé, consultez la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)réponse.

Les exemples de cette section utilisent la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge. 

Pour identifier le magasin de AWS CloudHSM clés, utilisez son identifiant de magasin de clés personnalisé. Vous pouvez trouver l'ID sur la page des **stockages de clés personnalisés** de la console ou en utilisant l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération sans paramètres. Avant d'exécuter cet exemple, remplacez l'ID de l'exemple par un ID valide.

```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Pour vérifier que le magasin de AWS CloudHSM clés est connecté, utilisez l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Toutefois, vous pouvez utiliser le paramètre `CustomKeyStoreName`ou `CustomKeyStoreId` (mais pas les deux) pour limiter la réponse à des magasins de clés personnalisés en particulier. Si `ConnectionState` a la valeur `CONNECTED`, cela indique que le magasin de clés personnalisé est connecté à son cluster AWS CloudHSM .

**Note**  
Le `CustomKeyStoreType` champ a été ajouté à la `DescribeCustomKeyStores` réponse pour distinguer les magasins de AWS CloudHSM clés des magasins de clés externes.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}
```

Si la valeur de `ConnectionState` est failed, l'élément `ConnectionErrorCode` indique la raison de l'échec. Dans ce cas, vous AWS KMS n'avez pas trouvé de AWS CloudHSM cluster dans votre compte avec l'ID du cluster`cluster-1a23b4cdefg`. Si vous avez supprimé le cluster, vous pouvez le [restaurer à partir d'une sauvegarde](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) du cluster d'origine, puis [modifier l'ID de cluster](update-keystore.md) pour le magasin de clés personnalisé. Pour obtenir de l'aide afin de répondre à un code d'erreur de connexion, veuillez consulter la rubrique [Comment corriger un échec de connexion](fix-keystore.md#fix-keystore-failed).

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
      "ConnectionErrorCode": "CLUSTER_NOT_FOUND"
   ],
}
```

# Déconnecter un magasin de AWS CloudHSM clés
<a name="disconnect-keystore"></a>

Lorsque vous déconnectez un magasin de AWS CloudHSM clés, AWS KMS que vous vous déconnectez du AWS CloudHSM client, que vous vous déconnectez du AWS CloudHSM cluster associé et que vous supprimez l'infrastructure réseau créée pour prendre en charge la connexion.

Lorsqu'un magasin de AWS CloudHSM clés est déconnecté, vous pouvez gérer le magasin de AWS CloudHSM clés et ses clés KMS, mais vous ne pouvez pas créer ou utiliser de clés KMS dans le magasin de AWS CloudHSM clés. L'état de connexion du magasin de clés est `DISCONNECTED` et l'[état de la clé](key-state.md) des clés KMS du magasin de clés personnalisé est `Unavailable`, sauf si elles sont `PendingDeletion`. Vous pouvez reconnecter le magasin de AWS CloudHSM clés à tout moment.

**Note**  
AWS CloudHSM les magasins de clés ont un état de `DISCONNECTED` connexion uniquement lorsque le magasin de clés n'a jamais été connecté ou que vous le déconnectez explicitement. Si l'état de votre connexion au magasin de AWS CloudHSM clés est le même `CONNECTED` mais que vous ne parvenez pas à l'utiliser, assurez-vous que le AWS CloudHSM cluster associé est actif et qu'il en contient au moins un actif HSMs. Pour obtenir de l'aide concernant les connexions ayant échoué, veuillez consulter [Dépannage d'un magasin de clés personnalisé](fix-keystore.md).

Lorsque vous déconnectez un magasin de clés personnalisé, les clés KMS du magasin de clés deviennent immédiatement inutilisables (sous réserve d'une éventuelle cohérence). Toutefois, les ressources chiffrées à l'aide de [clés de données](data-keys.md) protégées par la clé KMS ne sont pas affectées tant que la clé KMS n'est pas réutilisée, par exemple pour déchiffrer la clé de données. Ce problème affecte les Services AWS, dont beaucoup utilisent des clés de données pour protéger vos ressources. Pour en savoir plus, consultez [Comment les clés KMS inutilisables affectent les clés de données](unusable-kms-keys.md).

**Note**  
Même si un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de clés KMS dans le magasin de clés personnalisé ou d'utilisation de clés KMS existantes dans les opérations de chiffrement échouent. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.

Pour mieux estimer l'effet de la déconnexion de votre magasin de clés personnalisé, [identifiez les clés KMS](find-cmk-in-keystore.md) du magasin de clés personnalisé et [déterminez leur utilisation antérieure](deleting-keys-determining-usage.md).

Vous pouvez déconnecter un magasin de AWS CloudHSM clés pour les raisons suivantes :
+ **Pour effectuer une rotation du mot de passe `kmsuser`. ** AWS KMS modifie le mode de passe de `kmsuser` chaque fois qu'il se connecte au cluster AWS CloudHSM . Pour forcer une rotation de mot de passe, déconnectez-vous et reconnectez-vous.
+ **Pour auditer le matériel clé** des clés KMS du AWS CloudHSM cluster. Lorsque vous déconnectez le magasin de clés personnalisé AWS KMS , vous vous déconnectez du compte [utilisateur `kmsuser` cryptographique](keystore-cloudhsm.md#concept-kmsuser) du AWS CloudHSM client. Ceci vous permet de vous connecter au cluster en tant qu'utilisateur du chiffrement `kmsuser`, et d'auditer et gérer les éléments de clé pour la clé KMS.
+ **Pour désactiver immédiatement toutes les clés KMS** dans le magasin de clés AWS CloudHSM . Vous pouvez [désactiver et réactiver les clés KMS](enabling-keys.md) dans un magasin de AWS CloudHSM clés en utilisant l'[DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)opération AWS Management Console ou. Ces opérations s'effectuent rapidement, mais elles agissent sur une seule clé KMS à la fois. La déconnexion du magasin de AWS CloudHSM clés change immédiatement l'état de toutes les clés KMS du magasin de AWS CloudHSM clés`Unavailable`, ce qui empêche leur utilisation dans le cadre d'une opération cryptographique.
+ **Pour réparer un échec de tentative de connexion**. Si la tentative de connexion d'un magasin de AWS CloudHSM clés échoue (l'état de connexion du magasin de clés personnalisé est le cas`FAILED`), vous devez déconnecter le magasin de AWS CloudHSM clés avant de réessayer de le connecter.

## Déconnectez votre magasin de AWS CloudHSM clés
<a name="disconnect-hsm-keystore"></a>

Vous pouvez déconnecter votre AWS CloudHSM porte-clés dans la AWS KMS console ou en utilisant l'[DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)opération.

### Déconnexion à l'aide de la AWS KMS console
<a name="disconnect-keystore-console"></a>

Pour déconnecter un magasin de AWS CloudHSM clés connecté dans la AWS KMS console, commencez par choisir le magasin de AWS CloudHSM clés **sur la page Stockages de clés personnalisés**.

1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

1. Dans le panneau de navigation, sélectionnez **Custom key stores** (Magasins de clés personnalisés), **AWS CloudHSM key stores** (Magasins de clés).

1. Choisissez la ligne du magasin de clés externe que vous souhaitez déconnecter. 

1. Dans le menu **Key store actions** (Actions de magasin de clés), choisissez **Disconnect** (Déconnecter).

Une fois l'opération terminée, l'état de la connexion passe de **Disconnecting** à **Disconnected**. Si l'opération échoue, un message d'erreur s'affiche qui décrit le problème et fournit une aide pour le résoudre. Si vous avez besoin d'aide supplémentaire, consultez [Dépannage d'un magasin de clés personnalisé](fix-keystore.md).

### Déconnectez-vous à l'aide de l' AWS KMS API
<a name="disconnect-keystore-api"></a>

Pour déconnecter un magasin de AWS CloudHSM clés connecté, utilisez l'[DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)opération. Si l'opération aboutit, AWS KMS renvoie une réponse HTTP 200 et un objet JSON sans propriétés.

Les exemples de cette section utilisent la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge. 

Cet exemple déconnecte un magasin de AWS CloudHSM clés. Avant d'exécuter cet exemple, remplacez l'ID de l'exemple par un ID valide.

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Pour vérifier que le magasin de AWS CloudHSM clés est déconnecté, utilisez l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Toutefois, vous pouvez utiliser le paramètre `CustomKeyStoreName` ou `CustomKeyStoreId` (mais pas les deux) pour limiter la réponse à des magasins de clés personnalisés en particulier. La `ConnectionState` valeur de `DISCONNECTED` indique que cet exemple de magasin de AWS CloudHSM clés n'est pas connecté à son AWS CloudHSM cluster.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "1.499288695918E9",
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>"
   ],
}
```

# Supprimer un magasin AWS CloudHSM de clés
<a name="delete-keystore"></a>

Lorsque vous supprimez un magasin de AWS CloudHSM clés, toutes les AWS KMS métadonnées le AWS CloudHSM concernant sont supprimées de KMS, y compris les informations relatives à son association avec un AWS CloudHSM cluster. Cette opération n'affecte ni le AWS CloudHSM cluster HSMs, ni ses utilisateurs. Vous pouvez créer un nouveau magasin de AWS CloudHSM clés associé au même AWS CloudHSM cluster, mais vous ne pouvez pas annuler l'opération de suppression.

Vous ne pouvez supprimer qu'un magasin de AWS CloudHSM clés qui est déconnecté de son AWS CloudHSM cluster et qui n'en contient aucun AWS KMS keys. Avant de supprimer un magasin de clés personnalisé, procédez comme suit :
+ Vérifiez que vous n'aurez jamais besoin d'utiliser l'une des clés KMS du magasin de clés pour des [opérations de chiffrement](manage-cmk-keystore.md#use-cmk-keystore). Ensuite, [planifiez la suppression](deleting-keys.md#delete-cmk-keystore) de toutes les clés KMS du magasin de clés. Pour obtenir de l'aide pour trouver les clés KMS dans un magasin de AWS CloudHSM clés, consultez[Trouvez les clés KMS dans un magasin de AWS CloudHSM clés](find-cmk-in-keystore.md).
+ Vérifiez que toutes les clés KMS ont été supprimées. Pour afficher les clés KMS dans un magasin de AWS CloudHSM clés, voir[Identifiez les clés KMS dans les magasins de AWS CloudHSM clés](identify-key-types.md#identify-key-hsm-keystore).
+ [Déconnectez le magasin de AWS CloudHSM clés](disconnect-keystore.md) de son AWS CloudHSM cluster.

Au lieu de supprimer le magasin de AWS CloudHSM clés, pensez à le [déconnecter](disconnect-keystore.md) de son AWS CloudHSM cluster associé. Lorsqu'un magasin de AWS CloudHSM clés est déconnecté, vous pouvez gérer le magasin de AWS CloudHSM clés et son AWS KMS keys. Mais vous ne pouvez pas créer ou utiliser de clés KMS dans le magasin de AWS CloudHSM clés. Vous pouvez reconnecter le magasin de AWS CloudHSM clés à tout moment.

## Supprimer votre magasin AWS CloudHSM de clés
<a name="delete-hsm-keystore"></a>

Vous pouvez supprimer votre magasin de AWS CloudHSM clés dans la AWS KMS console ou en utilisant cette [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)opération.

### Utilisation de la AWS KMS console
<a name="delete-keystore-console"></a>

Pour supprimer un magasin de AWS CloudHSM clés dans le AWS Management Console, commencez par sélectionner le magasin de AWS CloudHSM clés **sur la page Stockages de clés personnalisés**.

1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

1. Dans le panneau de navigation, sélectionnez **Custom key stores** (Magasins de clés personnalisés), **AWS CloudHSM key stores** (Magasins de clés).

1. Recherchez la ligne qui représente le magasin de AWS CloudHSM clés que vous souhaitez supprimer. Si l'**état de connexion** du magasin de AWS CloudHSM clés n'est pas **Déconnecté**, vous devez [déconnecter le magasin de AWS CloudHSM clés](disconnect-keystore.md) avant de le supprimer.

1. Dans le menu **Key store actions** (Actions de magasin de clés), choisissez **Delete** (Supprimer).

Lorsque l'opération est terminée, un message de réussite apparaît et le magasin de AWS CloudHSM clés n'apparaît plus dans la liste des magasins de clés. Si l'opération échoue, un message d'erreur s'affiche qui décrit le problème et fournit une aide pour le résoudre. Si vous avez besoin d'aide supplémentaire, consultez [Dépannage d'un magasin de clés personnalisé](fix-keystore.md).

### Utilisation de l' AWS KMS API
<a name="delete-keystore-api"></a>

Pour supprimer un magasin de AWS CloudHSM clés, utilisez l'[DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)opération. Si l'opération aboutit, AWS KMS renvoie une réponse HTTP 200 et un objet JSON sans propriétés.

Pour commencer, vérifiez que le magasin de AWS CloudHSM clés n'en contient aucune AWS KMS keys. Vous ne pouvez pas supprimer un magasin de clés personnalisé qui contient des clés KMS. Le premier exemple de commande utilise [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)et [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)pour rechercher AWS KMS keys dans le magasin de AWS CloudHSM clés avec l'exemple d'ID de magasin de clés *cks-1234567890abcdef0* personnalisé. Dans ce cas, la commande ne renvoie aucune clé KMS. Si c'est le cas, utilisez l'[ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)opération pour planifier la suppression de chacune des clés KMS.

------
#### [ Bash ]

```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ; 
do aws kms describe-key --key-id $key | 
grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done
```

------
#### [ PowerShell ]

```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'
```

------

Ensuite, déconnectez le magasin de AWS CloudHSM clés. Cet exemple de commande utilise l'[DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)opération pour déconnecter un magasin de AWS CloudHSM clés de son AWS CloudHSM cluster. Avant d’exécuter la commande, remplacez l’exemple d’ID de magasin de clés personnalisé par un ID valide.

------
#### [ Bash ]

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

------
#### [ PowerShell ]

```
PS C:\> Disconnect-KMSCustomKeyStore -CustomKeyStoreId cks-1234567890abcdef0
```

------

Une fois le magasin de clés personnalisé déconnecté, vous pouvez utiliser [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)cette opération pour le supprimer. 

------
#### [ Bash ]

```
$ aws kms delete-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

------
#### [ PowerShell ]

```
PS C:\> Remove-KMSCustomKeyStore -CustomKeyStoreId cks-1234567890abcdef0
```

------

# Dépannage d'un magasin de clés personnalisé
<a name="fix-keystore"></a>

AWS CloudHSM les magasins clés sont conçus pour être disponibles et résilients. Cependant, vous devrez peut-être corriger certaines erreurs pour que votre magasin de AWS CloudHSM clés reste opérationnel.

**Topics**
+ [Comment corriger les clés KMS non disponibles](#fix-unavailable-cmks)
+ [Comment corriger les clés KMS défaillantes](#fix-cmk-failed)
+ [Comment corriger un échec de connexion](#fix-keystore-failed)
+ [Comment répondre à un échec d'opération de chiffrement](#fix-keystore-communication)
+ [Comment corriger les informations d'identification `kmsuser` non valides](#fix-keystore-password)
+ [Comment supprimer les éléments de clé orphelins](#fix-keystore-orphaned-key)
+ [Comment récupérer les éléments de clé supprimés pour une clé KMS](#fix-keystore-recover-backing-key)
+ [Comment se connecter en tant que `kmsuser`](#fix-login-as-kmsuser)

## Comment corriger les clés KMS non disponibles
<a name="fix-unavailable-cmks"></a>

L'[état clé](key-state.md) de AWS KMS keys dans un magasin de AWS CloudHSM clés est généralement`Enabled`. Comme toutes les clés KMS, l'état de la clé change lorsque vous désactivez les clés KMS dans un magasin de AWS CloudHSM clés ou que vous planifiez leur suppression. Toutefois, contrairement à d'autres clés KMS, les clés KMS d'un magasin de clés personnalisé peuvent également avoir un [état de clé](key-state.md) de `Unavailable`. 

Un état de clé `Unavailable` indique que la clé KMS est dans un magasin de clés personnalisé qui a été intentionnellement [déconnecté](disconnect-keystore.md) et que les tentatives pour le reconnecter, le cas échéant, ont échoué. Lorsqu'une clé KMS n'est pas disponible, vous pouvez afficher et gérer la clé KMS, mais vous ne pouvez pas l'utiliser dans les [opérations de chiffrement](manage-cmk-keystore.md#use-cmk-keystore).

Pour obtenir l'état de clé d'une clé KMS, sur la page **Clés gérées par le client**, veuillez consulter le champ **Status (État)** de la clé KMS. Vous pouvez également utiliser l'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)opération et afficher l'`KeyState`élément dans la réponse. Pour plus de détails, veuillez consulter [Identifier et afficher les clés](viewing-keys.md).

Les clés KMS d'un magasin de clés personnalisé déconnecté possèdent l'état de clé `Unavailable` ou `PendingDeletion`. Les clés KMS dont la suppression a été planifiée à partir d'un magasin de clés personnalisé ont un état de clé `Pending Deletion`, même si le magasin de clés personnalisé est déconnecté. Cela vous permet d'annuler la suppression de clé planifiée sans reconnecter le magasin de clés personnalisé. 

Pour corriger une clé KMS indisponible, [reconnectez le magasin de clés personnalisé](disconnect-keystore.md). Une fois le magasin de clés personnalisé reconnecté, l'état de clé des clés KMS du magasin de clés personnalisé est automatiquement restauré à son état précédent, comme `Enabled` ou `Disabled`. Les clés KMS qui sont en attente de suppression restent dans l'état `PendingDeletion`. Toutefois, si le problème persiste, [l'activation et la désactivation d'une clé KMS indisponible](enabling-keys.md) ne changent pas son état. L'action d'activation ou de désactivation prend effet uniquement lorsque la clé devient disponible.

Pour obtenir de l'aide concernant les connexions ayant échoué, consultez [Comment corriger un échec de connexion](#fix-keystore-failed). 

## Comment corriger les clés KMS défaillantes
<a name="fix-cmk-failed"></a>

Les problèmes liés à la création et à l'utilisation de clés KMS dans AWS CloudHSM les magasins de clés peuvent être dus à un problème lié à votre magasin de AWS CloudHSM clés, au AWS CloudHSM cluster associé, à la clé KMS ou à son contenu clé. 

Lorsqu'un magasin de AWS CloudHSM clés est déconnecté de son AWS CloudHSM cluster, l'état clé des clés KMS dans le magasin de clés personnalisé est`Unavailable`. Toutes les demandes de création de clés KMS dans un magasin de AWS CloudHSM clés déconnecté renvoient une `CustomKeyStoreInvalidStateException` exception. Toutes les demandes pour chiffrer, déchiffrer, rechiffrer ou générer les clés de données renvoient une exception `KMSInvalidStateException`. Pour résoudre le problème, [reconnectez le magasin de AWS CloudHSM clés.](connect-keystore.md)

Toutefois, vos tentatives d'utilisation d'une clé KMS dans un magasin de AWS CloudHSM clés pour [des opérations cryptographiques](manage-cmk-keystore.md#use-cmk-keystore) peuvent échouer même si l'état de la clé est `Enabled` identique à celui de la connexion du magasin de AWS CloudHSM clés. `Connected` Cela peut être dû à l'une des conditions suivantes.
+ Les éléments de clé de la clé KMS peuvent avoir été supprimés du cluster AWS CloudHSM associé. Pour étudier, [recherchez l'identifiant](find-handle-for-cmk-id.md) de la clé d'une clé KMS et, si nécessaire, essayez de [récupérer la clé](#fix-keystore-recover-backing-key).
+ Tous HSMs ont été supprimés du AWS CloudHSM cluster associé au magasin de AWS CloudHSM clés. Pour utiliser une clé KMS dans un magasin de AWS CloudHSM clés dans le cadre d'une opération cryptographique, son AWS CloudHSM cluster doit contenir au moins un HSM actif. Pour vérifier le nombre et l'état de HSMs dans un AWS CloudHSM cluster, [utilisez la AWS CloudHSM console](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html) ou l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)opération. Pour ajouter un HSM au cluster, utilisez la AWS CloudHSM console ou l'[CreateHsm](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateHsm.html)opération.
+ Le AWS CloudHSM cluster associé au magasin de AWS CloudHSM clés a été supprimé. Pour corriger le problème, [créez un cluster à partir d'une sauvegarde](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) qui est liée au cluster d'origine, telle qu'une sauvegarde du cluster d'origine ou une sauvegarde qui a été utilisée pour créer le cluster d'origine. Ensuite, [modifiez l'ID de cluster](update-keystore.md) dans les paramètres du magasin de clés personnalisé. Pour obtenir des instructions, veuillez consulter [Comment récupérer les éléments de clé supprimés pour une clé KMS](#fix-keystore-recover-backing-key).
+ Le AWS CloudHSM cluster associé au magasin de clés personnalisé ne disposait d'aucune session PKCS \$111 disponible. Cela se produit généralement pendant les périodes de fort trafic en rafale, lorsque des sessions supplémentaires sont nécessaires pour traiter le trafic. Pour réagir à une exception `KMSInternalException` avec un message d'erreur concernant les sessions PKCS \$111, revenez en arrière et relancez la requête. 

## Comment corriger un échec de connexion
<a name="fix-keystore-failed"></a>

Si vous essayez de [connecter un magasin de AWS CloudHSM clés](connect-keystore.md) à son AWS CloudHSM cluster, mais que l'opération échoue, l'état de connexion du magasin de AWS CloudHSM clés passe à`FAILED`. Pour connaître l'état de connexion d'un magasin de AWS CloudHSM clés, utilisez la AWS KMS console ou l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération. 

Sinon, certains tentatives de connexion échouent rapidement en raison d'erreurs de configuration de cluster facilement détectées. Dans ce cas, l'état de la connexion est toujours `DISCONNECTED`. Ces échecs renvoient un message d'erreur ou une [exception](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html#API_ConnectCustomKeyStore_Errors) qui explique pourquoi la tentative a échoué. Consultez la description de l'exception et [les exigences du cluster](create-keystore.md#before-keystore), résolvez le problème, [mettez à jour le magasin de AWS CloudHSM clés](update-keystore.md), si nécessaire, et réessayez de vous connecter.

Lorsque l'état de connexion est `FAILED` défini, exécutez l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération et voyez l'`ConnectionErrorCode`élément dans la réponse.

**Note**  
Lorsque l'état de connexion d'un magasin de AWS CloudHSM clés est `FAILED` atteint, vous devez [le AWS CloudHSM déconnecter](disconnect-keystore.md) avant de tenter de le reconnecter. Vous ne pouvez pas connecter un magasin de AWS CloudHSM clés doté d'un état de `FAILED` connexion.
+ `CLUSTER_NOT_FOUND`indique qu'il est AWS KMS impossible de trouver un AWS CloudHSM cluster avec l'ID de cluster spécifié. Cela peut se produire parce que le mauvais ID de cluster a été fourni à une opération d'API ou que le cluster a été supprimé et n'a pas été remplacé. Pour corriger cette erreur, vérifiez l'ID du cluster, par exemple à l'aide de la AWS CloudHSM console ou de l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)opération. Si le cluster a été supprimé, la [créez un cluster à partir d'une sauvegarde récente](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) de l'original. [Déconnectez ensuite le magasin de AWS CloudHSM clés](disconnect-keystore.md), [modifiez le AWS CloudHSM paramètre d'ID du cluster de magasins](update-keystore.md) de clés et [reconnectez le magasin de AWS CloudHSM clés](connect-keystore.md) au cluster.
+ `INSUFFICIENT_CLOUDHSM_HSMS`indique que le AWS CloudHSM cluster associé n'en contient aucun HSMs. Pour vous connecter, le cluster doit avoir au moins un HSM. Pour trouver le nombre de HSMs dans le cluster, utilisez l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)opération. Pour résoudre cette erreur, [ajoutez au moins un module HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-hsm.html) au cluster. Si vous en ajoutez plusieurs HSMs, il est préférable de les créer dans différentes zones de disponibilité.
+ `INSUFFICIENT_FREE_ADDRESSES_IN_SUBNET`indique qu'il n' AWS KMS a pas pu connecter le magasin de AWS CloudHSM clés à son AWS CloudHSM cluster car au moins un [sous-réseau privé associé au cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html) ne dispose d'aucune adresse IP disponible. Une connexion au magasin de AWS CloudHSM clés nécessite une adresse IP libre dans chacun des sous-réseaux privés associés, bien que deux soient préférables.

  Vous [ne pouvez pas ajouter des adresses IP](https://aws.amazon.com/premiumsupport/knowledge-center/vpc-ip-address-range/) (blocs CIDR) vers un sous-réseau existant. Si possible, déplacez ou supprimez les autres ressources qui utilisent les adresses IP du sous-réseau, telles que les instances EC2 inutilisées ou les interfaces réseau Elastic. Sinon, vous pouvez [créer un cluster à partir d'une sauvegarde récente](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) du AWS CloudHSM cluster avec des sous-réseaux privés nouveaux ou existants qui disposent de [plus d'espace d'adressage libre](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing). Ensuite, pour associer le nouveau cluster à votre magasin de AWS CloudHSM clés, [déconnectez le magasin de clés personnalisé](disconnect-keystore.md), [remplacez l'ID de cluster](update-keystore.md) du magasin de AWS CloudHSM clés par l'ID du nouveau cluster, puis réessayez de vous connecter.
**Astuce**  
Pour éviter [de réinitialiser le `kmsuser` mot de passe](#fix-keystore-password), utilisez la sauvegarde la plus récente du AWS CloudHSM cluster.
+ `INTERNAL_ERROR`indique que la demande n' AWS KMS a pas pu être traitée en raison d'une erreur interne. Réitérez la demande. Pour les `ConnectCustomKeyStore` demandes, déconnectez le magasin de AWS CloudHSM clés avant de réessayer de vous connecter.
+ `INVALID_CREDENTIALS`indique qu'il AWS KMS ne peut pas se connecter au AWS CloudHSM cluster associé car le mot de passe du `kmsuser` compte n'est pas correct. Pour obtenir de l'aide sur cette erreur, veuillez consulter [Comment corriger les informations d'identification `kmsuser` non valides](#fix-keystore-password).
+ `NETWORK_ERRORS` indique généralement des problèmes réseau temporaires. [Déconnectez le magasin de AWS CloudHSM clés](disconnect-keystore.md), attendez quelques minutes, puis réessayez de vous connecter.
+ `SUBNET_NOT_FOUND`indique qu'au moins un sous-réseau de la configuration du AWS CloudHSM cluster a été supprimé. Si vous AWS KMS ne trouvez pas tous les sous-réseaux dans la configuration du cluster, les tentatives de connexion du magasin de AWS CloudHSM clés au AWS CloudHSM cluster échouent. 

  Pour corriger cette erreur, [créez un cluster à partir d'une sauvegarde récente](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) du même AWS CloudHSM cluster. (Ce processus crée une nouvelle configuration de cluster avec un VPC et des sous-réseaux privés.) Vérifiez que le nouveau cluster répond aux [conditions requises pour un magasin de clés personnalisé](create-keystore.md#before-keystore) et notez l'ID du nouveau cluster. Ensuite, pour associer le nouveau cluster à votre magasin de AWS CloudHSM clés, [déconnectez le magasin de clés personnalisé](disconnect-keystore.md), [remplacez l'ID de cluster](update-keystore.md) du magasin de AWS CloudHSM clés par l'ID du nouveau cluster, puis réessayez de vous connecter.
**Astuce**  
Pour éviter [de réinitialiser le `kmsuser` mot de passe](#fix-keystore-password), utilisez la sauvegarde la plus récente du AWS CloudHSM cluster.
+ `USER_LOCKED_OUT` indique que le [compte CU (utilisateur de chiffrement) `kmsuser`](keystore-cloudhsm.md#concept-kmsuser) est verrouillé pour le cluster AWS CloudHSM associé en raison d'un trop grand nombre de tentatives de mot de passe ayant échoué. Pour obtenir de l'aide sur cette erreur, veuillez consulter [Comment corriger les informations d'identification `kmsuser` non valides](#fix-keystore-password).

  Pour corriger cette erreur, [déconnectez le magasin de AWS CloudHSM clés](disconnect-keystore.md) et utilisez la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) dans la CLI CloudHSM pour modifier le mot de passe du compte. `kmsuser` Ensuite, [modifiez le `kmsuser` paramètre de mot de passe](update-keystore.md) pour le magasin de clés personnalisé, et essayez de vous connecter à nouveau. Pour obtenir de l'aide, utilisez la procédure décrite dans la rubrique [Comment corriger les informations d'identification `kmsuser` non valides](#fix-keystore-password).
+ `USER_LOGGED_IN`indique que le compte `kmsuser` CU est connecté au AWS CloudHSM cluster associé. Cela AWS KMS empêche la rotation du mot de passe du `kmsuser` compte et la connexion au cluster. Pour corriger cette erreur, déconnectez le compte CU `kmsuser` du cluster. Si vous avez modifié le `kmsuser` mot de passe pour vous connecter au cluster, vous devez également mettre à jour la valeur du mot de passe du magasin de clés pour le magasin de AWS CloudHSM clés. Pour obtenir de l'aide, veuillez consulter [Comment se déconnecter et se reconnecter](#login-kmsuser-2).
+ `USER_NOT_FOUND`indique qu'il est AWS KMS impossible de trouver un compte `kmsuser` CU dans le AWS CloudHSM cluster associé. Pour corriger cette erreur, [créez un compte `kmsuser` CU](create-keystore.md#kmsuser-concept) dans le cluster, puis [mettez à jour la valeur du mot de passe du magasin de clés](update-keystore.md) pour le magasin de AWS CloudHSM clés. Pour obtenir de l'aide, veuillez consulter [Comment corriger les informations d'identification `kmsuser` non valides](#fix-keystore-password).

## Comment répondre à un échec d'opération de chiffrement
<a name="fix-keystore-communication"></a>

Une opération de chiffrement qui utilise une clé KMS dans un magasin de clés personnalisé peut échouer avec un `KMSInvalidStateException`. Les messages d'erreur suivants peuvent accompagner le `KMSInvalidStateException`.


|  | 
| --- |
| KMS ne peut pas communiquer avec votre cluster CloudHSM. Il peut s'agir d'un problème réseau transitoire. Si cette erreur s'affiche à plusieurs reprises, vérifiez que les règles du réseau ACLs et du groupe de sécurité pour le VPC de votre AWS CloudHSM cluster sont correctes. | 
+ Bien qu'il s'agisse d'une erreur HTTPS 400, elle peut résulter de problèmes réseau transitoires. Pour répondre, commencez par relancer la demande. Toutefois, si elle continue d'échouer, examinez la configuration de vos composants réseau. Cette erreur est probablement causée par une mauvaise configuration d'un composant réseau, telle qu'une règle de pare-feu ou une règle de groupe de sécurité VPC qui bloque le trafic sortant. Par exemple, KMS ne peut pas communiquer avec AWS CloudHSM les clusters IPv6. Pour plus de détails sur les prérequis, voir[Création d'un magasin de AWS CloudHSM clés](create-keystore.md).


|  | 
| --- |
| KMS ne peut pas communiquer avec votre AWS CloudHSM cluster car l'utilisateur kmsuser est verrouillé. Si cette erreur s'affiche à plusieurs reprises, déconnectez le magasin de AWS CloudHSM clés et réinitialisez le mot de passe du compte kmsuser. Mettez à jour le mot de passe kmsuser pour le magasin de clés personnalisé et réessayez la demande. | 
+ Ce message d’erreur indique que le [compte CU (utilisateur de chiffrement) `kmsuser`](keystore-cloudhsm.md#concept-kmsuser) est verrouillé pour le cluster AWS CloudHSM associé en raison d'un trop grand nombre de tentatives de mot de passe ayant échoué. Pour obtenir de l'aide sur cette erreur, veuillez consulter [Comment se déconnecter et se connecter](#login-kmsuser-1).

## Comment corriger les informations d'identification `kmsuser` non valides
<a name="fix-keystore-password"></a>

Lorsque vous [connectez un magasin de AWS CloudHSM clés](connect-keystore.md), vous AWS KMS vous connectez au AWS CloudHSM cluster associé en tant qu'[utilisateur `kmsuser` cryptographique](keystore-cloudhsm.md#concept-kmsuser) (CU). Il reste connecté jusqu'à ce que le magasin de AWS CloudHSM clés soit déconnecté. La réponse [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) réponse affiche pour `ConnectionState` la valeur `FAILED` et pour `ConnectionErrorCode` la valeur `INVALID_CREDENTIALS`, comme indiqué dans l'exemple suivant.

Si vous déconnectez le magasin de AWS CloudHSM clés et modifiez le `kmsuser` mot de passe, vous AWS KMS ne pouvez pas vous connecter au AWS CloudHSM cluster avec les informations d'identification du compte `kmsuser` CU. Par conséquent, toutes les tentatives de connexion au magasin de AWS CloudHSM clés échouent. La réponse `DescribeCustomKeyStores` réponse affiche pour `ConnectionState` la valeur `FAILED` et pour `ConnectionErrorCode` la valeur `INVALID_CREDENTIALS`, comme indiqué dans l'exemple suivant.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "INVALID_CREDENTIALS"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}
```

De plus, au bout de cinq tentatives de connexion au cluster ayant échoué avec un mot de passe incorrect, AWS CloudHSM verrouille le compte utilisateur. Pour se connecter au cluster, vous devez modifier le mot de passe du compte.

S'il AWS KMS obtient une réponse de verrouillage lorsqu'il essaie de se connecter au cluster en tant que `kmsuser` CU, la demande de connexion au magasin de AWS CloudHSM clés échoue. La [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)réponse inclut un `ConnectionState` de `FAILED` et une `ConnectionErrorCode` valeur de`USER_LOCKED_OUT`, comme indiqué dans l'exemple suivant.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "USER_LOCKED_OUT"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}
```

Pour réparer l'une ou l'autre de ces conditions, utilisez la procédure suivante. 

1. [Déconnectez le magasin de AWS CloudHSM clés](disconnect-keystore.md). 

1. Exécutez l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération et visualisez la valeur de l'`ConnectionErrorCode`élément dans la réponse. 
   + Si la valeur de `ConnectionErrorCode` est `INVALID_CREDENTIALS`, déterminez le mot de passe actuel pour le compte `kmsuser`. Si nécessaire, utilisez la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) dans la CLI CloudHSM pour définir le mot de passe sur une valeur connue.
   + Si la `ConnectionErrorCode` valeur est`USER_LOCKED_OUT`, vous devez utiliser la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) dans la CLI CloudHSM pour modifier le mot de passe. `kmsuser`

1. [Modifiez le mot de passe actuel de `kmsuser`](update-keystore.md) afin qu'il corresponde au mot de passe actuel de `kmsuser` dans le cluster. Cette action indique à AWS KMS le mot de passe à utiliser pour se connecter au cluster. Elle ne change pas le mot de passe de `kmsuser` dans le cluster.

1. [Connectez le magasin de clés personnalisé](connect-keystore.md).

## Comment supprimer les éléments de clé orphelins
<a name="fix-keystore-orphaned-key"></a>

Après avoir planifié la suppression d'une clé KMS d'un magasin de AWS CloudHSM clés, vous devrez peut-être supprimer manuellement le matériel clé correspondant du AWS CloudHSM cluster associé. 

Lorsque vous créez une clé KMS dans un magasin de AWS CloudHSM clés, AWS KMS crée les métadonnées de la clé KMS AWS KMS et génère le matériel clé dans le AWS CloudHSM cluster associé. Lorsque vous planifiez la suppression d'une clé KMS dans un magasin de AWS CloudHSM clés, les métadonnées de la clé KMS sont AWS KMS supprimées après la période d'attente. AWS KMS Fait ensuite de son mieux pour supprimer le matériel clé correspondant du AWS CloudHSM cluster. La tentative peut échouer si vous AWS KMS ne pouvez pas accéder au cluster, par exemple s'il est déconnecté du magasin de AWS CloudHSM clés ou si le `kmsuser` mot de passe est modifié. AWS KMS ne tente pas de supprimer les éléments clés des sauvegardes du cluster.

AWS KMS rapporte les résultats de sa tentative de suppression du contenu clé du cluster lors de `DeleteKey` la saisie de vos AWS CloudTrail journaux. Ils apparaissent dans l'élément `backingKeysDeletionStatus` de l'élément `additionalEventData`, comme illustré dans l'exemple d'entrée suivant. L'entrée inclut également l'ARN de la clé KMS, l'ID du AWS CloudHSM cluster et l'ID (`backing-key-id`) du matériau clé.

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "accountId": "111122223333",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2021-12-10T14:23:51Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DeleteKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": null,
    "responseElements":  {
        "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "additionalEventData": {
        "customKeyStoreId": "cks-1234567890abcdef0",
        "clusterId": "cluster-1a23b4cdefg",
        "backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]",
        "backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"FAILURE\"}]"
    },
    "eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsServiceEvent",
    "recipientAccountId": "111122223333",
    "managementEvent": true,
    "eventCategory": "Management"
}
```

**Remarques**  
Les procédures suivantes utilisent l'outil de ligne de commande du SDK AWS CloudHSM client 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. La CLI `key-handle` CloudHSM remplace par. `key-reference`  
Le 1er janvier 2025, la prise en charge des outils de ligne de commande du SDK client 3, de l'utilitaire de gestion CloudHSM (CMU) et de l'utilitaire de gestion des clés (KMU) AWS CloudHSM prendra fin. *Pour plus d'informations sur les différences entre les outils de ligne de commande du SDK client 3 et l'outil de ligne de commande du SDK client 5, consultez la section [Migrer de la CMU et de la KMU du SDK client 3 vers la CLI CloudHSM du SDK client 5](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) dans le guide de l'utilisateur.AWS CloudHSM *

Les procédures suivantes montrent comment supprimer le matériel clé orphelin du AWS CloudHSM cluster associé.

1. Déconnectez le magasin de AWS CloudHSM clés, s'il ne l'est pas déjà, [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html), comme expliqué dans[Comment se déconnecter et se connecter](#login-kmsuser-1).
**Note**  
Même si un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de clés KMS dans le magasin de clés personnalisé ou d'utilisation de clés KMS existantes dans les opérations de chiffrement échouent. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.

1. Utilisez la commande [key delete](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-delete.html) de la CLI CloudHSM pour supprimer la clé HSMs du cluster.

   Toutes les entrées du CloudTrail journal relatives aux opérations cryptographiques effectuées avec une clé KMS dans un magasin de AWS CloudHSM clés incluent un `additionalEventData` champ avec le `customKeyStoreId` et`backingKey`. La valeur renvoyée dans le `backingKeyId` champ est l'attribut clé `id` CloudHSM. Nous vous recommandons de filtrer l'opération de **suppression des clés** `id` afin de supprimer le contenu clé orphelin que vous avez identifié dans vos CloudTrail journaux.

   AWS CloudHSM reconnaît la `backingKeyId` valeur sous forme de valeur hexadécimale. Pour filtrer par`id`, vous devez ajouter le mot `backingKeyId` avec`Ox`. Par exemple, si `backingKeyId` dans votre CloudTrail journal l'est`1a2b3c45678abcdef`, vous devez filtrer par`0x1a2b3c45678abcdef`.

   L'exemple suivant supprime une clé de HSMs votre cluster. Le `backing-key-id` est répertorié dans l'entrée du CloudTrail journal. Avant d'exécuter cette commande, remplacez l'exemple `backing-key-id` par un exemple valide provenant de votre compte.

   ```
   aws-cloudhsm key delete --filter attr.id="0x<backing-key-id>"
   {
     "error_code": 0,
     "data": {
       "message": "Key deleted successfully"
     }
   }
   ```

1. Déconnectez-vous et reconnectez le magasin de AWS CloudHSM clés comme décrit dans[Comment se déconnecter et se reconnecter](#login-kmsuser-2).

## Comment récupérer les éléments de clé supprimés pour une clé KMS
<a name="fix-keystore-recover-backing-key"></a>

Si le contenu clé d'un AWS KMS key est supprimé, la clé KMS est inutilisable et tout le texte chiffré sous la clé KMS ne peut pas être déchiffré. Cela peut se produire si le matériel clé d'une clé KMS dans un magasin de AWS CloudHSM clés est supprimé du AWS CloudHSM cluster associé. Toutefois, il peut être possible de récupérer les clés.

Lorsque vous créez une AWS KMS key (clé KMS) dans un magasin de AWS CloudHSM clés AWS KMS , connectez-vous au AWS CloudHSM cluster associé et créez le matériel clé pour la clé KMS. Il remplace également le mot de passe par une valeur qu'il est le seul à connaître et reste connecté tant que le magasin de AWS CloudHSM clés est connecté. Étant donné que seul le propriétaire de la clé, c'est-à-dire le CU qui a créé une clé, peut supprimer la clé, il est peu probable que la clé soit supprimée HSMs accidentellement. 

Toutefois, si le contenu clé d'une clé KMS est supprimé HSMs d'un cluster, l'état de la clé KMS devient finalement`UNAVAILABLE`. Si vous essayez d'utiliser la clé KMS pour une opération cryptographique, l'opération échoue avec une exception `KMSInvalidStateException`. Et surtout, toutes les données chiffrées à l'aide de la clé KMS ne peuvent pas être déchiffrées.

Dans certains cas, vous pouvez récupérer les clés supprimés par [en créant un cluster à partir d'une sauvegarde](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) qui contient les clés. Cette stratégie fonctionne uniquement lorsqu'au moins une sauvegarde a été créée, tandis que la clé existait et avant qu'elle n'ait été supprimée. 

Utilisez la procédure suivante pour récupérer les éléments de clé.

1. Recherchez une sauvegarde de cluster qui contient les éléments de clé. La sauvegarde doit également contenir tous les utilisateurs et toutes les clés dont vous avez besoin pour prendre en charge le cluster et ses données chiffrées.

   Utilisez l'[DescribeBackups](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeBackups.html)opération pour répertorier les sauvegardes d'un cluster. Utilisez ensuite l'horodatage de la sauvegarde afin de vous aider à sélectionner une sauvegarde. Pour limiter la sortie au cluster associé au magasin de AWS CloudHSM clés, utilisez le `Filters` paramètre, comme indiqué dans l'exemple suivant. 

   ```
   $ aws cloudhsmv2 describe-backups --filters clusterIds=<cluster ID>
   {
       "Backups": [
           {
               "ClusterId": "cluster-1a23b4cdefg",
               "BackupId": "backup-9g87f6edcba",
               "CreateTimestamp": 1536667238.328,
               "BackupState": "READY"
           },
                ...
       ]
   }
   ```

1. [Créez un cluster à partir de la sauvegarde sélectionnée](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html). Vérifiez que la sauvegarde contient la clé supprimée et les clés que le cluster nécessite. 

1. [Déconnectez le magasin de AWS CloudHSM clés](disconnect-keystore.md) afin de pouvoir modifier ses propriétés.

1. [Modifiez l'ID de cluster](update-keystore.md) du magasin de AWS CloudHSM clés. Entrez l'ID du cluster que vous avez créé à partir de la sauvegarde. Étant donné que le cluster partage un historique des sauvegardes avec le cluster d'origine, le nouvel ID de cluster doit être valide. 

1. [Reconnectez le magasin de AWS CloudHSM clés.](connect-keystore.md)

## Comment se connecter en tant que `kmsuser`
<a name="fix-login-as-kmsuser"></a>

Pour créer et gérer les éléments clés du AWS CloudHSM cluster pour votre magasin de AWS CloudHSM clés, utilisez AWS KMS le [compte `kmsuser` Crypto User (CU)](keystore-cloudhsm.md#concept-kmsuser). Vous [créez le compte `kmsuser` CU](create-keystore.md#before-keystore) dans votre cluster et vous fournissez son mot de passe AWS KMS lorsque vous créez votre magasin de AWS CloudHSM clés.

En général, AWS KMS gère le `kmsuser` compte. Toutefois, pour certaines tâches, vous devez déconnecter le magasin de AWS CloudHSM clés, vous connecter au cluster en tant que `kmsuser` CU et utiliser l'[interface de ligne de commande (CLI) CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html).

**Note**  
Même si un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de clés KMS dans le magasin de clés personnalisé ou d'utilisation de clés KMS existantes dans les opérations de chiffrement échouent. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.

Cette rubrique explique comment [déconnecter votre magasin de AWS CloudHSM clés et vous connecter en](#login-kmsuser-1) tant que tel`kmsuser`, exécuter l'outil de ligne de AWS CloudHSM commande, puis [vous déconnecter et reconnecter votre magasin de AWS CloudHSM clés](#login-kmsuser-2).

**Topics**
+ [Comment se déconnecter et se connecter](#login-kmsuser-1)
+ [Comment se déconnecter et se reconnecter](#login-kmsuser-2)

### Comment se déconnecter et se connecter
<a name="login-kmsuser-1"></a>

Utilisez la procédure suivante à chaque fois pour vous connecter à un cluster associé en tant qu'utilisateur du `kmsuser` chiffrement.

**Remarques**  
Les procédures suivantes utilisent l'outil de ligne de commande du SDK AWS CloudHSM client 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. La CLI `key-handle` CloudHSM remplace par. `key-reference`  
Le 1er janvier 2025, la prise en charge des outils de ligne de commande du SDK client 3, de l'utilitaire de gestion CloudHSM (CMU) et de l'utilitaire de gestion des clés (KMU) AWS CloudHSM prendra fin. *Pour plus d'informations sur les différences entre les outils de ligne de commande du SDK client 3 et l'outil de ligne de commande du SDK client 5, consultez la section [Migrer de la CMU et de la KMU du SDK client 3 vers la CLI CloudHSM du SDK client 5](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) dans le guide de l'utilisateur.AWS CloudHSM *

1. Déconnectez le magasin de AWS CloudHSM clés, s'il ne l'est pas déjà. Vous pouvez utiliser la AWS KMS console ou AWS KMS l'API. 

   Lorsque votre AWS CloudHSM clé est connectée, elle AWS KMS est connectée en tant que`kmsuser`. Cela vous empêche de vous connecter comme `kmsuser` ou de modifier le mot de passe `kmsuser`.

   Par exemple, cette commande permet [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)de déconnecter un exemple de magasin de clés. Remplacez l'exemple d'ID de magasin de AWS CloudHSM clés par un identifiant valide.

   ```
   $ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
   ```

1. Utilisez la commande **de connexion** pour vous connecter en tant qu'administrateur. Utilisez les procédures décrites dans la section [Utilisation de la CLI CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7) du Guide *AWS CloudHSM de l'*utilisateur.

   ```
   aws-cloudhsm > login --username admin --role admin
             Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "admin",
       "role": "admin"
     }
   }
   ```

1. Utilisez la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) la CLI CloudHSM pour remplacer le mot de passe du compte par un mot de passe `kmsuser` que vous connaissez. (AWS KMS fait pivoter le mot de passe lorsque vous connectez votre magasin de AWS CloudHSM clés.) Le mot de passe doit contenir entre 7 et 32 caractères alphanumériques. Il est sensible à la casse et ne peut contenir aucun des caractères spéciaux.

1. Connectez-vous en `kmsuser` utilisant le mot de passe que vous avez défini. Pour obtenir des instructions détaillées, consultez la section [Utilisation de la CLI CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7) du Guide *AWS CloudHSM de l'*utilisateur.

   ```
   aws-cloudhsm > login --username kmsuser --role crypto-user
             Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "kmsuser",
       "role": "crypto-user"
     }
   }
   ```

### Comment se déconnecter et se reconnecter
<a name="login-kmsuser-2"></a>

Suivez la procédure suivante chaque fois que vous devez vous déconnecter en tant qu'utilisateur `kmsuser` cryptographique et reconnecter votre magasin de clés.

**Remarques**  
Les procédures suivantes utilisent l'outil de ligne de commande du SDK AWS CloudHSM client 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. La CLI `key-handle` CloudHSM remplace par. `key-reference`  
Le 1er janvier 2025, la prise en charge des outils de ligne de commande du SDK client 3, de l'utilitaire de gestion CloudHSM (CMU) et de l'utilitaire de gestion des clés (KMU) AWS CloudHSM prendra fin. *Pour plus d'informations sur les différences entre les outils de ligne de commande du SDK client 3 et l'outil de ligne de commande du SDK client 5, consultez la section [Migrer de la CMU et de la KMU du SDK client 3 vers la CLI CloudHSM du SDK client 5](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) dans le guide de l'utilisateur.AWS CloudHSM *

1. Effectuez la tâche, puis utilisez la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html) dans la CLI CloudHSM pour vous déconnecter. Si vous ne vous déconnectez pas, les tentatives de reconnexion de votre magasin de AWS CloudHSM clés échoueront.

   ```
   aws-cloudhsm  logout
   {
     "error_code": 0,
     "data": "Logout successful"
   }
   ```

1. [Modifiez le paramètre de mot de passe de `kmsuser`](update-keystore.md) pour le magasin de clés personnalisé. 

   Cela indique AWS KMS le mot de passe actuel pour `kmsuser` le cluster. Si vous omettez cette étape, vous ne AWS KMS pourrez pas vous connecter au cluster et toutes les tentatives de reconnexion à votre banque de clés personnalisée échoueront. `kmsuser` Vous pouvez utiliser la AWS KMS console ou le `KeyStorePassword` paramètre de l'[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)opération.

   Par exemple, cette commande indique AWS KMS que le mot de passe actuel est`tempPassword`. Remplacez l'exemple de mot de passe par le mot de passe réel. 

   ```
   $ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password tempPassword
   ```

1. Reconnectez le magasin de AWS KMS clés à son AWS CloudHSM cluster. Remplacez l'exemple d'ID de magasin de AWS CloudHSM clés par un identifiant valide. Au cours du processus de connexion, AWS KMS remplace le `kmsuser` mot de passe par une valeur qu'il est le seul à connaître.

   L'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)opération revient rapidement, mais le processus de connexion peut prendre un certain temps. Cependant, cette réponse initiale n'indique pas que la connexion a réussi.

   ```
   $ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
   ```

1. Utilisez cette [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération pour vérifier que le magasin de AWS CloudHSM clés est connecté. Remplacez l'exemple d'ID de magasin de AWS CloudHSM clés par un identifiant valide.

   Dans cet exemple, le champ d'état de connexion indique que le magasin de AWS CloudHSM clés est désormais connecté.

   ```
   $ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
   {
      "CustomKeyStores": [
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleKeyStore",
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "TrustAnchorCertificate": "<certificate string appears here>",
         "CreationDate": "1.499288695918E9",
         "ConnectionState": "CONNECTED"
      ],
   }
   ```

# Magasins de clés externes
<a name="keystore-external"></a>

Les magasins de clés externes vous permettent de protéger vos AWS ressources à l'aide de AWS clés cryptographiques externes. Cette fonctionnalité avancée est conçue pour les charges de travail réglementées que vous devez protéger avec des clés de chiffrement stockées dans un système de gestion des clés externe que vous contrôlez. Les magasins de clés externes soutiennent l'[engagement de souverainetéAWS numérique](https://aws.amazon.com/blogs/security/aws-digital-sovereignty-pledge-control-without-compromise/) qui vous donne le contrôle souverain de vos données AWS, y compris la possibilité de chiffrer avec des éléments clés que vous possédez et que vous contrôlez en dehors de AWS ceux-ci.

Un *magasin de clés externe* est un [magasin de clés personnalisé](key-store-overview.md#custom-key-store-overview) soutenu par un *gestionnaire de clés externe* que vous possédez et gérez en dehors de celui-ci AWS. Votre gestionnaire de clés externe peut être un module de sécurité matériel physique ou virtuel (HSMs), ou tout système matériel ou logiciel capable de générer et d'utiliser des clés cryptographiques. Les opérations de chiffrement et de déchiffrement qui utilisent une clé KMS dans un magasin de clés externe sont effectuées par votre gestionnaire de clés externe à l'aide de votre clé cryptographique, une fonctionnalité connue sous le nom de « *hold your own keys* » ()HYOKs. 

AWS KMS n'interagit jamais directement avec votre gestionnaire de clés externe et ne peut pas créer, afficher, gérer ou supprimer vos clés. Il AWS KMS interagit plutôt uniquement avec le logiciel proxy de [stockage de clés externe (proxy](#concept-xks-proxy) XKS) que vous fournissez. Votre proxy de stockage de clés externe assure la médiation de toutes les communications entre AWS KMS et votre gestionnaire de clés externe. Il transmet toutes les demandes AWS KMS de votre gestionnaire de clés externe et retransmet les réponses de votre gestionnaire de clés externe à AWS KMS. Le proxy de stockage de clés externe traduit également les demandes génériques AWS KMS dans un format spécifique au fournisseur que votre gestionnaire de clés externe peut comprendre, ce qui vous permet d'utiliser des magasins de clés externes avec des gestionnaires de clés de différents fournisseurs.

Vous pouvez utiliser des clés KMS dans un magasin de clés externe pour le chiffrement côté client, notamment avec l'[AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/). Mais les magasins de clés externes constituent une ressource importante pour le chiffrement côté serveur, car ils vous permettent de protéger vos AWS ressources de manière multiple Services AWS avec vos clés cryptographiques extérieures. AWS Services AWS qui prennent en charge [les clés gérées par le client](concepts.md#customer-mgn-key) pour le chiffrement symétrique prennent également en charge les clés KMS dans un magasin de clés externe. Pour plus d'informations sur la prise en charge des services, consultez [Intégration des services AWS](https://aws.amazon.com/kms/features/#AWS_service_integration).

Les magasins de clés externes vous permettent de les utiliser AWS KMS pour des charges de travail réglementées où les clés de chiffrement doivent être stockées et utilisées en dehors de AWS. Ils constituent toutefois une rupture majeure par rapport au modèle standard de responsabilité partagée et nécessitent des charges opérationnelles supplémentaires. Pour la plupart des clients, le risque accru pour la disponibilité et la latence dépassera les avantages en termes de sécurité perçus pour les magasins de clés externes.

Les magasins de clés externes vous permettent de contrôler la source de confiance. Les données chiffrées au moyen des clés KMS dans votre magasin de clés externe ne peuvent être déchiffrées qu'en utilisant le gestionnaire de clés externe que vous contrôlez. Si vous révoquez temporairement l'accès à votre gestionnaire de clés externe, par exemple en déconnectant le magasin de clés externe ou en déconnectant votre gestionnaire de clés externe du proxy de stockage de clés externe, AWS vous perdez tout accès à vos clés cryptographiques tant que vous ne les avez pas restaurées. Pendant cet intervalle, le texte chiffré qui a été chiffré au moyen de vos clés KMS ne peut pas être déchiffré. Si vous révoquez définitivement l'accès à votre gestionnaire de clés externe, tout le texte chiffré au moyen d'une clé KMS dans votre magasin de clés externe devient irrécupérable. Les seules exceptions sont les AWS services qui mettent brièvement en cache les [clés de données](data-keys.md) protégées par vos clés KMS. Ces clés de données continuent de fonctionner jusqu'à ce que vous désactiviez la ressource ou que le cache expire. Pour en savoir plus, consultez [Comment les clés KMS inutilisables affectent les clés de données](unusable-kms-keys.md).

Les magasins de clés externes permettent de débloquer les quelques cas d'utilisation pour les charges de travail réglementées où les clés de chiffrement doivent rester sous votre contrôle exclusif et inaccessibles. AWS Mais il s'agit d'un changement majeur dans la façon dont vous exploitez une infrastructure basée sur le cloud et d'un changement significatif du modèle de responsabilité partagée. Pour la plupart des charges de travail, la charge opérationnelle supplémentaire et les risques accrus en termes de disponibilité et de performances dépasseront les avantages en termes de sécurité perçus pour les magasins de clés externes.



**Ai-je besoin d'un magasin de clés externe ?**

Pour la plupart des utilisateurs, le magasin de AWS KMS clés par défaut, qui est protégé par des [modules de sécurité matériels validés par la norme de sécurité FIPS 140-3 de niveau 3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884), répond à leurs exigences en matière de sécurité, de contrôle et de réglementation. Les utilisateurs de magasins de clés externes supportent des coûts, une maintenance et une charge de dépannage considérables, ainsi que des risques en matière de latence, de disponibilité et de fiabilité.

Lorsque vous envisagez un magasin de clés externe, prenez le temps de comprendre les alternatives, notamment un [magasin de AWS CloudHSM clés](keystore-cloudhsm.md) soutenu par un AWS CloudHSM cluster que vous possédez et gérez, et des clés KMS contenant des [éléments clés importés](importing-keys.md) que vous générez vous-même HSMs et que vous pouvez supprimer des clés KMS à la demande. En particulier, l'importation d'éléments de clé ayant un délai d'expiration très court peut fournir un niveau de contrôle similaire sans risques pour la performance ou la disponibilité.

Un magasin de clés externe peut être la solution adaptée à votre organisation si vous répondez aux exigences suivantes :
+ Vous devez utiliser des clés cryptographiques dans votre gestionnaire de clés local ou dans un gestionnaire de clés extérieur à AWS celui que vous contrôlez.
+ Vous devez prouver que vos clés cryptographiques sont conservées uniquement sous votre contrôle en dehors du cloud.
+ Vous devez pouvoir chiffrer et déchiffrer à l'aide de clés cryptographiques disposant d'une autorisation indépendante.
+ Les clés doivent être soumises à un chemin d'audit indépendant secondaire.

Si vous choisissez un magasin de clés externe, limitez son utilisation aux charges de travail qui nécessitent une protection au moyen de clés cryptographiques en dehors d' AWS.



**Modèle de responsabilité partagée**

Les clés KMS standard utilisent des éléments clés générés et utilisés dans HSMs le cadre de la AWS KMS propriété et de la gestion. Vous établissez les politiques de contrôle d'accès sur vos clés KMS et configurez Services AWS l'utilisation des clés KMS pour protéger vos ressources. AWS KMS assume la responsabilité de la sécurité, de la disponibilité, de la latence et de la durabilité du contenu clé de vos clés KMS.

Les clés KMS des magasins de clés externes dépendent des éléments et des opérations de clé de votre gestionnaire de clés externe. À ce titre, l'équilibre des responsabilités penche en votre faveur. Vous êtes responsable de la sécurité, de la fiabilité, de la durabilité et des performances des clés cryptographiques dans votre gestionnaire de clés externe. AWS KMS est chargé de répondre rapidement aux demandes et de communiquer avec le proxy de votre magasin de clés externe, ainsi que de maintenir nos normes de sécurité. [*Pour garantir que chaque clé externe stocke un texte chiffré au moins aussi solide que le texte AWS KMS chiffré standard, crypte d' AWS KMS abord tout le texte en clair avec des éléments clés spécifiques à votre AWS KMS clé KMS, puis l'envoie à votre gestionnaire de clés externe pour qu'il soit chiffré avec votre clé externe, une procédure connue sous le nom de double chiffrement.*](#concept-double-encryption) Par conséquent, ni AWS KMS ni le propriétaire des éléments de clé externes ne peuvent déchiffrer seuls le texte chiffré à double chiffrement.

Vous êtes responsable du maintien d'un gestionnaire de clés externe qui répond à vos normes réglementaires et de performance, de la fourniture et de la maintenance d'un proxy de magasin de clés externe conforme à la [spécification de l'API du proxy de magasin de clés externe AWS KMS](https://github.com/aws/aws-kms-xksproxy-api-spec/) (langue française non garantie), ainsi que de la disponibilité et de la durabilité de vos éléments de clé. Vous devez également créer, configurer et maintenir un magasin de clés externe. Lorsque des erreurs sont causées par des composants que vous gérez, vous devez être prêt à les identifier et à les corriger afin que les AWS services puissent accéder à vos ressources sans interruption excessive. AWS KMS fournit des [conseils de dépannage](xks-troubleshooting.md) pour vous aider à déterminer la cause des problèmes et les solutions les plus probables. 

Consultez les [ CloudWatch statistiques et les dimensions Amazon](monitoring-cloudwatch.md#kms-metrics) AWS KMS enregistrées pour les principaux magasins externes. AWS KMS recommande vivement de créer des CloudWatch alarmes pour surveiller votre magasin de clés externe afin de détecter les premiers signes de performances et de problèmes opérationnels avant qu'ils ne surviennent.

**Qu'est-ce qui change ?**

Les magasins de clés externes ne prennent en charge que les clés KMS de chiffrement symétriques. En interne AWS KMS, vous utilisez et gérez les clés KMS dans un magasin de clés externe de la même manière que vous gérez les autres [clés gérées par les clients](concepts.md#customer-mgn-key), notamment en [définissant des politiques de contrôle d'accès](authorize-xks-key-store.md) et en [surveillant l'utilisation des clés](monitoring-overview.md). Vous l'utilisez APIs avec les mêmes paramètres pour demander une opération cryptographique avec une clé KMS dans un magasin de clés externe que vous utilisez pour n'importe quelle clé KMS. La tarification est également la même que pour les clés KMS standard. Pour plus de détails, voir [Clés KMS dans des magasins de clés externes](keystore-external-key-manage.md) et [AWS Key Management Service Tarification](https://aws.amazon.com/kms/pricing/).

Toutefois, avec les magasins de clés externes, les principes suivants changent :
+ Vous êtes responsable de la disponibilité, de la durabilité et de la latence des opérations de clé.
+ Vous êtes responsable de tous les coûts liés au développement, à l'achat, à l'exploitation et à la licence de votre système de gestion de clés externe.
+ Vous pouvez implémenter [une autorisation indépendante](authorize-xks-key-store.md#xks-proxy-authorization) pour toutes les demandes provenant AWS KMS de votre proxy de stockage de clés externe.
+ Vous pouvez surveiller, auditer et consigner toutes les opérations de votre proxy de stockage de clés externe, ainsi que toutes les opérations de votre gestionnaire de clés externe liées aux AWS KMS demandes.

**Où commencer ?**

Pour créer et gérer un magasin de clés externe, vous devez [choisir l'option de connectivité du proxy de votre magasin de clés externe](choose-xks-connectivity.md), [réunir les conditions préalables](create-xks-keystore.md#xks-requirements), puis [créer et configurer votre magasin de clés externe](create-xks-keystore.md).

**Quotas**

AWS KMS autorise jusqu'à [10 magasins de clés personnalisés](resource-limits.md) dans chaque Compte AWS région, y compris les magasins de [AWS CloudHSM clés et les magasins](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-cloudhsm.html) de [clés externes](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html), quel que soit leur état de connexion. En outre, il existe des quotas de requêtes AWS KMS concernant l'[utilisation des clés KMS dans un magasin de clés externes.](requests-per-second.md#rps-key-stores) 

Si vous choisissez la [connectivité proxy VPC pour votre proxy](#concept-xks-connectivity) de stockage de clés externe, des quotas peuvent également être appliqués aux composants requis VPCs, tels que les sous-réseaux et les équilibreurs de charge réseau. Pour plus d'informations sur ces quotas, consultez la [console Service Quotas](https://console.aws.amazon.com/servicequotas/home).



**Régions**

Pour minimiser la latence du réseau, créez les composants de votre magasin de clés externe dans la Région AWS la plus proche de votre [gestionnaire de clés externe](#concept-ekm). Si possible, choisissez une région dont le temps d'aller-retour sur le réseau (RTT, round-trip time) est inférieur ou égal à 35 millisecondes.

Les magasins de clés externes sont pris en charge Régions AWS dans tous les pays pris en charge, à l'exception de la Chine (Pékin) et de la Chine (Ningxia). AWS KMS 

**Fonctions non prises en charge**

AWS KMS ne prend pas en charge les fonctionnalités suivantes dans les magasins de clés personnalisés.
+ [Clés KMS asymétriques](symmetric-asymmetric.md)
+ [Clés KMS HMAC](hmac.md)
+ [Clés KMS avec des éléments de clé importés](importing-keys.md)
+ [Rotation automatique des clés](rotate-keys.md)
+ [Clés multi-région](multi-region-keys-overview.md)

**En savoir plus :**
+ [Announcing AWS KMS External Key Store](https://aws.amazon.com/blogs/aws/announcing-aws-kms-external-key-store-xks/) (Annonce du magasin de clés externe ) sur le *Blog AWS News*.

## Concepts de magasins de clés externes
<a name="xks-concepts"></a>

Apprenez les termes et concepts de base utilisés dans les magasins de clés externes.

### Magasin de clés externe
<a name="concept-external-key-store"></a>

Un *magasin de clés externe* est un [magasin de clés AWS KMS personnalisé](key-store-overview.md#custom-key-store-overview) soutenu par un gestionnaire de clés externe autre AWS que celui que vous possédez et gérez. Chaque clé KMS d'un magasin de clés externe est associée à une [clé externe](#concept-external-key) dans votre gestionnaire de clés externe. Lorsque vous utilisez une clé KMS dans un magasin de clés externe à des fins de chiffrement ou de déchiffrement, l'opération est exécutée dans votre gestionnaire de clés externe à l'aide de votre clé externe, une disposition connue sous le nom de *Hold your Own Keys* (HYOK). Cette fonctionnalité est conçue pour les entreprises qui sont tenues de conserver leurs clés cryptographiques dans leur propre gestionnaire de clés externe.

Les magasins de clés externes garantissent que les clés cryptographiques et les opérations qui protègent vos AWS ressources restent dans votre gestionnaire de clés externe sous votre contrôle. AWS KMS envoie des demandes à votre gestionnaire de clés externe pour chiffrer et déchiffrer les données, mais AWS KMS ne peut pas créer, supprimer ou gérer de clés externes. Toutes les demandes adressées AWS KMS à votre gestionnaire de clés externe sont traitées par un composant logiciel [proxy de magasin de clés externe](#concept-xks-proxy) que vous fournissez, possédez et gérez. 

AWS les services qui prennent en charge [les clés gérées par le AWS KMS client](concepts.md) peuvent utiliser les clés KMS de votre magasin de clés externe pour protéger vos données. En définitive, vos données sont bel et bien protégées par vos clés à l'aide de vos opérations de chiffrement dans votre gestionnaire de clés externe.

Les clés KMS d'un magasin de clés externe présentent des modèles de confiance, des [accords de responsabilité partagée](#xks-shared-responsibility) et des attentes en matière de performances fondamentalement différents de ceux des clés KMS standard. Avec les magasins de clés externes, vous êtes responsable de la sécurité et de l'intégrité des éléments de clé et des opérations cryptographiques. La disponibilité et la latence des clés KMS dans un magasin de clés externe sont affectées par le matériel, les logiciels, les composants réseau ainsi que par la distance entre AWS KMS et votre gestionnaire de clés externe. Vous êtes également susceptible d'encourir des coûts supplémentaires pour votre gestionnaire de clés externe et pour l'infrastructure de mise en réseau et d'équilibrage de charge avec laquelle votre gestionnaire de clés externe doit communiquer. AWS KMS

Vous pouvez utiliser votre magasin de clés externe dans le cadre de votre stratégie globale de protection des données. Pour chaque AWS ressource que vous protégez, vous pouvez décider laquelle nécessite une clé KMS dans un magasin de clés externe et laquelle peut être protégée par une clé KMS standard. Cela vous donne la possibilité de choisir des clés KMS pour des classifications de données, des applications ou des projets spécifiques.

### Gestionnaire de clés externe
<a name="concept-ekm"></a>

Un *gestionnaire de clés externe* est un composant extérieur à AWS qui peut générer des clés symétriques AES 256 bits et effectuer un chiffrement et un déchiffrement symétriques. Le gestionnaire de clés externe pour un magasin de clés externe peut être un module de sécurité matérielle (HSM) physique, un module HSM virtuel ou un gestionnaire de clés logiciel avec ou sans composant HSM. Il peut être situé n'importe où à l'extérieur AWS, y compris dans vos locaux, dans un centre de données local ou distant, ou dans n'importe quel cloud. Votre magasin de clés externe peut être soutenu par un seul gestionnaire de clés externe ou par plusieurs instances de gestionnaire de clés connexes qui partagent des clés cryptographiques, comme un cluster HSM. Les magasins de clés externes sont conçus pour prendre en charge divers gestionnaires externes provenant de différents fournisseurs. Pour plus d'informations sur la connexion à votre gestionnaire de clés externe, consultez[Choisissez une option de connectivité proxy pour un magasin de clés externe](choose-xks-connectivity.md).

### Clé externe
<a name="concept-external-key"></a>

Chaque clé KMS d'un magasin de clés externe est associée à une clé cryptographique dans votre [gestionnaire de clés externe](#concept-ekm) appelée *clé externe*. Lorsque vous chiffrez ou déchiffrez avec une clé KMS dans votre magasin de clés externe, l'opération cryptographique est effectuée dans votre [gestionnaire de clés externe](#concept-ekm) à l'aide de votre clé externe.

**Avertissement**  
La clé externe est essentielle au fonctionnement de la clé KMS. En cas de perte ou de suppression de la clé externe, le texte chiffré au moyen de la clé KMS associée est irrécupérable.

Pour les magasins de clés externes, une clé externe doit être une clé AES 256 bits activée et capable d'effectuer le chiffrement et le déchiffrement. Pour obtenir des informations détaillées sur les exigences relatives aux clés externes, veuillez consulter la rubrique [Exigences relatives à une clé KMS dans un magasin de clés externe](create-xks-keys.md#xks-key-requirements).

AWS KMS Impossible de créer, de supprimer ou de gérer des clés externes. Les éléments de votre clé cryptographique ne quittent jamais votre gestionnaire de clés externe. Lorsque vous créez une clé KMS dans un magasin de clés externe, vous fournissez l'ID d'une clé externe (`XksKeyId`). Vous ne pouvez pas modifier l'ID de clé externe associé à une clé KMS, bien que votre gestionnaire de clés externe puisse effectuer une rotation des éléments de clé associés à l'ID de clé externe.

Outre votre clé externe, une clé KMS contenue dans un magasin de clés externe contient également des éléments de clé AWS KMS . Les données protégées par la clé KMS sont chiffrées d'abord AWS KMS à l'aide de la AWS KMS clé, puis par votre gestionnaire de clés externe à l'aide de votre clé externe. Ce processus de [double chiffrement](#concept-double-encryption) garantit que le texte chiffré protégé par votre clé KMS est toujours au moins aussi robuste que le texte chiffré protégé uniquement par AWS KMS. 

De nombreuses clés cryptographiques possèdent différents types d'identifiants. Lorsque vous créez une clé KMS dans un magasin de clés externe, indiquez l'ID de la clé externe que le [proxy de magasin de clés externe](#concept-xks-proxy) utilise pour faire référence à la clé externe. Si vous utilisez le mauvais identifiant, votre tentative de créer une clé KMS dans votre magasin de clés externe échoue.

### Proxy de magasin de clés externe
<a name="concept-xks-proxy"></a>

Le proxy de *stockage de clés externe (« proxy* XKS ») est une application logicielle détenue et gérée par le client qui assure la médiation de toutes les communications entre AWS KMS et votre gestionnaire de clés externe. Il traduit également les AWS KMS demandes génériques dans un format que votre gestionnaire de clés externe spécifique au fournisseur comprend. Un proxy de magasin de clés externe est requis pour un magasin de clés externe. Chaque magasin de clés externe est associé à exactement un proxy de magasin de clés externe.

![\[Proxy de magasin de clés externe\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/xks-proxy-concept-40.png)


AWS KMS Impossible de créer, de supprimer ou de gérer des clés externes. Vos éléments de clé cryptographique ne quittent jamais votre gestionnaire de clés externe. Toutes les communications entre AWS KMS et votre gestionnaire de clés externe sont assurées par le proxy de votre magasin de clés externe. AWS KMS envoie des demandes au proxy de stockage de clés externe et reçoit des réponses du proxy de stockage de clés externe. Le proxy de stockage de clés externe est chargé de transmettre les demandes AWS KMS à votre gestionnaire de clés externe et de transmettre les réponses de votre gestionnaire de clés externe à AWS KMS

Vous possédez et gérez le proxy de magasin de clés externe pour votre magasin de clés externe, et vous êtes responsable de sa maintenance et de son fonctionnement. Vous pouvez développer votre proxy de magasin de clés externe sur la base de la [spécification d'API de proxy de magasin de clés externe](https://github.com/aws/aws-kms-xksproxy-api-spec/) open source qui AWS KMS publie ou achète une application proxy auprès d'un fournisseur. Votre proxy de magasin de clés externe est peut-être inclus dans votre gestionnaire de clés externe. Pour faciliter le développement de proxy, fournit AWS KMS également un exemple de proxy de stockage de clés externe ([aws-kms-xks-proxy](https://github.com/aws-samples/aws-kms-xks-proxy)) et un client de test ([xks-kms-xksproxy-test-client](https://github.com/aws-samples/aws-kms-xksproxy-test-client)) qui vérifie que votre proxy de stockage de clés externe est conforme à la spécification.

Pour s'authentifier AWS KMS, le proxy utilise des certificats TLS côté serveur. Pour vous authentifier auprès de votre proxy, signez AWS KMS toutes les demandes adressées à votre proxy de stockage de clés externe avec un identifiant d'[authentification du proxy](#concept-xks-credential) SigV4.

Votre proxy de stockage de clés externe doit prendre en charge HTTP/1.1 ou version ultérieure et TLS 1.2 ou version ultérieure avec au moins l'une des suites de chiffrement suivantes :
+ TLS\$1AES\$1256\$1GCM\$1 SHA384 (TLS 1.3)
+ TLS\$1\$1 CHACHA20 POLY1305 \$1 SHA256 (TLS 1.3)
**Note**  
Il AWS GovCloud (US) Region ne prend pas en charge TLS\$1 \$1 CHACHA20 \$1POLY1305. SHA256
+ SHA384 TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1GCM\$1 (TLS 1.2)
+ SHA384 TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1256\$1GCM\$1 (TLS 1.2)

Pour créer et utiliser les clés KMS dans votre magasin de clés externe, vous devez d'abord [connecter le magasin de clés externe](xks-connect-disconnect.md) à son proxy de magasin de clés externe. Vous pouvez également déconnecter votre magasin de clés externe de son proxy à la demande. Dans ce cas, toutes les clés KMS du magasin de clés externe deviennent [indisponibles](key-state.md) ; elles ne peuvent être utilisées dans aucune opération cryptographique.

### Connectivité du proxy de magasin de clés externe
<a name="concept-xks-connectivity"></a>

La connectivité du proxy de stockage de clés externe (« connectivité du proxy XKS ») décrit la méthode AWS KMS utilisée pour communiquer avec votre proxy de magasin de clés externe. 

Vous spécifiez votre option de connectivité de proxy lorsque vous créez votre magasin de clés externe, et elle devient une propriété du magasin de clés externe. Vous pouvez modifier l'option de connectivité de votre proxy en mettant à jour la propriété du magasin de clés personnalisé, mais vous devez vous assurer que votre proxy de magasin de clés externe peut toujours accéder aux mêmes clés externes.

AWS KMS prend en charge les options de connectivité suivantes.
+ [Connectivité des terminaux publics](choose-xks-connectivity.md#xks-connectivity-public-endpoint) : AWS KMS envoie des demandes pour votre proxy de banque de clés externe via Internet à un point de terminaison public que vous contrôlez. Cette option est simple à créer et à gérer, mais elle peut ne pas répondre aux exigences de sécurité pour chaque installation.
+ [Connectivité du service de point de terminaison VPC](choose-xks-connectivity.md#xks-vpc-connectivity) : AWS KMS envoie des demandes à un service de point de terminaison Amazon Virtual Private Cloud (Amazon VPC) que vous créez et gérez. Vous pouvez héberger votre proxy de magasin de clés externe à l'intérieur de votre Amazon VPC, ou héberger votre proxy de magasin de clés externe à l'extérieur AWS et utiliser le VPC Amazon uniquement pour la communication. Vous pouvez également connecter votre magasin de clés externe à un service de point de terminaison Amazon VPC appartenant à un autre. Compte AWS

Pour plus d'informations sur les options de connectivité du proxy de magasin de clés externe, veuillez consulter la rubrique [Choisissez une option de connectivité proxy pour un magasin de clés externe](choose-xks-connectivity.md).

### Informations d'identification pour l'authentification du proxy de magasin de clés externe
<a name="concept-xks-credential"></a>

Pour vous authentifier auprès de votre proxy de magasin de clés externe, AWS KMS signez toutes les demandes adressées à votre proxy de magasin de clés externe avec un identifiant d'authentification [Signature V4 (SigV4)](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html). Vous établissez et maintenez les informations d'authentification sur votre proxy, puis vous les fournissez AWS KMS lorsque vous créez votre boutique externe.

**Note**  
Les informations d'identification SigV4 AWS KMS utilisées pour signer les demandes adressées au proxy XKS n'ont aucun lien avec les informations d'identification SigV4 associées Gestion des identités et des accès AWS aux principaux de votre compte. Comptes AWS Ne réutilisez aucune information d'identification IAM SigV4 pour votre proxy de magasin de clés externe.

Chaque information d'identification pour l'authentification du proxy comporte deux parties. Vous devez fournir les deux parties lors de la création d'un magasin de clés externe ou de la mise à jour des informations d'identification de l'authentification pour votre magasin de clés externe.
+ ID de la clé d'accès : identifie la clé d'accès secrète. Vous pouvez fournir cet ID en texte brut.
+ Clé d'accès secrète : partie secrète de l'identifiant. AWS KMS chiffre la clé d'accès secrète contenue dans les informations d'identification avant de les stocker.

Vous pouvez [modifier le paramètre des informations d'identification](update-xks-keystore.md) à tout moment, par exemple lorsque vous saisissez des valeurs incorrectes, lorsque vous modifiez vos informations d'identification sur le proxy ou lorsque votre proxy effectue une rotation des informations d'identification. Pour obtenir des informations techniques sur AWS KMS l'authentification auprès du proxy de stockage de clés externe, voir [Authentification](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/xks_proxy_api_spec.md#authentication) dans la spécification de l'API du proxy de stockage de clés AWS KMS externe.

Pour vous permettre de changer vos informations d'identification sans perturber les clés KMS Services AWS qui utilisent des clés KMS dans votre banque de clés externe, nous recommandons que le proxy de banque de clés externe prenne en charge au moins deux informations d'authentification valides pour. AWS KMS Cela garantit que vos anciennes informations d'identification continuent de fonctionner pendant que vous fournissez vos nouvelles informations d'identification à AWS KMS.

Pour vous aider à suivre l'âge de votre identifiant d'authentification proxy, définissez AWS KMS une CloudWatch métrique Amazon, [XksProxyCredentialAge](monitoring-cloudwatch.md#metric-xks-proxy-credential-age). Vous pouvez utiliser cette métrique pour créer une CloudWatch alarme qui vous avertit lorsque l'âge de votre identifiant atteint un seuil que vous avez établi.

### Proxy APIs
<a name="concept-proxy-apis"></a>

Pour prendre en charge un magasin de clés AWS KMS externe, un [proxy de magasin de clés externe](#concept-xks-proxy) doit implémenter le proxy requis, APIs comme décrit dans la [spécification de l'API du proxy de stockage de clés AWS KMS externe](https://github.com/aws/aws-kms-xksproxy-api-spec/). Ces demandes d'API proxy sont les seules requêtes AWS KMS envoyées au proxy. Bien que vous n'envoyiez jamais ces requêtes directement, le fait de les connaître peut vous aider à résoudre les problèmes qui pourraient survenir avec votre magasin de clés externe ou son proxy. Par exemple, AWS KMS inclut des informations sur la latence et les taux de réussite de ces appels d'API dans ses [ CloudWatch statistiques Amazon](monitoring-cloudwatch.md) pour les magasins de clés externes. Pour en savoir plus, consultez [Surveillez les magasins de clés externes](xks-monitoring.md).

Le tableau suivant répertorie et décrit chacun des proxys APIs. Cela inclut également les AWS KMS opérations qui déclenchent un appel à l'API proxy et toutes les exceptions d' AWS KMS opération liées à l'API proxy.


| API de proxy | Description |  AWS KMS Opérations associées | 
| --- | --- | --- | 
| Decrypt | AWS KMS [envoie le texte chiffré à déchiffrer et l'ID de la clé externe à utiliser.](#concept-external-key) L'algorithme de chiffrement requis est AES\$1GCM.  | [Déchiffrer](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html), [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) | 
| Encrypt | AWS KMS envoie les données à chiffrer, ainsi que l'ID de la [clé externe](#concept-external-key) à utiliser. L'algorithme de chiffrement requis est AES\$1GCM.  | [Chiffrer](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html), [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html), [GenerateDataKeyWithoutPlaintext[ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) | 
| GetHealthStatus | AWS KMS demande des informations sur l'état du proxy et de votre gestionnaire de clés externe. L'état de chaque gestionnaire de clés externe peut être l'un des suivants.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/keystore-external.html) | [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)(pour la [connectivité des points de terminaison publics](choose-xks-connectivity.md#xks-connectivity-public-endpoint)), [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)(pour la connectivité des [services de point de terminaison VPC](choose-xks-connectivity.md#xks-vpc-connectivity))Si toutes les instances externes du gestionnaire de clés sont `Unavailable`, les tentatives de création ou de connexion du magasin de clés échouent avec l'exception [`XksProxyUriUnreachableException`](xks-troubleshooting.md#fix-xks-latency). | 
| GetKeyMetadata | AWS KMS demande des informations sur la [clé externe](#concept-external-key) associée à une clé KMS dans votre banque de clés externe. La réponse inclut la spécification de la clé (`AES_256`), l'utilisation de la clé (`[ENCRYPT, DECRYPT]`) et indique si la clé externe est `ENABLED` ou `DISABLED`. | [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Si la spécification de la clé n'est pas `AES_256`, si l'utilisation de la clé n'est pas `[ENCRYPT, DECRYPT]`, ou si l'état est `DISABLED`, l'opération `CreateKey` échoue avec l'exception `XksKeyInvalidConfigurationException`. | 

### Double chiffrement
<a name="concept-double-encryption"></a>

Les données chiffrées par une clé KMS dans un magasin de clés externe sont chiffrées deux fois. Tout d'abord, AWS KMS chiffre les données avec des AWS KMS éléments clés spécifiques à la clé KMS. Ensuite, le texte chiffré au moyen d' AWS KMS est chiffré par votre [gestionnaire de clés externe](#concept-ekm) à l'aide de votre [clé externe](#concept-external-key). Ce processus est connu sous le nom de *double chiffrement*.

Le double chiffrement garantit que les données chiffrées par une clé KMS dans un magasin de clés externe sont au moins aussi robustes que le texte chiffré au moyen d'une clé KMS standard. Il protège également votre texte brut en transit depuis votre proxy AWS KMS de stockage de clés externe. Grâce au double chiffrement, vous gardez le contrôle total de vos textes chiffrés. Si vous révoquez définitivement l'accès d' AWS à votre clé externe par le biais de votre proxy externe, tout texte chiffré restant dans AWS est en fait détruit par chiffrement.

![\[Double chiffrement des données protégées par une clé KMS dans un magasin de clés externe\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/xks-double-encrypt-40.png)


Pour activer le double chiffrement, chaque clé KMS d'un magasin de clés externe possède *deux* clés de sauvegarde cryptographiques :
+ Matériau AWS KMS clé unique à la clé KMS. Ce matériel clé est généré et utilisé uniquement dans les modules de sécurité matériels certifiés AWS KMS [FIPS 140-3 Security Level 3 ()](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884). HSMs
+ Une [clé externe](#concept-external-key) dans votre gestionnaire de clés externe.

Le double chiffrement a les effets suivants :
+ AWS KMS ne peut déchiffrer aucun texte chiffré par une clé KMS dans un magasin de clés externe sans accéder à vos clés externes via votre proxy de stockage de clés externe.
+ Vous ne pouvez pas déchiffrer un texte chiffré par une clé KMS dans un magasin de clés externe situé en dehors de celui-ci AWS, même si vous possédez le contenu de cette clé externe.
+ Vous ne pouvez pas recréer une clé KMS qui a été supprimée d'un magasin de clés externe, même si vous possédez ses éléments de clé externes. Chaque clé KMS possède des métadonnées uniques qu'elle inclut dans le texte chiffré symétrique. Une nouvelle clé KMS ne serait pas en mesure de déchiffrer le texte chiffré au moyen de la clé d'origine, même si elle utilisait les mêmes éléments de clé externes.

Pour un exemple de double chiffrement en pratique, veuillez consulter la rubrique [Fonctionnement des magasins de clés externes](#xks-how-it-works).

## Fonctionnement des magasins de clés externes
<a name="xks-how-it-works"></a>

Votre [magasin de clés externe](#concept-external-key-store), votre [proxy de magasin de clés externe](#concept-xks-proxy) et votre [gestionnaire de clés externe](#concept-ekm) travaillent ensemble pour protéger vos ressources AWS . La procédure suivante décrit le flux de travail de chiffrement d'un Service AWS typique qui chiffre chaque objet sous une clé de données unique protégée par une clé KMS. Dans ce cas, vous avez choisi une clé KMS dans un magasin de clés externe pour protéger l'objet. L'exemple montre comment AWS KMS utilise le [double chiffrement](#concept-double-encryption) pour protéger la clé de données en transit et garantir que le texte chiffré généré par une clé KMS dans un magasin de clés externe est toujours au moins aussi fort que le texte chiffré par une clé KMS symétrique standard contenant le contenu de la clé. AWS KMS

Les méthodes de cryptage utilisées par Service AWS chaque appareil intégré AWS KMS varient. Pour plus de détails, veuillez consulter la rubrique « Protection des données » dans le chapitre Sécurité de la documentation Service AWS .

![\[Fonctionnement des magasins de clés externes\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/xks-how-it-works-jan26.png)


1. Vous ajoutez un nouvel objet à votre Service AWS ressource. Pour chiffrer l'objet, Service AWS envoie une [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)demande à l' AWS KMS aide d'une clé KMS dans votre banque de clés externe.

1. AWS KMS génère une clé de [données symétrique de 256 bits et prépare l'envoi d'une copie de la clé](data-keys.md) de données en texte clair à votre gestionnaire de clés externe via votre proxy de stockage de clés externe. AWS KMS lance le processus de [double chiffrement](#concept-double-encryption) en chiffrant la clé de données en texte brut avec le [matériel AWS KMS clé](#concept-double-encryption) associé à la clé KMS dans le magasin de clés externe. 

1. AWS KMS envoie une demande de [chiffrement](#concept-proxy-apis) au proxy de stockage de clés externe associé au magasin de clés externe. La demande inclut le texte chiffré de la clé de données à chiffrer et l'ID de la [clé externe](#concept-external-key) associée à la clé KMS. AWS KMS signe la demande en utilisant les [informations d'authentification du proxy](#concept-xks-credential) de votre magasin de clés externe. 

   La copie en texte brut de la clé de données n'est pas envoyée au proxy du magasin de clés externes.

1. Le proxy de magasin de clés externe authentifie la requête, puis transmet la requête de chiffrement à votre gestionnaire de clés externe. 

   Certains proxys de magasin de clés externe implémentent également une [politique d'autorisation](authorize-xks-key-store.md#xks-proxy-authorization) facultative qui permet uniquement à certains principaux d'effectuer des opérations dans des conditions spécifiques.

1. Votre gestionnaire de clés externe chiffre le texte chiffré de la clé de données à l'aide de la clé externe spécifiée. Le gestionnaire de clés externe renvoie la clé de données doublement chiffrée à votre proxy de magasin de clés externe, qui la renvoie à AWS KMS.

1. AWS KMS renvoie la clé de données en texte brut et la copie chiffrée deux fois de cette clé de données au. Service AWS

1. Il Service AWS utilise la clé de données en texte brut pour chiffrer l'objet de ressource, détruit la clé de données en texte clair et stocke la clé de données chiffrée avec l'objet chiffré. 

   Certains Services AWS peuvent mettre en cache la clé de données en texte brut à utiliser pour plusieurs objets ou à réutiliser pendant que la ressource est en cours d'utilisation. Pour en savoir plus, consultez [Comment les clés KMS inutilisables affectent les clés de données](unusable-kms-keys.md).

Pour déchiffrer l'objet chiffré, vous Service AWS devez renvoyer la clé de données chiffrée AWS KMS dans une demande de [déchiffrement](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html). Pour déchiffrer la clé de données chiffrée, vous AWS KMS devez renvoyer la clé de données chiffrée à votre proxy de stockage de clés externe avec l'ID de la clé externe. Si la demande de déchiffrement adressée au proxy de stockage de clés externe échoue pour une raison quelconque, il est AWS KMS impossible de déchiffrer la clé de données cryptée et de déchiffrer l' Service AWS objet chiffré.

# Contrôlez l'accès à votre magasin de clés externe
<a name="authorize-xks-key-store"></a>

Toutes les fonctionnalités de contrôle d' AWS KMS accès ([politiques clés](key-policies.md), [politiques IAM](iam-policies.md) et [autorisations](grants.md)) que vous utilisez avec les clés KMS standard fonctionnent de la même manière pour les clés KMS dans un magasin de clés externe. Vous pouvez utiliser les politiques IAM pour contrôler l'accès aux opérations d'API qui créent et gèrent des magasins de clés externes. Vous utilisez des politiques IAM et des politiques clés pour contrôler l'accès AWS KMS keys à votre banque de clés externe. Vous pouvez également utiliser des [politiques de contrôle des services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) pour votre AWS organisation et des politiques de point de [terminaison VPC pour contrôler l'](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#edit-vpc-endpoint-policy)accès aux clés KMS dans votre magasin de clés externe. 

Nous vous recommandons de ne fournir aux utilisateurs et aux rôles que les autorisations dont ils ont besoin pour les tâches qu'ils sont susceptibles d'effectuer.

**Topics**
+ [Autoriser des gestionnaires de magasins de clés externes](#authorize-xks-managers)
+ [Autoriser les utilisateurs de clés KMS dans des magasins de clés externes](#authorize-xks-users)
+ [Autorisation AWS KMS de communication avec votre proxy de magasin de clés externe](#allowlist-kms-xks)
+ [Autorisation par proxy de magasin de clés externe (facultatif)](#xks-proxy-authorization)
+ [Authentification mTLS (obsolète)](#xks-mtls)

## Autoriser des gestionnaires de magasins de clés externes
<a name="authorize-xks-managers"></a>

Les principaux qui créent et gèrent un magasin de clés externe doivent être autorisés pour les opérations de magasin de clés personnalisé. La liste suivante décrit les autorisations minimales requises pour les gestionnaires de magasin de clés externe. Étant donné qu'un magasin de clés personnalisé n'est pas une AWS ressource, vous ne pouvez pas accorder d'autorisation à un magasin de clés externe pour les principaux d'un autre Comptes AWS.
+ `kms:CreateCustomKeyStore`
+ `kms:DescribeCustomKeyStores`
+ `kms:ConnectCustomKeyStore`
+ `kms:DisconnectCustomKeyStore`
+ `kms:UpdateCustomKeyStore`
+ `kms:DeleteCustomKeyStore`

Pour créer un magasin de clés externe avec [connectivité au service de point de terminaison Amazon VPC et si le service](choose-xks-connectivity.md#xks-vpc-connectivity) de point de terminaison VPC appartient à un autre service Compte AWS, vous devez également obtenir l'autorisation suivante :
+ `ec2:DescribeVPCEndpointServices`

Les principaux qui créent un magasin de clés externe doivent être autorisés à créer et à configurer les composants du magasin de clés externe. Les principaux ne peuvent créer des magasins de clés externes que sur leurs propres comptes. Pour créer un magasin de clés externe doté d'une [connectivité au service de point de terminaison d'un VPC](choose-xks-connectivity.md#xks-vpc-connectivity), les gestionnaires doivent être autorisés à créer les composants suivants :
+ Un Amazon VPC
+ Sous-réseaux publics et privés
+ Un équilibreur de charge réseau et un groupe cible
+ Un service de point de terminaison d'un Amazon VPC

Pour plus de détails, veuillez consulter les rubriques [Identity and Access Management pour Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/security-iam.html), [Identity and Access Management pour les points de terminaison de VPC et les services de points de terminaison de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-iam.html) et [Elastic Load Balancing API permissions](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/elb-api-permissions.html) (Autorisations de l'API Elastic Load Balancing).

## Autoriser les utilisateurs de clés KMS dans des magasins de clés externes
<a name="authorize-xks-users"></a>

Les principaux responsables qui créent et gèrent AWS KMS keys dans votre magasin de clés externe ont besoin des [mêmes autorisations](create-keys.md#create-key-permissions) que ceux qui créent et gèrent n'importe quelle clé KMS dans AWS KMS votre magasin de clés. La [politique de clé par défaut](key-policy-default.md) pour les clés KMS d'un magasin de clés externe est identique à la politique de clé par défaut pour les clés KMS dans AWS KMS. Le [contrôle d'accès par attributs](abac.md) (ABAC), qui utilise des balises et des alias pour contrôler l'accès aux clés KMS, fonctionne également sur les clés KMS dans les magasins de clés externes.

Les principaux qui utilisent les clés KMS dans votre magasin de clés personnalisé pour les [opérations de chiffrement](manage-cmk-keystore.md#use-cmk-keystore) ont besoin des autorisations pour effectuer les opérations de chiffrement avec la clé KMS, telle que [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html). Vous pouvez fournir ces autorisations dans une politique IAM ou une politique de clé. Cependant, les principaux n'ont pas besoin d'autorisations supplémentaires pour utiliser une clé KMS dans un magasin de clés personnalisé.

Pour définir une autorisation qui s'applique uniquement aux clés KMS d'un magasin de clés externe, utilisez la condition de politique [`kms:KeyOrigin`](conditions-kms.md#conditions-kms-key-origin) avec la valeur de `EXTERNAL_KEY_STORE`. Vous pouvez utiliser cette condition pour limiter l'CreateKeyautorisation [kms :](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) ou toute autorisation spécifique à une ressource clé KMS. Par exemple, la politique IAM suivante permet à l'identité à laquelle elle est associée d'appeler les opérations spécifiées sur toutes les clés KMS du compte, à condition que les clés KMS se trouvent dans un magasin de clés externe. Notez que vous pouvez limiter l'autorisation aux clés KMS dans un magasin de clés externe et aux clés KMS dans un magasin de clés externe Compte AWS, mais pas à un magasin de clés externe spécifique du compte.

```
{
  "Sid": "AllowKeysInExternalKeyStores",
  "Effect": "Allow",
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey"
  ],
  "Resource": "arn:aws:kms:us-west-2:111122223333:key/*",
  "Condition": {
    "StringEquals": {
      "kms:KeyOrigin": "EXTERNAL_KEY_STORE"
    }
  }
}
```

## Autorisation AWS KMS de communication avec votre proxy de magasin de clés externe
<a name="allowlist-kms-xks"></a>

AWS KMS communique avec votre gestionnaire de clés externe uniquement via le [proxy de stockage de clés externe](keystore-external.md#concept-xks-proxy) que vous fournissez. AWS KMS s'authentifie auprès de votre proxy en signant ses demandes à l'aide du [processus Signature Version 4 (SigV4)](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) avec les informations d'[identification d'authentification du proxy de stockage de clés externe](keystore-external.md#concept-xks-credential) que vous spécifiez. Si vous utilisez la [connectivité d'un point de terminaison public](choose-xks-connectivity.md#xks-connectivity-public-endpoint) pour votre proxy de magasin de clés externe, AWS KMS aucune autorisation supplémentaire n'est requise. 

Toutefois, si vous utilisez la [connectivité du service de point de terminaison VPC](choose-xks-connectivity.md#xks-vpc-connectivity), vous devez AWS KMS autoriser la création d'un point de terminaison d'interface pour votre service de point de terminaison Amazon VPC. Cette autorisation est requise, que le proxy de banque de clés externe se trouve dans votre VPC ou qu'il se trouve ailleurs, mais qu'il utilise le service de point de terminaison du VPC pour communiquer avec. AWS KMS

 AWS KMS Pour autoriser la création d'un point de terminaison d'interface, utilisez la [console Amazon VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) ou l'[ModifyVpcEndpointServicePermissions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpointServicePermissions.html)opération. Accordez des autorisations au principal suivant : `cks.kms.<region>.amazonaws.com`.

Si votre service de point de terminaison Amazon VPC n'appartient pas au Compte AWS propriétaire Compte AWS du magasin de clés externe (XKS), vous devez également autoriser XKS à accéder au service de point de terminaison VPC. Pour ce faire, [autorisez l' Compte AWS ID XKS en tant que principal pour le service](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) de point de terminaison Amazon VPC.

------
#### [ Same Compte AWS ]

Lorsque votre service de point de terminaison VPC appartient au même Compte AWS que votre magasin de clés externe, vous devez l'ajouter AWS KMS à la liste des **principaux autorisés pour votre service de point de** terminaison VPC.

L'exemple suivant utilise la [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html) AWS CLI commande pour autoriser la connexion AWS KMS au service de point de terminaison VPC spécifié dans la région USA Ouest (Oregon) (us-west-2). Avant d'utiliser cette commande, remplacez l'identifiant du service Amazon VPC par Région AWS des valeurs valides pour votre configuration.

```
modify-vpc-endpoint-service-permissions
--service-id vpce-svc-12abc34567def0987
--add-allowed-principals '["cks.kms.us-west-2.amazonaws.com"]'
```

Pour supprimer cette autorisation, utilisez la [console Amazon VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) ou [ModifyVpcEndpointServicePermissions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpointServicePermissions.html)avec le `RemoveAllowedPrincipals` paramètre.

------
#### [ Cross Compte AWS ]

Lorsque votre service de point de terminaison VPC appartient à un autre service Compte AWS, vous devez les ajouter, AWS KMS ainsi que votre magasin de clés externe, à la liste **des principaux** autorisés pour votre service de point de terminaison VPC.

L'exemple suivant utilise la [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html) AWS CLI commande pour permettre à la fois à votre banque de clés externe (XKS) AWS KMS et à votre banque de clés externe (XKS) de se connecter au service de point de terminaison VPC spécifié dans la région USA Ouest (Oregon) (us-west-2). Avant d'utiliser cette commande, remplacez l'identifiant du service Amazon VPC et l'ARN principal IAM par des valeurs valides pour votre configuration. Région AWS Le principal IAM doit être remplacé par un principal chez le propriétaire du XKS. Compte AWS

Dans cet exemple, `arn:aws:iam::123456789012:role/cks_role` il s'agit du principal IAM du compte propriétaire du XKS, qui sera utilisé pour créer, mettre à jour ou connecter le XKS à votre service de point de terminaison VPC. Si vous souhaitez autoriser tous les principaux du compte propriétaire XKS à accéder à votre service de point de terminaison VPC, vous pouvez le spécifier. `arn:aws:iam::123456789012:root`

```
modify-vpc-endpoint-service-permissions
--service-id vpce-svc-12abc34567def0987
--add-allowed-principals '["cks.kms.us-west-2.amazonaws.com", "arn:aws:iam::123456789012:role/cks_role"]'
```

Pour supprimer cette autorisation, utilisez la [console Amazon VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) ou [ModifyVpcEndpointServicePermissions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpointServicePermissions.html)avec le `RemoveAllowedPrincipals` paramètre.

------

## Autorisation par proxy de magasin de clés externe (facultatif)
<a name="xks-proxy-authorization"></a>

Certains proxys de magasin de clés externe mettent en œuvre des exigences d'autorisation pour l'utilisation de leurs clés externes. Un proxy de magasin de clés externe est autorisé, mais pas tenu, de concevoir et d'implémenter un schéma d'autorisation qui permet à des utilisateurs particuliers de demander des opérations particulières uniquement sous certaines conditions. Par exemple, un proxy peut être configuré pour permettre à l'utilisateur A de chiffrer avec une clé externe particulière, mais pas de déchiffrer à l'aide de cette clé.

L'autorisation du proxy est indépendante de l'[authentification du proxy basée sur SIGv4](keystore-external.md#concept-xks-credential) qui AWS KMS nécessite tous les proxys de stockage de clés externes. Elle est également indépendante des politiques de clés, des politiques IAM et des octrois qui accordent l'accès aux opérations affectant le magasin de clés externe ou ses clés KMS.

Pour activer l'autorisation par le proxy de stockage de clés externe, AWS KMS incluez des métadonnées dans chaque [demande d'API proxy](keystore-external.md#concept-proxy-apis), y compris l'appelant, la clé KMS, l' AWS KMS opération, le Service AWS (le cas échéant). Les métadonnées de la requête pour la version 1 (v1) de l'API de proxy de clé externe se présentent comme suit.

```
"requestMetadata": {
    "awsPrincipalArn": string,
    "awsSourceVpc": string, // optional
    "awsSourceVpce": string, // optional
    "kmsKeyArn": string,
    "kmsOperation": string,
    "kmsRequestId": string,
    "kmsViaService": string // optional
}
```

Par exemple, vous pouvez configurer votre proxy pour autoriser les demandes d'un principal particulier (`awsPrincipalArn`), mais uniquement lorsque la demande est faite au nom du principal par un particulier Service AWS (`kmsViaService`).

Si l'autorisation du proxy échoue, l' AWS KMS opération correspondante échoue avec un message expliquant l'erreur. Pour plus de détails, veuillez consulter la rubrique [Problèmes d'autorisation du proxy](xks-troubleshooting.md#fix-xks-authorization).

## Authentification mTLS (obsolète)
<a name="xks-mtls"></a>

Les versions précédentes de ce guide mentionnaient la *sécurité mutuelle de la couche de transport* (MTL) en tant que mécanisme d'authentification secondaire facultatif pour authentifier les demandes provenant de. AWS KMS Avec mTLS, les deux parties (AWS KMS en tant que client et le proxy XKS en tant que serveur) communiquant via un canal TLS utilisent des certificats pour s'authentifier mutuellement.

Cependant, les modifications apportées à la [politique du programme Chrome Root (section 4.2.2)](https://googlechrome.github.io/chromerootprogram/policy-archive/policy-version-1-7/#422-pki-hierarchies-included-in-the-chrome-root-store) interdisent aux utilisateurs root reconnus publiquement CAs inclus dans le Chrome Root Store d'émettre des certificats avec l'extension ClientAuth Extended Key Usage (EKU) après le 15 juin 2026. Par conséquent, il n'est plus AWS KMS possible d'obtenir un certificat client adapté aux MTL auprès d'[Amazon Trust Services](https://www.amazontrust.com/repository/). Tout proxy XKS utilisé pour créer un nouveau magasin de clés externe AWS KMS après le 16 mars 2026 ne doit pas nécessiter de MTL. Après le 15 juin 2026, tout proxy XKS configuré pour exiger des mTLS ne pourra plus communiquer avec. AWS KMS Les clients doivent se fier à l'authentification SigV4 pour vérifier que les demandes proviennent de AWS KMS. Pour plus d'informations, consultez la section Informations d'[identification d'authentification du proxy du magasin de clés externe](keystore-external.md#concept-xks-credential).

# Choisissez une option de connectivité proxy pour un magasin de clés externe
<a name="choose-xks-connectivity"></a>

Avant de créer votre magasin de clés externe, choisissez l'option de connectivité qui détermine le mode de AWS KMS communication avec les composants de votre magasin de clés externe. L'option de connectivité que vous choisissez détermine le reste du processus de planification.

Si vous créez un magasin de clés externe, vous devez déterminer le mode de AWS KMS communication avec votre [proxy de magasin de clés externe](keystore-external.md#concept-xks-proxy). Ce choix déterminera les composants dont vous avez besoin et la manière dont vous les configurez. AWS KMS prend en charge les options de connectivité suivantes.
+ [Connectivité au point de terminaison public](#xks-connectivity-public-endpoint)
+ [Connectivité au service de point de terminaison d'un VPC](#xks-vpc-connectivity)

Choisissez l'option qui répond à vos objectifs de performance et de sécurité.

Avant de commencer, [vérifiez que vous avez besoin d'un magasin de clés externe](keystore-external.md#do-i-need-xks). La plupart des clients peuvent utiliser des clés KMS soutenues par du matériel AWS KMS clé.

**Considérations**
+ Si votre proxy de magasin de clés externe est intégré à votre gestionnaire de clés externe, votre connectivité peut être prédéterminée. Pour obtenir des conseils, consultez la documentation de votre gestionnaire de clés externe ou de votre proxy de magasin de clés externe.
+ Vous pouvez [modifier l'option de connectivité de votre proxy de magasin de clés externe](update-xks-keystore.md), même sur un magasin de clés externe opérationnel. Toutefois, le processus doit être soigneusement planifié et exécuté afin de minimiser les interruptions, d'éviter les erreurs et de garantir un accès continu aux clés cryptographiques qui chiffrent vos données.

## Connectivité au point de terminaison public
<a name="xks-connectivity-public-endpoint"></a>

AWS KMS se connecte au proxy de stockage de clés externe (proxy XKS) via Internet à l'aide d'un point de terminaison public.

Cette option de connectivité est plus facile à configurer et à gérer, et elle s'adapte parfaitement à certains modèles de gestion des clés. Toutefois, il se peut qu'elle ne réponde pas aux exigences de sécurité de certaines organisations.

![\[Connectivité au point de terminaison public\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/xks-public-endpoint-60.png)


**Exigences**

Si vous optez pour la connectivité au point de terminaison public, les éléments suivants sont requis. 
+ Le proxy de votre magasin de clés externe doit être accessible à partir d'un point de terminaison publiquement routable. 
+ Vous pouvez utiliser le même point de terminaison public pour plusieurs magasins de clés externes à condition qu'ils utilisent des valeurs de [chemin d'URI de proxy](create-xks-keystore.md#require-path) différentes. 
+ Vous ne pouvez pas utiliser le même point de terminaison pour un magasin de clés externe connecté à un point de terminaison public et un magasin de clés externe doté d'une connectivité aux services de point de terminaison VPC Région AWS, même si les magasins de clés se trouvent dans des emplacements différents. Comptes AWS
+ Vous devez obtenir un certificat TLS émis par une autorité de certification publique prise en charge pour les magasins de clés externes. Pour obtenir une liste, veuillez consulter les [Autorités de certification approuvées](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities) (langue française non garantie). 

  Le nom commun (CN) du sujet figurant sur le certificat TLS doit correspondre au nom de domaine indiqué dans le [point de terminaison URI de proxy](create-xks-keystore.md#require-endpoint) pour le proxy du magasin de clés externe. Par exemple, si le point de terminaison public est `https://myproxy.xks.example.com`, le TLS, le CN du certificat TLS doit être `myproxy.xks.example.com` ou `*.xks.example.com`.
+ Assurez-vous que tous les pare-feux situés entre le proxy de stockage de clés externe AWS KMS et le proxy autorisent le trafic à destination et en provenance du port 443 du proxy. AWS KMS communique sur le port 443 IPv4. Cette valeur n’est pas configurable.

Pour connaître toutes les exigences relatives à un magasin de clés externe, veuillez consulter la rubrique [Réunir les conditions préalables](create-xks-keystore.md#xks-requirements).

## Connectivité au service de point de terminaison d'un VPC
<a name="xks-vpc-connectivity"></a>

AWS KMS se connecte au proxy de stockage de clés externe (proxy XKS) en créant un point de terminaison d'interface vers un service de point de terminaison Amazon VPC que vous créez et configurez. Vous êtes responsable de la [création du service de point de terminaison d'un VPC](vpc-connectivity.md) et de la connexion de votre VPC à votre gestionnaire de clés externe.

Votre service de point de terminaison peut utiliser n'importe laquelle des [options network-to-Amazon VPC prises en charge](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html) pour les communications, notamment. [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/) 

Cette option de connectivité est plus compliquée à configurer et à gérer. Mais il utilise AWS PrivateLink, ce qui permet AWS KMS de se connecter en privé à votre Amazon VPC et à votre proxy de magasin de clés externe sans utiliser l'Internet public.

Vous pouvez localiser le proxy de votre magasin de clés externe dans votre Amazon VPC.

![\[Connectivité au service de point de terminaison d'un VPC : proxy XKS dans votre VPC\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/xks-proxy-in-vpc-60.png)


Vous pouvez également localiser votre proxy de stockage de clés externe à l'extérieur AWS Cloud et utiliser votre service de point de terminaison Amazon VPC uniquement pour des communications sécurisées avec. AWS KMS

![\[Connectivité du service de point de terminaison VPC : proxy XKS en dehors de AWS\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/xks-proxy-via-vpc-60.png)


Vous pouvez également connecter un magasin de clés externe à un service de point de terminaison Amazon VPC appartenant à un autre. Compte AWS Les deux Comptes AWS ont besoin des [autorisations nécessaires](authorize-xks-key-store.md#authorize-xks-managers) pour autoriser les communications entre AWS KMS et le service de point de terminaison VPC 

**En savoir plus :**
+ Passez en revue le processus de création d'un magasin de clés externe, ce qui inclut de [réunir les conditions préalables](create-xks-keystore.md#xks-requirements). Cela vous aidera à vous assurer que vous disposez de tous les composants dont vous avez besoin lorsque vous créez votre magasin de clés externe.
+ Découvrez comment [contrôler l'accès à votre magasin de clés externe](authorize-xks-key-store.md), notamment les autorisations requises par les administrateurs et les utilisateurs du magasin de clés externe. 
+ Découvrez les [ CloudWatch statistiques et les dimensions Amazon](monitoring-cloudwatch.md#kms-metrics) AWS KMS enregistrées pour les principaux magasins externes. Nous vous recommandons vivement de créer des alertes pour surveiller votre magasin de clés externe afin de détecter les premiers signes de problèmes de performance et de fonctionnement.

# Configurer la connectivité du service de point de terminaison VPC
<a name="vpc-connectivity"></a>

Suivez les instructions de cette section pour créer et configurer les AWS ressources et les composants associés requis pour un magasin de clés externe utilisant la connectivité du [service de point de terminaison VPC](choose-xks-connectivity.md#xks-vpc-connectivity). Les ressources répertoriées pour cette option de connectivité complètent les [ressources requises pour tous les magasins de clés externes](create-xks-keystore.md#xks-requirements). Après avoir créé et configuré les ressources requises, vous pouvez [créer votre magasin de clés externe](create-xks-keystore.md).

Vous pouvez localiser votre proxy de stockage de clés externe dans votre Amazon VPC ou le localiser à l'extérieur AWS et utiliser votre service de point de terminaison VPC pour communiquer.

Avant de commencer, [vérifiez que vous avez besoin d'un magasin de clés externe](keystore-external.md#do-i-need-xks). La plupart des clients peuvent utiliser des clés KMS soutenues par du matériel AWS KMS clé.

**Note**  
Certains des éléments requis pour la connectivité au service de point de terminaison d'un VPC peuvent être inclus dans votre gestionnaire de clés externe. En outre, votre logiciel peut avoir des exigences de configuration supplémentaires. Avant de créer et de configurer les AWS ressources de cette section, consultez la documentation de votre proxy et de votre gestionnaire de clés.

**Topics**
+ [Exigences pour la connectivité au service de point de terminaison d'un VPC](#xks-vpce-service-requirements)
+ [Étape 1 : créer un Amazon VPC et des sous-réseaux](#xks-create-vpc)
+ [Étape 2 : Création d'un groupe cible](#xks-target-group)
+ [Étape 3 : créer un équilibreur de charge réseau](#xks-nlb)
+ [Étape 4 : créer un service de point de terminaison VPC](#xks-vpc-svc)
+ [Étape 5 : Vérifiez votre nom de domaine DNS privé](#xks-private-dns)
+ [Étape 6 : Autoriser AWS KMS la connexion au service de point de terminaison VPC](#xks-vpc-authorize-kms)

## Exigences pour la connectivité au service de point de terminaison d'un VPC
<a name="xks-vpce-service-requirements"></a>

Si vous choisissez la connectivité au service de point de terminaison d'un VPC pour votre magasin de clés externe, les ressources suivantes sont requises. 
+ Un Amazon VPC connecté à votre gestionnaire de clés externe. Il doit avoir au moins deux [sous-réseaux](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html) privés dans deux zones de disponibilité différentes.

  Vous pouvez utiliser un Amazon VPC existant pour votre magasin de clés externe, à condition qu'il [réponde aux exigences](#xks-vpc-requirements) d'utilisation avec un magasin de clés externe. Plusieurs magasins de clés externes peuvent partager un Amazon VPC, mais chaque magasin de clés externe doit disposer de son propre service de point de terminaison d'un VPC et d'un nom DNS privé.
+ Un [service de point de terminaison d'un Amazon VPC à technologie AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-share-your-services.html) avec un [équilibreur de charge réseau](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html) et un [groupe cible](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html). 

  Le service de point de terminaison ne peut pas exiger d'acceptation. Vous devez également ajouter AWS KMS en tant que principal autorisé. Cela permet AWS KMS de créer des points de terminaison d'interface afin qu'elle puisse communiquer avec votre proxy de stockage de clés externe.
+ Un nom DNS privé pour le service de point de terminaison d'un VPC qui est unique dans sa Région AWS. 

  Le nom DNS privé doit être un sous-domaine d'un domaine public de niveau supérieur. Par exemple, si le nom DNS privé est `myproxy-private.xks.example.com`, il doit être un sous-domaine d'un domaine public tel que `xks.example.com` ou `example.com`.

  Vous devez [vérifier la propriété](#xks-private-dns) du domaine DNS pour le nom DNS privé.
+ Un certificat TLS émis par une [autorité de certification publique prise en charge](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities) pour votre proxy de magasin de clés externe. 

  Le nom commun (CN) du sujet sur le certificat TLS doit correspondre au nom DNS privé. Par exemple, si le nom DNS privé est `myproxy-private.xks.example.com`, le CN du certificat TLS doit être `myproxy-private.xks.example.com` ou `*.xks.example.com`.
+ Pour minimiser la latence du réseau, créez vos AWS composants dans le [Région AWS support](keystore-external.md#xks-regions) le plus proche de votre [gestionnaire de clés externe](keystore-external.md#concept-ekm). Si possible, choisissez une région dont le temps d'aller-retour sur le réseau (RTT, round-trip time) est inférieur ou égal à 35 millisecondes.

Pour connaître toutes les exigences relatives à un magasin de clés externe, veuillez consulter la rubrique [Réunir les conditions préalables](create-xks-keystore.md#xks-requirements).

## Étape 1 : créer un Amazon VPC et des sous-réseaux
<a name="xks-create-vpc"></a>

La connectivité au service de point de terminaison d'un VPC nécessite un Amazon VPC connecté à votre gestionnaire de clés externe avec au moins deux sous-réseaux privés. Vous pouvez créer un Amazon VPC ou utiliser un Amazon VPC existant qui répond aux exigences relatives aux magasins de clés externes. Pour de plus amples informations sur la création d'un VPC, veuillez consulter la rubrique [Créer un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC) dans le *Guide de l'utilisateur Amazon Virtual Private Cloud*.

### Exigences pour votre Amazon VPC
<a name="xks-vpc-requirements"></a>

Le service de point de terminaison Amazon VPC doit avoir les propriétés suivantes pour fonctionner avec des magasins de clés externes.
+ Vous devez vous trouver dans une [région prise en charge](keystore-external.md#xks-regions) en tant que magasin de clés externe.
+ Comporter au moins deux sous-réseaux privés, chacun dans une zone de disponibilité différente.
+ La plage d'adresses IP privées de votre Amazon VPC ne doit pas chevaucher la plage d'adresses IP privées du centre de données hébergeant votre [gestionnaire de clés externe](keystore-external.md#concept-ekm).
+ Tous les composants doivent être utilisés IPv4.

Vous disposez de nombreuses options pour connecter l'Amazon VPC à votre proxy de magasin de clés externe. Choisissez une option qui répond à vos exigences de performance et de sécurité. Pour obtenir une liste, consultez [Connecter votre VPC à d'autres réseaux](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html) et options de connectivité [Network-to-Amazon VPC](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html). Pour de plus amples informations, veuillez consulter [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) et le [Guide de l'utilisateur AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/).

### Créer un Amazon VPC pour votre magasin de clés externe
<a name="xks-vpc-create"></a>

Utilisez les instructions suivantes pour créer l'Amazon VPC pour votre magasin de clés externe. Un Amazon VPC n'est requis que si vous choisissez l'option de [connectivité au service de point de terminaison d'un VPC](choose-xks-connectivity.md). Vous pouvez utiliser un Amazon VPC existant qui répond aux exigences d'un magasin de clés externe.

Suivez les instructions de la section [Créer un VPC, des sous-réseaux et d'autres ressources VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#create-vpc-and-other-resources) à l'aide des valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.


| Champ | Value | 
| --- | --- | 
| IPv4 Bloc d'adresse CIDR | Saisissez les adresses IP de votre VPC. La plage d'adresses IP privées de votre Amazon VPC ne doit pas chevaucher la plage d'adresses IP privées du centre de données hébergeant votre [gestionnaire de clés externe](keystore-external.md#concept-ekm). | 
| Nombre de zones de disponibilité (AZs) | 2 ou plus | 
| Nombre de sous-réseaux publics |  Pas d'exigence minimale (0)  | 
| Nombre de sous-réseaux privés | Un pour chaque AZ | 
| Passerelles NAT | Pas d'exigence minimale. | 
| Points de terminaison d’un VPC | Pas d'exigence minimale. | 
| Enable DNS hostnames | Oui | 
| Activer la résolution DNS | Oui | 

Assurez-vous de tester la communication de votre VPC. Par exemple, si le proxy de votre magasin de clés externe ne se trouve pas dans votre Amazon VPC, créez une instance Amazon EC2 dans votre Amazon VPC et vérifiez que l'Amazon VPC peut communiquer avec le proxy de votre magasin de clés externe.

### Connecter le VPC au gestionnaire de clés externe
<a name="xks-vpc-to-ekm"></a>

Connectez le VPC au centre de données qui héberge votre gestionnaire de clés externe en utilisant l'une des [options de connectivité réseau](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html) prises en charge par Amazon VPC. Assurez-vous que l'instance Amazon EC2 du VPC (ou le proxy de magasin de clés externe, s'il se trouve dans le VPC) peut communiquer avec le centre de données et le gestionnaire de clés externe.

## Étape 2 : Création d'un groupe cible
<a name="xks-target-group"></a>

Avant de créer le service de point de terminaison d'un VPC requis, créez ses composants requis, un équilibreur de charge réseau (NLB) et un groupe cible. L'équilibreur de charge réseau (NLB) distribue les requêtes entre plusieurs cibles saines, chacune pouvant répondre à la requête. Au cours de cette étape, vous créez un groupe cible avec au moins deux hôtes pour votre proxy de magasin de clés externe et vous enregistrez vos adresses IP auprès du groupe cible.

Suivez les instructions de la section [Configure a target group](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html#configure-target-group) (Configurer un groupe cible) à l'aide des valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.


| Champ | Value | 
| --- | --- | 
| Type de cible | Adresses IP | 
|  Protocole | TCP | 
|  Port |  443  | 
| Type d'adresse IP | IPv4 | 
| VPC | Choisissez le VPC dans lequel vous allez créer le service de point de terminaison d'un VPC pour votre magasin de clés externe. | 
| Protocole et chemin de surveillance de l'état | Votre protocole et votre chemin de surveillance de l'état varient en fonction de la configuration du proxy de votre magasin de clés externe. Consultez la documentation de votre gestionnaire de clés externe ou de votre proxy de magasin de clés externe.Pour des informations générales sur la configuration de la surveillance de l'état de vos groupes cibles, veuillez consulter la rubrique [Health checks for your target groups](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-health-checks.html) (Surveillance de l'état de vos groupes cibles) dans le Guide de l'utilisateur Elastic Load Balancing pour les Network Load Balancers. | 
| Réseau | Autre adresse IP privée | 
| IPv4 adresse | Les adresses privées de votre proxy de magasin de clés externe | 
| Ports | 443 | 

## Étape 3 : créer un équilibreur de charge réseau
<a name="xks-nlb"></a>

L'équilibreur de charge réseau distribue le trafic réseau, y compris les requêtes d' AWS KMS auprès de votre proxy de magasin de clés externe, aux cibles configurées.

Suivez les instructions de la rubrique [Configure a load balancer and a listener](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html#configure-load-balancer) (Configurer un équilibreur de charge et un écouteur) pour configurer et ajouter un écouteur et créer un équilibreur de charge en utilisant les valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.


| Champ | Value | 
| --- | --- | 
| Scheme | Internal (Interne) | 
| Type d’adresse IP | IPv4 | 
| Mappage du réseau |  Choisissez le VPC dans lequel vous allez créer le service de point de terminaison d'un VPC pour votre magasin de clés externe.  | 
| Mappage | Choisissez les deux zones de disponibilité (au moins deux) que vous avez configurées pour vos sous-réseaux VPC. Vérifiez les noms de sous-réseaux et l'adresse IP privée. | 
|  Protocole | TCP | 
|  Port | 443 | 
| Action par défaut : Réacheminer vers | Choisissez le [groupe cible](#xks-target-group) pour votre équilibreur de charge réseau. | 

## Étape 4 : créer un service de point de terminaison VPC
<a name="xks-vpc-svc"></a>

En général, vous créez un point de terminaison vers un service. Toutefois, lorsque vous créez un service de point de terminaison VPC, vous êtes le fournisseur et vous AWS KMS créez un point de terminaison pour votre service. Pour un magasin de clés externe, créez un service de point de terminaison d'un VPC à l'aide de l'équilibreur de charge réseau que vous avez créé à l'étape précédente. Le service de point de terminaison VPC peut se trouver dans le même Compte AWS que votre magasin de clés externe ou dans un autre. Compte AWS

Plusieurs magasins de clés externes peuvent partager un Amazon VPC, mais chaque magasin de clés externe doit disposer de son propre service de point de terminaison d'un VPC et d'un nom DNS privé.

Suivez les instructions de la rubrique [Create an endpoint service](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html#create-endpoint-service-nlb) (Créer un service de point de terminaison) pour créer votre service de point de terminaison d'un VPC avec les valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.


| Champ | Value | 
| --- | --- | 
| Type d'équilibreur de charge | Réseau | 
| Équilibreurs de charge disponibles | Choisissez l'[équilibreur de charge réseau](#xks-nlb) que vous avez créé à l'étape précédente.Si votre nouvel équilibreur de charge ne figure pas dans la liste, vérifiez que son état est actif. Il peut s'écouler quelques minutes avant que l'état de l'équilibreur de charge ne passe d'alloué à actif. | 
| Acceptation requise | Faux. Désactivez la case à cocher.*N'exigez pas d'acceptation*. AWS KMS Impossible de se connecter au service de point de terminaison VPC sans acceptation manuelle. Si l'acceptation est requise, les tentatives de [création du magasin de clés externe](create-xks-keystore.md) échouent avec une exception `XksProxyInvalidConfigurationException`.  | 
| Activer un nom DNS privé | Associez un nom DNS privé au service | 
| Nom DNS privé | Saisissez un nom DNS privé unique dans sa Région AWS. Le nom DNS privé doit être un sous-domaine d'un domaine public de niveau supérieur. Par exemple, si le nom DNS privé est `myproxy-private.xks.example.com`, il doit être un sous-domaine d'un domaine public tel que `xks.example.com` ou `example.com`.Ce nom DNS privé doit correspondre au nom commun (CN) du sujet figurant dans le certificat TLS configuré sur le proxy de votre magasin de clés externe. Par exemple, si le nom DNS privé est `myproxy-private.xks.example.com`, le CN du certificat TLS doit être `myproxy-private.xks.example.com` ou `*.xks.example.com`.Si le certificat et le nom DNS privé ne correspondent pas, les tentatives de connexion d'un magasin de clés externe à son proxy de magasin de clés externe échouent avec le code d'erreur de connexion de `XKS_PROXY_INVALID_TLS_CONFIGURATION`. Pour en savoir plus, consultez [Erreurs de configuration générale](xks-troubleshooting.md#fix-xks-gen-configuration). | 
| Types d'adresses IP pris en charge | IPv4 | 

## Étape 5 : Vérifiez votre nom de domaine DNS privé
<a name="xks-private-dns"></a>

Lorsque vous créez votre service de point de terminaison d'un VPC, son statut de vérification de domaine est `pendingVerification`. Avant d'utiliser le service de point de terminaison d'un VPC pour créer un magasin de clés externe, ce statut doit être `verified`. Pour vérifier que vous êtes bien le propriétaire du domaine associé à votre nom DNS privé, vous devez créer un enregistrement TXT sur un serveur DNS public.

Par exemple, si le nom DNS privé de votre service de point de terminaison VPC est`myproxy-private.xks.example.com`, vous devez créer un enregistrement TXT dans un domaine public, tel que `xks.example.com` ou`example.com`, selon ce qui est public. AWS PrivateLink recherche d'abord l'enregistrement TXT activé, `xks.example.com` puis activé`example.com`.

**Astuce**  
Après avoir ajouté un enregistrement TXT, il peut s'écouler quelques minutes avant que la valeur du **Domain verification status** (Statut de vérification du domaine) passe de `pendingVerification` à `verify`.

Pour commencer, identifiez le statut de vérification de votre domaine à l'aide de l'une des méthodes suivantes. Les valeurs valides sont `verified`, `pendingVerification` et `failed`. 
+ Dans la [console Amazon VPC](https://console.aws.amazon.com/vpc), choisissez **Endpoint services** (Services de points de terminaison), puis choisissez votre service de point de terminaison. Dans le volet d'informations, veuillez consulter la rubrique **Domain verification status** (Statut de vérification du domaine).
+ Utilisez l'[DescribeVpcEndpointServiceConfigurations](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpointServiceConfigurations.html)opération. La valeur de `State` se trouve dans le champ `ServiceConfigurations.PrivateDnsNameConfiguration.State`.

Si le statut de vérification n'est pas `verified`, suivez les instructions de la rubrique [Domain ownership verification](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html#verify-domain-ownership) (Vérification de la propriété du domaine) pour ajouter un enregistrement TXT au serveur DNS de votre domaine et vérifier que l'enregistrement TXT est publié. Vérifiez ensuite à nouveau votre statut de vérification.

Vous n'êtes pas obligé de créer un enregistrement A pour le nom de domaine DNS privé. Lorsque vous AWS KMS créez un point de terminaison d'interface pour le service de point de terminaison de votre VPC, il crée AWS PrivateLink automatiquement une zone hébergée avec l'enregistrement A requis pour le nom de domaine privé dans le AWS KMS VPC. Pour les magasins de clés externes dotés d'une connectivité au service de point de terminaison d'un VPC, cela se produit lorsque vous [connectez votre magasin de clés externe](xks-connect-disconnect.md) à son proxy de magasin de clés externe.

## Étape 6 : Autoriser AWS KMS la connexion au service de point de terminaison VPC
<a name="xks-vpc-authorize-kms"></a>

Consultez les procédures suivantes pour gérer les autorisations de votre service de point de terminaison Amazon VPC. Chaque étape dépend de votre connectivité et de votre configuration entre votre magasin de clés externe, le service de point de terminaison VPC et. Compte AWS

------
#### [ Same Compte AWS ]

Lorsque votre service de point de terminaison VPC appartient au même Compte AWS que votre magasin de clés externe, vous devez l'ajouter AWS KMS à la liste des **principaux autorisés pour votre service de point de** terminaison VPC. Cela permet de AWS KMS créer des points de terminaison d'interface pour votre service de point de terminaison VPC. S'il ne s' AWS KMS agit pas d'un principal autorisé, les tentatives de création d'un magasin de clés externe échoueront, `XksProxyVpcEndpointServiceNotFoundException` sauf exception.

Suivez les instructions de la rubrique [Manage permissions](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) (Gérer les autorisations) du *Guide AWS PrivateLink *. Utilisez la valeur obligatoire suivante.


| Champ | Value | 
| --- | --- | 
| AWS KMS ARN | cks.kms.<region>.amazonaws.com.rproxy.govskope.caPar exemple, `cks.kms.us-east-1.amazonaws.com` | 

------
#### [ Cross Compte AWS ]

Lorsque votre service de point de terminaison VPC appartient à un autre, Compte AWS vous devez ajouter les deux, AWS KMS ainsi que votre compte, à la liste **Autoriser les principaux**. Cela permet à votre magasin AWS KMS de clés externe de créer des points de terminaison d'interface pour votre service de point de terminaison VPC. Si AWS KMS n'est pas un principal autorisé, les tentatives de création d'un magasin de clés externe échoueront avec une exception `XksProxyVpcEndpointServiceNotFoundException`. Vous devez fournir l' Compte AWS ARN dans lequel se trouve le magasin de clés externe.

Suivez les instructions de la rubrique [Manage permissions](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) (Gérer les autorisations) du *Guide AWS PrivateLink *. Utilisez la valeur obligatoire suivante.


| Champ | Value | 
| --- | --- | 
| AWS KMS ARN | cks.kms.<region>.amazonaws.com.rproxy.govskope.caPar exemple, `cks.kms.us-east-1.amazonaws.com` | 
| Compte AWS ARN | arn:aws:iam::111122223333:role/role\$1namePar exemple, `arn:aws:iam::123456789012:role/cks_role` | 

------

**Suivant :** [Création d'un magasin de clés externe](create-xks-keystore.md)

# Création d'un magasin de clés externe
<a name="create-xks-keystore"></a>

Vous pouvez créer un ou plusieurs magasins de clés externes dans chaque Compte AWS région. Chaque magasin de clés externe doit être associé à un gestionnaire de clés externe et à un proxy de AWS magasin de clés externe (proxy XKS) qui assure la communication entre AWS KMS et votre gestionnaire de clés externe. Pour en savoir plus, consultez [Choisissez une option de connectivité proxy pour un magasin de clés externe](choose-xks-connectivity.md). Avant de commencer, [vérifiez que vous avez besoin d'un magasin de clés externe](keystore-external.md#do-i-need-xks). La plupart des clients peuvent utiliser des clés KMS soutenues par du matériel AWS KMS clé.

**Astuce**  
Certains gestionnaires de clés externes proposent une méthode plus simple pour créer un magasin de clés externe. Pour en savoir plus, veuillez consulter la documentation de votre gestionnaire de clés externe.

Avant de créer votre magasin de clés externe, vous devez [réunir les conditions préalables](#xks-requirements). Au cours du processus de création, vous définissez les propriétés de votre magasin de clés externe. Plus important encore, vous indiquez si votre magasin de clés externe AWS KMS utilise un point de [terminaison public](choose-xks-connectivity.md#xks-connectivity-public-endpoint) ou un [service de point de terminaison VPC](choose-xks-connectivity.md#xks-vpc-connectivity) pour se connecter à son proxy de magasin de clés externe. Vous spécifiez également les détails de la connexion, notamment le point de terminaison URI du proxy et le chemin au sein de ce point de terminaison du proxy où les demandes d'API sont AWS KMS envoyées au proxy. 

**Considérations**
+ KMS ne peut pas communiquer IPv6 avec les banques de clés externes.
+  Si vous utilisez une connectivité de point de terminaison public, assurez-vous qu'il AWS KMS peut communiquer avec votre proxy via Internet à l'aide d'une connexion HTTPS. Cela implique de configurer le protocole TLS sur le proxy de stockage de clés externe et de s'assurer que tous les pare-feux situés entre le proxy AWS KMS et le proxy autorisent le IPv4 trafic à destination et en provenance du port 443 du proxy. Lors de la création d'un magasin de clés externe connecté à un point de terminaison public, AWS KMS teste la connexion en envoyant une demande d'état au proxy du magasin de clés externe. Ce test vérifie que le point de terminaison est accessible et que votre proxy de magasin de clés externe acceptera une requête signée avec vos [informations d'identification pour l'authentification du proxy de magasin de clés externe](keystore-external.md#concept-xks-credential). Si cette requête de test échoue, l'opération de création du magasin de clés externe échoue.
+ Si vous utilisez la connectivité au service de point de terminaison d'un VPC, assurez-vous que l'équilibreur de charge réseau, le nom DNS privé et le service de point de terminaison d'un VPC sont correctement configurés et opérationnels. Si le proxy de banque de clés externe ne se trouve pas dans le VPC, vous devez vous assurer que le service de point de terminaison du VPC peut communiquer avec le proxy de banque de clés externe. (AWS KMS teste la connectivité du service de point de terminaison VPC lorsque vous [connectez le magasin de clés externe](xks-connect-disconnect.md) à son proxy de magasin de clés externe.)
+ AWS KMS enregistre les [ CloudWatch statistiques et les dimensions d'Amazon](monitoring-cloudwatch.md#kms-metrics), en particulier pour les principaux magasins externes. Des graphiques de surveillance basés sur certaines de ces mesures apparaissent dans la AWS KMS console pour chaque magasin de clés externe. Nous vous recommandons vivement d'utiliser ces mesures pour créer des alarmes qui surveillent votre magasin de clés externe. Ces alertes vous préviennent des signes précoces de problèmes de performance et de fonctionnement avant qu'ils ne se produisent. Pour obtenir des instructions, veuillez consulter [Surveillez les magasins de clés externes](xks-monitoring.md).
+ Les magasins de clés externes sont soumis à des [quotas de ressources](resource-limits.md#cks-resource-quota). L'utilisation de clés KMS dans un magasin de clés externe est soumise à des [quotas de requêtes](requests-per-second.md#rps-key-stores). Passez en revue ces quotas avant de concevoir l'implémentation de votre magasin de clés externe. 

**Note**  
Vérifiez votre configuration pour détecter les dépendances circulaires susceptibles de l'empêcher de fonctionner.  
Par exemple, si vous créez votre proxy de stockage de clés externe à l'aide de AWS ressources, assurez-vous que le fonctionnement du proxy ne nécessite pas la disponibilité d'une clé KMS dans un magasin de clés externe accessible via ce proxy.

Tous les nouveaux magasins de clés externes sont créés dans un état déconnecté. Avant de créer des clés KMS dans votre magasin de clés externe, vous devez [le connecter](about-xks-connecting.md) à son proxy de magasin de clés externe. Pour modifier les propriétés de votre magasin de clés externe, [modifiez les paramètres de votre magasin de clés externe](update-xks-keystore.md).

**Topics**
+ [Rassembler les conditions requises](#xks-requirements)
+ [Création d'un nouveau magasin de clés externe](#create-xks)

## Rassembler les conditions requises
<a name="xks-requirements"></a>

Avant de créer un magasin de clés externe, vous devez assembler les composants requis, notamment le [gestionnaire de clés externe](keystore-external.md#concept-ekm) que vous utiliserez pour prendre en charge le magasin de clés externe et le [proxy de magasin de clés externe](keystore-external.md#concept-xks-proxy) qui traduit les AWS KMS demandes dans un format compréhensible par votre gestionnaire de clés externe. 

Les composants suivants sont requis pour tous les magasins de clés externes. Outre ces composants, vous devez fournir les composants qui prennent en charge l'[option de connectivité par proxy de magasin de clés externe](choose-xks-connectivity.md) que vous choisissez.

**Astuce**  
Votre gestionnaire de clés externe peut inclure certains de ces composants, ou ils peuvent être configurés pour vous. Pour en savoir plus, veuillez consulter la documentation de votre gestionnaire de clés externe.  
Si vous créez votre banque de clés externe dans la AWS KMS console, vous avez la possibilité de télécharger un [fichier de configuration de proxy](#proxy-configuration-file) basé sur JSON qui spécifie le [chemin de l'URI du proxy et les informations](#require-path) [d'identification d'authentification du proxy](keystore-external.md#concept-xks-credential). Certains proxys de magasin de clés externe génèrent ce fichier pour vous. Pour plus de détails, veuillez consulter la documentation de votre proxy de magasin de clés externe ou de votre gestionnaire de clés externe.

### Gestionnaire de clés externe
<a name="require-ekm"></a>

Chaque magasin de clés externe nécessite au moins une instance de [gestionnaire de clés externe](keystore-external.md#concept-ekm). Il peut s'agir d'un module de sécurité matérielle (HSM) physique ou virtuel ou d'un logiciel de gestion des clés.

Vous pouvez utiliser un seul gestionnaire de clés, mais nous recommandons au moins deux instances de gestionnaire de clés connexes qui partagent des clés cryptographiques pour des raisons de redondance. Le magasin de clés externe ne nécessite pas l'utilisation exclusive du gestionnaire de clés externe. Toutefois, le gestionnaire de clés externe doit être en mesure de gérer la fréquence prévue des demandes de chiffrement et de déchiffrement émanant des AWS services qui utilisent des clés KMS dans le magasin de clés externe afin de protéger vos ressources. Votre gestionnaire de clés externe doit être configuré pour traiter jusqu'à 1 800 requêtes par seconde et pour répondre dans le délai d'expiration de 250 millisecondes pour chaque requête. Nous vous recommandons de placer le gestionnaire de clés externe à proximité et de Région AWS manière à ce que le temps d'aller-retour (RTT) du réseau soit inférieur ou égal à 35 millisecondes.

Si le proxy de votre magasin de clés externe le permet, vous pouvez modifier le gestionnaire de clés externe que vous associez à votre proxy de magasin de clés externe, mais le nouveau gestionnaire de clés externe doit être une sauvegarde ou un instantané contenant les mêmes éléments de clé. Si la clé externe que vous associez à une clé KMS n'est plus disponible pour votre proxy de stockage de clés externe, vous AWS KMS ne pouvez pas déchiffrer le texte chiffré avec la clé KMS.

Le gestionnaire de clés externe doit être accessible au proxy de magasin de clés externe. Si la [GetHealthStatus](keystore-external.md#xks-concepts)réponse du proxy indique que toutes les instances du gestionnaire de clés externe le sont`Unavailable`, toutes les tentatives de création d'une banque de clés externe échouent avec un [`XksProxyUriUnreachableException`](xks-troubleshooting.md#fix-xks-proxy). 

### Proxy de magasin de clés externe
<a name="require-proxy"></a>

Vous devez spécifier un [proxy de magasin de clés externe](keystore-external.md#concept-xks-proxy) (proxy XKS) conforme aux exigences de conception de [spécification de l'API du proxy de magasin de clés externe AWS KMS](https://github.com/aws/aws-kms-xksproxy-api-spec/) (langue française non garantie). Vous pouvez développer ou acheter un proxy de stockage de clés externe, ou utiliser un proxy de stockage de clés externe fourni par ou intégré à votre gestionnaire de clés externe. AWS KMS recommande que votre proxy de stockage de clés externe soit configuré pour traiter jusqu'à 1 800 demandes par seconde et répondre dans le délai de 250 millisecondes pour chaque demande. Nous vous recommandons de placer le gestionnaire de clés externe à proximité et de Région AWS manière à ce que le temps d'aller-retour (RTT) du réseau soit inférieur ou égal à 35 millisecondes.

Vous pouvez utiliser un proxy de magasin de clés externe pour plusieurs magasins de clés externes, mais chaque magasin de clés externe doit disposer d'un point de terminaison et d'un chemin d'URI uniques au sein du proxy de magasin de clés externe pour ses requêtes.

Si vous utilisez la connectivité au service de point de terminaison d'un VPC, vous pouvez localiser le proxy de votre magasin de clés externe dans votre Amazon VPC, mais cela n'est pas obligatoire. Vous pouvez localiser votre proxy à l'extérieur AWS, par exemple dans votre centre de données privé, et utiliser le service de point de terminaison VPC uniquement pour communiquer avec le proxy. 

### Informations d'identification pour l'authentification du proxy
<a name="require-credential"></a>

Pour créer un magasin de clés externe, vous devez spécifier vos informations d'identification pour l'authentification du proxy de magasin de clés externe (`XksProxyAuthenticationCredential`). 

Vous devez établir un [identifiant d'authentification (](keystore-external.md#concept-xks-credential)`XksProxyAuthenticationCredential`) pour votre proxy AWS KMS de magasin de clés externe. AWS KMS s'authentifie auprès de votre proxy en signant ses demandes à l'aide du [processus Signature Version 4 (SigV4)](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) avec les informations d'identification d'authentification du proxy de stockage de clés externe. Vous spécifiez les informations d'identification pour l'authentification lorsque vous créez votre magasin de clés externe et [vous pouvez les modifier](update-xks-keystore.md) à tout moment. Si votre proxy effectue une rotation de vos informations d'identification, veillez à mettre à jour les valeurs d'informations d'identification de votre magasin de clés externe.

Les informations d'identification pour l'authentification du proxy comportent deux parties. Vous devez fournir les deux parties pour votre magasin de clés externe.
+ ID de la clé d'accès : identifie la clé d'accès secrète. Vous pouvez fournir cet ID en texte brut.
+ Clé d'accès secrète : partie secrète de l'identifiant. AWS KMS chiffre la clé d'accès secrète contenue dans les informations d'identification avant de les stocker.

Les informations d'identification SigV4 AWS KMS utilisées pour signer les demandes adressées au proxy de stockage de clés externe ne sont pas liées aux informations d'identification SigV4 associées aux Gestion des identités et des accès AWS principaux de vos comptes. AWS Ne réutilisez aucune information d'identification IAM SigV4 pour votre proxy de magasin de clés externe.

### Connectivité de proxy
<a name="require-connectivity"></a>

Pour créer un magasin de clés externe, vous devez spécifier l'option de connectivité de proxy de votre magasin de clés externe (`XksProxyConnectivity`).

AWS KMS peut communiquer avec votre proxy de stockage de clés externe à l'aide d'un point de [terminaison public](choose-xks-connectivity.md#xks-connectivity-public-endpoint) ou d'un [service de point de terminaison Amazon Virtual Private Cloud (Amazon VPC)](choose-xks-connectivity.md#xks-vpc-connectivity). Bien qu'un point de terminaison public soit plus simple à configurer et à gérer, il se peut qu'il ne réponde pas aux exigences de sécurité de chaque installation. Si vous choisissez l'option de connectivité au service de point de terminaison d'un Amazon VPC, vous devez créer et gérer les composants requis, notamment un Amazon VPC avec au moins deux sous-réseaux dans deux zones de disponibilité différentes, un service de point de terminaison d'un VPC avec un équilibreur de charge réseau et un groupe cible, ainsi qu'un nom DNS privé pour le service de point de terminaison d'un VPC.

Vous pouvez [modifier l'option de connectivité de proxy](update-xks-keystore.md) pour votre magasin de clés externe. Toutefois, vous devez vous assurer de la disponibilité continue des éléments de clé associés aux clés KMS dans votre magasin de clés externe. Sinon, AWS KMS impossible de déchiffrer le texte chiffré avec ces clés KMS.

Pour savoir quelle option de connectivité de proxy convient le mieux à votre magasin de clés externe, veuillez consulter la rubrique [Choisissez une option de connectivité proxy pour un magasin de clés externe](choose-xks-connectivity.md). Pour obtenir de l'aide sur la création et la configuration de la connectivité au service de point de terminaison d'un VPC, veuillez consulter la rubrique [Configurer la connectivité du service de point de terminaison VPC](vpc-connectivity.md).

### Point de terminaison d'URI de proxy
<a name="require-endpoint"></a>

Pour créer un magasin de clés externe, vous devez spécifier le point de terminaison (`XksProxyUriEndpoint`) AWS KMS utilisé pour envoyer des demandes au proxy du magasin de clés externe. 

Le protocole doit être HTTPS. AWS KMS communique IPv4 sur le port 443. Ne spécifiez pas le port dans la valeur de point de terminaison d'URI de proxy.
+ [Connectivité des points de terminaison publics](choose-xks-connectivity.md#xks-connectivity-public-endpoint) : spécifiez le point de terminaison accessible au public pour votre proxy de magasin de clés externe. Ce point de terminaison doit être accessible avant de créer votre magasin de clés externe. 
+ [Connectivité au service de point de terminaison d'un VPC](choose-xks-connectivity.md#xks-vpc-connectivity) : spécifiez `https://` suivi du nom DNS privé du service de point de terminaison d'un VPC.

Le certificat de serveur TLS configuré sur le proxy de magasin de clés externe doit correspondre au nom de domaine indiqué dans le point de terminaison de l'URI de proxy de magasin de clés externe et être émis par une autorité de certification prise en charge pour les magasins de clés externes. Pour obtenir une liste, veuillez consulter les [Autorités de certification approuvées](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities) (langue française non garantie). Votre autorité de certification exigera une preuve de propriété du domaine avant de délivrer le certificat TLS. 

Le nom commun (CN) du sujet sur le certificat TLS doit correspondre au nom DNS privé. Par exemple, si le nom DNS privé est `myproxy-private.xks.example.com`, le CN du certificat TLS doit être `myproxy-private.xks.example.com` ou `*.xks.example.com`.

Vous pouvez [modifier le point de terminaison de l'URI de votre proxy](update-xks-keystore.md), mais assurez-vous que le proxy de magasin de clés externe a accès aux éléments de clé associés aux clés KMS de votre magasin de clés externe. Sinon, AWS KMS impossible de déchiffrer le texte chiffré avec ces clés KMS.

**Exigences relatives à l'unicité**
+ La combinaison du point de terminaison d'URI de proxy (`XksProxyUriEndpoint`) et de la valeur du chemin d'URI de proxy (`XksProxyUriPath`) doit être unique dans l' Compte AWS et la région.
+ Les magasins de clés externes connectés à un point de terminaison public peuvent partager le même point de terminaison d'URI de proxy, à condition qu'ils aient des valeurs de chemin d'URI de proxy différentes.
+ Un magasin de clés externe connecté à un point de terminaison public ne peut pas utiliser la même valeur de point de terminaison d'URI proxy qu'un magasin de clés externe doté d'une connectivité aux services de point de terminaison VPC Région AWS, même si les magasins de clés se trouvent dans des emplacements différents. Comptes AWS
+  Chaque magasin de clés externe connecté à un point de terminaison d'un VPC doit avoir son propre nom DNS privé. Le point de terminaison URI du proxy (nom DNS privé) doit être unique dans la région Compte AWS et.

### Chemin d'URI de proxy
<a name="require-path"></a>

Pour créer un magasin de clés externe, vous devez spécifier le chemin de base dans votre proxy de magasin de clés externe vers le [proxy requis APIs](keystore-external.md#concept-proxy-apis). La valeur doit commencer par `/` et se terminer par/kms/xks/v1, qui `v1` représente la version de l' AWS KMS API pour le proxy de stockage de clés externe. Ce chemin peut inclure un préfixe facultatif entre les éléments requis tels que `/example-prefix/kms/xks/v1`. Pour trouver cette valeur, veuillez consulter la documentation de votre proxy de magasin de clés externe.

AWS KMS envoie des demandes de proxy à l'adresse spécifiée par la concaténation du point de terminaison de l'URI du proxy et du chemin de l'URI du proxy. Par exemple, si le point de terminaison de l'URI du proxy est `https://myproxy.xks.example.com` et que le chemin de l'URI du proxy est`/kms/xks/v1`, AWS KMS envoie ses demandes d'API proxy à`https://myproxy.xks.example.com/kms/xks/v1`. 

Vous pouvez [modifier le chemin d'URI de votre proxy](update-xks-keystore.md), mais assurez-vous que le proxy de magasin de clés externe a accès aux éléments de clé associés aux clés KMS de votre magasin de clés externe. Sinon, AWS KMS impossible de déchiffrer le texte chiffré avec ces clés KMS.

**Exigences relatives à l'unicité**
+ La combinaison du point de terminaison d'URI de proxy (`XksProxyUriEndpoint`) et de la valeur du chemin d'URI de proxy (`XksProxyUriPath`) doit être unique dans l' Compte AWS et la région. 

### Service de point de terminaison d’un VPC
<a name="require-vpc-service-name"></a>

Spécifie le nom du service de point de terminaison d'un Amazon VPC utilisé pour communiquer avec le proxy de votre magasin de clés externe. Ce composant n'est requis que pour les magasins de clés externes qui utilisent la connectivité au service de point de terminaison d'un VPC. Pour obtenir de l'aide sur la configuration de votre service de point de terminaison d'un VPC pour un magasin de clés externe, veuillez consulter la rubrique [Configurer la connectivité du service de point de terminaison VPC](vpc-connectivity.md).

Le service de point de terminaison d'un VPC doit posséder les propriétés suivantes :
+ Le service de point de terminaison VPC peut résider dans le même magasin de clés externe ou dans un autre Compte AWS .
  + Le service de point de terminaison VPC doit résider dans le même emplacement Région AWS que le magasin de clés externe.
  + Vous devrez fournir l' Compte AWS ID du service de point de terminaison VPC s'il réside dans un autre. Compte AWS
+ Il doit comporter un équilibreur de charge réseau (NLB) connecté à au moins deux sous-réseaux, dans deux zones de disponibilités distinctes.
+ La *liste des principaux autorisés* pour le service de point de terminaison VPC doit inclure AWS KMS le principal de service pour la région `cks.kms.<region>.amazonaws.com` :, tel que. `cks.kms.us-east-1.amazonaws.com`
  + Si votre service de point de terminaison Amazon VPC n'appartient pas au Compte AWS propriétaire Compte AWS du magasin de clés externe (XKS), vous devez également autoriser XKS à accéder au service de point de terminaison VPC. Pour ce faire, [autorisez l' Compte AWS ID XKS en tant que principal pour le service](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) de point de terminaison Amazon VPC.
+ L'acceptation des requêtes de connexion ne doit pas être requise. 
+ Il doit avoir un nom DNS privé dans un domaine public de niveau supérieur. Par exemple, vous pouvez avoir un nom DNS privé myproxy-private.xks.example.com dans le domaine public `xks.example.com`.

  Le nom DNS privé d'un magasin de clés externe doté d'une connectivité au service de point de terminaison d'un VPC doit être unique dans sa Région AWS.
+ L'[état de vérification du domaine](vpc-connectivity.md#xks-private-dns) du nom DNS privé doit être `verified`. 
+ Le certificat de serveur TLS configuré sur le proxy de magasin de clés externe doit spécifier le nom d'hôte DNS privé auquel le point de terminaison est accessible.

**Exigences relatives à l'unicité**
+ Les magasins de clés externes connectés à des points de terminaison d'un VPC peuvent partager un `Amazon VPC`, mais chaque magasin de clés externe doit disposer de son propre service de point de terminaison d'un VPC et d'un nom DNS privé.

### Fichier de configuration du proxy
<a name="proxy-configuration-file"></a>

Un *fichier de configuration de proxy* est un fichier JSON facultatif qui contient des valeurs pour le [chemin d'URI de proxy](#require-path) et les propriétés d'[informations d'identification pour l'authentification du proxy](#require-credential) de votre magasin de clés externe. Lorsque vous créez ou [modifiez un magasin de clés externe](update-xks-keystore.md) dans la console AWS KMS , vous pouvez télécharger un fichier de configuration de proxy pour fournir des valeurs de configuration pour votre magasin de clés externe. L'utilisation de ce fichier évite les erreurs de saisie et de collage et garantit que les valeurs de votre magasin de clés externe correspondent à celles de votre proxy de magasin de clés externe. 

Les fichiers de configuration du proxy sont générés par le proxy de magasin de clés externe. Pour savoir si votre proxy de magasin de clés externe propose un fichier de configuration de proxy, veuillez consulter la documentation relative à votre proxy de magasin de clés externe.

Voici un exemple de fichier de configuration de proxy correctement formaté avec des valeurs fictives.

```
{
  "XksProxyUriPath": "/example-prefix/kms/xks/v1",
  "XksProxyAuthenticationCredential": {
    "AccessKeyId": "ABCDE12345670EXAMPLE",
    "RawSecretAccessKey": "0000EXAMPLEFA5FT0mCc3DrGUe2sti527BitkQ0Zr9MO9+vE="
  }
}
```

Vous pouvez télécharger un fichier de configuration de proxy uniquement lors de la création ou de la modification d'un magasin de clés externe dans la AWS KMS console. Vous ne pouvez pas l'utiliser avec les [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)opérations [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)or, mais vous pouvez utiliser les valeurs du fichier de configuration du proxy pour vous assurer que les valeurs de vos paramètres sont correctes.

## Création d'un nouveau magasin de clés externe
<a name="create-xks"></a>

Une fois que vous avez réuni les prérequis nécessaires, vous pouvez créer un nouveau magasin de clés externe dans la AWS KMS console ou en utilisant l'[CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)opération.

### Utilisation de la AWS KMS console
<a name="create-keystore-console"></a>

Avant de créer un magasin de clés externe, [choisissez votre type de connectivité proxy](choose-xks-connectivity.md) et assurez-vous d'avoir créé et configuré tous les [composants requis](#xks-requirements). Si vous avez besoin d'aide pour trouver l'une des valeurs requises, consultez la documentation de votre proxy de magasin de clés externe ou de votre logiciel de gestion des clés.

**Note**  
Lorsque vous créez un magasin de clés externe dans le AWS Management Console, vous pouvez télécharger un *fichier de configuration de proxy* basé sur JSON avec des valeurs pour le [chemin de l'URI du proxy et les informations](#require-path) [d'identification d'authentification du proxy](#require-credential). Certains proxys génèrent ce fichier pour vous. Il n'est pas obligatoire.

1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

1. Dans le panneau de navigation, sélectionnez **Custom key stores** (Magasins de clés personnalisés), **External key stores** (Magasins de clés externes).

1. Choisissez **Create external key store** (Créer un magasin de clés externe).

1. Saisissez un nom convivial pour le magasin de clés externe. Le nom doit être unique parmi tous les magasins de clés externes de votre compte.
**Important**  
N'incluez pas d'informations confidentielles ou sensibles dans ce champ. Ce champ peut être affiché en texte brut dans les CloudTrail journaux et autres sorties.

1. Choisissez votre type de [connectivité de proxy](#require-connectivity). 

   Votre choix de connectivité de proxy détermine les [composants requis](#xks-requirements) pour votre proxy de magasin de clés externe. Pour obtenir de l'aide pour faire ce choix, veuillez consulter la rubrique [Choisissez une option de connectivité proxy pour un magasin de clés externe](choose-xks-connectivity.md).

   1. Sélectionnez le service de point de **terminaison VPC entre comptes** si votre service de point de terminaison VPC réside dans un autre. Compte AWS Entrez ensuite l' Compte AWS ID du propriétaire du point de terminaison VPC dans le champ ID de compte du propriétaire du **service du point de terminaison VPC**.

   1. Choisissez ou saisissez le nom du [service de point de terminaison d'un VPC](#require-vpc-service-name) pour ce magasin de clés externe. Cette étape n'apparaît que lorsque le type de connectivité de votre proxy de magasin de clés externe est le service de point de **terminaison VPC**.

      Le service de point de terminaison VPC et son service VPCs doivent répondre aux exigences d'un magasin de clés externe. Pour en savoir plus, consultez [Rassembler les conditions requises](#xks-requirements).

1. Choisissez ou saisissez le nom du [service de point de terminaison d'un VPC](#require-vpc-service-name) pour ce magasin de clés externe. Cette étape s'affiche uniquement lorsque le type de connectivité du proxy de votre magasin de clés externe est **VPC endpoint service** (Service de point de terminaison d'un VPC).

   Le service de point de terminaison VPC et son service VPCs doivent répondre aux exigences d'un magasin de clés externe. Pour en savoir plus, consultez [Rassembler les conditions requises](#xks-requirements).

1. Saisissez votre [point de terminaison d'URI de proxy](#require-endpoint). Le protocole doit être HTTPS. AWS KMS communique IPv4 sur le port 443. Ne spécifiez pas le port dans la valeur de point de terminaison d'URI de proxy.

   S'il AWS KMS reconnaît le service de point de terminaison VPC que vous avez spécifié à l'étape précédente, il complète ce champ pour vous.

   Pour la connectivité au point de terminaison public, saisissez un URI de point de terminaison accessible au public. Pour la connectivité au point de terminaison d'un VPC, saisissez `https://` suivi du nom DNS privé du service de point de terminaison d'un VPC.

1. Pour saisir les valeurs du préfixe du [chemin d'URI de proxy](#require-path) et des [informations d'identification pour l'authentification du proxy](#require-credential), chargez un fichier de configuration de proxy ou saisissez les valeurs manuellement.
   + Si vous disposez d'un [fichier de configuration de proxy](#proxy-configuration-file) facultatif contenant des valeurs pour le [chemin d'URI de votre proxy](#require-path.title) et les [informations d'identification pour l'authentification du proxy](#require-credential), choisissez **Upload configuration file** (Charger le fichier de configuration). Suivez les instructions pour charger le fichier.

     Lorsque le fichier est chargé, la console affiche les valeurs du fichier dans des champs modifiables. Vous pouvez changer les valeurs maintenant ou [modifier ces valeurs](update-xks-keystore.md) après la création du magasin de clés externe.

     Pour afficher la valeur de la clé d'accès secrète, choisissez **Show secret access key** (Afficher la clé d'accès secrète).
   + Si vous ne disposez pas d'un fichier de configuration du proxy, vous pouvez saisir manuellement le chemin d'URI de proxy et les valeurs d'informations d'identification pour l'authentification du proxy.

     1. Si vous n'avez pas de fichier de configuration de proxy, vous pouvez saisir manuellement l'URI de votre proxy. La console fournit la valeur**/kms/xks/v1** requise. 

        Si votre [chemin d'URI de proxy](#require-path) inclut un préfixe facultatif, tel que l'`example-prefix` dans `/example-prefix/kms/xks/v1`, saisissez le préfixe dans le champ **Proxy URI path prefix** (Préfixe du chemin d'URI de proxy). Sinon, laissez le champ vide.

     1. Si vous ne disposez pas d'un fichier de configuration du proxy, vous pouvez saisir vos [informations d'identification pour l'authentification du proxy](keystore-external.md#concept-xks-credential) manuellement. L'ID de clé d'accès et la clé d'accès secrète sont tous deux requis.
        + Dans **Proxy credential: Access key ID** (Informations d'identification du proxy : identifiant de la clé d'accès), saisissez l'ID de clé d'accès des informations d'identification pour l'authentification du proxy. L'ID de clé d'accès identifie la clé d'accès secrète. 
        + Dans **Proxy credential: Secret access key** (Informations d'identification du proxy : clé d'accès secrète), saisissez la clé d'accès secrète des informations d'identification pour l'authentification du proxy.

        Pour afficher la valeur de la clé d'accès secrète, choisissez **Show secret access key** (Afficher la clé d'accès secrète).

        Cette procédure ne définit ni ne modifie les informations d'identification pour l'authentification que vous avez établies sur votre proxy de magasin de clés externe. Elle associe simplement ces valeurs à votre magasin de clés externe. Pour plus d'informations sur la définition, la modification et la rotation de vos informations d'identification pour l'authentification du proxy, veuillez consulter la documentation de votre proxy de magasin de clés externe ou de votre logiciel de gestion des clés. 

        Si vos informations d'identification pour l'authentification du proxy changent, [modifiez le paramètre des informations d'identification](update-xks-keystore.md) de votre magasin de clés externe.

1. Choisissez **Create external key store** (Créer un magasin de clés externe).

Lorsque la procédure se termine avec succès, le nouveau magasin de clés externe s'affiche dans la liste des magasins de clés externes du compte et de la région. S'il ne réussit pas, un message d'erreur s'affiche qui décrit le problème et fournit une aide pour le résoudre. Si vous avez besoin d'aide supplémentaire, consultez [CreateKey erreurs pour la clé externe](xks-troubleshooting.md#fix-external-key-create).

**Suivant** : les nouveaux magasins de clés externes ne sont pas automatiquement connectés. Avant de pouvoir créer AWS KMS keys dans votre magasin de clés externe, vous devez [connecter le magasin de clés externe](xks-connect-disconnect.md) à son proxy de magasin de clés externe.

### Utilisation de l' AWS KMS API
<a name="create-keystore-api"></a>

Vous pouvez utiliser cette [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)opération pour créer un nouveau magasin de clés externe. Pour obtenir de l'aide pour trouver les valeurs des paramètres requis, veuillez consulter la documentation de votre proxy de magasin de clés externe ou de votre logiciel de gestion des clés.

**Astuce**  
Vous ne pouvez pas charger de [fichier de configuration de proxy](#proxy-configuration-file) lors de l'utilisation de l'opération `CreateCustomKeyStore`. Vous pouvez toutefois utiliser les valeurs du fichier de configuration de proxy pour vous assurer que les valeurs de vos paramètres sont correctes.

Pour créer un magasin de clés externe, l'opération `CreateCustomKeyStore` nécessite les valeurs de paramètres suivantes.
+ `CustomKeyStoreName` : un nom convivial pour le magasin de clés externe qui est unique dans le compte.
**Important**  
N'incluez pas d'informations confidentielles ou sensibles dans ce champ. Ce champ peut être affiché en texte brut dans les CloudTrail journaux et autres sorties.
+ `CustomKeyStoreType` : spécifiez `EXTERNAL_KEY_STORE`.
+ [`XksProxyConnectivity`](#require-connectivity) : spécifiez `PUBLIC_ENDPOINT` ou `VPC_ENDPOINT_SERVICE`.
+ [`XksProxyAuthenticationCredential`](keystore-external.md#concept-xks-credential) : spécifiez à la fois l'ID de clé d'accès et la clé d'accès secrète. 
+ [`XksProxyUriEndpoint`](#require-endpoint) : le point de terminaison qu' AWS KMS utilise pour communiquer avec votre proxy de magasin de clés externe.
+ [`XksProxyUriPath`](#require-path)— Le chemin d'accès au proxy au sein du proxy APIs. 
+ [`XksProxyVpcEndpointServiceName`](#require-vpc-service-name) : obligatoire uniquement lorsque la valeur de votre `XksProxyConnectivity` est `VPC_ENDPOINT_SERVICE`.

**Note**  
Si vous utilisez AWS CLI la version 1.0, exécutez la commande suivante avant de spécifier un paramètre avec une valeur HTTP ou HTTPS, tel que le `XksProxyUriEndpoint` paramètre.  

```
aws configure set cli_follow_urlparam false
```
Dans le cas contraire, la AWS CLI version 1.0 remplace la valeur du paramètre par le contenu trouvé à cette adresse URI, ce qui provoque l'erreur suivante :  

```
Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve 
https:// : received non 200 status code of 404
```

Les exemples suivants utilisent des valeurs fictives. Avant d'exécuter la commande, remplacez-les par des valeurs valides pour votre magasin de clés externe.

Créez un magasin de clés externe avec une connectivité au point de terminaison public.

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStorePublic \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity PUBLIC_ENDPOINT \
        --xks-proxy-uri-endpoint https://myproxy.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>
```

Créez un magasin de clés externe avec une connectivité au service de point de terminaison d'un VPC.

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStoreVPC \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity VPC_ENDPOINT_SERVICE \
        --xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example \
        --xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>
```

Lorsque l'opération est réussie, `CreateCustomKeyStore` renvoie l'ID du magasin de clés personnalisé, comme illustré dans l'exemple de réponse suivant.

```
{
    "CustomKeyStoreId": cks-1234567890abcdef0
}
```

Si l'opération échoue, corrigez l'erreur indiquée par l'exception, puis réessayez. Pour obtenir de l'aide supplémentaire, consultez [Résoudre les problèmes liés aux magasins de clés externes](xks-troubleshooting.md).

**Suivant** : pour utiliser le magasin de clés externe, [connectez-le à son proxy de magasin de clés externe](xks-connect-disconnect.md).

# Modifier les propriétés du magasin de clés externe
<a name="update-xks-keystore"></a>

Vous pouvez modifier les propriétés sélectionnées d'un magasin de clés externe existant. 

Vous pouvez modifier certaines propriétés lorsque le magasin de clés externe est connecté ou déconnecté. Pour les autres propriétés, vous devez d'abord [déconnecter votre magasin de clés externe](xks-connect-disconnect.md) de son proxy de magasin de clés externe. L'[état de connexion](xks-connect-disconnect.md#xks-connection-state) du magasin de clés externe doit être `DISCONNECTED`. Lorsque votre magasin de clés externe est déconnecté, vous pouvez gérer le magasin de clés et ses clés KMS, mais vous ne pouvez pas créer ou utiliser des clés KMS dans le magasin de clés externe. Pour connaître l'[état de connexion](xks-connect-disconnect.md#xks-connection-state) de votre magasin de clés externe, utilisez l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération ou consultez la section **Configuration générale** sur la page détaillée du magasin de clés externe.

Avant de mettre à jour les propriétés de votre magasin de clés externe, AWS KMS envoie une [GetHealthStatus](keystore-external.md#concept-proxy-apis)demande au proxy du magasin de clés externe en utilisant les nouvelles valeurs. Si la requête aboutit, cela indique que vous pouvez vous connecter et vous authentifier à un proxy de magasin de clés externe avec les valeurs de propriété mises à jour. Si la requête échoue, l'opération de modification échoue avec une exception qui identifie l'erreur.

Lorsque l'opération de modification est terminée, les valeurs de propriété mises à jour pour votre magasin de clés externe apparaissent dans la AWS KMS console et dans la `DescribeCustomKeyStores` réponse. Toutefois, il peut s'écouler jusqu'à cinq minutes avant que les modifications ne soient pleinement effectives.

Si vous modifiez votre banque de clés externe dans la AWS KMS console, vous avez la possibilité de télécharger un [fichier de configuration de proxy](create-xks-keystore.md#proxy-configuration-file) basé sur JSON qui spécifie le [chemin de l'URI du proxy et les informations](create-xks-keystore.md#require-path) [d'identification d'authentification du proxy](keystore-external.md#concept-xks-credential). Certains proxys de magasin de clés externe génèrent ce fichier pour vous. Pour plus de détails, veuillez consulter la documentation de votre proxy de magasin de clés externe ou de votre gestionnaire de clés externe.

**Avertissement**  
Les valeurs de propriété mises à jour doivent connecter votre magasin de clés externe à un proxy pour le même gestionnaire de clés externe que celui utilisé dans les valeurs précédentes, ou pour une sauvegarde ou un instantané du gestionnaire de clés externe avec les mêmes clés cryptographiques. Si votre magasin de clés externe perd définitivement l'accès aux clés externes associées à ses clés KMS, le texte chiffré qui a été chiffré au moyen de ces clés externes est irrécupérable. En particulier, la modification de la connectivité proxy d'un magasin de clés externe peut AWS KMS empêcher l'accès à vos clés externes.

**Astuce**  
Certains gestionnaires de clés externes proposent une méthode plus simple pour modifier les propriétés du magasin de clés externe. Pour en savoir plus, veuillez consulter la documentation de votre gestionnaire de clés externe.

Vous pouvez modifier les propriétés suivantes d'un magasin de clés externe.


| Propriétés du magasin de clés externe modifiables | Tout état de connexion | Exiger l'état Déconnecté | 
| --- | --- | --- | 
| Nom du magasin de clés personnalisé Un nom convivial requis pour un magasin de clés personnalisé. N'incluez pas d'informations confidentielles ou sensibles dans ce champ. Ce champ peut être affiché en texte brut dans les CloudTrail journaux et autres sorties.  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/icon-successful.png) |  | 
| [Identifiant d'authentification du proxy](keystore-external.md#concept-xks-credential) () XksProxyAuthenticationCredential(Vous devez spécifier à la fois l'ID de clé d'accès et la clé d'accès secrète, même si vous ne modifiez qu'un seul élément.) | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/icon-successful.png) |  | 
| [Chemin de l'URI du proxy](create-xks-keystore.md#require-path) (XksProxyUriPath) | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/icon-successful.png) |  | 
| [Connectivité proxy](keystore-external.md#concept-xks-connectivity) (XksProxyConnectivity)(Vous devez également mettre à jour le point de terminaison d'URI de proxy. Si vous passez à la connectivité au service de point de terminaison d'un VPC, vous devez spécifier un nom de service de point de terminaison d'un VPC proxy.) |  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/icon-successful.png) | 
| Point de [terminaison URI du proxy](create-xks-keystore.md#require-endpoint) (XksProxyUriEndpoint)Si vous modifiez l'URI du point de terminaison du proxy, vous devrez peut-être aussi modifier le certificat TLS associé. |  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/icon-successful.png) | 
| [Nom du service de point de terminaison VPC proxy](create-xks-keystore.md#require-vpc-service-name) () XksProxyVpcEndpointServiceName(Ce champ est obligatoire pour la connectivité au service de point de terminaison d'un VPC) |  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/icon-successful.png) | 
| [Propriétaire du service de point de terminaison VPC](create-xks-keystore.md#require-vpc-service-name) () XksProxyVpcEndpointServiceOwner(Ce champ est obligatoire pour la connectivité au service de point de terminaison d'un VPC) |  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/icon-successful.png) | 

## Modifier les propriétés de votre magasin de clés externe
<a name="edit-xks-keystore"></a>

Vous pouvez modifier les propriétés de votre magasin de clés externe dans la AWS KMS console ou en utilisant cette [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)opération.

### Utilisation de la AWS KMS console
<a name="update-keystore-console"></a>

Lorsque vous modifiez un magasin de clés, vous pouvez modifier toutes les valeurs modifiables. Certaines modifications nécessitent que le magasin de clés externe soit déconnecté de son proxy de magasin de clés externe.

Si vous modifiez le chemin d'URI de proxy ou les informations d'identification pour l'authentification du proxy, vous pouvez saisir les nouvelles valeurs ou charger un [fichier de configuration de proxy](create-xks-keystore.md#proxy-configuration-file) de magasin de clés externe qui contient les nouvelles valeurs.

1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

1. Dans le panneau de navigation, sélectionnez **Custom key stores** (Magasins de clés personnalisés), **External key stores** (Magasins de clés externes).

1. Choisissez le magasin de clés que vous souhaitez modifier.

   1. Si nécessaire, déconnectez le magasin de clés externe de son proxy de magasin de clés externe. Dans le menu **Key store actions** (Actions de magasin de clés), choisissez **Disconnect** (Déconnecter).

1. À partir du menu **Key store actions** (Actions de magasin de clés), choisissez **Edit** (Modifier).

1. Modifiez une ou plusieurs propriétés modifiables du magasin de clés externe. Vous pouvez également charger un [fichier de configuration de proxy](create-xks-keystore.md#proxy-configuration-file) de magasin de clés externe contenant des valeurs pour le chemin d'URI de proxy et les informations d'identification pour l'authentification du proxy. Vous pouvez utiliser un fichier de configuration de proxy même si certaines valeurs spécifiées dans le fichier n'ont pas changé.

1. Choisissez **Update external key store** (Mettre à jour le magasin de clés externe). 

1. Passez en revue l'avertissement et, si vous décidez de continuer, confirmez-le, puis choisissez **Update external key store** (Mettre à jour le magasin de clés externe).

   Lorsque la procédure se déroule avec succès, un message décrit les propriétés que vous avez modifiées. Si elle ne réussit pas, un message d'erreur s'affiche qui décrit le problème et fournit une aide pour le résoudre.

1. Si nécessaire, reconnectez le magasin de clés externe. Dans le menu **Key store actions** (Actions de magasin de clés), choisissez **Connect** (Connecter).

   Vous pouvez laisser le magasin de clés externe déconnecté. Mais, tant qu'il est déconnecté, vous ne pouvez pas créer de clés KMS dans le magasin de clés externe ou utiliser les clés KMS du magasin de clés externe pour les [opérations cryptographiques](manage-cmk-keystore.md#use-cmk-keystore).

### Utilisation de l' AWS KMS API
<a name="update-keystore-api"></a>

Pour modifier les propriétés d'un magasin de clés externe, utilisez l'[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)opération. Vous pouvez modifier plusieurs propriétés d'un magasin de clés externe dans la même opération. Si l'opération aboutit, AWS KMS renvoie une réponse HTTP 200 et un objet JSON sans propriétés. 

Utilisez le paramètre `CustomKeyStoreId` pour identifier le magasin de clés externe. Utilisez les autres paramètres pour modifier les propriétés. Vous ne pouvez pas utiliser de [fichier de configuration de proxy](create-xks-keystore.md#proxy-configuration-file) pour l'opération `UpdateCustomKeyStore`. Le fichier de configuration du proxy n'est pris en charge que par la AWS KMS console. Vous pouvez toutefois utiliser le fichier de configuration du proxy pour vous aider à déterminer les valeurs de paramètres correctes pour le proxy de votre magasin de clés externe.

Les exemples de cette section utilisent la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge. 

Avant de commencer, [si nécessaire](#update-xks-keystore), [déconnectez le magasin de clés externe](xks-connect-disconnect.md) de son proxy de magasin de clés externe. Après la mise à jour, vous pouvez, si nécessaire, [reconnecter le magasin de clés externe](xks-connect-disconnect.md) à son proxy de magasin de clés externe. Vous pouvez laisser le magasin de clés externe à l'état déconnecté, mais vous devez le reconnecter avant de pouvoir créer des clés KMS dans le magasin de clés ou d'utiliser les clés KMS existantes du magasin de clés pour les opérations cryptographiques.

**Note**  
Si vous utilisez AWS CLI la version 1.0, exécutez la commande suivante avant de spécifier un paramètre avec une valeur HTTP ou HTTPS, tel que le `XksProxyUriEndpoint` paramètre.  

```
aws configure set cli_follow_urlparam false
```
Dans le cas contraire, la AWS CLI version 1.0 remplace la valeur du paramètre par le contenu trouvé à cette adresse URI, ce qui provoque l'erreur suivante :  

```
Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve 
https:// : received non 200 status code of 404
```

#### Modifier le nom du magasin de clés externe
<a name="xks-edit-name"></a>

Le premier exemple utilise l'[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)opération pour changer le nom convivial du magasin de clés externe en`XksKeyStore`. La commande utilise le paramètre `CustomKeyStoreId` pour identifier le magasin de clés personnalisé et le paramètre `CustomKeyStoreName` pour spécifier le nouveau nom du magasin de clés personnalisé. Remplacez toutes les valeurs d'exemple par des valeurs réelles pour votre magasin de clés externe.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name XksKeyStore
```

#### Modifier les informations d'identification pour l'authentification du proxy
<a name="xks-edit-credential"></a>

L'exemple suivant met à jour les informations d'identification pour l'authentification du proxy qu' AWS KMS utilise pour s'authentifier auprès du proxy de magasin de clés externe. Vous pouvez utiliser une commande comme celle-ci pour effectuer une rotation des informations d'identification si elles ont subi une rotation sur votre proxy.

Mettez d'abord à jour les informations d'identification sur le proxy de votre magasin de clés externe. Utilisez ensuite cette fonctionnalité pour signaler la modification à AWS KMS. (Votre proxy prendra brièvement en charge l'ancienne et la nouvelle identification afin que vous ayez le temps de mettre à jour vos informations d'identification.) AWS KMS

Vous devez toujours spécifier à la fois l'ID de la clé d'accès et la clé d'accès secrète dans les informations d'identification, même si une seule valeur est modifiée. 

Les deux premières commandes définissent des variables pour contenir les valeurs des informations d'identification. Les opérations `UpdateCustomKeyStore` utilisent le paramètre `CustomKeyStoreId` pour identifier le magasin de clés externe. Il utilise le paramètre `XksProxyAuthenticationCredential` avec ses champs `AccessKeyId` et `RawSecretAccessKey` pour spécifier les nouvelles informations d'identification. Remplacez toutes les valeurs d'exemple par des valeurs réelles pour votre magasin de clés externe.

```
$ accessKeyID=access key id
$ secretAccessKey=secret access key

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
        --xks-proxy-authentication-credential \ 
            AccessKeyId=$accessKeyId,RawSecretAccessKey=$secretAccessKey
```

#### Modifier le chemin d'URI de proxy
<a name="xks-edit-path"></a>

L'exemple suivant met à jour le chemin d'URI de proxy (`XksProxyUriPath`). La combinaison du point de terminaison de l'URI du proxy et du chemin de l'URI du proxy doit être unique dans la région Compte AWS et. Remplacez toutes les valeurs d'exemple par des valeurs réelles pour votre magasin de clés externe.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
            --xks-proxy-uri-path /kms/xks/v1
```

#### Modifier la connectivité au service de point de terminaison d'un VPC
<a name="xks-edit-connectivity-vpc"></a>

L'exemple suivant utilise l'[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)opération pour modifier le type de connectivité du proxy du magasin de clés externe en`VPC_ENDPOINT_SERVICE`. Pour effectuer cette modification, vous devez spécifier les valeurs requises pour la connectivité au service de point de terminaison d'un VPC, notamment le nom du service de point de terminaison d'un VPC (`XksProxyVpcEndpointServiceName`) et une valeur de point de terminaison d'URI de proxy (`XksProxyUriEndpoint`) qui inclut le nom DNS privé du service de point de terminaison d'un VPC. Remplacez toutes les valeurs d'exemple par des valeurs réelles pour votre magasin de clés externe.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
            --xks-proxy-connectivity "VPC_ENDPOINT_SERVICE" \
            --xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \
            --xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example
```

#### Passer à une connectivité au point de terminaison public
<a name="xks-edit-connectivity-public"></a>

L'exemple suivant remplace le type de connectivité du proxy de magasin de clés externe par `PUBLIC_ENDPOINT`. Lorsque vous effectuez cette modification, vous devez mettre à jour la valeur du point de terminaison de l'URI de proxy (`XksProxyUriEndpoint`). Remplacez toutes les valeurs d'exemple par des valeurs réelles pour votre magasin de clés externe.

**Note**  
La connectivité au point de terminaison d'un VPC offre une plus grande sécurité que la connectivité au point de terminaison public. Avant de passer à la connectivité au point de terminaison public, envisagez d'autres options, notamment la localisation de votre proxy de magasin de clés externe sur site et l'utilisation du VPC uniquement pour la communication. 

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
            --xks-proxy-connectivity "PUBLIC_ENDPOINT" \
            --xks-proxy-uri-endpoint https://myproxy.xks.example.com
```

# Afficher les magasins de clés externes
<a name="view-xks-keystore"></a>

Vous pouvez consulter les banques de clés externes de chaque compte et de chaque région à l'aide de la AWS KMS console ou de l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération.

Lorsque vous consultez un magasin de clés externe, vous pouvez voir les éléments suivants :
+ Des informations de base sur le magasin de clés, notamment son nom convivial, son ID, son type de magasin de clés et sa date de création.
+ Des informations de configuration pour le [proxy de magasin de clés externe](keystore-external.md#concept-xks-proxy), notamment le [type de connectivité](keystore-external.md#concept-xks-connectivity), le [point de terminaison et le [chemin](create-xks-keystore.md#require-path) d'URI de proxy](create-xks-keystore.md#require-endpoint), ainsi que l'[ID de clé d'accès](keystore-external.md#concept-xks-credential) de vos [informations d'identification pour l'authentification du proxy](keystore-external.md#concept-xks-credential) actuelles.
+ Si le proxy de magasin de clés externe utilise la [connectivité au service de point de terminaison d'un VPC](choose-xks-connectivity.md#xks-vpc-connectivity), la console affiche le nom du service de point de terminaison d'un VPC.
+ L'[état de la connexion](xks-connect-disconnect.md#xks-connection-state) actuel. 
**Note**  
La valeur d'état de connexion **Disconnected** (Déconnectée) indique que le magasin de clés externe n'a jamais été connecté ou qu'il a été intentionnellement déconnecté de son proxy de magasin de clés externe. Cependant, si vos tentatives d'utiliser une clé KMS dans un magasin de clés externe connecté échouent, cela peut signifier la présence d'un problème avec le magasin de clés externe ou son proxy. Pour obtenir de l'aide, veuillez consulter [Erreurs de connexion au magasin de clés externe](xks-troubleshooting.md#fix-xks-connection).
+ Une section de [surveillance](xks-monitoring.md) contenant des graphiques des [ CloudWatch statistiques Amazon](monitoring-cloudwatch.md#kms-metrics) conçues pour vous aider à détecter et à résoudre les problèmes liés à votre magasin de clés externe. Pour obtenir de l'aide pour interpréter les graphiques, les utiliser dans le cadre de votre planification et de votre résolution des problèmes, et pour créer des CloudWatch alarmes en fonction des indicateurs présentés dans les graphiques, consultez[Surveillez les magasins de clés externes](xks-monitoring.md).

## Propriétés du magasin de clés externe
<a name="view-xks-properties"></a>

Les propriétés suivantes d'un magasin de clés externe sont visibles dans la AWS KMS console et dans la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)réponse. 

### Propriétés du magasin de clés personnalisé
<a name="view-xks-custom-key-store"></a>

Les valeurs suivantes apparaissent dans la section **Configuration générale** de la page détaillée de chaque magasin de clés personnalisé. Ces propriétés s'appliquent à tous les magasins de clés personnalisés, y compris les magasins de AWS CloudHSM clés et les magasins de clés externes.

**ID du magasin de clés personnalisé**  
Un identifiant unique AWS KMS attribué au magasin de clés personnalisé.

**Nom du magasin de clés personnalisé**  
Un nom convivial que vous attribuez au magasin de clés personnalisé lorsque vous le créez. Vous pouvez modifier cette valeur à tout moment.

**Type de magasin de clés personnalisé**  
Le type de magasin de clés personnalisé. Les valeurs valides sont AWS CloudHSM (`AWS_CLOUDHSM`) ou Magasin de clés externe (`EXTERNAL_KEY_STORE`). Vous ne pouvez pas modifier le type après avoir créé le magasin de clés personnalisé.

**Date de création**  
La date à laquelle le magasin de clés personnalisé a été créé. Cette date est affichée en heure locale pour l' Région AWS. 

**État de connexion**  
Indique si le magasin de clés personnalisé est connecté au magasin de clés de sauvegarde. L'état de connexion est `DISCONNECTED` uniquement si le magasin de clés personnalisé n'a jamais été connecté à son magasin de clés de sauvegarde, ou s'il a été déconnecté intentionnellement. Pour en savoir plus, consultez [État de connexion](xks-connect-disconnect.md#xks-connection-state).

### Propriétés de configuration du magasin de clés externe
<a name="view-xks-configuration"></a>

Les valeurs suivantes apparaissent dans la section **Configuration du proxy du magasin de clés externe** de la page détaillée de chaque magasin de clés externe et dans l'`XksProxyConfiguration`élément de [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)réponse. Pour obtenir une description détaillée de chaque champ, y compris les exigences d'unicité et de l'aide pour déterminer la valeur correcte de chaque champ, veuillez consulter [Rassembler les conditions requises](create-xks-keystore.md#xks-requirements) dans la rubrique *Créer un magasin de clés externe*.

**Connectivité de proxy**  
Indique si le magasin de clés externe utilise une [connectivité au point de terminaison public](choose-xks-connectivity.md#xks-connectivity-public-endpoint) ou une [connectivité au service de point de terminaison d'un VPC](choose-xks-connectivity.md#xks-vpc-connectivity).

**Point de terminaison d'URI de proxy**  
Le point de terminaison AWS KMS utilisé pour se connecter à votre [proxy de stockage de clés externe](keystore-external.md#concept-xks-proxy). 

**Chemin d'URI de proxy**  
Le chemin depuis le point de terminaison de l'URI du [proxy où AWS KMS envoie les demandes d'API](keystore-external.md#concept-proxy-apis) du proxy.

**Informations d'identification du proxy : ID de la clé d'accès**  
Fait partie des [informations d'identification pour l'authentification du proxy](keystore-external.md#concept-xks-credential) que vous définissez sur votre proxy de magasin de clés externe. L'ID de clé d'accès identifie la clé d'accès secrète dans les informations d'identification.   
AWS KMS utilise le processus de signature SigV4 et les informations d'authentification du proxy pour signer ses demandes à votre proxy de stockage de clés externe. Les informations d'identification contenues dans la signature permettent au proxy de stockage de clés externe d'authentifier les demandes en votre nom auprès de. AWS KMS

**Nom du service de point de terminaison d'un VPC**  
Nom du service de point de terminaison d'un Amazon VPC prenant en charge votre magasin de clés externe. Cette valeur n'apparaît que lorsque le magasin de clés externe utilise la [connectivité au service de point de terminaison d'un VPC](choose-xks-connectivity.md#xks-vpc-connectivity). Vous pouvez localiser votre proxy de magasin de clés externe dans le VPC ou utiliser le service de point de terminaison d'un VPC pour communiquer en toute sécurité avec votre proxy de magasin de clés externe.

**ID du propriétaire du service de point de terminaison VPC**  
L'ID du service de point de terminaison Amazon VPC qui prend en charge votre magasin de clés externe. Cette valeur n'apparaît que lorsque le magasin de clés externe utilise la [connectivité au service de point de terminaison d'un VPC](choose-xks-connectivity.md#xks-vpc-connectivity). Vous pouvez localiser votre proxy de magasin de clés externe dans le VPC ou utiliser le service de point de terminaison d'un VPC pour communiquer en toute sécurité avec votre proxy de magasin de clés externe.

## Afficher les propriétés de votre magasin de clés externe
<a name="view-xks"></a>

Vous pouvez consulter votre magasin de clés externe et ses propriétés associées dans la AWS KMS console ou en utilisant l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération.

### Utilisation de la AWS KMS console
<a name="view-xks-keystore-console"></a>

Pour consulter les magasins de clés externes d'un compte et d'une région donnés, utilisez la procédure suivante.

1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

1. Dans le panneau de navigation, sélectionnez **Custom key stores** (Magasins de clés personnalisés), **External key stores** (Magasins de clés externes).

1. Pour consulter des informations détaillées sur un magasin de clés externe, sélectionnez le nom du magasin de clés.

### Utilisation de l' AWS KMS API
<a name="view-xks-keystore-api"></a>

Pour afficher vos stockages de clés externes, utilisez l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Toutefois, vous pouvez utiliser le paramètre `CustomKeyStoreName` ou `CustomKeyStoreId` (mais pas les deux) pour limiter la sortie à un magasin de clés personnalisé en particulier. 

Pour les magasins de clés personnalisées, la sortie contient l'ID, le nom et le type du magasin de clés personnalisé, ainsi que l'[état de connexion](xks-connect-disconnect.md#xks-connection-state) du magasin de clés. Si l'état de connexion est `FAILED`, la sortie contient également un `ConnectionErrorCode` qui décrit la raison de l'erreur. Pour obtenir de l'aide pour interpréter le `ConnectionErrorCode` pour un magasin de clés externe, veuillez consulter la rubrique [Codes d'erreur de connexion pour les magasins de clés externes](xks-troubleshooting.md#xks-connection-error-codes).

Pour les magasins de clés externes, la sortie contient également l'élément `XksProxyConfiguration`. Cet élément inclut le [type de connectivité](create-xks-keystore.md#require-connectivity), le [point de terminaison d'URI de proxy](create-xks-keystore.md#require-endpoint), le [chemin d'URI de proxy](create-xks-keystore.md#require-path) et l'ID de clé d'accès des [informations d'identification pour l'authentification du proxy](keystore-external.md#concept-xks-credential).

Les exemples de cette section utilisent la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge. 

Par exemple, la commande suivante renvoie tous les magasins de clés personnalisées du compte et de la région. Vous pouvez utiliser les paramètres `Marker` et `Limit` pour parcourir les magasins de clés personnalisés de la sortie.

```
$ aws kms describe-custom-key-stores
```

La commande suivante utilise le paramètre `CustomKeyStoreName` pour obtenir uniquement l'exemple de magasin de clés externe avec le nom convivial `ExampleXksPublic`. Cet exemple de magasin de clés utilise la connectivité au point de terminaison public. Il est connecté à son proxy de magasin de clés externe. 

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksPublic
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleXksPublic",
      "ConnectionState": "CONNECTED",    
      "CreationDate": "2022-12-14T20:17:36.419000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE12345670EXAMPLE",
        "Connectivity": "PUBLIC_ENDPOINT",
        "UriEndpoint": "https://xks.example.com:6443",
        "UriPath": "/example/prefix/kms/xks/v1"
      }
    }
  ]
}
```

La commande suivante permet d'obtenir un exemple de magasin de clés externe doté d'une connectivité au service de point de terminaison d'un VPC. Dans cet exemple, le magasin de clés externe est connecté à son proxy de magasin de clés externe. 

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "CONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```

Un [`ConnectionState`](xks-connect-disconnect.md#xks-connection-state) dont la valeur est `Disconnected` indique que le magasin de clés externe n'a jamais été connecté ou qu'il a été intentionnellement déconnecté de son proxy de magasin de clés externe. Cependant, si les tentatives d'utilisation d'une clé KMS dans un magasin de clés externe connecté échouent, cela peut indiquer un problème avec le proxy du magasin de clés externe ou avec d'autres composants externes.

Si le `ConnectionState` du magasin de clés externe est `FAILED`, la réponse de `DescribeCustomKeyStores` inclut un élément `ConnectionErrorCode` qui explique la raison de l'erreur.

Par exemple, dans le résultat suivant, la `XKS_PROXY_TIMED_OUT` valeur indique qu'il est AWS KMS possible de se connecter au proxy de banque de clés externe, mais que la connexion a échoué car le proxy de banque de clés externe n'a pas répondu AWS KMS dans le délai imparti. Si ce code d'erreur de connexion s'affiche à plusieurs reprises, informez-en le fournisseur du proxy de votre magasin de clés externe. Pour obtenir de l'aide sur ce sujet et sur d'autres échecs de connexion, consultez [Résoudre les problèmes liés aux magasins de clés externes](xks-troubleshooting.md).

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "FAILED",
      "ConnectionErrorCode": "XKS_PROXY_TIMED_OUT",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```

# Surveillez les magasins de clés externes
<a name="xks-monitoring"></a>

AWS KMS collecte des statistiques pour chaque interaction avec un magasin de clés externe et les publie sur votre CloudWatch compte. Ces métriques sont utilisées pour générer les graphiques dans la section de surveillance de la page détaillée pour chaque magasin de clés externe. La rubrique suivante explique comment utiliser les graphiques pour identifier et résoudre les problèmes de fonctionnement et de configuration affectant votre magasin de clés externe. Nous vous recommandons d'utiliser les CloudWatch métriques pour définir des alarmes qui vous avertissent lorsque votre magasin de clés externe ne fonctionne pas comme prévu. Pour plus d'informations, consultez [la section Surveillance avec Amazon CloudWatch](monitoring-cloudwatch.md).

**Topics**
+ [Afficher les graphiques](#xks-monitoring-navigate)
+ [Interpréter les graphiques](#interpreting-graphs)

## Afficher les graphiques
<a name="xks-monitoring-navigate"></a>

Vous pouvez afficher les graphiques dans différents niveaux de détails. Par défaut, chaque graphique utilise une plage de temps de trois heures et une [période](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#CloudWatchPeriods) d'agrégation de cinq minutes. Vous pouvez ajuster l'affichage graphique dans la console, mais vos modifications reviendront aux paramètres par défaut lorsque la page détaillée du magasin de clés externe sera fermée ou que le navigateur sera actualisé. Pour obtenir de l'aide sur CloudWatch la terminologie Amazon, consultez [Amazon CloudWatch Concepts](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html).

### Afficher les détails des points de données
<a name="graph-data-point"></a>

Les données de chaque graphique sont collectées par les [métriques AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-cloudwatch.html#kms-metrics). Pour afficher plus d'informations sur un point de données spécifique, placez le pointeur de la souris sur le point de données du graphique linéaire. Cela affichera une fenêtre contextuelle contenant plus d'informations sur la métrique dont le graphique est issu. Chaque élément de la liste affiche la valeur de [dimension](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Dimension) enregistrée à ce point de données. La fenêtre contextuelle affiche une valeur nulle (**–**) si aucune donnée de métrique n'est disponible pour la valeur de dimension à ce point de données. Certains graphiques enregistrent plusieurs dimensions et valeurs pour un seul point de données. D'autres graphiques, tels que le [graphique de fiabilité](#reliability-graph), utilisent les données collectées par la métrique pour calculer une valeur unique. Chaque élément de la liste est associé à une couleur de graphique linéaire différente.

### Modifier la plage de temps
<a name="graph-time-range"></a>

Pour modifier la [plage de temps](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/modify_graph_date_time.html), sélectionnez l'une des plages de temps prédéfinies dans le coin supérieur droit de la section de surveillance. Les plages de temps prédéfinies s'étendent de 1 heure à 1 semaine (**1 h**, **3 h**, **12 h**, **1 j**, **3 j**, ou **1 sem**). Cela permet d'ajuster la plage de temps pour tous les graphiques. Si vous souhaitez afficher un graphique spécifique dans un intervalle de temps différent, ou si vous souhaitez définir un intervalle de temps personnalisé, agrandissez-le ou affichez-le dans la CloudWatch console Amazon.

### Zoom avant sur les graphiques
<a name="graph-zoom"></a>

Vous pouvez utiliser la [fonctionnalité de zoom de la mini-carte](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/zoom-graph.html) pour vous concentrer sur des sections de graphiques linéaires et des parties empilées des graphiques sans basculer entre les vues zoomée et dézoomée. Par exemple, vous pouvez utiliser la fonctionnalité de zoom de la mini-carte pour mettre l'accent sur un pic dans un graphique, de sorte que vous puissiez comparer le pic à d'autres graphiques de la section de surveillance provenant de la même chronologie. 

1. Choisissez et faites glisser la zone du graphique sur laquelle vous souhaitez mettre l'accent, puis déposez.

1. Pour réinitialiser le zoom, choisissez l'icône **Reset zoom** (Réinitialiser le zoom), qui ressemble à une loupe avec un symbole moins (-) à l'intérieur.

### Agrandir un graphique
<a name="graph-enlarge"></a>

Pour agrandir un graphique, sélectionnez l'icône de menu dans le coin supérieur droit d'un graphique individuel et choisissez **Enlarge** (Agrandir). Vous pouvez également sélectionner l'icône d'agrandissement qui apparaît à côté de l'icône de menu lorsque vous passez la souris sur un graphique.

L'agrandissement d'un graphique vous permet de modifier davantage son affichage en spécifiant une période, une plage de temps personnalisée ou un intervalle d'actualisation différents. Ces modifications reviendront aux paramètres par défaut lorsque vous fermerez la vue agrandie.

Modifier la période  

1. Choisissez le menu **Period options** (Options de période). Par défaut, ce menu affiche la valeur : **5 minutes**.

1. Choisissez une période, les périodes prédéfinies s'étendent de 1 seconde à 30 jours.

   Par exemple, vous pouvez choisir une vue d'une minute, ce qui peut être utile lors d'un dépannage. Vous pouvez également choisir une vue moins détaillée, d'une heure par exemple. Cela peut être utile lors de l'affichage d'une plage de temps plus large (par exemple, 3 jours), afin de voir les tendances au fil du temps. Pour plus d'informations, consultez la section [Périodes](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#CloudWatchPeriods) dans le *guide de CloudWatch l'utilisateur Amazon*.

Modifier la plage de temps ou le fuseau horaire  

1. Sélectionnez l'une des plages de temps prédéfinies, qui s'étendent de 1 heure à 1 semaine (**1 h**, **3 h**, **12 h**, **1 j**, **3 j**, ou **1 sem**). Vous pouvez également choisir **Custom** (Personnalisée) pour définir votre propre plage horaire.

1. Choisissez **Custom** (Personnalisée).

   1. *Plage de temps :* sélectionnez l'onglet **Absolute** (Absolue) dans le coin supérieur gauche de la boîte de dialogue. Utilisez le sélecteur de calendrier ou les champs de texte pour spécifier la plage de temps.

   1. *Fuseau horaire :* choisissez le menu déroulant dans le coin supérieur droit de la boîte de dialogue. Vous pouvez changer le fuseau horaire sur **UTC** ou **Local time zone** (Fuseau horaire local).

1. Une fois que vous avez spécifié une plage de temps, choisissez **Apply** (Appliquer).

Modifier la fréquence à laquelle les données de votre graphique sont actualisées  

1. Dans le coin supérieur droit, choisissez le menu **Refresh options** (Options d'actualisation).

1. Choisissez un intervalle d'actualisation (**Désactivé**, **10 secondes**, **1 minute**, **2 minutes**, **5 minutes** ou **15 minutes**). 

### Afficher les graphiques dans la CloudWatch console Amazon
<a name="graph-in-cloudwatch"></a>

Les graphiques de la section de surveillance sont dérivés de mesures prédéfinies AWS KMS publiées sur Amazon CloudWatch. Vous pouvez les ouvrir dans la CloudWatch console et les enregistrer dans des CloudWatch tableaux de bord. Si vous possédez plusieurs magasins de clés externes, vous pouvez ouvrir leurs graphiques respectifs CloudWatch et les enregistrer dans un tableau de bord unique pour comparer leur état de santé et leur utilisation.

**Ajouter au CloudWatch tableau de bord**  
Sélectionnez **Ajouter au tableau de bord** dans le coin supérieur droit pour ajouter tous les graphiques à un tableau de CloudWatch bord Amazon. Vous pouvez utiliser un tableau de bord existant ou en créer un. Pour plus d'informations sur l'utilisation de ce tableau de bord pour créer des vues personnalisées des graphiques et des alarmes, consultez la section [Utilisation CloudWatch des tableaux de bord Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html) dans le *guide de CloudWatch l'utilisateur Amazon*.

**Afficher dans les CloudWatch métriques**  
Sélectionnez l'icône du menu dans le coin supérieur droit d'un graphique individuel et choisissez **Afficher dans les métriques** pour afficher ce graphique dans la CloudWatch console Amazon. Depuis la CloudWatch console, vous pouvez ajouter ce graphique unique à un tableau de bord et modifier les plages de temps, les périodes et les intervalles d'actualisation. Pour plus d'informations, consultez la section [Représentation graphique des métriques](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/graph_metrics.html) dans le *guide de CloudWatch l'utilisateur Amazon*.

## Interpréter les graphiques
<a name="interpreting-graphs"></a>

AWS KMS fournit plusieurs graphiques pour surveiller l'état de votre magasin de clés externe dans la AWS KMS console. Ces graphiques sont automatiquement configurés et dérivés des [métriques AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-cloudwatch.html#kms-metrics).

Les données de graphique sont collectées dans le cadre des appels que vous effectuez vers votre magasin de clés externe et vos clés externes. Vous pouvez voir des données remplir des graphiques pendant une période pendant laquelle vous n'avez passé aucun appel. Ces données proviennent des `GetHealthStatus` appels périodiques effectués en votre nom AWS KMS pour vérifier l'état de votre proxy de magasin de clés externe et de votre gestionnaire de clés externe. Si vos graphiques affichent le message **No data available** (Aucune donnée disponible), cela signifie qu'aucun appel n'a été enregistré au cours de cette période ou que votre magasin de clés externe est à l'état [`DISCONNECTED`](xks-connect-disconnect.md#xks-connection-state). Vous pouvez peut-être identifier l'heure à laquelle votre magasin de clés externe s'est déconnecté en [ajustant votre affichage](#graph-time-range) sur une plage de temps plus étendue.

**Topics**
+ [Total requests (Nombre total de requêtes)](#total-requests-graph)
+ [Fiabilité](#reliability-graph)
+ [Latence](#latency-graph)
+ [Les cinq principales exceptions](#top-5-exceptions-graph)
+ [Nombre de jours avant l'expiration du certificat](#cert-expire-graph)

### Total requests (Nombre total de requêtes)
<a name="total-requests-graph"></a>

Nombre total de AWS KMS demandes reçues pour une banque de clés externe spécifique au cours d'une période donnée. Utilisez ce graphique pour déterminer si vous êtes exposé à un risque de limitation.

AWS KMS recommande que votre gestionnaire de clés externe soit capable de traiter jusqu'à 1 800 demandes d'opérations cryptographiques par seconde. Si vous approchez les 540 000 appels par période de cinq minutes, vous risquez d'être limité.

Vous pouvez surveiller le nombre de demandes d'opérations cryptographiques sur les clés KMS dans votre magasin de clés externe limité AWS KMS par la métrique. [ExternalKeyStoreThrottle](monitoring-cloudwatch.md#metric-throttling) 

Si vous recevez des erreurs `KMSInvalidStateException` très fréquentes avec un message expliquant que la requête a été rejetée « en raison d'un taux de requêtes très élevé », cela peut indiquer que votre gestionnaire de clés externe ou votre proxy de magasin de clés externe ne peuvent pas suivre le rythme du taux de requêtes actuel. Si possible, réduisez votre taux de requêtes. Vous pouvez également envisager de demander une diminution de la valeur de votre quota de requêtes du magasin de clés personnalisé. La diminution de cette valeur de quota peut augmenter la régulation, mais cela indique que les demandes excédentaires AWS KMS sont rejetées rapidement avant qu'elles ne soient envoyées à votre proxy de stockage de clés externe ou à votre gestionnaire de clés externe. Pour solliciter une réduction de quota, accédez au [Centre AWS Support](https://console.aws.amazon.com/support/home) et créez une demande.

Le graphique du nombre total de requêtes est dérivé de la métrique [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors), qui collecte des données sur les réponses fructueuses et infructueuses qu' AWS KMS reçoit de votre proxy de magasin de clés externe. Lorsque vous [consultez un point de données spécifique](#graph-data-point), la fenêtre contextuelle affiche la valeur de la `CustomKeyStoreId` dimension ainsi que le nombre total de AWS KMS demandes enregistrées à ce point de données. Le `CustomKeyStoreId` sera toujours identique.

### Fiabilité
<a name="reliability-graph"></a>

Pourcentage de AWS KMS demandes pour lesquelles le proxy de stockage de clés externe a renvoyé une réponse réussie ou une erreur ne pouvant pas être réessayée. Utilisez ce graphique pour évaluer l'état opérationnel de votre proxy de magasin de clés externe.

Lorsque le graphique affiche une valeur inférieure à 100 %, il indique les cas où le proxy n'a pas répondu ou a répondu par une erreur récupérable. Cela peut indiquer des problèmes liés au réseau, une lenteur du proxy de magasin de clés externe ou du gestionnaire de clés externe, ou des bogues d'implémentation.

Si la requête inclut des informations d'identification erronées et que votre proxy répond par une exception `AuthenticationFailedException`, le graphique indiquera toujours une fiabilité de 100 %, car le proxy a identifié une valeur incorrecte dans la [requête d'API de proxy de magasin de clés externe](keystore-external.md#concept-proxy-apis). Par conséquent, l'échec est prévisible. Si le pourcentage de votre graphique de fiabilité est de 100 %, cela signifie que le proxy de votre magasin de clés externe répond comme prévu. Si le graphique affiche une valeur inférieure à 100 %, le proxy a répondu par une erreur récupérable ou a expiré. Par exemple, si le proxy répond par une exception `ThrottlingException` en raison d'un taux de requêtes très élevé, il affichera un pourcentage de fiabilité inférieur, car le proxy n'a pas été en mesure d'identifier un problème spécifique dans la requête qui a provoqué son échec. En effet, les erreurs récupérables sont probablement des problèmes transitoires qui peuvent être résolus en répétant la requête.

Les réponses d'erreur suivantes réduiront le pourcentage de fiabilité. Vous pouvez utiliser le graphique [Les cinq principales exceptions](#top-5-exceptions-graph) et la métrique [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) pour surveiller davantage la fréquence à laquelle votre proxy renvoie chaque erreur récupérable.
+ `InternalException`
+ `DependencyTimeoutException`
+ `ThrottlingException`
+ `XksProxyUnreachableException`

Le graphique de fiabilité est dérivé de la [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) métrique, qui collecte des données sur les réponses positives et infructueuses AWS KMS reçues de votre proxy de stockage de clés externe. Le pourcentage de fiabilité ne diminue que si la réponse a une valeur `ErrorType` égale à `Retryable`. Lorsque vous [consultez un point de données spécifique](#graph-data-point), la fenêtre contextuelle affiche la valeur de la `CustomKeyStoreId` dimension ainsi que le pourcentage de fiabilité pour les AWS KMS demandes enregistrées à ce point de données. Le `CustomKeyStoreId` sera toujours identique.

Nous vous recommandons d'utiliser cette [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) métrique pour créer une CloudWatch alarme qui vous avertit des problèmes potentiels liés au réseau en vous alertant lorsque plus de cinq erreurs réessayables sont enregistrées en une minute. Pour de plus amples informations, veuillez consulter [Créez une alarme pour les erreurs réessayables](xks-alarms.md#retryable-errors-alarm).

### Latence
<a name="latency-graph"></a>

Le nombre de millisecondes nécessaires à un proxy de stockage de clés externe pour répondre à une demande. AWS KMS Utilisez ce graphique pour évaluer les performances de votre proxy de magasin de clés externe et de votre gestionnaire de clés externe.

AWS KMS attend du proxy de stockage de clés externe qu'il réponde à chaque demande dans un délai de 250 millisecondes. En cas d'expiration du délai d'attente du réseau, la demande AWS KMS sera réessayée une fois. Si le proxy échoue une seconde fois, la latence enregistrée est le délai d'expiration combiné pour les deux tentatives de requête et le graphique affichera environ 500 millisecondes. Dans tous les autres cas où le proxy ne répond pas dans la limite du délai d'expiration de 250 millisecondes, la latence enregistrée est de 250 millisecondes. Si le proxy expire fréquemment lors des opérations de chiffrement et de déchiffrement, consultez votre administrateur proxy externe. Pour obtenir de l'aide afin de résoudre les problèmes de latence, veuillez consulter la rubrique [Erreurs de latence et de délai d'expiration](xks-troubleshooting.md#fix-xks-latency).

Les réponses lentes peuvent également indiquer que votre gestionnaire de clés externe ne peut pas gérer le trafic de demandes actuel. AWS KMS recommande que votre gestionnaire de clés externe soit capable de traiter jusqu'à 1 800 demandes d'opérations cryptographiques par seconde. Si votre gestionnaire de clés externe ne peut pas gérer le taux de 1 800 requêtes par seconde, pensez à demander une diminution de votre [quota de requêtes de clés KMS dans un magasin de clés personnalisé](requests-per-second.md#rps-key-stores). Les requêtes d'opérations cryptographiques utilisant les clés KMS de votre magasin de clés externe échoueront rapidement, avec une [exception de limitation](throttling.md), au lieu d'être traitées puis rejetées par le proxy de votre magasin de clés externe ou le gestionnaire de clés externe.

Le graphique de latence est dérivé de la métrique [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency). Lorsque vous [consultez un point de données spécifique](#graph-data-point), la fenêtre contextuelle affiche les valeurs des dimensions `KmsOperation` et `XksOperation` correspondantes, ainsi que la latence moyenne enregistrée pour les opérations sur ce point de données. Les éléments de la liste sont classés de la latence la plus élevée à la plus faible.

Nous vous recommandons d'utiliser cette [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency) métrique pour créer une CloudWatch alarme qui vous avertira lorsque votre latence approche de la limite de temporisation. Pour de plus amples informations, veuillez consulter [Création d'une alarme pour l'expiration du délai de réponse](xks-alarms.md#latency-alarm).

### Les cinq principales exceptions
<a name="top-5-exceptions-graph"></a>

Les cinq principales exceptions en cas d'échec des opérations cryptographiques et de gestion au cours d'une période donnée. Utilisez ce graphique pour suivre les erreurs les plus fréquentes, afin de prioriser votre effort d'ingénierie.

Ce décompte inclut les exceptions AWS KMS reçues du proxy de stockage de clés externe et celles renvoyées `XksProxyUnreachableException` en interne lorsqu'il ne peut pas établir de communication avec le proxy de stockage de clés externe. AWS KMS 

Des taux élevés d'erreurs récupérables peuvent indiquer des erreurs réseau, tandis que des taux élevés d'erreurs non récupérables peuvent indiquer un problème de configuration de votre magasin de clés externe. Par exemple, un pic `AuthenticationFailedExceptions` indique une différence entre les informations d'authentification configurées dans le proxy de stockage de clés externe AWS KMS et celles configurées dans le proxy de stockage de clés externe. Pour consulter la configuration de votre magasin de clés externe, veuillez consulter la rubrique [Afficher les magasins de clés externes](view-xks-keystore.md). Pour modifier les paramètres de votre clé externe, veuillez consulter la rubrique [Modifier les propriétés du magasin de clés externe](update-xks-keystore.md).

Les exceptions AWS KMS reçues du proxy de stockage de clés externe sont différentes de celles qui AWS KMS sont renvoyées en cas d'échec d'une opération. AWS KMS les opérations cryptographiques renvoient un `KMSInvalidStateException` pour toutes les défaillances liées à la configuration externe ou à l'état de connexion du magasin de clés externe. Pour identifier le problème, utilisez le texte du message d'erreur qui l'accompagne.

Le tableau suivant indique les exceptions qui peuvent apparaître dans le graphique des 5 principales exceptions et les exceptions correspondantes qui vous sont AWS KMS renvoyées.


| Error type (Type d'erreur) | Exception affichée dans le graphique | Exception qui vous AWS KMS est revenue | 
| --- | --- | --- | 
| Non récupérable | AccessDeniedException   Pour bénéficier d'une aide à la résolution des problèmes, consultez [Problèmes d'autorisation du proxy](xks-troubleshooting.md#fix-xks-authorization). | **`CustomKeyStoreInvalidStateException`** dans la réponse aux opérations `CreateKey`. **`KMSInvalidStateException`** dans la réponse aux opérations cryptographiques. | 
| Non récupérable | AuthenticationFailedException   Pour bénéficier d'une aide à la résolution des problèmes, consultez [Erreurs liées aux informations d'identification pour l'authentification](xks-troubleshooting.md#fix-xks-credentials). | **`XksProxyIncorrectAuthenticationCredentialException`** dans la réponse aux opérations `CreateCustomKeyStore` et `UpdateCustomKeyStore`.**`CustomKeyStoreInvalidStateException`** dans la réponse aux opérations `CreateKey`. **`KMSInvalidStateException`** dans la réponse aux opérations cryptographiques. | 
| Récupérable | **`DependencyTimeoutException`** Pour bénéficier d'une aide à la résolution des problèmes, consultez [Erreurs de latence et de délai d'expiration](xks-troubleshooting.md#fix-xks-latency). | **`XksProxyUriUnreachableException`** dans la réponse aux opérations `CreateCustomKeyStore` et `UpdateCustomKeyStore`. **`CustomKeyStoreInvalidStateException`** dans la réponse aux opérations `CreateKey`. **`KMSInvalidStateException`** dans la réponse aux opérations cryptographiques. | 
| Récupérable | **`InternalException`** Le proxy de magasin de clés externe a rejeté la requête, car il ne peut pas communiquer avec le gestionnaire de clés externe. Vérifiez que la configuration du proxy de magasin de clés externe est correcte et que le gestionnaire de clés externe est disponible. | **`XksProxyInvalidResponseException`** dans la réponse aux opérations `CreateCustomKeyStore` et `UpdateCustomKeyStore`. **`CustomKeyStoreInvalidStateException`** dans la réponse aux opérations `CreateKey`. **`KMSInvalidStateException`** dans la réponse aux opérations cryptographiques. | 
| Non récupérable | **`InvalidCiphertextException`** Pour bénéficier d'une aide à la résolution des problèmes, consultez [Erreurs de déchiffrement](xks-troubleshooting.md#fix-xks-decrypt). | **`KMSInvalidStateException`** dans la réponse aux opérations cryptographiques. | 
| Non récupérable | **`InvalidKeyUsageException`** Pour bénéficier d'une aide à la résolution des problèmes, consultez [Erreurs d'opérations cryptographiques pour la clé externe](xks-troubleshooting.md#fix-external-key-crypto). | **`XksKeyInvalidConfigurationException`** dans la réponse aux opérations `CreateKey`. **`KMSInvalidStateException`** dans la réponse aux opérations cryptographiques. | 
| Non récupérable | **`InvalidStateException`** Pour bénéficier d'une aide à la résolution des problèmes, consultez [Erreurs d'opérations cryptographiques pour la clé externe](xks-troubleshooting.md#fix-external-key-crypto). | **`XksKeyInvalidConfigurationException`** dans la réponse aux opérations `CreateKey`. **`KMSInvalidStateException`** dans la réponse aux opérations cryptographiques. | 
| Non récupérable | **`InvalidUriPathException`** Pour bénéficier d'une aide à la résolution des problèmes, consultez [Erreurs de configuration générale](xks-troubleshooting.md#fix-xks-gen-configuration). | **`XksProxyInvalidConfigurationException`** dans la réponse aux opérations `CreateCustomKeyStore` et `UpdateCustomKeyStore`. **`CustomKeyStoreInvalidStateException`** dans la réponse aux opérations `CreateKey`. **`KMSInvalidStateException`** dans la réponse aux opérations cryptographiques. | 
| Non récupérable | **`KeyNotFoundException`** Pour bénéficier d'une aide à la résolution des problèmes, consultez [Erreurs liées aux clés externes](xks-troubleshooting.md#fix-external-key). | **`XksKeyNotFoundException`** dans la réponse aux opérations `CreateKey`. **`KMSInvalidStateException`** dans la réponse aux opérations cryptographiques. | 
| Récupérable | **`ThrottlingException`** Le proxy de magasin de clés externe a rejeté la requête en raison d'un taux de requêtes très élevé. Réduisez la fréquence de vos appels utilisant des clés KMS dans ce magasin de clés externe. | **`XksProxyUriUnreachableException`** dans la réponse aux opérations `CreateCustomKeyStore` et `UpdateCustomKeyStore`. **`CustomKeyStoreInvalidStateException`** dans la réponse aux opérations `CreateKey`. **`KMSInvalidStateException`** dans la réponse aux opérations cryptographiques. | 
| Non récupérable | **`UnsupportedOperationException`** Pour bénéficier d'une aide à la résolution des problèmes, consultez [Erreurs d'opérations cryptographiques pour la clé externe](xks-troubleshooting.md#fix-external-key-crypto). | **`XksKeyInvalidResponseException`** dans la réponse aux opérations `CreateKey`. **`KMSInvalidStateException`** dans la réponse aux opérations cryptographiques. | 
| Non récupérable | **`ValidationException`** Pour bénéficier d'une aide à la résolution des problèmes, consultez [Problèmes liés aux proxys](xks-troubleshooting.md#fix-xks-proxy). | **`XksProxyInvalidResponseException`** dans la réponse aux opérations `CreateCustomKeyStore` et `UpdateCustomKeyStore`. **`CustomKeyStoreInvalidStateException`** dans la réponse aux opérations `CreateKey`. **`KMSInvalidStateException`** dans la réponse aux opérations cryptographiques. | 
| Récupérable | **`XksProxyUnreachableException`** Si cette erreur s'affiche à plusieurs reprises, vérifiez que le proxy de votre magasin de clés externe est actif et connecté au réseau, et que son chemin d'URI et son URI de point de terminaison ou le nom de service VPC sont corrects dans votre magasin de clés externe. | **`XksProxyUriUnreachableException`** dans la réponse aux opérations `CreateCustomKeyStore` et `UpdateCustomKeyStore`. **`CustomKeyStoreInvalidStateException`** dans la réponse aux opérations `CreateKey`. **`KMSInvalidStateException`** dans la réponse aux opérations cryptographiques. | 

Le graphique des cinq principales exceptions est dérivé de la métrique [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors). Lorsque vous [consultez un point de données spécifique](#graph-data-point), la fenêtre contextuelle affiche la valeur de la dimension `ExceptionName` ainsi que le nombre de fois que l'exception a été enregistrée à ce point de données. Les cinq éléments de la liste sont classés de l'exception la plus fréquente à la moins fréquente.

Nous vous recommandons d'utiliser cette [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) métrique pour créer une CloudWatch alarme qui vous avertit des problèmes de configuration potentiels en vous alertant lorsque plus de cinq erreurs non réessayables sont enregistrées en une minute. Pour de plus amples informations, veuillez consulter [Créez une alarme pour les erreurs non réessayables](xks-alarms.md#nonretryable-errors-alarm).

### Nombre de jours avant l'expiration du certificat
<a name="cert-expire-graph"></a>

Nombre de jours avant l'expiration du certificat TLS de votre point de terminaison du proxy de magasin de clés externe (`XksProxyUriEndpoint`). Utilisez ce graphique pour surveiller l'expiration imminente de votre certificat TLS.

Lorsque le certificat expire, AWS KMS impossible de communiquer avec le proxy de stockage de clés externe. Toutes les données protégées par des clés KMS dans votre magasin de clés externe deviennent inaccessibles jusqu'à ce que vous renouveliez le certificat. 

Le graphique du nombre de jours avant l'expiration du certificat est dérivé de la métrique [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire). Nous vous recommandons vivement d'utiliser cette métrique pour créer une CloudWatch alarme qui vous avertira de l'expiration prochaine. L'expiration du certificat peut vous empêcher d'accéder à vos ressources chiffrées. Réglez l'alerte pour donner à votre organisation le temps de renouveler le certificat avant qu'il n'expire. Pour de plus amples informations, veuillez consulter [Créer une alarme pour l'expiration du certificat](xks-alarms.md#cert-expire-alarm).

# Connecter et déconnecter les magasins de clés externes
<a name="xks-connect-disconnect"></a>

Les nouveaux magasins de clés externes ne sont pas connectés. Pour créer et utiliser AWS KMS keys dans votre magasin de clés externe, vous devez connecter votre magasin de clés externe à son [proxy de magasin de clés externe](keystore-external.md#concept-xks-proxy). Vous pouvez connecter et déconnecter votre magasin de clés externe à tout moment, et [afficher son état de connexion](view-xks-keystore.md).

Lorsque votre magasin de clés externe est déconnecté, vous AWS KMS ne pouvez pas communiquer avec votre proxy de magasin de clés externe. Par conséquent, vous pouvez afficher et gérer votre magasin de clés externe et ses clés KMS existantes. Toutefois, vous ne pouvez pas créer de clés KMS dans votre magasin de clés externe, ni utiliser ses clés KMS dans des opérations cryptographiques. Il se peut que vous deviez déconnecter votre magasin de clés externe à un moment donné, par exemple lorsque vous modifiez ses propriétés, mais planifiez cette action en conséquence. La déconnexion du magasin de clés peut perturber le fonctionnement des AWS services qui utilisent ses clés KMS. 

Vous n'avez pas besoin de connecter votre magasin de clés externe. Vous pouvez conserver un magasin de clés externe dans un état déconnecté indéfiniment et le connecter uniquement lorsque vous avez besoin de l'utiliser. Cependant, vous pouvez tester la connexion régulièrement pour vérifier que les paramètres sont corrects et que le magasin peut être connecté.

Lorsque vous déconnectez un magasin de clés personnalisé, les clés KMS du magasin de clés deviennent immédiatement inutilisables (sous réserve d'une éventuelle cohérence). Toutefois, les ressources chiffrées à l'aide de [clés de données](data-keys.md) protégées par la clé KMS ne sont pas affectées tant que la clé KMS n'est pas réutilisée, par exemple pour déchiffrer la clé de données. Ce problème affecte les Services AWS, dont beaucoup utilisent des clés de données pour protéger vos ressources. Pour en savoir plus, consultez [Comment les clés KMS inutilisables affectent les clés de données](unusable-kms-keys.md).

**Note**  
Les magasins de clés externes sont à l'état `DISCONNECTED` uniquement lorsque le magasin de clés n'a jamais été connecté ou que vous le déconnectez explicitement. Un état `CONNECTED` n'indique pas que le magasin de clés externe ou ses composants de support fonctionnent efficacement. Pour plus d'informations sur les performances des composants de votre magasin de clés externe, veuillez consulter les graphiques de la section **Monitoring** (Surveillance) de la page détaillée de chaque magasin de clés externe. Pour en savoir plus, consultez [Surveillez les magasins de clés externes](xks-monitoring.md).  
Votre gestionnaire de clés externe peut fournir des méthodes supplémentaires pour arrêter et redémarrer la communication entre votre magasin de clés AWS KMS externe et votre proxy de magasin de clés externe, ou entre votre proxy de magasin de clés externe et le gestionnaire de clés externe. Pour en savoir plus, veuillez consulter la documentation de votre gestionnaire de clés externe.

**Topics**
+ [État de connexion](#xks-connection-state)
+ [Connecter un magasin de clés externe](about-xks-connecting.md)
+ [Déconnecter un magasin de clés externe](about-xks-disconnecting.md)

## État de connexion
<a name="xks-connection-state"></a>

La connexion et la déconnexion modifient l'*état de connexion* de votre magasin de clés personnalisé. Les valeurs d'état de connexion sont les mêmes pour les magasins de AWS CloudHSM clés et les magasins de clés externes. 

Pour afficher l'état de connexion de votre magasin de clés personnalisé, utilisez l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html)opération ou la AWS KMS console. L'**état de la connexion** apparaît dans chaque tableau de magasin de clés personnalisé, dans la section **General configuration** (Configuration générale) de la page détaillée de chaque magasin de clés personnalisé et dans l'onglet **Cryptographic configuration** (Configuration cryptographique) des clés KMS d'un magasin de clés personnalisé. Pour plus d’informations, consultez [Afficher un magasin AWS CloudHSM de clés](view-keystore.md) et [Afficher les magasins de clés externes](view-xks-keystore.md).

Un magasin de clés personnalisé peut avoir l'un des états de connexion suivants :
+ `CONNECTED` : le magasin de clés personnalisé est connecté à son magasin de clés de sauvegarde. Vous pouvez créer et utiliser les clés KMS dans le magasin de clés personnalisé.

  Le *magasin de clés de sauvegarde* d'un magasin de AWS CloudHSM clés est son AWS CloudHSM cluster associé. Le *magasin de clés de sauvegarde* d'un magasin de clés externe est constitué du proxy de magasin de clés externe et du gestionnaire de clés externe qu'il prend en charge.

  Un état CONNECTÉ signifie que la connexion s'est établie et que le magasin de clés personnalisé n'a pas été déconnecté intentionnellement. Cela n'indique pas que la connexion fonctionne correctement. Pour plus d'informations sur l'état du AWS CloudHSM cluster associé à votre magasin de AWS CloudHSM clés, consultez la section [Obtenir CloudWatch des métriques AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/hsm-metrics-cw.html) dans le guide de AWS CloudHSM l'utilisateur. Pour plus d'informations sur l'état et le fonctionnement de votre magasin de clés externe, veuillez consulter les graphiques de la section **Monitoring** (Surveillance) de la page détaillée de chaque magasin de clés externe. Pour en savoir plus, consultez [Surveillez les magasins de clés externes](xks-monitoring.md).
+ `CONNECTING` : le processus de connexion d'un magasin de clés personnalisé est en cours. Il s'agit d'un état transitoire.
+ `DISCONNECTED`: Le magasin de clés personnalisé n'a jamais été connecté à son support, ou il a été déconnecté intentionnellement à l'aide de la AWS KMS console ou de l'[DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/DisconnectCustomKeyStores.html)opération. 
+ `DISCONNECTING` : le processus de déconnexion d'un magasin de clés personnalisé est en cours. Il s'agit d'un état transitoire.
+ `FAILED` : une tentative de connexion du magasin de clés personnalisé a échoué. Le « `ConnectionErrorCode` in » de la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html)réponse indique le problème.

Pour connecter un magasin de clés personnalisé, son état de connexion doit être `DISCONNECTED`. Si l'état de la connexion est `FAILED`, utilisez le `ConnectionErrorCode` pour identifier et résoudre le problème. Déconnectez ensuite le magasin de clés personnalisé avant d'essayer de le connecter à nouveau. Pour obtenir de l'aide concernant les connexions ayant échoué, veuillez consulter [Erreurs de connexion au magasin de clés externe](xks-troubleshooting.md#fix-xks-connection). Pour obtenir de l'aide afin de répondre à un code d'erreur de connexion, veuillez consulter la rubrique [Codes d'erreur de connexion pour les magasins de clés externes](xks-troubleshooting.md#xks-connection-error-codes).

Pour consulter le code d'erreur de connexion, procédez comme suit :
+ Dans la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)réponse, visualisez la valeur de l'`ConnectionErrorCode`élément. Cet élément apparaît dans la réponse de `DescribeCustomKeyStores` uniquement lorsque le `ConnectionState` est `FAILED`.
+ Pour afficher le code d'erreur de connexion dans la AWS KMS console, sur la page détaillée du magasin de clés externe, passez le curseur sur la valeur **Échec**.  
![\[Code d'erreur de connexion sur la page de détails du magasin de clés personnalisé\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/connection-error-code.png)

# Connecter un magasin de clés externe
<a name="about-xks-connecting"></a>

Lorsque votre magasin de clés externe est connecté à son proxy de magasin de clés externe, vous pouvez [créer des clés KMS dans votre magasin de clés externe](create-cmk-keystore.md) et utiliser les clés KMS existantes dans les [opérations cryptographiques](manage-cmk-keystore.md#use-cmk-keystore). 

Le processus qui connecte un magasin de clés externe à son proxy de magasin de clés externe varie en fonction de la connectivité du magasin de clés externe.
+ Lorsque vous connectez un magasin de clés externe connecté à un point de [terminaison public,](keystore-external.md#concept-xks-connectivity) AWS KMS envoie une [GetHealthStatus demande](keystore-external.md#concept-proxy-apis) au proxy du magasin de clés externe pour valider le point de [terminaison de l'URI du proxy](create-xks-keystore.md#require-endpoint), le [chemin de l'URI](create-xks-keystore.md#require-path) du [proxy et les informations d'authentification du proxy.](keystore-external.md#concept-xks-credential) Une réponse positive du proxy confirme que le [point de terminaison d'URI de proxy](create-xks-keystore.md#require-endpoint) et le [chemin d'URI de proxy](create-xks-keystore.md#require-path) sont exacts et accessibles, et que le proxy a authentifié la requête signée à l'aide des [informations d'identification pour l'authentification du proxy](keystore-external.md#concept-xks-credential) pour le magasin de clés externe.
+ Lorsque vous connectez un magasin de clés externe connecté au [service de point de terminaison VPC à](choose-xks-connectivity.md#xks-vpc-connectivity) son proxy de magasin de clés externe, procédez AWS KMS comme suit : 
  + Il confirme que le domaine pour le nom DNS privé spécifié dans le [point de terminaison d'URI de proxy](create-xks-keystore.md#require-endpoint) est [vérifié](vpc-connectivity.md#xks-private-dns). 
  + Crée un point de terminaison d'interface entre un AWS KMS VPC et votre service de point de terminaison VPC.
  + Il crée une zone hébergée privée pour le nom DNS privé spécifié dans le point de terminaison d'URI de proxy.
  + Envoie une [GetHealthStatusdemande](keystore-external.md#concept-proxy-apis) au proxy de stockage de clés externe. Une réponse positive du proxy confirme que le [point de terminaison d'URI de proxy](create-xks-keystore.md#require-endpoint) et le [chemin d'URI de proxy](create-xks-keystore.md#require-path) sont exacts et accessibles, et que le proxy a authentifié la requête signée à l'aide des [informations d'identification pour l'authentification du proxy](keystore-external.md#concept-xks-credential) pour le magasin de clés externe.

L'opération de connexion lance le processus de connexion de votre magasin de clés personnalisé, mais la connexion d'un magasin de clés externe à son proxy externe prend environ cinq minutes. Une réponse positive à l'opération de connexion n'indique pas que le magasin de clés externe est connecté. Pour confirmer que la connexion a été établie, utilisez la AWS KMS console ou l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html)opération pour afficher l'[état de connexion](xks-connect-disconnect.md#xks-connection-state) de votre magasin de clés externe.

Lorsque l'état de connexion est `FAILED` atteint, un code d'erreur de connexion s'affiche dans la AWS KMS console et est ajouté à la `DescribeCustomKeyStore` réponse. Pour obtenir de l'aide sur l'interprétation des codes d'erreur de connexion, veuillez consulter la rubrique [Codes d'erreur de connexion pour les magasins de clés externes](xks-troubleshooting.md#xks-connection-error-codes).

## Connectez-vous et reconnectez-vous à votre magasin de clés externe
<a name="connect-xks"></a>

Vous pouvez connecter ou reconnecter votre banque de clés externe dans la AWS KMS console ou en utilisant l'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)opération.

### Utilisation de la AWS KMS console
<a name="connect-xks-console"></a>

Vous pouvez utiliser la AWS KMS console pour connecter un magasin de clés externe à son proxy de magasin de clés externe. 

1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

1. Dans le panneau de navigation, sélectionnez **Custom key stores** (Magasins de clés personnalisés), **External key stores** (Magasins de clés externes).

1. Choisissez la ligne du magasin de clés externe que vous souhaitez connecter. 

   Si l'[état de connexion](xks-connect-disconnect.md#xks-connection-state) du magasin de clés externe est **FAILED** (ÉCHEC), vous devez [déconnecter le magasin de clés externe](disconnect-keystore.md#disconnect-keystore-console) avant de le connecter.

1. Dans le menu **Key store actions** (Actions de magasin de clés), choisissez **Connect** (Connecter).

Le processus de connexion prend en général environ cinq minutes. Lorsque l'opération est terminée, l'[état de connexion](xks-connect-disconnect.md#xks-connection-state) passe à **CONNECTED** (CONNECTÉ). 

Si l'état de connexion est **Failed** (Échec), passez la souris sur l'état de la connexion pour voir le *code d'erreur de connexion*, qui explique la cause de l'erreur. Pour obtenir de l'aide afin de répondre à un code d'erreur de connexion, veuillez consulter la rubrique [Codes d'erreur de connexion pour les magasins de clés externes](xks-troubleshooting.md#xks-connection-error-codes). Pour connecter un magasin de clés externe dont l'état de connexion est **Failed** (Échec), vous devez d'abord [déconnecter le magasin de clés personnalisé](disconnect-keystore.md#disconnect-keystore-console).

### Utilisation de l' AWS KMS API
<a name="connect-xks-api"></a>

Pour connecter un magasin de clés externe déconnecté, utilisez l'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)opération. 

Avant la connexion, l'[état de connexion](xks-connect-disconnect.md#xks-connection-state) du magasin de clés externe doit être `DISCONNECTED`. Si l'état actuel de la connexion est `FAILED`, [déconnectez le magasin de clés externe](about-xks-disconnecting.md#disconnect-xks-api), puis connectez-le. 

Le processus de connexion prend environ cinq minutes. À moins qu'elle n'échoue rapidement, `ConnectCustomKeyStore` renvoie une réponse HTTP 200 et un objet JSON sans propriétés. Cependant, cette réponse initiale n'indique pas que la connexion a abouti. Pour déterminer si le magasin de clés externe est connecté, consultez l'état de la connexion dans la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)réponse. 

Les exemples de cette section utilisent la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge. 

Pour identifier le magasin de clés externe, utilisez son ID du magasin de clés personnalisé. Vous pouvez trouver l'ID sur la page des **stockages de clés personnalisés** de la console ou en utilisant l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération. Avant d'exécuter cet exemple, remplacez l'ID de l'exemple par un ID valide.

```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

L'opération `ConnectCustomKeyStore` ne renvoie pas de `ConnectionState` dans sa réponse. Pour vérifier que le magasin de clés externe est connecté, utilisez l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Toutefois, vous pouvez utiliser le paramètre `CustomKeyStoreName`ou `CustomKeyStoreId` (mais pas les deux) pour limiter la réponse à des magasins de clés personnalisés en particulier. Une valeur de `ConnectionState` égale à `CONNECTED` indique que le magasin de clés externe est connecté à son proxy de magasin de clés externe.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "CONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```

Si la valeur de `ConnectionState` dans la réponse de `DescribeCustomKeyStores` est `FAILED`, l'élément `ConnectionErrorCode` indique la raison de l'échec. 

Dans l'exemple suivant, la `XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND` valeur de `ConnectionErrorCode` indique que AWS KMS le service de point de terminaison VPC qu'il utilise pour communiquer avec le proxy de banque de clés externe est introuvable. Vérifiez que `XksProxyVpcEndpointServiceName` c'est correct, que le principal de AWS KMS service est un principal autorisé sur le service de point de terminaison Amazon VPC et que le service de point de terminaison VPC n'exige pas l'acceptation des demandes de connexion. Pour obtenir de l'aide afin de répondre à un code d'erreur de connexion, veuillez consulter la rubrique [Codes d'erreur de connexion pour les magasins de clés externes](xks-troubleshooting.md#xks-connection-error-codes).

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "FAILED",
      "ConnectionErrorCode": "XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```

# Déconnecter un magasin de clés externe
<a name="about-xks-disconnecting"></a>

Lorsque vous déconnectez un magasin de clés externe doté d'une [connectivité au service de point de terminaison d'un VPC](choose-xks-connectivity.md#xks-vpc-connectivity) de son proxy de magasin de clés externe, AWS KMS supprime son point de terminaison d'interface vers le service de point de terminaison d'un VPC et supprime l'infrastructure réseau qu'il a créée pour prendre en charge la connexion. Aucun processus équivalent n'est requis pour les magasins de clés externes disposant d'une connectivité au point de terminaison public. Cette action n'affecte pas le service de point de terminaison d'un VPC ni aucun de ses composants de support, et elle n'affecte pas le proxy de magasin de clés externe ni aucun composant externe.

Lorsque le magasin de clés externe est déconnecté, AWS KMS n'envoie aucune demande au proxy du magasin de clés externe. L'état de connexion du magasin de clés externe est `DISCONNECTED`. Les clés KMS du magasin de clés externe déconnecté sont dans un [état de clé `UNAVAILABLE`](key-state.md) (sauf si elles sont [en attente de suppression](deleting-keys.md)), ce qui signifie qu'elles ne peuvent pas être utilisées dans des opérations cryptographiques. Toutefois, vous pouvez toujours consulter et gérer votre magasin de clés externe et ses clés KMS existantes. 

L'état déconnecté est conçu pour être temporaire et réversible. Vous pouvez reconnecter votre magasin de clés externe à tout moment. En général, aucune reconfiguration n'est nécessaire. Cependant, si des propriétés du proxy de magasin de clés externe associé ont changé pendant sa déconnexion, par exemple la rotation de ses [informations d'identification pour l'authentification du proxy](keystore-external.md#concept-xks-credential), vous devez [modifier les paramètres du magasin de clés externe](update-xks-keystore.md) avant de le reconnecter. 

**Note**  
Même si un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de clés KMS dans le magasin de clés personnalisé ou d'utilisation de clés KMS existantes dans les opérations de chiffrement échouent. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.

Pour mieux estimer l'effet de la déconnexion de votre magasin de clés externe, identifiez les clés KMS du magasin de clés externe et [déterminez leur utilisation antérieure](deleting-keys-determining-usage.md).

Vous pouvez déconnecter le magasin de clés externe pour des raisons telles que les suivantes :
+ **Pour modifier ses propriétés.** Vous pouvez modifier le nom du magasin de clés personnalisé, le chemin d'URI de proxy et les informations d'identification pour l'authentification du proxy lorsque le magasin de clés externe est connecté. Toutefois, pour modifier le type de connectivité du proxy, le point de terminaison de l'URI de proxy ou le nom du service de point de terminaison d'un VPC, vous devez d'abord déconnecter le magasin de clés externe. Pour en savoir plus, consultez [Modifier les propriétés du magasin de clés externe](update-xks-keystore.md).
+ **Pour arrêter toute communication** entre AWS KMS et le proxy de stockage de clés externe. Vous pouvez également arrêter la communication entre AWS KMS et votre proxy en désactivant votre point de terminaison ou le service de point de terminaison VPC. En outre, votre proxy de stockage de clés externe ou votre logiciel de gestion de clés peuvent fournir des mécanismes supplémentaires pour AWS KMS empêcher la communication avec le proxy ou pour empêcher le proxy d'accéder à votre gestionnaire de clés externe.
+ **Pour désactiver toutes les clés KMS** du magasin de clés externe. Vous pouvez [désactiver et réactiver les clés KMS](enabling-keys.md) dans un magasin de clés externe à l'aide de la AWS KMS console ou de l'[DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)opération. Ces opérations se déroulent rapidement (sous réserve d'une éventuelle cohérence), mais elles n'agissent que sur une seule clé KMS à la fois. La déconnexion du magasin de clés externe fait passer l'état de clé de toutes les clés KMS dans le magasin de clés externe à `Unavailable`, ce qui empêche leur utilisation dans les opérations cryptographiques.
+ **Pour réparer un échec de tentative de connexion**. Si une tentative de connexion d'un magasin de clés externe échoue (l'état de connexion du magasin de clés personnalisé est `FAILED`), vous devez déconnecter le magasin de clés externe avant d'essayer de le connecter à nouveau.

## Déconnectez votre magasin de clés externe
<a name="disconnect-xks"></a>

Vous pouvez déconnecter votre porte-clés externe dans la AWS KMS console ou en utilisant cette [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)opération.

### Utilisation de la AWS KMS console
<a name="disconnect-xks-console"></a>

Vous pouvez utiliser la AWS KMS console pour connecter un magasin de clés externe à son proxy de magasin de clés externe. Ce processus prend environ cinq minutes. 

1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

1. Dans le panneau de navigation, sélectionnez **Custom key stores** (Magasins de clés personnalisés), **External key stores** (Magasins de clés externes).

1. Choisissez la ligne du magasin de clés externe que vous souhaitez déconnecter. 

1. Dans le menu **Key store actions** (Actions de magasin de clés), choisissez **Disconnect** (Déconnecter).

Une fois l'opération terminée, l'état de la connexion passe de **DISCONNECTING** à **DISCONNECTED**. Si l'opération échoue, un message d'erreur s'affiche qui décrit le problème et fournit une aide pour le résoudre. Si vous avez besoin d'aide supplémentaire, consultez [Erreurs de connexion au magasin de clés externe](xks-troubleshooting.md#fix-xks-connection).

### Utilisation de l' AWS KMS API
<a name="disconnect-xks-api"></a>

Pour déconnecter un magasin de clés externe connecté, utilisez l'[DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)opération. Si l'opération aboutit, AWS KMS renvoie une réponse HTTP 200 et un objet JSON sans propriétés. Le processus prend environ cinq minutes. Pour connaître l'état de connexion du magasin de clés externe, utilisez l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération.

Les exemples de cette section utilisent la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge. 

Cet exemple déconnecte un magasin de clés externe doté d'une connectivité au service de point de terminaison d'un VPC. Avant d'exécuter cet exemple, remplacez l'exemple d'ID de magasin de clés personnalisé par un ID valide.

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Pour vérifier que le magasin de clés externe est déconnecté, utilisez l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Toutefois, vous pouvez utiliser le paramètre `CustomKeyStoreName` ou `CustomKeyStoreId` (mais pas les deux) pour limiter la réponse à des magasins de clés personnalisés en particulier. La valeur de `ConnectionState` égale à `DISCONNECTED` indique que cet exemple de magasin de clés externe n'est plus connecté à son proxy de magasin de clés externe.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```

# Supprimer un magasin de clés externe
<a name="delete-xks"></a>

Lorsque vous supprimez un magasin de clés externe, toutes AWS KMS les métadonnées le concernant sont supprimées AWS KMS, y compris les informations relatives à son proxy de magasin de clés externe. Cette opération n'affecte pas le [proxy de stockage de clés externe](keystore-external.md#concept-xks-proxy), le [gestionnaire de clés externe](keystore-external.md#concept-ekm), [les clés externes](keystore-external.md#concept-external-key), ni les AWS ressources que vous avez créées pour prendre en charge le magasin de clés externe, comme un Amazon VPC ou un service de point de terminaison VPC.

Avant de supprimer un magasin de clés externe, vous devez [supprimer toutes les clés KMS](deleting-keys.md) du magasin de clés et [déconnecter le magasin de clés](xks-connect-disconnect.md) de son proxy de magasin de clés externe. Dans le cas contraire, les tentatives de suppression du magasin de clés échouent.

La suppression d'un magasin de clés externe est irréversible, mais vous pouvez créer un autre magasin de clés externe et l'associer au même proxy de magasin de clés externe et au même gestionnaire de clés externe. Toutefois, vous ne pouvez pas recréer les clés KMS de chiffrement symétriques dans le magasin de clés externe, même si vous avez accès au même contenu de clé externe. AWS KMS inclut des métadonnées dans le texte chiffré symétrique propre à chaque clé KMS. Cette fonctionnalité de sécurité garantit que seule la clé KMS qui a chiffré des données peut les déchiffrer. 

Au lieu de supprimer le magasin de clés externe, pensez à le déconnecter. Lorsqu'un magasin de clés externe est déconnecté, vous pouvez gérer le magasin de clés externe et le sien, AWS KMS keys mais vous ne pouvez pas créer ou utiliser de clés KMS dans le magasin de clés externe. Vous pouvez reconnecter le magasin de clés externe à tout moment et recommencer à utiliser ses clés KMS pour chiffrer et déchiffrer des données. Aucuns frais ne s'appliquent à un proxy de magasin de clés externe déconnecté ou lorsque ses clés KMS sont indisponibles.

Vous pouvez supprimer votre magasin de clés externe dans la AWS KMS console ou en utilisant cette [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)opération.

## Utilisation de la AWS KMS console
<a name="delete-xks-console"></a>

Vous pouvez utiliser la AWS KMS console pour supprimer un magasin de clés externe.

1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

1. Dans le panneau de navigation, sélectionnez **Custom key stores** (Magasins de clés personnalisés), **External key stores** (Magasins de clés externes).

1. Recherchez la ligne qui représente le magasin de clés externe que vous souhaitez supprimer. Si **Connection state** (État de connexion) du magasin de clés externe n'est pas **DISCONNECTED** (DÉCONNECTÉ), vous devez [déconnecter le magasin de clés externe](about-xks-disconnecting.md#disconnect-xks-console) avant de le supprimer.

1. Dans le menu **Key store actions** (Actions de magasin de clés), choisissez **Delete** (Supprimer).

Une fois l'opération terminée, un message de réussite s'affiche et le magasin de clés externe n'apparaît plus dans la liste des magasins de clés. Si l'opération échoue, un message d'erreur s'affiche qui décrit le problème et fournit une aide pour le résoudre. Si vous avez besoin d'aide supplémentaire, consultez [Résoudre les problèmes liés aux magasins de clés externes](xks-troubleshooting.md).

## Utilisation de l' AWS KMS API
<a name="delete-xks-api"></a>

Pour supprimer un magasin de clés externe, utilisez l'[DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)opération. Si l'opération aboutit, AWS KMS renvoie une réponse HTTP 200 et un objet JSON sans propriétés.

Pour commencer, déconnectez le magasin de clés externe. Avant d’exécuter la commande, remplacez l’exemple d’ID de magasin de clés personnalisé par un ID valide.

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Une fois le magasin de clés externe déconnecté, vous pouvez utiliser [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)cette opération pour le supprimer. 

```
$ aws kms delete-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Pour confirmer que le magasin de clés externe est supprimé, utilisez l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération.

```
$ aws kms describe-custom-key-stores
            
{
    "CustomKeyStores": []
}
```

Si vous spécifiez un nom ou un identifiant de banque de clés personnalisé qui n'existe plus, AWS KMS renvoie une `CustomKeyStoreNotFoundException` exception.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0

An error occurred (CustomKeyStoreNotFoundException) when calling the DescribeCustomKeyStore operation:
```

# Résoudre les problèmes liés aux magasins de clés externes
<a name="xks-troubleshooting"></a>

La résolution de la plupart des problèmes liés aux banques de clés externes est indiquée par le message d'erreur qui AWS KMS s'affiche à chaque exception ou par le [code d'erreur de connexion](#fix-xks-connection) qui s' AWS KMS affiche lorsqu'une tentative de [connexion de la banque de clés externe](xks-connect-disconnect.md) à son proxy de banque de clés externe échoue. Toutefois, certains problèmes sont un peu plus complexes. 

Lorsque vous diagnostiquez un problème lié à un magasin de clés externe, commencez par en rechercher la cause. Cela réduira le champ des possibles et rendra votre dépannage plus efficace.
+ AWS KMS — Le problème peut être interne AWS KMS, par exemple une valeur incorrecte dans la [configuration de votre magasin de clés externe](create-xks-keystore.md#xks-requirements).
+ Externe : le problème peut provenir de l'extérieur AWS KMS, notamment des problèmes liés à la configuration ou au fonctionnement du proxy de stockage de clés externe, du gestionnaire de clés externe, des clés externes ou du service de point de terminaison VPC.
+ Mise en réseau : il peut s'agir d'un problème de connectivité ou de mise en réseau, tel qu'un problème lié à votre point de terminaison proxy, à votre port, à votre pile d'adresses IP ou à votre nom ou domaine DNS privé.

**Note**  
Lorsque les opérations de gestion sur des magasins de clés externes échouent, elles génèrent plusieurs exceptions différentes. Mais les opérations AWS KMS cryptographiques sont `KMSInvalidStateException` récurrentes pour toutes les défaillances liées à la configuration externe ou à l'état de connexion du magasin de clés externe. Pour identifier le problème, utilisez le texte du message d'erreur qui l'accompagne.  
L'[ConnectCustomKeyStore](xks-connect-disconnect.md)opération réussit rapidement avant que le processus de connexion ne soit terminé. Pour déterminer si le processus de connexion est réussi, consultez l'[état de connexion](xks-connect-disconnect.md#xks-connection-state) du magasin de clés externe. Si le processus de connexion échoue, AWS KMS renvoie un [code d'erreur de connexion](#xks-connection-error-codes) qui explique la cause et suggère une solution.

**Topics**
+ [Outils de dépannage pour les magasins de clés externes](#xks-troubleshooting-tools)
+ [Erreurs de configuration](#fix-xks-configuration)
+ [Erreurs de connexion au magasin de clés externe](#fix-xks-connection)
+ [Erreurs de latence et de délai d'expiration](#fix-xks-latency)
+ [Erreurs liées aux informations d'identification pour l'authentification](#fix-xks-credentials)
+ [Erreurs d'état des clés](#fix-unavailable-xks-keys)
+ [Erreurs de déchiffrement](#fix-xks-decrypt)
+ [Erreurs liées aux clés externes](#fix-external-key)
+ [Problèmes liés aux proxys](#fix-xks-proxy)
+ [Problèmes d'autorisation du proxy](#fix-xks-authorization)

## Outils de dépannage pour les magasins de clés externes
<a name="xks-troubleshooting-tools"></a>

AWS KMS fournit plusieurs outils pour vous aider à identifier et à résoudre les problèmes liés à votre magasin de clés externe et à ses clés. Utilisez ces outils conjointement avec les outils fournis avec votre proxy de magasin de clés externe et votre gestionnaire de clés externe.

**Note**  
Votre proxy de magasin de clés externe et votre gestionnaire de clés externe peuvent fournir des méthodes plus simples pour créer et gérer votre magasin de clés externe et ses clés KMS. Pour plus de détails, veuillez consulter la documentation de vos outils externes. 

**AWS KMS exceptions et messages d'erreur**  
AWS KMS fournit un message d'erreur détaillé concernant tout problème rencontré. Vous trouverez des informations supplémentaires sur les AWS KMS exceptions dans le manuel de [https://docs.aws.amazon.com/kms/latest/APIReference/](https://docs.aws.amazon.com/kms/latest/APIReference/) et AWS SDKs. Même si vous utilisez la AWS KMS console, ces références peuvent vous être utiles. Par exemple, veuillez consulter la liste des [erreurs](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html#API_CreateCustomKeyStore_Errors) correspondant à l'opération `CreateCustomKeyStores`.  
Pour optimiser les performances de votre proxy de stockage de clés externe, AWS KMS renvoie les exceptions en fonction de la fiabilité de votre proxy au cours d'une période d'agrégation donnée de 5 minutes. En cas d'erreur interne du serveur 500, d'indisponibilité du service 503 ou d'expiration du délai de connexion, un proxy hautement fiable revient `KMSInternalException` et déclenche une nouvelle tentative automatique pour s'assurer que les demandes aboutissent finalement. Cependant, un proxy peu fiable donne des résultats`KMSInvalidStateException`. Pour plus d'informations, consultez la section [Surveillance d'un magasin de clés externe](https://docs.aws.amazon.com/kms/latest/developerguide/xks-monitoring.html).   
Si le problème apparaît dans un autre AWS service, par exemple lorsque vous utilisez une clé KMS dans votre banque de clés externe pour protéger une ressource d'un autre AWS service, le AWS service peut fournir des informations supplémentaires pour vous aider à identifier le problème. Si le AWS service ne fournit pas le message, vous pouvez consulter le message d'erreur dans les [CloudTrail journaux](logging-using-cloudtrail.md) qui enregistrent l'utilisation de votre clé KMS.

**[CloudTrail journaux](logging-using-cloudtrail.md)**  
Chaque opération AWS KMS d'API, y compris les actions dans la AWS KMS console, est enregistrée dans AWS CloudTrail des journaux. AWS KMS enregistre une entrée dans le journal des opérations réussies et échouées. Pour les opérations ayant échoué, l'entrée du journal inclut le nom de l'exception AWS KMS (`errorCode`) et le message d'erreur (`errorMessage`). Vous pouvez utiliser ces informations pour vous aider à identifier et résoudre l'erreur. Pour obtenir un exemple, consultez [Échec lors du déchiffrement avec une clé KMS dans un magasin de clés externe](ct-decrypt.md#ct-decrypt-xks-fail).  
L'entrée du journal inclut également l'ID de requête. Si la requête a atteint le proxy de votre magasin de clés externe, vous pouvez utiliser l'ID de requête indiqué dans l'entrée du journal pour rechercher la requête correspondante dans vos journaux de proxy, si votre proxy les fournit.

**[CloudWatch métriques](monitoring-cloudwatch.md#kms-metrics)**  
AWS KMS enregistre des CloudWatch statistiques Amazon détaillées concernant le fonctionnement et les performances de votre magasin de clés externe, notamment la latence, les limitations, les erreurs de proxy, le statut du gestionnaire de clés externe, le nombre de jours avant l'expiration de votre certificat TLS et l'âge indiqué de vos informations d'authentification de proxy. Vous pouvez utiliser ces mesures pour développer des modèles de données pour le fonctionnement de votre banque de clés externe et des CloudWatch alarmes qui vous alertent des problèmes imminents avant qu'ils ne surviennent.   
AWS KMS vous recommande de créer des CloudWatch alarmes pour surveiller les métriques du magasin de clés externe. Ces alertes vous signaleront les signes précurseurs de problèmes avant qu'ils ne se produisent.

**[Graphiques de surveillance](xks-monitoring.md)**  
AWS KMS affiche des graphiques des CloudWatch statistiques du magasin de clés externe sur la page détaillée de chaque magasin de clés externe de la AWS KMS console. Vous pouvez utiliser les données des graphiques pour localiser la source des erreurs, détecter les problèmes imminents, établir des bases de référence et affiner vos seuils CloudWatch d'alarme. Pour plus de détails sur l'interprétation des graphiques de surveillance et l'utilisation de leurs données, veuillez consulter la rubrique [Surveillez les magasins de clés externes](xks-monitoring.md).

**Affichages des magasins de clés externes et des clés KMS**  
AWS KMS affiche des informations détaillées sur vos magasins de clés externes et les clés KMS dans le magasin de clés externe de la AWS KMS console, ainsi que dans la réponse aux [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)opérations [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)et. Ces affichages incluent des champs spéciaux pour les magasins de clés externes et les clés KMS contenant des informations que vous pouvez utiliser pour le dépannage, telles que [l'état de connexion](xks-connect-disconnect.md#xks-connection-state) du magasin de clés externe et l'ID de la clé externe associée à la clé KMS. Pour en savoir plus, consultez [Afficher les magasins de clés externes](view-xks-keystore.md).

**[Client de test du proxy XKS](https://github.com/aws-samples/aws-kms-xksproxy-test-client) (langue française non garantie)**  
AWS KMS fournit un client de test open source qui vérifie que votre proxy de stockage de clés externe est conforme à la spécification de l'[API de proxy de stockage de clés AWS KMS externe](https://github.com/aws/aws-kms-xksproxy-api-spec/). Vous pouvez utiliser ce client de test pour identifier et résoudre les problèmes liés au proxy de votre magasin de clés externe.

## Erreurs de configuration
<a name="fix-xks-configuration"></a>

Lorsque vous créez un magasin de clés externe, vous spécifiez les valeurs des propriétés qui constituent la *configuration* de votre magasin de clés externe, telles que les [informations d'identification pour l'authentification du proxy](create-xks-keystore.md#require-credential), le [point de terminaison d'URI de proxy](create-xks-keystore.md#require-endpoint), le [chemin d'URI de proxy](create-xks-keystore.md#require-path) et le [nom du service de point de terminaison d'un VPC](create-xks-keystore.md#require-vpc-service-name). Lorsqu'une erreur est AWS KMS détectée dans la valeur d'une propriété, l'opération échoue et renvoie une erreur indiquant la valeur défectueuse. 

De nombreux problèmes de configuration peuvent être résolus en corrigeant la valeur incorrecte. Vous pouvez corriger un chemin d'URI de proxy ou des informations d'identification pour l'authentification de proxy non valide sans déconnecter le magasin de clés externe. Pour les définitions de ces valeurs, y compris les exigences d'unicité, veuillez consulter la rubrique [Rassembler les conditions requises](create-xks-keystore.md#xks-requirements). Pour obtenir des instructions sur la mise à jour de ces valeurs, veuillez consulter la rubrique [Modifier les propriétés du magasin de clés externe](update-xks-keystore.md).

Pour éviter les erreurs liées au chemin de l'URI de votre proxy et aux valeurs des informations d'identification pour l'authentification du proxy, lorsque vous créez ou mettez à jour votre magasin de clés externe, chargez un [fichier de configuration du proxy](create-xks-keystore.md#proxy-configuration-file) sur la console AWS KMS . Il s'agit d'un fichier JSON, contenant le chemin d'URI de proxy et les valeurs d'informations d'identification pour l'authentification du proxy, fourni par le proxy de votre magasin de clés externe ou votre gestionnaire de clés externe. Vous ne pouvez pas utiliser un fichier de configuration de proxy avec des opérations d' AWS KMS API, mais vous pouvez utiliser les valeurs du fichier pour fournir des valeurs de paramètres pour vos demandes d'API qui correspondent aux valeurs de votre proxy.

### Erreurs de configuration générale
<a name="fix-xks-gen-configuration"></a>

**Exceptions** : `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (opérations cryptographiques), `XksProxyInvalidConfigurationException` (opérations de gestion, à l'exception de `CreateKey`)

[**Codes d'erreur de connexion**](#xks-connection-error-codes) : `XKS_PROXY_INVALID_CONFIGURATION`, `XKS_PROXY_INVALID_TLS_CONFIGURATION`

Pour les magasins de clés externes connectés à un point de [terminaison public](choose-xks-connectivity.md#xks-connectivity-public-endpoint), AWS KMS testez les valeurs des propriétés lorsque vous créez et mettez à jour le magasin de clés externe. Pour les magasins de clés externes dotés d'une [connectivité au service de point de terminaison d'un VPC](choose-xks-connectivity.md#xks-vpc-connectivity), AWS KMS teste les valeurs des propriétés lorsque vous connectez et mettez à jour le magasin de clés externe. 

**Note**  
L'opération `ConnectCustomKeyStore`, qui est asynchrone, peut réussir même si la tentative de connexion du magasin de clés externe à son proxy de magasin de clés externe échoue. Dans ce cas, il n'y a pas d'exception, mais l'état de connexion du magasin de clés externe est Échec et un code d'erreur de connexion explique le message d'erreur. Pour de plus amples informations, veuillez consulter [Erreurs de connexion au magasin de clés externe](#fix-xks-connection).

Si une erreur est AWS KMS détectée dans la valeur d'une propriété, l'opération échoue et renvoie `XksProxyInvalidConfigurationException` l'un des messages d'erreur suivants.


|  | 
| --- |
| Le proxy de magasin de clés externe a rejeté la requête en raison d'un chemin d'URI non valide. Vérifiez le chemin de l'URI de votre magasin de clés externe et mettez-le à jour si nécessaire. | 
+ Le [chemin de l'URI du proxy](create-xks-keystore.md#require-path) est le chemin de base pour les AWS KMS demandes adressées au proxy APIs. Si ce chemin est incorrect, toutes les requêtes adressées au proxy échouent. Pour [afficher le chemin actuel de l'URI de proxy](view-xks-keystore.md) pour votre magasin de clés externe, utilisez la console AWS KMS ou l'opération `DescribeCustomKeyStores`. Pour trouver le chemin d'URI de proxy correct, veuillez consulter la documentation relative au proxy de votre magasin de clés externe. Pour obtenir de l'aide pour corriger la valeur du chemin d'URI de votre proxy, veuillez consulter la rubrique [Modifier les propriétés du magasin de clés externe](update-xks-keystore.md).
+ Le chemin d'URI de proxy pour le proxy de votre magasin de clés externe peut changer en fonction des mises à jour apportées à votre proxy de magasin de clés externe ou à votre gestionnaire de clés externe. Pour plus d'informations sur ces modifications, veuillez consulter la documentation de votre proxy de magasin de clés externe ou de votre gestionnaire de clés externe.


|  | 
| --- |
| `XKS_PROXY_INVALID_TLS_CONFIGURATION`AWS KMS ne peut pas établir de connexion TLS avec le proxy de magasin de clés externe. Vérifiez la configuration TLS, y compris son certificat. | 
+ Tous les proxys de magasin de clés externe nécessitent un certificat TLS. Le certificat TLS doit être émis par une autorité de certification publique (CA) prise en charge pour les magasins de clés externes. Pour la liste des autorités de certification prises en charge CAs, consultez la section [Autorités de certification fiables](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities) dans la spécification de l'API proxy de stockage de clés AWS KMS externe.
+ Pour la connectivité au point de terminaison public, le nom commun (CN) du sujet figurant sur le certificat TLS doit correspondre au nom de domaine indiqué dans le [point de terminaison d'URI de proxy](create-xks-keystore.md#require-endpoint) pour le proxy de magasin de clés externe. Par exemple, si le point de terminaison public est https://myproxy.xks.example.com, le TLS, le CN du certificat TLS doit être `myproxy.xks.example.com` ou `*.xks.example.com`.
+ Pour la connectivité au service de point de terminaison d'un VPC, le nom commun (CN) du sujet figurant sur le certificat TLS doit correspondre au nom DNS privé de votre [service de point de terminaison d'un VPC](create-xks-keystore.md#require-vpc-service-name). Par exemple, si le nom DNS privé est myproxy-private.xks.example.com, le CN du certificat TLS doit être `myproxy-private.xks.example.com` ou `*.xks.example.com`.
+ Le certificat TLS ne peut pas avoir expiré. Pour obtenir la date d'expiration d'un certificat TLS, utilisez des outils SSL tels qu'[OpenSSL](https://www.openssl.org/). Pour surveiller la date d'expiration d'un certificat TLS associé à un magasin de clés externe, utilisez la [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire) CloudWatch métrique. Le nombre de jours avant la date d'expiration de votre certification TLS apparaît également dans la [section **Surveillance**](xks-monitoring.md) de la AWS KMS console. 
+ Si vous utilisez une [connectivité au point de terminaison public](choose-xks-connectivity.md#xks-connectivity-public-endpoint), utilisez des outils de test SSL pour tester votre configuration SSL. Les erreurs de connexion TLS peuvent résulter d'un chaînage de certificats incorrect. 

### Erreurs de configuration de la connectivité au service de point de terminaison d'un VPC
<a name="fix-xks-vpc-configuration"></a>

**Exceptions** : `XksProxyVpcEndpointServiceNotFoundException`, `XksProxyVpcEndpointServiceInvalidConfigurationException`

Outre les problèmes de connectivité généraux, vous pouvez rencontrer les problèmes suivants lors de la création, de la connexion ou de la mise à jour d'un magasin de clés externe doté d'une connectivité au service de point de terminaison VPC. AWS KMS teste les valeurs des propriétés d'un magasin de clés externe avec connectivité au service de point de terminaison VPC lors de la [création](create-xks-keystore.md), de la [connexion](xks-connect-disconnect.md) et de la [mise à jour](update-xks-keystore.md) du magasin de clés externe. Lorsque les opérations de gestion échouent en raison d'erreurs de configuration, elles génèrent les exceptions suivantes :


|  | 
| --- |
| XksProxyVpcEndpointServiceNotFoundException | 

Ce problème peut être dû à l'une des raisons suivantes :
+ Nom de service de point de terminaison d'un VPC incorrect. Vérifiez que le nom du service de point de terminaison d'un VPC pour le magasin de clés externe est correct et qu'il correspond à la valeur de point de terminaison d'URI de proxy pour le magasin de clés externe. Pour trouver le nom du service de point de terminaison VPC, utilisez la [console Amazon VPC ou](https://console.aws.amazon.com/vpc) l'opération. [DescribeVpcEndpointServices](https://docs.aws.amazon.com/AmazonVPC/latest/APIReference/DescribeVpcEndpointServices.html) Pour trouver le nom du service de point de terminaison VPC et le point de terminaison URI du proxy d'un magasin de clés externe existant, utilisez la AWS KMS console ou l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération. Pour en savoir plus, consultez [Afficher les magasins de clés externes](view-xks-keystore.md).
+ Le service de point de terminaison VPC peut se trouver dans un magasin de clés différent Région AWS de celui du magasin de clés externe. Vérifiez que le service de point de terminaison d'un VPC et le magasin de clés externe se trouvent dans la même région. (Le nom externe du nom de région, tel que, fait partie du nom du service de point de terminaison VPC`us-east-1`, tel que com.amazonaws.vpce.us-east-1. vpce-svc-example.) Pour obtenir la liste des exigences relatives au service de point de terminaison d'un VPC pour un magasin de clés externe, veuillez consulter la rubrique [Service de point de terminaison d’un VPC](create-xks-keystore.md#require-vpc-service-name). Vous ne pouvez pas déplacer un service de point de terminaison d'un VPC ou un magasin de clés externe vers une autre région. Vous pouvez toutefois créer un magasin de clés externe dans la même région que le service de point de terminaison d'un VPC. Pour plus d’informations, consultez [Configurer la connectivité du service de point de terminaison VPC](vpc-connectivity.md) et [Création d'un magasin de clés externe](create-xks-keystore.md).
+ AWS KMS n'est pas un principal autorisé pour le service de point de terminaison VPC. La liste **Allow principals** (Principaux autorisés) pour le service de point de terminaison d'un VPC doit inclure la valeur `cks.kms.<region>.amazonaws.com`, telle que `cks.kms.eu-west-3.amazonaws.com`. Pour obtenir des instructions sur l'ajout de cette valeur, veuillez consulter la rubrique [Manage permissions](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) (Gérer les autorisations) dans le *Guide AWS PrivateLink *.


|  | 
| --- |
| XksProxyVpcEndpointServiceInvalidConfigurationException | 

Cette erreur se produit lorsque le service de point de terminaison d'un VPC ne répond pas à l'une des exigences suivantes :
+ Le VPC nécessite au moins deux sous-réseaux privés, chacun dans une zone de disponibilité différente. Pour en savoir plus sur l'ajout d'un sous-réseau à votre VPC, veuillez consulter la rubrique [Créer un sous-réseau dans votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-subnets.html#create-subnets) dans le *Guide de l'utilisateur Amazon VPC*.
+ Votre [type de service de point de terminaison d'un VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html) doit utiliser un équilibreur de charge réseau, et pas un équilibreur de charge de passerelle.
+ L'acceptation ne doit pas être requise pour le service de point de terminaison d'un VPC (**Acceptance required** [Acceptation requise] ne doit pas être sélectionné). Si l'acceptation manuelle de chaque demande de connexion est requise, vous AWS KMS ne pouvez pas utiliser le service de point de terminaison VPC pour vous connecter au proxy de banque de clés externe. Pour plus de détails, veuillez consulter la rubrique [Accept or reject connection requests](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#accept-reject-connection-requests) (Accepter ou rejeter les requêtes de connexion) dans le *Guide AWS PrivateLink *.
+ Le service de point de terminaison d'un VPC doit avoir un nom DNS privé qui est un sous-domaine d'un domaine public. Par exemple, si le nom DNS privé est `https://myproxy-private.xks.example.com`, les domaines `xks.example.com` ou `example.com` doivent disposer d'un serveur DNS public. Pour afficher ou modifier le nom DNS privé de votre service de point de terminaison d'un VPC, veuillez consulter la rubrique [Manage DNS names for VPC endpoint services](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html) (Gérer les noms DNS pour les services de point de terminaison d'un VPC) dans le *Guide AWS PrivateLink *.
+ Le **Domain verification status** (Statut de vérification du domaine) du domaine de votre nom DNS privé doit être `verified`. Pour afficher et mettre à jour le statut de vérification du domaine de nom DNS privé, veuillez consulter la rubrique [Étape 5 : Vérifiez votre nom de domaine DNS privé](vpc-connectivity.md#xks-private-dns). Il peut s'écouler quelques minutes avant que le statut de vérification mis à jour n'apparaisse après que vous ayez ajouté l'enregistrement de texte requis. 
**Note**  
Un domaine DNS privé ne peut être vérifié que s'il s'agit du sous-domaine d'un domaine public. Sinon, le statut de vérification du domaine DNS privé ne change pas, même après avoir ajouté l'enregistrement TXT requis. 
+ Assurez-vous que tous les pare-feux situés entre le proxy de stockage de clés externe AWS KMS et le proxy autorisent le trafic à destination et en provenance du port 443 du proxy. AWS KMS communique sur le port 443 IPv4. Cette valeur n’est pas configurable.
+ Le nom DNS privé du service de point de terminaison d'un VPC doit correspondre à la valeur de [point de terminaison d'URI de proxy](create-xks-keystore.md#require-endpoint) pour le magasin de clés externe. Pour un magasin de clés externe doté d'une connectivité au service de point de terminaison d'un VPC, le point de terminaison d'URI de proxy doit être `https://` suivi du nom DNS privé du service de point de terminaison d'un VPC. Pour consulter la valeur du point de terminaison d'URI de proxy, veuillez consulter la rubrique [Afficher les magasins de clés externes](view-xks-keystore.md). Pour modifier la valeur du point de terminaison d'URI de proxy, veuillez consulter la rubrique [Modifier les propriétés du magasin de clés externe](update-xks-keystore.md).

## Erreurs de connexion au magasin de clés externe
<a name="fix-xks-connection"></a>

Le [processus de connexion d'un magasin de clés externe](about-xks-connecting.md) à son proxy de magasin de clés externe prend environ cinq minutes. Sauf si elle échoue rapidement, l'opération `ConnectCustomKeyStore` renvoie une réponse HTTP 200 et un objet JSON sans propriétés. Cependant, cette réponse initiale n'indique pas que la connexion a abouti. Pour déterminer l'état de connexion du magasin de clés externe, référez-vous à son [état de connexion](xks-connect-disconnect.md#xks-connection-state). Si la connexion échoue, l'état de connexion de la banque de clés externe AWS KMS devient `FAILED` et renvoie un [code d'erreur de connexion](#xks-connection-error-codes) expliquant la cause de l'échec.

**Note**  
Si l'état de connexion d'un magasin de clés personnalisé est `FAILED`, vous devez déconnecter le magasin de clés personnalisé avant de le reconnecter. Vous ne pouvez pas connecter un magasin de clés personnalisé avec un statut de connexion `FAILED`.

Pour consulter l'état de connexion d'un magasin de clés externe :
+ Dans la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)réponse, visualisez la valeur de l'`ConnectionState`élément.
+ Dans la AWS KMS console, l'**état de connexion** apparaît dans le tableau du magasin de clés externe. De plus, sur la page détaillée de chaque magasin de clés externe, **Connection state** (État de la connexion) apparaît dans la section **General configuration** (Configuration générale).

Lorsque l'état de connexion est `FAILED`, le code d'erreur de connexion permet d'expliquer l'erreur. 

Pour consulter le code d'erreur de connexion, procédez comme suit :
+ Dans la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)réponse, visualisez la valeur de l'`ConnectionErrorCode`élément. Cet élément apparaît dans la réponse de `DescribeCustomKeyStores` uniquement lorsque le `ConnectionState` est `FAILED`.
+ Pour afficher le code d'erreur de connexion dans la AWS KMS console, sur la page détaillée du magasin de clés externe, passez le curseur sur la valeur **Échec**.  
![\[Code d'erreur de connexion sur la page de détails du magasin de clés personnalisé\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/connection-error-code.png)

### Codes d'erreur de connexion pour les magasins de clés externes
<a name="xks-connection-error-codes"></a>

Les codes d'erreur de connexion suivants s'appliquent aux magasins de clés externes.

`INTERNAL_ERROR`  
AWS KMS Impossible de terminer la demande en raison d'une erreur interne. Réitérez la demande. Pour les demandes `ConnectCustomKeyStore`, déconnectez le magasin de clés personnalisé avant de tenter de vous connecter à nouveau.

`INVALID_CREDENTIALS`  
L'une ou les deux valeurs de `XksProxyAuthenticationCredential` ne sont pas valides sur le proxy de magasin de clés externe spécifié.

`NETWORK_ERRORS`  
Des erreurs réseau AWS KMS empêchent de connecter le magasin de clés personnalisé à son magasin de clés secondaire.

`XKS_PROXY_ACCESS_DENIED`  
AWS KMS les demandes se voient refuser l'accès au proxy de stockage de clés externe. Si le proxy de magasin de clés externe possède des règles d'autorisation, vérifiez qu'elles autorisent AWS KMS à communiquer avec le proxy en votre nom.

`XKS_PROXY_INVALID_CONFIGURATION`  
Une erreur de configuration empêche le magasin de clés externe de se connecter à son proxy. Vérifiez la valeur du `XksProxyUriPath`.

`XKS_PROXY_INVALID_RESPONSE`  
AWS KMS Impossible d'interpréter la réponse du proxy de stockage de clés externe. Si ce code d'erreur de connexion s'affiche à plusieurs reprises, informez-en le fournisseur du proxy de votre magasin de clés externe.

`XKS_PROXY_INVALID_TLS_CONFIGURATION`  
AWS KMS Impossible de se connecter au proxy de banque de clés externe car la configuration TLS n'est pas valide. Vérifiez que le proxy de magasin de clés externe prend en charge le protocole TLS 1.2 ou 1.3. Vérifiez également que le certificat TLS n'a pas expiré, qu'il correspond au nom d'hôte indiqué dans la valeur de `XksProxyUriEndpoint` et qu'il est signé par une autorité de certification approuvée figurant dans la liste des [Autorités de certification approuvées](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities) (langue française non garantie).

`XKS_PROXY_NOT_REACHABLE`  
AWS KMS ne peut pas communiquer avec votre proxy de stockage de clés externe. Vérifiez que les `XksProxyUriEndpoint` et `XksProxyUriPath` sont corrects. Utilisez les outils de votre proxy de magasin de clés externe pour vérifier que le proxy est actif et disponible sur son réseau. Vérifiez également que vos instances de gestionnaire de clés externe fonctionnent correctement. Les tentatives de connexion échouent avec ce code d'erreur de connexion si le proxy indique qu'aucune instance du gestionnaire de clés externe n'est disponible.

`XKS_PROXY_TIMED_OUT`  
AWS KMS peut se connecter au proxy de stockage de clés externe, mais le proxy ne répond pas AWS KMS dans le délai imparti. Si ce code d'erreur de connexion s'affiche à plusieurs reprises, informez-en le fournisseur du proxy de votre magasin de clés externe.

`XKS_VPC_ENDPOINT_SERVICE_INVALID_CONFIGURATION`  
La configuration du service de point de terminaison Amazon VPC n'est pas conforme aux exigences d'un magasin de clés AWS KMS externe.  
+ Le service de point de terminaison d'un VPC doit être un service de point de terminaison pour les points de terminaison d'interface dans l' Compte AWS de l'appelant.
+ Il doit comporter un équilibreur de charge réseau (NLB) connecté à au moins deux sous-réseaux, dans deux zones de disponibilités distinctes.
+ La `Allow principals` liste doit inclure le principal de AWS KMS service de la région`cks.kms.<region>.amazonaws.com`, tel que`cks.kms.us-east-1.amazonaws.com`.
+ L'[acceptation](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html) des requêtes de connexion *ne doit pas* être requise.
+ Il doit avoir un nom DNS privé. Le nom DNS privé d'un magasin de clés externe avec une connectivité `VPC_ENDPOINT_SERVICE` doit être unique dans sa Région AWS.
+ La valeur de [statut de vérification](https://docs.aws.amazon.com/vpc/latest/privatelink/verify-domains.html) du domaine du nom DNS privé doit être `verified`.
+ Le [certificat TLS](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-tls-listener.html) spécifie le nom d'hôte DNS privé auquel le point de terminaison est accessible.

`XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND`  
AWS KMS ne trouve pas le service de point de terminaison VPC qu'il utilise pour communiquer avec le proxy de banque de clés externe. Vérifiez que le `XksProxyVpcEndpointServiceName` est correct et que le principal du service AWS KMS dispose des autorisations de consommateur de service sur le service de point de terminaison d'un Amazon VPC.

## Erreurs de latence et de délai d'expiration
<a name="fix-xks-latency"></a>

**Exceptions** : `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (opérations cryptographiques), `XksProxyUriUnreachableException` (opérations de gestion)

[**Codes d'erreur de connexion**](#xks-connection-error-codes) : `XKS_PROXY_NOT_REACHABLE`, `XKS_PROXY_TIMED_OUT`

Lorsque vous AWS KMS ne parvenez pas à contacter le proxy dans le délai d'expiration de 250 millisecondes, il renvoie une exception. `CreateCustomKeyStore`et `UpdateCustomKeyStore` revenez`XksProxyUriUnreachableException`. Les opérations cryptographiques renvoient la norme `KMSInvalidStateException` avec un message d'erreur décrivant le problème. En cas d'`ConnectCustomKeyStore`échec, AWS KMS renvoie un [code d'erreur de connexion](#fix-xks-connection) décrivant le problème. 

Les erreurs de délai d'expiration peuvent être des problèmes transitoires pouvant être résolus en réitérant la requête. Si le problème persiste, vérifiez que le proxy de votre magasin de clés externe est actif et connecté au réseau, et que le point de terminaison d'URI de proxy, le chemin d'URI de proxy et le nom du service de point de terminaison d'un VPC (le cas échéant) sont corrects dans votre magasin de clés externe. Vérifiez également que votre gestionnaire de clés externe est proche de celui Région AWS de votre magasin de clés externe. Si vous devez mettre à jour l'une de ces valeurs, veuillez consulter la rubrique [Modifier les propriétés du magasin de clés externe](update-xks-keystore.md).

Pour suivre les modèles de latence, utilisez la [`XksProxyLatency`](monitoring-cloudwatch.md#metric-xks-proxy-latency) CloudWatch métrique et le graphique de **latence moyenne** (basé sur cette métrique) dans la [section **Surveillance**](xks-monitoring.md) de la AWS KMS console. Votre proxy de magasin de clés externe peut également générer des journaux et des métriques permettant de suivre la latence et les délais d'expiration.


|  | 
| --- |
| `XksProxyUriUnreachableException`AWS KMS ne peut pas communiquer avec le proxy de stockage de clés externe. Il peut s'agir d'un problème réseau transitoire. Si cette erreur s'affiche à plusieurs reprises, vérifiez que le proxy de votre magasin de clés externe est actif et connecté au réseau, et que l'URI de son point de terminaison est correcte dans votre magasin de clés externe. | 
+ Le proxy de stockage de clés externe n'a pas répondu à une demande d'API AWS KMS proxy dans le délai de 250 millisecondes. Cela peut indiquer un problème réseau transitoire ou un problème de fonctionnement ou de performance avec le proxy. Si une nouvelle tentative ne résout pas le problème, prévenez l'administrateur de votre proxy de magasin de clés externe.

Les erreurs de latence et de délai d'expiration se manifestent souvent par des échecs de connexion. Lorsque l'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)opération échoue, l'*état de connexion* du magasin de clés externe AWS KMS devient `FAILED` et renvoie un *code d'erreur de connexion* expliquant l'erreur. Pour obtenir la liste des codes d'erreur de connexion et des suggestions pour les résoudre, veuillez consulter la rubrique [Codes d'erreur de connexion pour les magasins de clés externes](#xks-connection-error-codes). Les listes de codes de connexion pour **All custom key stores** (Tous les magasins de clés personnalisés) et les **External key stores** (Magasins de clés externes) s'appliquent aux magasins de clés externes. Les erreurs de connexion suivantes sont liées à la latence et aux délais d'expiration.


|  | 
| --- |
| `XKS_PROXY_NOT_REACHABLE`-ou-`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`, `XksProxyUriUnreachableException`AWS KMS ne peut pas communiquer avec le proxy de stockage de clés externe. Vérifiez que le proxy de votre magasin de clés externe est actif et connecté au réseau, et que son chemin d'URI et son URI de point de terminaison ou son nom de service VPC sont corrects dans votre magasin de clés externe. | 

Cette erreur peut se produire dans les conditions suivantes :
+ Le proxy de magasin de clés externe n'est pas actif et/ou n'est pas connecté au réseau.
+ Une erreur s'est produite dans les valeurs du [point de terminaison d'URI de proxy](create-xks-keystore.md#require-endpoint), du [chemin d'URI de proxy](create-xks-keystore.md#require-path) ou du [nom du service de point de terminaison d'un VPC](create-xks-keystore.md#require-vpc-service-name) (le cas échéant) dans la configuration du magasin de clés externe. Pour consulter la configuration du magasin de clés externe, utilisez l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération ou [consultez la page détaillée](view-xks-keystore.md) du magasin de clés externe dans la AWS KMS console.
+ Il se peut qu'une erreur de configuration réseau, telle qu'une erreur de port, se produise sur le chemin réseau entre le proxy de stockage de clés externe AWS KMS et le proxy de stockage de clés. AWS KMS communique avec le proxy de stockage de clés externe sur le port 443 IPv4. Cette valeur n’est pas configurable.
+ Lorsque le proxy de stockage de clés externe indique (dans une [GetHealthStatus](keystore-external.md#concept-proxy-apis)réponse) que toutes les instances du gestionnaire de clés externe le sont`UNAVAILABLE`, l'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)opération échoue avec un `ConnectionErrorCode` de`XKS_PROXY_NOT_REACHABLE`. Pour obtenir de l'aide, veuillez consulter la documentation de votre gestionnaire de clés externe.
+ Cette erreur peut être due à une longue distance physique entre le gestionnaire de clés externe et le Région AWS magasin de clés externe. La latence du ping (temps d'aller-retour du réseau (RTT)) entre le gestionnaire de clés Région AWS et le gestionnaire de clés externe ne doit pas dépasser 35 millisecondes. Vous devrez peut-être créer un magasin de clés externe dans un Région AWS magasin plus proche du gestionnaire de clés externe, ou déplacer le gestionnaire de clés externe vers un centre de données plus proche du Région AWS.


|  | 
| --- |
| `XKS_PROXY_TIMED_OUT`-ou-`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`, `XksProxyUriUnreachableException`AWS KMS a rejeté la requête, car le proxy de magasin de clés externe n'a pas répondu dans les temps. Réitérez la demande. Si cette erreur s'affiche à plusieurs reprises, signalez-la à l'administrateur de votre proxy de magasin de clés externe. | 

Cette erreur peut se produire dans les conditions suivantes :
+ Cette erreur peut résulter d'une longue distance physique entre le gestionnaire de clés externe et le proxy du magasin de clés externe. Si possible, rapprochez le proxy du magasin de clés externe du gestionnaire de clés externe.
+ Des erreurs de temporisation peuvent survenir lorsque le proxy n'est pas conçu pour gérer le volume et la fréquence des demandes provenant de AWS KMS. Si vos CloudWatch statistiques indiquent un problème persistant, informez-en l'administrateur proxy de votre magasin de clés externe.
+ Des erreurs de délai d'expiration peuvent survenir lorsque la connexion entre le gestionnaire de clés externe et l'Amazon VPC pour le magasin de clés externe ne fonctionne pas correctement. Si vous en utilisez AWS Direct Connect, vérifiez que votre VPC et votre gestionnaire de clés externe peuvent communiquer efficacement. Pour obtenir de l'aide pour résoudre les problèmes, consultez la section [Résolution des problèmes AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Troubleshooting.html) dans le guide de Direct Connect l'utilisateur. 


|  | 
| --- |
| `XKS_PROXY_TIMED_OUT`-ou-`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`, `XksProxyUriUnreachableException` Le proxy de magasin de clés externe n'a pas répondu à la requête dans le délai imparti. Réitérez la demande. Si cette erreur s'affiche à plusieurs reprises, signalez-la à l'administrateur de votre proxy de magasin de clés externe. | 
+ Cette erreur peut résulter d'une longue distance physique entre le gestionnaire de clés externe et le proxy du magasin de clés externe. Si possible, rapprochez le proxy du magasin de clés externe du gestionnaire de clés externe.

## Erreurs liées aux informations d'identification pour l'authentification
<a name="fix-xks-credentials"></a>

**Exceptions** : `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (opérations cryptographiques), `XksProxyIncorrectAuthenticationCredentialException` (opérations de gestion autres que `CreateKey`)

Vous établissez et maintenez un identifiant d'authentification pour AWS KMS votre proxy de magasin de clés externe. Vous indiquez ensuite AWS KMS les valeurs d'identification lorsque vous créez un magasin de clés externe. Pour modifier les informations d'identification pour l'authentification, effectuez la modification sur votre proxy de magasin de clés externe. Ensuite, [mettez à jour les informations d'identification](update-xks-keystore.md#xks-edit-name) de votre magasin de clés externe. Si votre proxy effectue une rotation des informations d'identification, vous devez [mettre à jour les informations d'identification](update-xks-keystore.md#xks-edit-name) de votre magasin de clés externe. 

Si le proxy de magasin de clés externe n'authentifie pas une requête signée avec les [informations d'identification pour l'authentification du proxy](keystore-external.md#concept-xks-credential) de votre magasin de clés externe, le résultat dépend de la requête :
+ `CreateCustomKeyStore` et `UpdateCustomKeyStore` échouent avec une exception `XksProxyIncorrectAuthenticationCredentialException`.
+ `ConnectCustomKeyStore` réussit, mais la connexion échoue. L'état de connexion est `FAILED` et le code d'erreur de connexion est `INVALID_CREDENTIALS`. Pour en savoir plus, consultez [Erreurs de connexion au magasin de clés externe](#fix-xks-connection).
+ Les opérations cryptographiques renvoient toutes `KMSInvalidStateException` les erreurs de configuration externes et les erreurs d'état de connexion dans un magasin de clés externe. Le message d'erreur qui l'accompagne décrit le problème.


|  | 
| --- |
| Le proxy de magasin de clés externe a rejeté la requête, car il n'a pas pu authentifier AWS KMS. Vérifiez les informations d'identification de votre magasin de clés externe et mettez-les à jour si nécessaire.  | 

Cette erreur peut se produire dans les conditions suivantes :
+ L'ID de clé d'accès ou la clé d'accès secrète du magasin de clés externe ne correspond pas aux valeurs établies sur le proxy de magasin de clés externe. 

  Pour corriger cette erreur, [mettez à jour les informations d'identification pour l'authentification du proxy](update-xks-keystore.md#xks-edit-name) de votre magasin de clés externe. Vous pouvez effectuer cette modification sans déconnecter votre magasin de clés externe.
+ Un proxy inverse entre le proxy de stockage de clés externe AWS KMS et le proxy externe peut manipuler les en-têtes HTTP d'une manière qui invalide les signatures SigV4. Pour corriger cette erreur, contactez l'administrateur de votre proxy.

## Erreurs d'état des clés
<a name="fix-unavailable-xks-keys"></a>

**Exceptions** : `KMSInvalidStateException`

`KMSInvalidStateException` est utilisée à deux fins distinctes pour les clés KMS dans les magasins de clés personnalisés. 
+ Lorsqu'une opération de gestion, telle que `CancelKeyDeletion`, échoue et renvoie cette exception, cela indique que l'[état de clé](key-state.md) de la clé KMS n'est pas compatible avec l'opération.
+ Lorsqu'une [opération cryptographique](kms-cryptography.md#cryptographic-operations) sur une clé KMS dans un magasin de clés personnalisé échoue avec l'exception `KMSInvalidStateException`, cela peut indiquer un problème lié à l'état de la clé KMS. Mais les opérations AWS KMS cryptographiques renvoient `KMSInvalidStateException` à toutes les erreurs de configuration externes et aux erreurs d'état de connexion dans un magasin de clés externe. Pour identifier le problème, utilisez le message d'erreur qui accompagne l'exception.

Pour trouver l'état clé requis pour les opérations d'une AWS KMS API, consultez[États clés des AWS KMS clés](key-state.md). Pour obtenir l'état de clé d'une clé KMS, sur la page **Clés gérées par le client**, veuillez consulter le champ **Status (État)** de la clé KMS. Vous pouvez également utiliser l'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)opération et afficher l'`KeyState`élément dans la réponse. Pour en savoir plus, consultez [Identifier et afficher les clés](viewing-keys.md).

**Note**  
L'état d'une clé KMS dans un magasin de clés externe n'indique rien quant au statut de la [clé externe](keystore-external.md#concept-external-key) associée. Pour plus d'informations sur le statut de la clé externe, utilisez votre gestionnaire de clés externe et les outils de proxy de votre magasin de clés externe.   
L'exception `CustomKeyStoreInvalidStateException` fait référence à l'[état de connexion](xks-connect-disconnect.md#xks-connection-state) du magasin de clés externe, et non à l'[état de clé](key-state.md) d'une clé KMS.

Une opération de chiffrement sur une clé KMS figurant dans un magasin personnalisé peut échouer si la clé KMS affiche l'état `Unavailable` ou `PendingDeletion`. (Les touches désactivées renvoient l'exception `DisabledException`).
+ Une clé KMS possède un état `Disabled` clé uniquement lorsque vous la désactivez intentionnellement dans la AWS KMS console ou en utilisant l'[DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)opération. Lorsqu'une clé KMS est désactivée, vous pouvez afficher et gérer la clé, mais vous ne pouvez pas l'utiliser dans les opérations cryptographiques. Pour résoudre ce problème, activez la clé. Pour en savoir plus, consultez [Activer et désactiver les touches](enabling-keys.md).
+ L'état de clé d'une clé KMS est `Unavailable` lorsque le magasin de clés externe est déconnecté de son proxy de magasin de clés externe. Pour corriger une clé KMS indisponible, [reconnectez le magasin de clés externe](xks-connect-disconnect.md). Une fois le magasin de clés externe reconnecté, l'état de clé des clés KMS du magasin de clés externe est automatiquement restauré à son état précédent, soit `Enabled` ou `Disabled`.

  L'état de clé d'une clé KMS est `PendingDeletion` lorsque sa suppression a été planifiée et qu'elle se trouve dans sa période d'attente. Une erreur d'état de clé sur une clé KMS en attente de suppression indique que la clé ne doit pas être supprimée, soit parce qu'elle est utilisée pour le chiffrement, soit parce qu'elle est requise pour le déchiffrement. Pour réactiver la clé KMS, annulez la suppression planifiée, puis [activez la clé](enabling-keys.md). Pour en savoir plus, consultez [Planifier la suppression des clés](deleting-keys-scheduling-key-deletion.md).

## Erreurs de déchiffrement
<a name="fix-xks-decrypt"></a>

**Exceptions** : `KMSInvalidStateException`

Lorsqu'une opération de [déchiffrement](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) avec une clé KMS dans un magasin de clés externe échoue, AWS KMS renvoie la norme utilisée par `KMSInvalidStateException` les opérations cryptographiques pour toutes les erreurs de configuration externes et les erreurs d'état de connexion sur un magasin de clés externe. Le message d'erreur signale le problème.

Pour déchiffrer un texte chiffré à l'aide d'un [double chiffrement](keystore-external.md#concept-double-encryption), le gestionnaire de clés externes utilise d'abord la clé externe pour déchiffrer la couche externe du texte chiffré. AWS KMS Utilise ensuite le contenu AWS KMS clé de la clé KMS pour déchiffrer la couche interne de texte chiffré. Un texte chiffré non valide ou endommagé peut être rejeté par le gestionnaire de clés externe ou par AWS KMS.

Les messages d'erreur suivants accompagnent l'exception `KMSInvalidStateException` en cas d'échec du déchiffrement. Cela indique un problème lié au texte chiffré ou au contexte de chiffrement facultatif de la requête.


|  | 
| --- |
| Le proxy de magasin de clés externe a rejeté la requête, car le texte chiffré spécifié ou les données authentifiées supplémentaires sont endommagés, manquants ou non valides. | 
+ Lorsque le proxy de stockage de clés externe ou le gestionnaire de clés externe signalent qu'un texte chiffré ou son contexte de chiffrement n'est pas valide, cela indique généralement un problème lié au texte chiffré ou au contexte de chiffrement dans la `Decrypt` demande envoyée à. AWS KMS Pour les `Decrypt` opérations, AWS KMS envoie au proxy le même texte chiffré et le même contexte de chiffrement qu'il reçoit dans la `Decrypt` demande. 

  Cette erreur peut être causée par un problème de mise en réseau lors du transit, comme une inversion de bit. Réitérez la requête `Decrypt`. Si le problème persiste, vérifiez que le texte chiffré n'a pas été altéré ou corrompu. Vérifiez également que le contexte de chiffrement de la `Decrypt` demande AWS KMS correspond au contexte de chiffrement de la demande qui a chiffré les données.


|  | 
| --- |
| Le texte chiffré que le proxy de magasin de clés externe a soumis pour déchiffrement, ou le contexte de chiffrement, est endommagé, manquant ou non valide. | 
+ Lorsqu'il AWS KMS rejette le texte chiffré reçu du proxy, cela indique que le gestionnaire de clés externe ou le proxy a renvoyé un texte chiffré non valide ou endommagé à. AWS KMS

  Cette erreur peut être causée par un problème de mise en réseau lors du transit, comme une inversion de bit. Réitérez la requête `Decrypt`. Si le problème persiste, vérifiez que le gestionnaire de clés externe fonctionne correctement et que le proxy de stockage de clés externe ne modifie pas le texte chiffré qu'il reçoit du gestionnaire de clés externe avant de le renvoyer. AWS KMS

## Erreurs liées aux clés externes
<a name="fix-external-key"></a>

Une [clé externe](keystore-external.md#concept-external-key) est une clé cryptographique du gestionnaire de clés externe qui fait office d'éléments de clé externes pour une clé KMS. AWS KMS ne peut pas accéder directement à la clé externe. Il doit demander au gestionnaire de clés externe (via le proxy de magasin de clés externe) d'utiliser la clé externe pour chiffrer des données ou déchiffrer un texte chiffré.

Vous spécifiez l'ID de la clé externe dans son gestionnaire de clés externe lorsque vous créez une clé KMS dans votre magasin de clés externe. Vous ne pouvez pas modifier l'ID de la clé externe après la création de la clé KMS. Pour éviter tout problème lié à la clé KMS, l'opération `CreateKey` demande au proxy de magasin de clés externe de vérifier l'ID et la configuration de la clé externe. Si la clé externe ne répond pas [aux exigences requises](create-xks-keys.md#xks-key-requirements) pour être utilisée avec une clé KMS, l'opération `CreateKey` échoue avec une exception et un message d'erreur identifiant le problème. 

Cependant, des problèmes peuvent survenir après la création de la clé KMS. Si une opération de chiffrement échoue en raison d'un problème lié à la clé externe, elle renvoie une exception `KMSInvalidStateException` avec un message d'erreur indiquant le problème.

### CreateKey erreurs pour la clé externe
<a name="fix-external-key-create"></a>

**Exceptions** : `XksKeyAlreadyInUseException`, `XksKeyNotFoundException`, `XksKeyInvalidConfigurationException`

L'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération tente de vérifier l'ID et les propriétés de la clé externe que vous fournissez dans le paramètre **ID de clé externe** (console) ou `XksKeyId` (API). Cette pratique a pour but de détecter les erreurs à un stade précoce avant que vous n'essayiez d'utiliser la clé externe avec la clé KMS.

**Clé externe en cours d'utilisation** 

Chaque clé KMS d'un magasin de clés externe doit utiliser une clé externe différente. Lorsqu'il `CreateKey` reconnaît que l'ID de clé externe (XksKeyId) d'une clé KMS n'est pas unique dans le magasin de clés externe, il échoue avec un`XksKeyAlreadyInUseException`. 

Si vous en utilisez plusieurs IDs pour la même clé externe, vous `CreateKey` ne reconnaîtrez pas le doublon. Cependant, les clés KMS associées à la même clé externe ne sont pas interopérables car elles contiennent des AWS KMS éléments clés et des métadonnées différents. 

**Clé externe introuvable** 

Lorsque le proxy de stockage de clés externe indique qu'il ne peut pas trouver la clé externe à l'aide de l'ID de clé externe (XksKeyId) pour la clé KMS, l'`CreateKey`opération échoue et renvoie `XksKeyNotFoundException` le message d'erreur suivant.


|  | 
| --- |
| Le proxy de magasin de clés externe a rejeté la requête, car il n'a pas trouvé la clé externe. | 

Cette erreur peut se produire dans les conditions suivantes :
+ L'ID de la clé externe (`XksKeyId`) de la clé KMS n'est peut-être pas valide. Pour trouver l'ID que votre proxy de clé externe utilise pour identifier la clé externe, veuillez consulter la documentation de votre proxy de magasin de clés externe ou de votre gestionnaire de clés externe. 
+ La clé externe peut avoir été supprimée de votre gestionnaire de clés externe. Pour effectuer des recherches, utilisez vos outils de gestionnaire de clés externe. Si la clé externe est supprimée définitivement, utilisez une autre clé externe avec la clé KMS. Pour obtenir la liste des exigences relatives à la clé externe, veuillez consulter la rubrique [Exigences relatives à une clé KMS dans un magasin de clés externe](create-xks-keys.md#xks-key-requirements).

**Exigences relatives aux clés externes non satisfaites**

Lorsque le proxy du magasin de clés externes indique que la clé externe ne [répond pas aux exigences](create-xks-keys.md#xks-key-requirements) définies pour une utilisation avec une clé KMS, l'opération `CreateKey` échoue et renvoie l'exception `XksKeyInvalidConfigurationException` avec l'un des messages d'erreur suivants.


|  | 
| --- |
| La spécification de clé de la clé externe doit être AES\$1256. La spécification clé de la clé externe spécifiée est<key-spec>. | 
+ La clé externe doit être une clé de chiffrement symétrique de 256 bits avec une spécification de clé AES\$1256. Si la clé externe spécifiée est d'un type différent, spécifiez l'ID d'une clé externe qui répond à cette exigence. 


|  | 
| --- |
| Le statut de la clé externe doit être ACTIVÉ. L'état de la clé externe spécifiée est<status>. | 
+ La clé externe doit être activée dans le gestionnaire de clés externe. Si la clé externe spécifiée n'est pas activée, utilisez vos outils de gestionnaire de clés externe pour l'activer ou spécifiez une clé externe activée.


|  | 
| --- |
| L'utilisation de la clé externe doit inclure ENCRYPT et DECRYPT. La clé d'utilisation de la clé externe spécifiée est < key-usage >. | 
+ La clé externe doit être configurée pour le chiffrement et le déchiffrement dans le gestionnaire de clés externe. Si la clé externe spécifiée n'inclut pas ces opérations, utilisez vos outils de gestionnaire de clés externe pour modifier les opérations ou spécifiez une autre clé externe.

### Erreurs d'opérations cryptographiques pour la clé externe
<a name="fix-external-key-crypto"></a>

**Exceptions** : `KMSInvalidStateException`

Lorsque le proxy de magasin de clés externe ne trouve pas la clé externe associée à la clé KMS, ou que la clé externe ne répond [pas aux exigences requises](create-xks-keys.md#xks-key-requirements) pour être utilisée avec une clé KMS, l'opération cryptographique échoue. 

Les problèmes de clé externe détectés lors d'une opération cryptographique sont plus difficiles à résoudre que les problèmes de clé externe détectés avant la création de la clé KMS. Vous ne pouvez pas modifier l'ID de la clé externe après la création de la clé KMS. Si la clé KMS n'a encore chiffré aucune donnée, vous pouvez supprimer la clé KMS et en créer une nouvelle avec un ID de clé externe différent. Cependant, le texte chiffré généré à l'aide de la clé KMS ne peut être déchiffré par aucune autre clé KMS, même avec la même clé externe, car les clés auront des métadonnées et des éléments clés différents. AWS KMS Dans la mesure du possible, utilisez plutôt vos outils de gestionnaire de clés externe pour résoudre le problème lié à la clé externe. 

Lorsque le proxy du magasin de clés externes signale un problème lié à la clé externe, les opérations de chiffrement renvoient l'exception `KMSInvalidStateException` avec un message d'erreur identifiant le problème.

**Clé externe introuvable**

Lorsque le proxy de stockage de clés externe indique qu'il ne peut pas trouver la clé externe à l'aide de l'ID de clé externe (XksKeyId) de la clé KMS, les opérations cryptographiques renvoient un `KMSInvalidStateException` avec le message d'erreur suivant. 


|  | 
| --- |
| Le proxy de magasin de clés externe a rejeté la requête, car il n'a pas trouvé la clé externe. | 

Cette erreur peut se produire dans les conditions suivantes :
+ L'ID de la clé externe (`XksKeyId`) de la clé KMS n'est plus valide. 

  Pour trouver l'ID de clé externe associé à votre clé KMS, [consultez les détails de la clé KMS](identify-key-types.md#view-xks-key). Pour trouver l'ID que votre proxy de clé externe utilise pour identifier la clé externe, veuillez consulter la documentation de votre proxy de magasin de clés externe ou de votre gestionnaire de clés externe.

  AWS KMS vérifie l'ID de clé externe lorsqu'il crée une clé KMS dans un magasin de clés externe. Cependant, l'ID peut devenir invalide, en particulier si la valeur de l'ID de clé externe est un alias ou un nom mutable. Vous ne pouvez pas modifier l'ID de clé externe associé à une clé KMS existante. Pour déchiffrer tout texte chiffré au moyen de la clé KMS, vous devez réassocier la clé externe à l'ID de la clé externe existante.

  Si vous n'avez pas encore utilisé la clé KMS pour chiffrer des données, vous pouvez créer une clé KMS avec un ID de clé externe valide. Toutefois, si vous avez généré du texte chiffré à l'aide de la clé KMS, vous ne pouvez utiliser aucune autre clé KMS pour le déchiffrer, même si vous utilisez la même clé externe.
+ La clé externe peut avoir été supprimée de votre gestionnaire de clés externe. Pour effectuer des recherches, utilisez vos outils de gestionnaire de clés externe. Si possible, essayez de [récupérer les éléments de clé](fix-keystore.md#fix-keystore-recover-backing-key) à partir d'une copie ou d'une sauvegarde de votre gestionnaire de clés externe. Si la clé externe est supprimée définitivement, tout texte chiffré au moyen de la clé KMS associée devient irrécupérable.

**Erreurs de configuration des clés externes**

Lorsque le proxy du magasin de clés externes indique que la clé externe ne [répond pas aux exigences](create-xks-keys.md#xks-key-requirements) définies pour une utilisation avec une clé KMS, l'opération de chiffrement renvoie l'exception `KMSInvalidStateException` avec l'un des messages d'erreur suivants. 


|  | 
| --- |
| Le proxy de magasin de clés externe a rejeté la requête, car la clé externe ne prend pas en charge l'opération demandée. | 
+ La clé externe doit prendre en charge à la fois le chiffrement et le déchiffrement. Si l'utilisation de la clé n'inclut pas le chiffrement et le déchiffrement, utilisez vos outils de gestionnaire de clés externe pour modifier l'utilisation de la clé.


|  | 
| --- |
| Le proxy de magasin de clés externe a rejeté la requête, car la clé externe n'est pas activée dans le gestionnaire de clés externe. | 
+ La clé externe doit être activée et disponible pour son utilisation dans le gestionnaire de clés externe. Si l'état de la clé externe n'est pas `Enabled`, utilisez vos outils de gestionnaire de clés externe pour l'activer.

## Problèmes liés aux proxys
<a name="fix-xks-proxy"></a>

**Exceptions :** 

 `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (opérations cryptographiques), `UnsupportedOperationException`, `XksProxyUriUnreachableException`, `XksProxyInvalidResponseException` (opérations de gestion autres que `CreateKey`)

Le proxy de stockage de clés externe assure la médiation de toutes les communications entre AWS KMS et le gestionnaire de clés externe. Il traduit les AWS KMS demandes génériques dans un format compréhensible par votre gestionnaire de clés externe. Si le proxy de stockage de clés externe n'est pas conforme à la [spécification de l'API du proxy de stockage de clés AWS KMS externe](https://github.com/aws/aws-kms-xksproxy-api-spec/), s'il ne fonctionne pas correctement ou s'il ne peut pas communiquer avec lui AWS KMS, vous ne pourrez pas créer ou utiliser de clés KMS dans votre magasin de clés externe. 

Bien que de nombreuses erreurs mentionnent le proxy de magasin de clés externe en raison de son rôle critique dans l'architecture du magasin de clés externe, ces problèmes peuvent provenir du gestionnaire de clés externe ou de la clé externe. 

Les problèmes abordés dans cette section concernent des problèmes liés à la conception ou au fonctionnement du proxy de magasin de clés externe. La résolution de ces problèmes peut nécessiter une modification du logiciel de proxy. Consultez l'administrateur de votre proxy. Pour vous aider à diagnostiquer les problèmes de proxy, AWS KMS fournit [XKS Proxy Text Client](https://github.com/aws-samples/aws-kms-xksproxy-test-client), un client de test open source qui vérifie si votre proxy de magasin de clés externe respecte la [spécification de l'API du proxy de magasin de clés externe AWS KMS](https://github.com/aws/aws-kms-xksproxy-api-spec/) (langue française non garantie).


|  | 
| --- |
| `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException` ou `XksProxyUriUnreachableException`Le proxy de magasin de clés externe est dans un état défectueux. Si ce message s'affiche à plusieurs reprises, prévenez l'administrateur de votre proxy de magasin de clés externe. | 
+ Cette erreur peut indiquer un problème de fonctionnement ou une erreur logicielle dans le proxy de magasin de clés externe. Vous pouvez trouver les entrées du CloudTrail journal correspondant à l'opération d' AWS KMS API qui a généré chaque erreur. Cette erreur peut être résolue en réitérant l'opération. Toutefois, si le problème persiste, prévenez l'administrateur de votre proxy de magasin de clés externe.
+ Lorsque le proxy de banque de clés externe indique (dans une [GetHealthStatus](keystore-external.md#concept-proxy-apis)réponse) que toutes les instances du gestionnaire de clés externe le sont`UNAVAILABLE`, les tentatives de création ou de mise à jour d'une banque de clés externe échouent, à cette exception près. Si cette erreur persiste, consultez la documentation de votre gestionnaire de clés externe.


|  | 
| --- |
| `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException` ou `XksProxyInvalidResponseException`AWS KMS Impossible d'interpréter la réponse du proxy de stockage de clés externe. Si cette erreur s'affiche à plusieurs reprises, contactez l'administrateur de votre proxy de magasin de clés externe. | 
+ AWS KMS les opérations génèrent cette exception lorsque le proxy renvoie une réponse non définie qui AWS KMS ne peut ni analyser ni interpréter. Cette erreur peut survenir occasionnellement en raison de problèmes externes temporaires ou d'erreurs réseau sporadiques. Toutefois, s'il persiste, cela peut indiquer que le proxy de magasin de clés externe ne respecte pas la [spécification de l'API du proxy de magasin de clés externe AWS KMS](https://github.com/aws/aws-kms-xksproxy-api-spec/) (langue française non garantie). Informez l'administrateur ou le fournisseur de votre magasin de clés externe.


|  | 
| --- |
|  `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException` ou `UnsupportedOperationException` Le proxy de magasin de clés externe a rejeté la requête, car il ne prend pas en charge l'opération cryptographique demandée. | 
+ Le proxy de stockage de clés externe doit prendre en charge tous les [proxys APIs](keystore-external.md#concept-proxy-apis) définis dans la [spécification de l'API du proxy de stockage de clés AWS KMS externe](https://github.com/aws/aws-kms-xksproxy-api-spec/). Cette erreur indique que le proxy ne prend pas en charge l'opération liée à la requête. Informez l'administrateur ou le fournisseur de votre magasin de clés externe.

## Problèmes d'autorisation du proxy
<a name="fix-xks-authorization"></a>

**Exceptions** : `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`

Certains proxys de magasin de clés externe mettent en œuvre des exigences d'autorisation pour l'utilisation de leurs clés externes. Un proxy de magasin de clés externe est autorisé, mais pas tenu, de concevoir et d'implémenter un schéma d'autorisation qui permet à des utilisateurs particuliers de demander des opérations particulières sous certaines conditions. Par exemple, un proxy peut autoriser un utilisateur à chiffrer avec une clé externe particulière, mais pas à déchiffrer avec elle. Pour de plus amples informations, veuillez consulter [Autorisation par proxy de magasin de clés externe (facultatif)](authorize-xks-key-store.md#xks-proxy-authorization).

L'autorisation du proxy est basée sur les métadonnées AWS KMS incluses dans les demandes adressées au proxy. Les champs `awsSourceVpc` et `awsSourceVpce` ne sont inclus dans les métadonnées que lorsque la requête provient d'un point de terminaison d'un VPC et uniquement lorsque l'appelant possède le même compte que la clé KMS. 

```
"requestMetadata": {
    "awsPrincipalArn": string,
    "awsSourceVpc": string, // optional
    "awsSourceVpce": string, // optional
    "kmsKeyArn": string,
    "kmsOperation": string,
    "kmsRequestId": string,
    "kmsViaService": string // optional
}
```

Lorsque le proxy rejette une demande en raison d'un échec d'autorisation, l' AWS KMS opération correspondante échoue. `CreateKey`retours`CustomKeyStoreInvalidStateException`. AWS KMS les opérations cryptographiques reviennent`KMSInvalidStateException`. Toutes deux utilisent le message d'erreur suivant :


|  | 
| --- |
| Le proxy de magasin de clés externe a refusé l'accès à l'opération. Vérifiez que l'utilisateur et la clé externe sont tous deux autorisés pour cette opération, puis réitérez la requête. | 
+ Pour résoudre l'erreur, utilisez votre gestionnaire de clés externe ou les outils de proxy de votre magasin de clés externe pour déterminer la raison de l'échec de l'autorisation. Ensuite, mettez à jour la procédure à l'origine de la requête non autorisée ou utilisez les outils de proxy de votre magasin de clés externe pour mettre à jour la politique d'autorisation. Vous ne pouvez pas résoudre cette erreur dans AWS KMS.