Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# AWS CloudHSM magasins clés
<a name="keystore-cloudhsm"></a>

Un magasin de AWS CloudHSM clés est un [magasin de clés personnalisé](key-store-overview.md#custom-key-store-overview) soutenu par un [AWS CloudHSM cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/). Lorsque vous créez un magasin AWS KMS key de clés personnalisé, vous AWS KMS générez et stockez des éléments clés non extractibles pour la clé KMS dans un AWS CloudHSM cluster que vous possédez et gérez. Lorsque vous utilisez une clé KMS dans un magasin de clés personnalisé, les [opérations cryptographiques](manage-cmk-keystore.md#use-cmk-keystore) sont effectuées HSMs dans le cluster. Cette fonctionnalité combine la commodité et AWS KMS l'intégration généralisée d'un AWS CloudHSM cluster dans votre Compte AWS. 

AWS KMS fournit un support complet de console et d'API pour la création, l'utilisation et la gestion de vos magasins de clés personnalisés. Vous pouvez utiliser les clés KMS dans votre magasin de clés personnalisé de la même manière que vous utilisez n'importe quelle clé KMS. Par exemple, vous pouvez utiliser les clés KMS pour générer des clés de données et chiffrer des données. Vous pouvez également utiliser les clés KMS dans votre magasin de clés personnalisé avec des AWS services prenant en charge les clés gérées par le client.

**Est-ce que j'ai besoin d'un magasin de clés personnalisé ?**

Pour la plupart des utilisateurs, le magasin de AWS KMS clés par défaut, qui est protégé par des [modules cryptographiques validés par la norme FIPS 140-3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884), répond à leurs exigences de sécurité. Il n'est pas nécessaire d'ajouter une couche supplémentaire de responsabilité de maintenance ou une dépendance à l'égard d'un service supplémentaire. 

Cependant, vous pouvez envisager la création d'un magasin de clés personnalisé si votre organisation possède l'une des exigences suivantes :
+ Vous avez des clés qui doivent explicitement être protégées dans un HSM à locataire unique ou dans un HSM sur lequel vous avez un contrôle direct.
+ Vous devez être en mesure de retirer immédiatement les éléments clés de AWS KMS.
+ Vous devez être en mesure d'auditer toute utilisation de vos clés indépendamment de AWS KMS ou AWS CloudTrail.

**Comment fonctionnent les magasins de clés personnalisés ?**

Chaque magasin de clés personnalisé est associé à un AWS CloudHSM cluster dans votre Compte AWS. Lorsque vous connectez le magasin de clés personnalisé à son cluster, il AWS KMS crée l'infrastructure réseau pour prendre en charge la connexion. Il se connecte ensuite au AWS CloudHSM client clé du cluster à l'aide des informations d'identification d'un [utilisateur cryptographique dédié](#concept-kmsuser) du cluster.

Vous créez et gérez vos magasins de clés personnalisés dans AWS KMS et vous créez et gérez vos clusters HSM dans AWS CloudHSM. Lorsque vous créez AWS KMS keys dans un magasin de clés AWS KMS personnalisé, vous visualisez et gérez les clés KMS dans AWS KMS. Mais vous pouvez également afficher et gérer leurs clés dans AWS CloudHSM, tout comme vous le feriez pour d'autres clés du cluster.

![\[Gestion des clés KMS dans un magasin de clés personnalisé\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/kms-hsm-view.png)


Vous pouvez [créer des clés KMS de chiffrement symétriques](create-cmk-keystore.md) à partir du contenu clé généré par AWS KMS votre magasin de clés personnalisé. Utilisez ensuite les mêmes techniques pour afficher et gérer les clés KMS dans votre magasin de clés personnalisé que celles que vous utilisez pour les clés KMS dans le magasin de AWS KMS clés. Vous pouvez contrôler l'accès aux politiques IAM et aux politiques de clé, créer des balises et des alias, activer et désactiver les clés KMS, et planifier la suppression de clés. Vous pouvez utiliser les clés KMS pour [des opérations cryptographiques](manage-cmk-keystore.md#use-cmk-keystore) et les utiliser avec AWS des services intégrés à AWS KMS. 

En outre, vous avez le contrôle total du AWS CloudHSM cluster, y compris la création, la suppression HSMs et la gestion des sauvegardes. Vous pouvez utiliser le AWS CloudHSM client et les bibliothèques logicielles prises en charge pour visualiser, auditer et gérer les éléments clés de vos clés KMS. Lorsque le magasin de clés personnalisé est déconnecté, il AWS KMS ne peut pas y accéder et les utilisateurs ne peuvent pas utiliser les clés KMS du magasin de clés personnalisé pour des opérations cryptographiques. Cette nouvelle couche de contrôle fait du magasin de clés personnalisé une solution puissante pour les organisations qui en ont besoin.

**Où commencer ?**

Pour créer et gérer un magasin de AWS CloudHSM clés, vous utilisez les fonctionnalités de AWS KMS et AWS CloudHSM.

1. Commencez par AWS CloudHSM[Créez un cluster AWS CloudHSM actif](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) ou sélectionnez un cluster existant. Le cluster doit en avoir au moins deux actifs HSMs dans différentes zones de disponibilité. Ensuite, créez [un compte CU (utilisateur de chiffrement) dédié](#concept-kmsuser) dans ce cluster pour AWS KMS. 

1. Dans AWS KMS, [créez un magasin de clés personnalisé](create-keystore.md) associé au AWS CloudHSM cluster sélectionné. AWS KMS fournit une interface de gestion complète qui vous permet de créer, d'afficher, de modifier et de supprimer vos banques de clés personnalisées.

1. Lorsque vous êtes prêt à utiliser votre magasin de clés personnalisé, [connectez-le au AWS CloudHSM cluster associé](connect-keystore.md). AWS KMS crée l'infrastructure réseau dont elle a besoin pour prendre en charge la connexion. Ensuite, il se connecte au cluster à l'aide des informations d'identification du compte CU dédié afin de générer et de gérer les clés dans le cluster.

1. Vous pouvez désormais [créer des clés KMS de chiffrement symétriques dans votre magasin de clés personnalisé](create-cmk-keystore.md). Il vous suffit de spécifier le magasin de clés personnalisé lorsque vous créez la clé KMS.

Si vous vous retrouvez bloqué à un moment, vous pouvez obtenir de l'aide dans la rubrique [Dépannage d'un magasin de clés personnalisé](fix-keystore.md). Si vous ne trouvez pas de réponse à votre question, utilisez le lien situé en bas de chaque page de ce guide ou publiez une question sur le [AWS Key Management Service forum de discussion](https://repost.aws/tags/TAMC3vcPOPTF-rPAHZVRj1PQ/aws-key-management-service).

**Quotas**

AWS KMS autorise jusqu'à [10 magasins de clés personnalisés](resource-limits.md) dans chaque Compte AWS région, y compris les magasins de [AWS CloudHSM clés et les magasins](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-cloudhsm.html) de [clés externes](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html), quel que soit leur état de connexion. En outre, il existe des quotas de AWS KMS demandes concernant l'[utilisation des clés KMS dans un magasin de AWS CloudHSM clés](requests-per-second.md#rps-key-stores).

**Tarification**

Pour plus d'informations sur le coût des magasins de clés AWS KMS personnalisés et des clés gérées par le client dans un magasin de clés personnalisé, consultez [AWS Key Management Service les tarifs](https://aws.amazon.com/kms/pricing/). Pour plus d'informations sur le coût des AWS CloudHSM clusters HSMs, consultez la section [AWS CloudHSM Tarification](https://aws.amazon.com/cloudhsm/pricing/).<a name="cks-regions"></a>

**Régions**

AWS KMS prend en charge les AWS CloudHSM principaux magasins dans Régions AWS tous AWS KMS les pays concernés, à l'exception de l'Asie-Pacifique (Melbourne), de la Chine (Pékin), de la Chine (Ningxia) et de l'Europe (Espagne).

**Fonctions non prises en charge**

AWS KMS ne prend pas en charge les fonctionnalités suivantes dans les magasins de clés personnalisés.
+ [Clés KMS asymétriques](symmetric-asymmetric.md)
+ [Clés KMS HMAC](hmac.md)
+ [Clés KMS avec des éléments de clé importés](importing-keys.md)
+ [Rotation automatique des clés](rotate-keys.md)
+ [Clés multi-région](multi-region-keys-overview.md)

## AWS CloudHSM concepts clés du magasin
<a name="hsm-key-store-concepts"></a>

Cette rubrique explique certains termes et concepts utilisés dans les AWS CloudHSM principaux magasins.

### AWS CloudHSM magasin de clés
<a name="concept-hsm-key-store"></a>

Un *magasin de AWS CloudHSM clés* est un [magasin de clés personnalisé](key-store-overview.md#custom-key-store-overview) associé à un AWS CloudHSM cluster que vous possédez et gérez. AWS CloudHSM les clusters sont soutenus par des modules de sécurité matériels (HSMs) certifiés [FIPS 140-2 ou FIPS 140-3](https://docs.aws.amazon.com/cloudhsm/latest/userguide/compliance.html) de niveau 3.

Lorsque vous créez une clé KMS dans votre magasin de AWS CloudHSM clés, elle AWS KMS génère une clé symétrique AES (Advanced Encryption Standard) de 256 bits, persistante et non exportable dans le cluster associé. AWS CloudHSM Ce matériel clé ne vous laisse jamais HSMs déchiffré. Lorsque vous utilisez une clé KMS dans un magasin de AWS CloudHSM clés, les opérations cryptographiques sont effectuées HSMs dans le cluster. 

AWS CloudHSM les magasins de clés associent l'interface de gestion des clés pratique et complète AWS KMS aux commandes supplémentaires fournies par un AWS CloudHSM cluster intégré à votre Compte AWS. Cette fonctionnalité intégrée vous permet de créer, de gérer et d'utiliser des clés KMS AWS KMS tout en gardant le contrôle total sur ceux HSMs qui stockent leurs informations clés, y compris la gestion des clusters et des sauvegardes. HSMs Vous pouvez utiliser la AWS KMS console et APIs gérer le magasin de AWS CloudHSM clés et ses clés KMS. Vous pouvez également utiliser la AWS CloudHSM console APIs, le logiciel client et les bibliothèques de logiciels associées pour gérer le cluster associé.

Vous pouvez [afficher et gérer](view-keystore.md) votre magasin de AWS CloudHSM clés, [modifier ses propriétés](update-keystore.md), le [[connecter](disconnect-keystore.md)](connect-keystore.md) et le déconnecter du AWS CloudHSM cluster associé. Si vous devez [supprimer un magasin de AWS CloudHSM clés](delete-keystore.md#delete-keystore-console), vous devez d'abord supprimer les clés KMS du AWS CloudHSM magasin de clés en programmant leur suppression et en attendant l'expiration du délai de grâce. La suppression du magasin de AWS CloudHSM clés entraîne la suppression de la ressource AWS KMS, mais cela n'affecte pas votre AWS CloudHSM cluster.

### AWS CloudHSM grappe
<a name="concept-cluster"></a>

Chaque magasin de AWS CloudHSM clés est associé à un *AWS CloudHSM cluster*. Lorsque vous créez un élément AWS KMS key dans votre magasin de AWS CloudHSM clés, il AWS KMS crée son contenu clé dans le cluster associé. Lorsque vous utilisez une clé KMS dans votre magasin de clés AWS CloudHSM , les opérations cryptographiques sont effectuées dans le cluster associé.

Chaque AWS CloudHSM cluster ne peut être associé qu'à un seul magasin de AWS CloudHSM clés. Le cluster que vous choisissez ne peut pas être associé à un autre magasin de AWS CloudHSM clés ni partager un historique de sauvegarde avec un cluster associé à un autre magasin de AWS CloudHSM clés. Le cluster doit être initialisé et actif, et il doit se trouver dans la même Compte AWS région que le magasin de AWS CloudHSM clés. Vous pouvez créer un nouveau cluster ou utiliser un cluster existant. AWS KMS ne nécessite pas l'utilisation exclusive du cluster. Pour créer des clés KMS dans le magasin de AWS CloudHSM clés, son cluster associé doit contenir au moins deux clés actives HSMs. Toutes les autres opérations nécessitent un seul HSM.

Vous spécifiez le AWS CloudHSM cluster lorsque vous créez le magasin de AWS CloudHSM clés, et vous ne pouvez pas le modifier. Cependant, vous pouvez remplacer n'importe quel cluster qui partage un historique de sauvegardes avec le cluster d'origine. Cela vous permet de supprimer le cluster, si nécessaire, et de le remplacer-le par un cluster créé à partir de l'une de ses sauvegardes. Vous conservez le contrôle total du AWS CloudHSM cluster associé, ce qui vous permet de gérer les utilisateurs et les clés, de créer et de supprimer HSMs, ainsi que d'utiliser et de gérer des sauvegardes. 

Lorsque vous êtes prêt à utiliser votre magasin de AWS CloudHSM clés, vous le connectez au AWS CloudHSM cluster associé. Vous pouvez connecter et déconnecter votre magasin de clés personnalisé à tout moment. Lorsqu'un magasin de clés personnalisé est connecté, vous pouvez créer et utiliser ses clés KMS. Lorsqu'il est déconnecté, vous pouvez consulter et gérer le magasin de AWS CloudHSM clés et ses clés KMS. Toutefois, vous ne pouvez pas créer de nouvelles clés KMS ni utiliser les clés KMS du magasin de AWS CloudHSM clés pour des opérations cryptographiques.

### Utilisateur de chiffrement `kmsuser`
<a name="concept-kmsuser"></a>

Pour créer et gérer des éléments clés dans le AWS CloudHSM cluster associé en votre nom, AWS KMS utilisez un *[utilisateur AWS CloudHSM cryptographique](https://docs.aws.amazon.com/cloudhsm/latest/userguide/hsm-users.html#crypto-user) (CU)* dédié dans le cluster nommé`kmsuser`. Le `kmsuser` CU est un compte CU standard qui est automatiquement synchronisé avec tous les membres HSMs du cluster et enregistré dans les sauvegardes du cluster. 

Avant de créer votre magasin de AWS CloudHSM clés, vous devez [créer un compte `kmsuser` CU](create-keystore.md#before-keystore) dans votre AWS CloudHSM cluster à l'aide de la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html) de la CLI CloudHSM. Ensuite, lorsque vous [créez le magasin de AWS CloudHSM clés](create-keystore.md), vous fournissez le mot de passe du `kmsuser` compte à AWS KMS. Lorsque vous [connectez le magasin de clés personnalisé](connect-keystore.md), vous AWS KMS vous connectez au cluster en tant que `kmsuser` CU et changez son mot de passe. AWS KMS chiffre votre `kmsuser` mot de passe avant de le stocker en toute sécurité. Lorsque le mot de passe a effectué une rotation, le nouveau mot de passe est chiffré et stocké de la même manière.

AWS KMS reste connecté `kmsuser` tant que le magasin de AWS CloudHSM clés est connecté. Vous ne devez pas utiliser ce compte CU à d'autres fins. Toutefois, vous gardez le contrôle ultime du compte CU `kmsuser`. À tout moment, vous pouvez [retrouver les clés](find-key-material.md) qui en sont `kmsuser` propriétaires. Si nécessaire, vous pouvez [déconnecter le magasin de clés personnalisé](disconnect-keystore.md), modifier le mot de passe `kmsuser`, [vous connecter au cluster en tant que `kmsuser`](fix-keystore.md#fix-login-as-kmsuser) et afficher et gérer les clés que `kmsuser` détient.

Pour obtenir des instructions sur la création de votre compte CU `kmsuser`, consultez [Créer l'utilisateur de chiffrement (CU) `kmsuser`](create-keystore.md#before-keystore).

### Clés KMS dans un magasin de AWS CloudHSM clés
<a name="concept-cmk-key-store"></a>

Vous pouvez utiliser l' AWS KMS API AWS KMS or pour créer un AWS KMS keys dans un magasin de AWS CloudHSM clés. Vous utilisez la même technique que celle que vous utiliseriez sur n'importe quelle clé KMS. La seule différence est que vous devez identifier le magasin de AWS CloudHSM clés et spécifier que l'origine du matériau clé est le AWS CloudHSM cluster. 

Lorsque vous [créez une clé KMS dans un magasin de AWS CloudHSM clés](create-cmk-keystore.md), vous AWS KMS créez la clé KMS dans AWS KMS et celle-ci génère une clé symétrique AES (Advanced Encryption Standard) de 256 bits, persistante et non exportable dans le cluster associé. Lorsque vous utilisez la AWS KMS clé dans une opération cryptographique, l'opération est effectuée dans le cluster à l'aide de la clé AES basée sur le AWS CloudHSM cluster. Bien qu' AWS CloudHSM ils prennent en charge les clés symétriques et asymétriques de différents types, les magasins de clés ne prennent en charge que les AWS CloudHSM clés de chiffrement symétriques AES.

Vous pouvez afficher les clés KMS dans un magasin de AWS CloudHSM clés de la AWS KMS console et utiliser les options de la console pour afficher l'ID de magasin de clés personnalisé. Vous pouvez également utiliser cette [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)opération pour trouver l'ID du magasin de AWS CloudHSM clés et l'ID AWS CloudHSM du cluster.

Les clés KMS d'un magasin de AWS CloudHSM clés fonctionnent comme n'importe quelle clé KMS dans un magasin de clés AWS KMS. Les utilisateurs autorisés ont besoin des mêmes autorisations pour utiliser et gérer les clés KMS. Vous utilisez les mêmes procédures de console et les mêmes opérations d'API pour afficher et gérer les clés KMS dans un magasin de AWS CloudHSM clés. Cela inclut l'activation et la désactivation de clés KMS, la création et l'utilisation de balises et d'alias, et la définition et la modification des politiques de clé et des politiques IAM. Vous pouvez utiliser les clés KMS d'un magasin de AWS CloudHSM clés pour des opérations cryptographiques et les utiliser avec des [AWS services intégrés](service-integration.md) qui prennent en charge l'utilisation de clés gérées par le client. Cependant, vous ne pouvez pas activer la [rotation automatique des clés](rotate-keys.md) ni [importer le contenu des clés](importing-keys.md) dans une clé KMS dans un magasin de AWS CloudHSM clés. 

Vous utilisez également le même processus pour [planifier la suppression](deleting-keys.md#delete-cmk-keystore) d'une clé KMS dans un magasin de AWS CloudHSM clés. Une fois le délai d'attente expiré, AWS KMS supprime la clé KMS de KMS. Il fait ensuite de son mieux pour supprimer le contenu clé de la clé KMS du AWS CloudHSM cluster associé. Cependant, il se peut que vous ayez besoin de [supprimer manuellement les éléments de clé orphelins](fix-keystore.md#fix-keystore-orphaned-key) du cluster et de ses sauvegardes.

# Contrôlez l'accès à votre magasin de AWS CloudHSM clés
<a name="authorize-key-store"></a>

Vous utilisez des politiques IAM pour contrôler l'accès à votre magasin de AWS CloudHSM clés et à votre AWS CloudHSM cluster. Vous pouvez utiliser des politiques clés, des politiques IAM et des autorisations pour contrôler l'accès AWS KMS keys à votre magasin de AWS CloudHSM clés. Nous vous recommandons de fournir aux utilisateurs, groupes et rôles uniquement les autorisations dont ils ont besoin pour les tâches qu'ils sont susceptibles d'effectuer.

Pour prendre en charge vos AWS CloudHSM principaux magasins, vous AWS KMS avez besoin d'une autorisation pour obtenir des informations sur vos AWS CloudHSM clusters. Il a également besoin d'une autorisation pour créer l'infrastructure réseau qui connecte votre magasin de AWS CloudHSM clés à son AWS CloudHSM cluster. Pour obtenir ces autorisations, AWS KMS crée le rôle **AWSServiceRoleForKeyManagementServiceCustomKeyStores**lié au service dans votre. Compte AWS Pour de plus amples informations, veuillez consulter [Autorisation AWS KMS de gestion AWS CloudHSM et ressources Amazon EC2](authorize-kms.md).

Lorsque vous concevez votre magasin de AWS CloudHSM clés, assurez-vous que les principaux responsables qui l'utilisent et le gèrent disposent uniquement des autorisations dont ils ont besoin. La liste suivante décrit les autorisations minimales requises pour les AWS CloudHSM principaux responsables de magasins et utilisateurs.
+ Les principaux responsables qui créent et gèrent votre magasin de AWS CloudHSM clés ont besoin de l'autorisation suivante pour utiliser les opérations de l'API du magasin de AWS CloudHSM clés.
  + `cloudhsm:DescribeClusters`
  + `kms:CreateCustomKeyStore`
  + `kms:ConnectCustomKeyStore`
  + `kms:DeleteCustomKeyStore`
  + `kms:DescribeCustomKeyStores`
  + `kms:DisconnectCustomKeyStore`
  + `kms:UpdateCustomKeyStore`
  + `iam:CreateServiceLinkedRole`
+ Les principaux responsables qui créent et gèrent le AWS CloudHSM cluster associé à votre banque de AWS CloudHSM clés doivent être autorisés à créer et à initialiser un AWS CloudHSM cluster. Cela inclut l'autorisation de créer ou d'utiliser un Amazon Virtual Private Cloud (VPC), de créer des sous-réseaux et de créer une instance Amazon. EC2 Ils peuvent également avoir besoin de créer HSMs, de supprimer et de gérer des sauvegardes. Pour obtenir la liste des autorisations requises, veuillez consulter la rubrique [Identity and access management for AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/identity-access-management.html) (Gestion des identités et des accès pour ) dans le *Guide de l'utilisateur AWS CloudHSM *.
+ Les principaux responsables qui créent et gèrent AWS KMS keys dans votre magasin de AWS CloudHSM clés ont besoin des [mêmes autorisations](create-keys.md#create-key-permissions) que ceux qui créent et gèrent n'importe quelle clé KMS dans AWS KMS votre magasin de clés. La [politique de clé par défaut](key-policy-default.md) pour une clé KMS dans un magasin de AWS CloudHSM clés est identique à la politique de clé par défaut pour les clés KMS dans AWS KMS. Le [contrôle d'accès basé sur les attributs](abac.md) (ABAC), qui utilise des balises et des alias pour contrôler l'accès aux clés KMS, est également efficace sur les clés KMS dans les magasins de clés. AWS CloudHSM 
+ [Les principaux qui utilisent les clés KMS de votre AWS CloudHSM magasin de clés pour des [opérations cryptographiques](manage-cmk-keystore.md#use-cmk-keystore) doivent être autorisés à effectuer l'opération cryptographique avec la clé KMS, par exemple KMS:Decrypt.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) Vous pouvez fournir ces autorisations dans une politique de clé, ou une politique IAM. Toutefois, ils n'ont pas besoin d'autorisations supplémentaires pour utiliser une clé KMS dans un magasin de AWS CloudHSM clés.

# Création d'un magasin de AWS CloudHSM clés
<a name="create-keystore"></a>

Vous pouvez créer un ou plusieurs magasins AWS CloudHSM clés dans votre compte. Chaque magasin de AWS CloudHSM clés est associé à un AWS CloudHSM cluster de la même Compte AWS région. Avant de créer votre magasin de clés AWS CloudHSM , vous devez [réunir les conditions préalables](#before-keystore). Ensuite, avant de pouvoir utiliser votre magasin de AWS CloudHSM clés, vous devez [le connecter](connect-keystore.md) à son AWS CloudHSM cluster.

**Remarques**  
KMS ne peut pas communiquer IPv6 avec les magasins de AWS CloudHSM clés.  
Si vous essayez de créer un magasin de AWS CloudHSM clés avec toutes les mêmes valeurs de propriétés qu'un magasin de AWS CloudHSM clés *déconnecté* existant, AWS KMS cela ne crée pas de nouveau magasin de AWS CloudHSM clés et ne génère aucune exception ni n'affiche d'erreur. AWS KMS Reconnaît plutôt le doublon comme la conséquence probable d'une nouvelle tentative et renvoie l'ID du magasin de AWS CloudHSM clés existant.   
Il n'est pas nécessaire de connecter immédiatement votre magasin de AWS CloudHSM clés. Vous pouvez le conserver dans un état déconnecté jusqu'à ce que vous soyez prêt à l'utiliser. Cependant, afin de vérifier qu'il est correctement configuré, vous pouvez [le connecter](connect-keystore.md), [afficher son état de connexion](view-keystore.md), puis [le déconnecter](disconnect-keystore.md).

**Topics**
+ [Rassembler les conditions requises](#before-keystore)
+ [Création d'un nouveau magasin de AWS CloudHSM clés](#create-hsm-keystore)

## Rassembler les conditions requises
<a name="before-keystore"></a>

Chaque magasin de AWS CloudHSM clés est soutenu par un AWS CloudHSM cluster. Pour créer un magasin de AWS CloudHSM clés, vous devez spécifier un AWS CloudHSM cluster actif qui n'est pas déjà associé à un autre magasin de clés. Vous devez également créer un utilisateur cryptographique (CU) dédié dans le cluster HSMs qui AWS KMS peut l'utiliser pour créer et gérer des clés en votre nom.

Avant de créer un magasin de AWS CloudHSM clés, procédez comme suit :

**Sélectionnez un AWS CloudHSM cluster**  
Chaque magasin de AWS CloudHSM clés est [associé à un seul AWS CloudHSM cluster](keystore-cloudhsm.md#concept-cluster). Lorsque vous créez AWS KMS keys dans votre magasin de AWS CloudHSM clés, vous AWS KMS créez les métadonnées de la clé KMS, telles qu'un identifiant et un Amazon Resource Name (ARN) dans AWS KMS. Il crée ensuite le matériau clé dans HSMs le cluster associé. Vous pouvez [créer un nouveau AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) cluster ou utiliser un cluster existant. AWS KMS ne nécessite pas d'accès exclusif au cluster.  
Le AWS CloudHSM cluster que vous sélectionnez est associé de façon permanente au magasin de AWS CloudHSM clés. Après avoir créé le magasin de AWS CloudHSM clés, vous pouvez [modifier l'ID du cluster](update-keystore.md) associé, mais le cluster que vous spécifiez doit partager un historique de sauvegarde avec le cluster d'origine. Pour utiliser un cluster indépendant, vous devez créer un nouveau magasin de AWS CloudHSM clés.  
Le AWS CloudHSM cluster que vous sélectionnez doit présenter les caractéristiques suivantes :  
+ **Le cluster doit être actif**. 

  Vous devez créer le cluster, l'initialiser, installer le logiciel AWS CloudHSM client pour votre plate-forme, puis activer le cluster. Pour plus d'informations, veuillez consulter la rubrique [Getting started with AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) (Démarrer avec ) dans le *Guide de l'utilisateur AWS CloudHSM *.
+ **Le protocole TLS mutuel (mTLS) n'est pas activé.** 

  KMS ne prend pas en charge les MTL pour les clusters. Ce paramètre ne doit pas être activé.
+ **Le cluster doit se trouver dans le même compte et dans la même région** que le magasin de AWS CloudHSM clés. Vous ne pouvez pas associer un magasin de AWS CloudHSM clés d'une région à un cluster d'une autre région. Pour créer une infrastructure clé dans plusieurs régions, vous devez créer des magasins de AWS CloudHSM clés et des clusters dans chaque région.
+ **Le cluster ne peut pas être associé à un autre magasin de clés personnalisé** à partir du même compte et de la même région. Chaque magasin de AWS CloudHSM clés du compte et de la région doit être associé à un AWS CloudHSM cluster différent. Vous ne pouvez pas spécifier un cluster qui est déjà associé à un magasin de clés personnalisé ou un cluster qui partage un historique des sauvegardes avec un cluster associé. Les clusters qui partagent un historique des sauvegardes historique ont le même certificat de cluster. Pour afficher le certificat de cluster d'un cluster, utilisez la AWS CloudHSM console ou l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)opération.

  Si vous [sauvegardez un cluster AWS CloudHSM dans une autre région](https://docs.aws.amazon.com/cloudhsm/latest/userguide/copy-backup-to-region.html), il est considéré comme un cluster différent et vous pouvez associer la sauvegarde à un magasin de clés personnalisé dans sa région. Cependant, les clés KMS des deux magasins de clés personnalisés ne sont pas interopérables, même si elles possèdent la même clé de sauvegarde. AWS KMS lie les métadonnées au texte chiffré afin qu'il ne puisse être déchiffré que par la clé KMS qui l'a chiffré.
+ Le cluster doit être configuré avec des [sous-réseaux privés](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html) dans **au moins deux zones de disponibilité** de la région. Comme il n' AWS CloudHSM est pas pris en charge dans toutes les zones de disponibilité, nous vous recommandons de créer des sous-réseaux privés dans toutes les zones de disponibilité de la région. Vous ne pouvez pas reconfigurer les sous-réseaux d'un cluster existant, mais vous pouvez [créer un cluster à partir d'une sauvegarde](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) avec différents sous-réseaux dans la configuration du cluster.
**Important**  
Après avoir créé votre magasin de AWS CloudHSM clés, ne supprimez aucun des sous-réseaux privés configurés pour son AWS CloudHSM cluster. Si vous AWS KMS ne trouvez pas tous les sous-réseaux dans la configuration du cluster, les tentatives de [connexion au magasin de clés personnalisé](connect-keystore.md) échouent avec un état d'erreur de `SUBNET_NOT_FOUND` connexion. Pour en savoir plus, consultez [Comment corriger un échec de connexion](fix-keystore.md#fix-keystore-failed).
+ Le [groupe de sécurité du cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/configure-sg.html) (`cloudhsm-cluster-<cluster-id>-sg`) doit inclure des règles entrantes et sortantes qui autorisent le trafic TCP sur les ports IPv4 2223-2225. La **source** des règles entrantes et la **destination** des règles sortantes doit correspondre à l'ID du groupe de sécurité. Ces règles sont définies par défaut lorsque vous créez le cluster. Ne pas les supprimer ou les modifier.
+ **Le cluster doit contenir au moins deux actifs HSMs** dans des zones de disponibilité différentes. Pour vérifier le nombre de HSMs, utilisez la AWS CloudHSM console ou l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)opération. Si nécessaire, vous pouvez [ajouter un module HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html#add-hsm).

**Recherche le certificat approuvé (ou « trust anchor »)**  
Lorsque vous créez un magasin de clés personnalisé, vous devez télécharger le certificat d'ancrage de confiance du AWS CloudHSM cluster sur AWS KMS. AWS KMS a besoin du certificat Trust Anchor pour connecter le magasin de AWS CloudHSM clés à son AWS CloudHSM cluster associé.  
Chaque AWS CloudHSM cluster actif possède un *certificat d'ancrage de confiance*. Lorsque vous [initialisez le cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr), vous devez générer ce certificat, l'enregistrer dans le fichier `customerCA.crt` et le copier sur les hôtes qui se connectent au cluster.

**Créez l'utilisateur `kmsuser` cryptographique pour AWS KMS**  <a name="kmsuser-concept"></a>
Pour administrer votre magasin de AWS CloudHSM clés AWS KMS , connectez-vous au compte [utilisateur `kmsuser` cryptographique](keystore-cloudhsm.md#concept-kmsuser) (CU) du cluster sélectionné. Avant de créer votre magasin de AWS CloudHSM clés, vous devez créer le `kmsuser` CU. Ensuite, lorsque vous créez votre magasin de AWS CloudHSM clés, vous fournissez le mot de passe `kmsuser` pour AWS KMS. Chaque fois que vous connectez le magasin de AWS CloudHSM clés à son AWS CloudHSM cluster associé, connectez-vous AWS KMS en tant que `kmsuser` et alternez le mot de `kmsuser` passe   
Ne spécifiez pas l'option `2FA` lorsque vous créez l'`kmsuser`utilisateur de chiffrement. Si vous le faites, vous AWS KMS ne pouvez pas vous connecter et votre magasin de AWS CloudHSM clés ne peut pas être connecté à ce AWS CloudHSM cluster. Une fois que vous spécifiez 2FA, vous ne pouvez pas l'annuler. Vous devez à la place supprimer l'utilisateur de chiffrement et le recréer.
**Remarques**  
Les procédures suivantes utilisent l'outil de ligne de commande du SDK AWS CloudHSM client 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. La CLI `key-handle` CloudHSM remplace par. `key-reference`  
Le 1er janvier 2025, la prise en charge des outils de ligne de commande du SDK client 3, de l'utilitaire de gestion CloudHSM (CMU) et de l'utilitaire de gestion des clés (KMU) AWS CloudHSM prendra fin. *Pour plus d'informations sur les différences entre les outils de ligne de commande du SDK client 3 et l'outil de ligne de commande du SDK client 5, voir [Migrer de la CMU et de la KMU du SDK client 3 vers la CLI CloudHSM du SDK client 5](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) dans le guide de l'utilisateur.AWS CloudHSM *

1. *Suivez les procédures de démarrage décrites dans la rubrique [Getting Started with CloudHSM Command Line Interface (CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html)) du Guide de l'AWS CloudHSM utilisateur.*

1. Utilisez la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html) pour créer une CU nommée`kmsuser`.

   Le mot de passe doit contenir entre 7 et 32 caractères alphanumériques. Il est sensible à la casse et ne peut contenir aucun des caractères spéciaux.

   L'exemple de commande suivant crée une `kmsuser` CU. 

   ```
   aws-cloudhsm > user create --username kmsuser --role crypto-user
   Enter password:
   Confirm password:
   {
    "error_code": 0,
    "data": {
      "username": "kmsuser",
      "role": "crypto-user"
    }
   }
   ```

## Création d'un nouveau magasin de AWS CloudHSM clés
<a name="create-hsm-keystore"></a>

Après avoir [assemblé les prérequis](#before-keystore), vous pouvez créer un nouveau magasin de AWS CloudHSM clés dans la AWS KMS console ou en utilisant l'[CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)opération.

### Utilisation de la AWS KMS console
<a name="create-keystore-console"></a>

Lorsque vous créez un magasin de AWS CloudHSM clés dans le AWS Management Console, vous pouvez ajouter et créer les [prérequis](#before-keystore) dans le cadre de votre flux de travail. Toutefois, le processus est plus rapide que vous les avez assemblées au préalable.

1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

1. Dans le panneau de navigation, sélectionnez **Custom key stores** (Magasins de clés personnalisés), **AWS CloudHSM key stores** (Magasins de clés ).

1. Choisissez **Créer un magasin de clés**.

1. Entrez un nom convivial pour le magasin de clés personnalisé. Le nom doit être unique parmi tous les magasins de clés personnalisés de votre compte.
**Important**  
N'incluez pas d'informations confidentielles ou sensibles dans ce champ. Ce champ peut être affiché en texte brut dans les CloudTrail journaux et autres sorties.

1. Sélectionnez [un AWS CloudHSM cluster](keystore-cloudhsm.md#concept-cluster) pour le magasin de AWS CloudHSM clés. Ou, pour créer un nouveau AWS CloudHSM cluster, cliquez sur le lien **Créer un AWS CloudHSM cluster**.

   Le menu affiche les AWS CloudHSM clusters de votre compte et de votre région qui ne sont pas encore associés à un magasin de AWS CloudHSM clés. Le cluster doit [respecter les exigences](#before-keystore) d'association à un magasin de clés personnalisé. 

1. Choisissez **Choisir un fichier**, puis téléchargez le certificat d'ancrage de confiance pour le AWS CloudHSM cluster que vous avez choisi. Il s'agit du fichier `customerCA.crt` que vous avez créé lorsque vous [avez initialisé le cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr).

1. Entrez le mot de passe de [l'utilisateur de chiffrement `kmsuser`](keystore-cloudhsm.md#concept-kmsuser) (CU) que vous avez créé dans le cluster sélectionné. 

1. Choisissez **Créer**.

Lorsque la procédure aboutit, le nouveau magasin de AWS CloudHSM clés apparaît dans la liste des magasins de AWS CloudHSM clés du compte et de la région. S'il ne réussit pas, un message d'erreur s'affiche qui décrit le problème et fournit une aide pour le résoudre. Si vous avez besoin d'aide supplémentaire, consultez [Dépannage d'un magasin de clés personnalisé](fix-keystore.md).

Si vous essayez de créer un magasin de AWS CloudHSM clés avec toutes les mêmes valeurs de propriétés qu'un magasin de AWS CloudHSM clés *déconnecté* existant, AWS KMS cela ne crée pas de nouveau magasin de AWS CloudHSM clés et ne génère aucune exception ni n'affiche d'erreur. AWS KMS Reconnaît plutôt le doublon comme la conséquence probable d'une nouvelle tentative et renvoie l'ID du magasin de AWS CloudHSM clés existant. 

**Suivant** : Les nouveaux magasins de AWS CloudHSM clés ne sont pas automatiquement connectés. Avant de créer AWS KMS keys dans le magasin de AWS CloudHSM clés, vous devez [connecter le magasin de clés personnalisé](connect-keystore.md) au AWS CloudHSM cluster associé.

### Utilisation de l' AWS KMS API
<a name="create-keystore-api"></a>

Vous pouvez utiliser cette [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)opération pour créer un nouveau magasin de AWS CloudHSM clés associé à un AWS CloudHSM cluster dans le compte et la région. Ces exemples utilisent l' AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

L'opération `CreateCustomKeyStore` nécessite les valeurs de paramètre suivantes.
+ CustomKeyStoreName — Un nom convivial pour le magasin de clés personnalisé, unique dans le compte.
**Important**  
N'incluez pas d'informations confidentielles ou sensibles dans ce champ. Ce champ peut être affiché en texte brut dans les CloudTrail journaux et autres sorties.
+ CloudHsmClusterId — L'ID de cluster d'un AWS CloudHSM cluster [répondant aux exigences](#before-keystore) d'un magasin de AWS CloudHSM clés.
+ KeyStorePassword — Le mot de passe du compte `kmsuser` CU dans le cluster spécifié. 
+ TrustAnchorCertificate — Le contenu du `customerCA.crt` fichier que vous avez créé lors de l'[initialisation du cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html).

L'exemple suivant utilise un ID de cluster fictif. Avant d'exécuter la commande, remplacez-le par un ID de cluster valide.

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate <certificate-goes-here>
```

Si vous utilisez le AWS CLI, vous pouvez spécifier le fichier de certificat d'ancrage de confiance au lieu de son contenu. Dans l'exemple suivant, le fichier `customerCA.crt` se trouve dans le répertoire racine.

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate file://customerCA.crt
```

Lorsque l'opération est réussie, `CreateCustomKeyStore` renvoie l'ID du magasin de clés personnalisé, comme illustré dans l'exemple de réponse suivant.

```
{
    "CustomKeyStoreId": cks-1234567890abcdef0
}
```

Si l'opération échoue, corrigez l'erreur indiquée par l'exception, puis réessayez. Pour obtenir de l'aide supplémentaire, consultez [Dépannage d'un magasin de clés personnalisé](fix-keystore.md).

Si vous essayez de créer un magasin de AWS CloudHSM clés avec toutes les mêmes valeurs de propriétés qu'un magasin de AWS CloudHSM clés *déconnecté* existant, AWS KMS cela ne crée pas de nouveau magasin de AWS CloudHSM clés et ne génère aucune exception ni n'affiche d'erreur. AWS KMS Reconnaît plutôt le doublon comme la conséquence probable d'une nouvelle tentative et renvoie l'ID du magasin de AWS CloudHSM clés existant. 

**Suivant** : Pour utiliser le magasin de AWS CloudHSM clés, [connectez-le à son AWS CloudHSM cluster](connect-keystore.md).

# Afficher un magasin AWS CloudHSM de clés
<a name="view-keystore"></a>

Vous pouvez consulter les AWS CloudHSM principaux magasins de chaque compte et région à l'aide de la AWS KMS console ou de l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération. 

## Utilisation de la AWS KMS console
<a name="view-keystore-console"></a>

Lorsque vous consultez les AWS CloudHSM principaux magasins du AWS Management Console, vous pouvez voir ce qui suit :
+ Nom et ID du magasin de clés personnalisé
+ L'ID du AWS CloudHSM cluster associé
+ Le nombre de personnes HSMs dans le cluster
+ État actuel de la connexion

Une valeur d'état de connexion (**Status**) de **Disconnected** indique que le magasin de clés personnalisé est nouveau et n'a jamais été connecté, ou qu'il a été intentionnellement [déconnecté de son AWS CloudHSM cluster](disconnect-keystore.md). Toutefois, si vos tentatives d'utilisation d'une clé KMS dans un magasin de clés personnalisé connecté échouent, cela peut indiquer un problème avec le magasin de clés personnalisé ou son AWS CloudHSM cluster. Pour obtenir de l'aide, veuillez consulter [Comment corriger les clés KMS défaillantes](fix-keystore.md#fix-cmk-failed).

Pour consulter les AWS CloudHSM principaux magasins d'un compte et d'une région donnés, procédez comme suit.

1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

1. Dans le panneau de navigation, sélectionnez **Custom key stores** (Magasins de clés personnalisés), **AWS CloudHSM key stores** (Magasins de clés).

Pour personnaliser l'affichage, cliquez sur l'icône d'engrenage qui apparaît sous le bouton **Créer un magasin de clés**.

## Utilisation de l' AWS KMS API
<a name="view-keystore-api"></a>

Pour consulter vos AWS CloudHSM principaux magasins, utilisez l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Toutefois, vous pouvez utiliser le paramètre `CustomKeyStoreName` ou `CustomKeyStoreId` (mais pas les deux) pour limiter la sortie à un magasin de clés personnalisé en particulier. Pour les AWS CloudHSM banques de clés, la sortie comprend l'ID et le nom de la banque de clés personnalisée, le type de banque de clés personnalisé, l'ID du AWS CloudHSM cluster associé et l'état de la connexion. Si l'état de la connexion indique une erreur, la sortie inclut également un code d'erreur qui décrit la raison de l'erreur.

Les exemples de cette section utilisent la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge. 

Par exemple, la commande suivante renvoie tous les magasins de clés personnalisées du compte et de la région. Vous pouvez utiliser les paramètres `Marker` et `Limit` pour parcourir les magasins de clés personnalisés de la sortie.

```
$ aws kms describe-custom-key-stores
```

L'exemple de commande suivant utilise le paramètre `CustomKeyStoreName` pour obtenir uniquement le magasin de clés personnalisé avec le nom convivial `ExampleCloudHSMKeyStore`. Vous pouvez utiliser le paramètre `CustomKeyStoreName` ou le paramètre `CustomKeyStoreId` (mais pas les deux) dans chaque commande.

L'exemple de sortie suivant représente un magasin de AWS CloudHSM clés connecté à son AWS CloudHSM cluster.

**Note**  
Le `CustomKeyStoreType` champ a été ajouté à la `DescribeCustomKeyStores` réponse pour distinguer les magasins de AWS CloudHSM clés des magasins de clés externes.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleCloudHSMKeyStore
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionState": "CONNECTED",
         "CreationDate": "1.499288695918E9",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}
```

Un `ConnectionState` de `Disconnected` indique qu'un magasin de clés personnalisé n'a jamais été connecté ou qu'il a été intentionnellement [déconnecté de son AWS CloudHSM cluster](disconnect-keystore.md). Toutefois, si les tentatives d'utilisation d'une clé KMS dans un magasin de AWS CloudHSM clés connecté échouent, cela peut indiquer un problème lié au magasin de AWS CloudHSM clés ou à son AWS CloudHSM cluster. Pour obtenir de l'aide, veuillez consulter [Comment corriger les clés KMS défaillantes](fix-keystore.md#fix-cmk-failed).

Si `ConnectionState` a la valeur `FAILED`, la réponse `DescribeCustomKeyStores` inclut un élément `ConnectionErrorCode` qui explique la raison de l'erreur.

Par exemple, dans la sortie suivante, la valeur `INVALID_CREDENTIALS` indique que la connexion du magasin de clés personnalisé a échoué, car le mot de passe [`kmsuser` n'est pas valide](fix-keystore.md#fix-keystore-password). Pour obtenir de l'aide sur ce sujet et sur d'autres échecs de connexion, consultez [Dépannage d'un magasin de clés personnalisé](fix-keystore.md).

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionErrorCode": "INVALID_CREDENTIALS",
         "ConnectionState": "FAILED",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "CreationDate": "1.499288695918E9",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}
```

**En savoir plus :**
+ [Afficher les magasins de clés externes](view-xks-keystore.md)
+ [Identifiez les clés KMS dans les magasins de AWS CloudHSM clés](identify-key-types.md#identify-key-hsm-keystore)
+ [Journalisation des appels d' AWS KMS API avec AWS CloudTrail](logging-using-cloudtrail.md)

# Modifier les paramètres du magasin AWS CloudHSM clé
<a name="update-keystore"></a>

Vous pouvez modifier les paramètres d'un magasin de AWS CloudHSM clés existant. Le magasin de clés personnalisé doit être déconnecté de son AWS CloudHSM cluster.

Pour modifier les paramètres AWS CloudHSM du magasin de clés :

1. [Déconnectez le magasin de clés personnalisé](disconnect-keystore.md) de son cluster AWS CloudHSM .

   Lorsque le magasin de clés personnalisé est déconnecté, vous ne pouvez pas créer AWS KMS keys (clés KMS) dans le magasin de clés personnalisé et vous ne pouvez pas utiliser les clés KMS qu'il contient pour des [opérations cryptographiques](manage-cmk-keystore.md#use-cmk-keystore). 

1. Modifiez un ou plusieurs des AWS CloudHSM principaux paramètres du magasin.

   Vous pouvez modifier les paramètres suivants d'un magasin de clés personnalisé :  
Le nom convivial du magasin de clés personnalisé.  
Entrez un nouveau nom convivial. Le nouveau nom doit être unique parmi tous les magasins de clés personnalisés de votre Compte AWS.  
N'incluez pas d'informations confidentielles ou sensibles dans ce champ. Ce champ peut être affiché en texte brut dans les CloudTrail journaux et autres sorties.  
L'ID de cluster du AWS CloudHSM cluster associé.  
Modifiez cette valeur pour remplacer le AWS CloudHSM cluster d'origine par un cluster associé. Vous pouvez utiliser cette fonctionnalité pour réparer un magasin de clés personnalisé si son AWS CloudHSM cluster est endommagé ou supprimé.   
Spécifiez un AWS CloudHSM cluster qui partage un historique de sauvegarde avec le cluster d'origine et qui [répond aux exigences](create-keystore.md#before-keystore) d'association avec un magasin de clés personnalisé, dont deux actifs HSMs dans des zones de disponibilité différentes. Les clusters qui partagent un historique des sauvegardes historique ont le même certificat de cluster. Pour afficher le certificat de cluster d'un cluster, utilisez l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)opération. Vous ne pouvez pas utiliser la fonctionnalité de modification pour associer le magasin de clés personnalisé à un cluster AWS CloudHSM sans relation.   
Mot de passe actuel de l'[`kmsuser` utilisateur de chiffrement](keystore-cloudhsm.md#concept-kmsuser) (CU).  
 AWS KMS Indique le mot de passe actuel du `kmsuser` CU du AWS CloudHSM cluster. Cette action ne modifie pas le mot de passe du `kmsuser` CU dans le AWS CloudHSM cluster.  
Si vous modifiez le mot de passe de la `kmsuser` CU dans le AWS CloudHSM cluster, utilisez cette fonctionnalité pour indiquer AWS KMS le nouveau `kmsuser` mot de passe. Dans le cas contraire, AWS KMS peut pas se connecter au cluster et toutes les tentatives pour connecter le magasin de clés personnalisé au cluster échouent. 

1. [Reconnectez le magasin de clés personnalisé](connect-keystore.md) à son cluster AWS CloudHSM .

## Modifiez les paramètres de votre magasin de clés
<a name="edit-keystore-settings"></a>

Vous pouvez modifier les paramètres de votre magasin de AWS CloudHSM clés dans la AWS KMS console ou en utilisant l'[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)opération.

### Utilisation de la AWS KMS console
<a name="update-keystore-console"></a>

Lorsque vous modifiez un magasin de AWS CloudHSM clés, vous pouvez modifier n'importe laquelle des valeurs configurables.

1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

1. Dans le panneau de navigation, sélectionnez **Custom key stores** (Magasins de clés personnalisés), **AWS CloudHSM key stores** (Magasins de clés).

1. Choisissez la ligne du magasin de AWS CloudHSM clés que vous souhaitez modifier. 

   Si la valeur de la colonne **Status** n'est pas **Disconnected**, vous devez déconnecter le magasin de clés personnalisé avant de pouvoir le modifier. (Dans le menu **Key store actions** (Actions de magasin de clés), choisissez **Disconnect** [Déconnecter].)

   Lorsqu'un magasin de AWS CloudHSM clés est déconnecté, vous pouvez gérer le magasin de AWS CloudHSM clés et ses clés KMS, mais vous ne pouvez pas créer ou utiliser de clés KMS dans le magasin de AWS CloudHSM clés. 

1. À partir du menu **Key store actions** (Actions de magasin de clés), choisissez **Edit** (Modifier).

1. Effectuez une ou plusieurs des actions suivantes :
   + Entrez un nouveau nom convivial pour le magasin de clés personnalisé.
   + Entrez l'ID de cluster d'un AWS CloudHSM cluster associé.
   + Entrez le mot de passe actuel de l'utilisateur `kmsuser` crypté dans le AWS CloudHSM cluster associé.

1. Choisissez **Enregistrer**.

   Quand la procédure est réussie, un message décrit les paramètres que vous avez modifiés. Si elle ne réussit pas, un message d'erreur s'affiche qui décrit le problème et fournit une aide pour le résoudre. Si vous avez besoin d'aide supplémentaire, consultez [Dépannage d'un magasin de clés personnalisé](fix-keystore.md).

1. [Reconnectez le magasin de clés personnalisé.](connect-keystore.md)

   Pour utiliser le magasin de AWS CloudHSM clés, vous devez le reconnecter après l'avoir modifié. Vous pouvez laisser le magasin de clés AWS CloudHSM déconnecté. Toutefois, tant qu'il est déconnecté, vous ne pouvez pas créer de clés KMS dans le magasin de AWS CloudHSM clés ni utiliser les clés KMS du magasin de clés dans le AWS CloudHSM cadre d'[opérations cryptographiques](manage-cmk-keystore.md#use-cmk-keystore).

### Utilisation de l' AWS KMS API
<a name="update-keystore-api"></a>

Pour modifier les propriétés d'un magasin de AWS CloudHSM clés, utilisez l'[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)opération. Vous pouvez modifier plusieurs propriétés d'un magasin de clés personnalisé dans la même commande. Si l'opération aboutit, AWS KMS renvoie une réponse HTTP 200 et un objet JSON sans propriétés. Pour vérifier que les modifications sont effectives, utilisez l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération.

Les exemples de cette section utilisent la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge. 

Commencez par utiliser [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)pour [déconnecter le magasin de clés personnalisé](disconnect-keystore.md) de son AWS CloudHSM cluster. Remplacez l'exemple d'ID de magasin de clés personnalisé, cks-1234567890abcdef0, par un ID réel.

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Le premier exemple utilise [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)pour remplacer le nom convivial du magasin de AWS CloudHSM clés par`DevelopmentKeys`. La commande utilise le `CustomKeyStoreId` paramètre pour identifier le magasin de AWS CloudHSM clés et `CustomKeyStoreName` pour spécifier le nouveau nom du magasin de clés personnalisé.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys
```

L'exemple suivant remplace le cluster associé à une banque de AWS CloudHSM clés par une autre sauvegarde du même cluster. La commande utilise le `CustomKeyStoreId` paramètre pour identifier le magasin de AWS CloudHSM clés et le `CloudHsmClusterId` paramètre pour spécifier le nouvel ID de cluster. 

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg
```

L'exemple suivant indique AWS KMS que le mot de `kmsuser` passe actuel est`ExamplePassword`. La commande utilise le `CustomKeyStoreId` paramètre pour identifier le magasin de AWS CloudHSM clés et le `KeyStorePassword` paramètre pour spécifier le mot de passe actuel.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword
```

La commande finale reconnecte le magasin de AWS CloudHSM clés à son AWS CloudHSM cluster. Vous pouvez laisser le magasin de clés personnalisé à l'état déconnecté, mais vous devez le connecter avant de pouvoir créer des clés KMS ou d'utiliser les clés KMS existantes pour les [opérations de chiffrement](manage-cmk-keystore.md#use-cmk-keystore). Remplacez l'exemple d'ID de magasin de clés personnalisé par un ID réel.

```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

# Connectez un magasin AWS CloudHSM de clés
<a name="connect-keystore"></a>

Les nouveaux magasins de AWS CloudHSM clés ne sont pas connectés. Avant de pouvoir créer et utiliser AWS KMS keys dans votre magasin de AWS CloudHSM clés, vous devez le connecter au AWS CloudHSM cluster associé. Vous pouvez connecter et déconnecter votre magasin de AWS CloudHSM clés à tout moment et [consulter son état de connexion](view-keystore.md#view-keystore-console). 

Vous n'êtes pas obligé de connecter votre magasin de AWS CloudHSM clés. Vous pouvez laisser un magasin de AWS CloudHSM clés dans un état déconnecté indéfiniment et le connecter uniquement lorsque vous en avez besoin. Cependant, vous pouvez tester la connexion régulièrement pour vérifier que les paramètres sont corrects et que le magasin peut être connecté.

**Note**  
AWS CloudHSM les magasins de clés ont un état de `DISCONNECTED` connexion uniquement lorsque le magasin de clés n'a jamais été connecté ou que vous le déconnectez explicitement. Si l'état de votre connexion au magasin de AWS CloudHSM clés est le même `CONNECTED` mais que vous ne parvenez pas à l'utiliser, assurez-vous que le AWS CloudHSM cluster associé est actif et qu'il en contient au moins un actif HSMs. Pour obtenir de l'aide concernant les connexions ayant échoué, veuillez consulter [Dépannage d'un magasin de clés personnalisé](fix-keystore.md).

Lorsque vous connectez un magasin de AWS CloudHSM clés, AWS KMS trouvez le AWS CloudHSM cluster associé, vous y connectez, vous connectez au AWS CloudHSM client en tant qu'[utilisateur `kmsuser` cryptographique](keystore-cloudhsm.md#concept-kmsuser) (CU), puis modifiez le `kmsuser` mot de passe. AWS KMS reste connecté au AWS CloudHSM client tant que le magasin de AWS CloudHSM clés est connecté.

Pour établir la connexion, AWS KMS crée un [groupe de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) nommé `kms-<custom key store ID>` dans le cloud privé virtuel (VPC) du cluster. Le groupe de sécurité dispose d'une règle unique qui autorise le trafic entrant en provenance du groupe de sécurité du cluster. AWS KMS crée également une [Elastic Network Interface](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) (ENI) dans chaque zone de disponibilité du sous-réseau privé du cluster. AWS KMS ajoute le ENIs au groupe `kms-<cluster ID>` de sécurité et le groupe de sécurité du cluster. La description de chaque ENI est `KMS managed ENI for cluster <cluster-ID>`.

Le processus de connexion peut prendre un certain temps pour s'achever, jusqu'à 20 minutes. 

Avant de connecter le magasin de AWS CloudHSM clés, vérifiez qu'il répond aux exigences.
+ Son AWS CloudHSM cluster associé doit contenir au moins un HSM actif. Pour trouver le nombre de HSMs dans le cluster, visualisez le cluster dans la AWS CloudHSM console ou utilisez l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)opération. Si nécessaire, vous pouvez [ajouter un module HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html).
+ Le cluster doit disposer d'un compte [utilisateur `kmsuser` crypté](create-keystore.md#kmsuser-concept) (CU), mais ce CU ne peut pas être connecté au cluster lorsque vous connectez le magasin de AWS CloudHSM clés. Pour obtenir de l'aide sur la déconnexion, reportez-vous à la section [Comment se déconnecter et se reconnecter](fix-keystore.md#login-kmsuser-2).
+ L'état de connexion du magasin de AWS CloudHSM clés ne peut pas être `DISCONNECTING` ou`FAILED`. Pour afficher l'état de la connexion, utilisez la AWS KMS console ou la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)réponse. Si l'état de la connexion est `FAILED`, déconnectez le magasin de clés personnalisé, résolvez le problème, puis connectez-le à nouveau.

Pour obtenir de l'aide concernant les connexions ayant échoué, veuillez consulter [Comment corriger un échec de connexion](fix-keystore.md#fix-keystore-failed).

Lorsque votre magasin de AWS CloudHSM clés est connecté, vous pouvez y [créer des clés KMS et utiliser](create-cmk-keystore.md) les clés KMS existantes dans [des opérations cryptographiques](manage-cmk-keystore.md#use-cmk-keystore).

## Connectez-vous et reconnectez-vous à votre magasin de AWS CloudHSM clés
<a name="connect-hsm-keystore"></a>

Vous pouvez connecter ou reconnecter votre magasin de AWS CloudHSM clés dans la AWS KMS console ou en utilisant l'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)opération.

### Utilisation de la AWS KMS console
<a name="connect-keystore-console"></a>

Pour connecter un magasin de AWS CloudHSM clés dans le AWS Management Console, commencez par sélectionner le magasin de AWS CloudHSM clés **sur la page Stockages de clés personnalisés**. Le processus de connexion peut prendre jusqu'à 20 minutes.

1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

1. Dans le panneau de navigation, sélectionnez **Custom key stores** (Magasins de clés personnalisés), **AWS CloudHSM key stores** (Magasins de clés).

1. Choisissez la ligne du magasin de AWS CloudHSM clés que vous souhaitez connecter. 

   Si l'état de connexion du magasin de AWS CloudHSM clés est **Échec**, vous devez [déconnecter le magasin de clés personnalisé](disconnect-keystore.md#disconnect-keystore-console) avant de le connecter.

1. Dans le menu **Key store actions** (Actions de magasin de clés), choisissez **Connect** (Connecter).

AWS KMS lance le processus de connexion à votre magasin de clés personnalisé. Il recherche le cluster AWS CloudHSM associé, crée l'infrastructure réseau requise, la connecte, se connecte au cluster AWS CloudHSM en tant qu'utilisateur de chiffrement (CU) `kmsuser` et effectue une rotation du mot de passe `kmsuser`. Une fois l'opération terminée, l'état de la connexion devient **Connected**. 

Si l'opération échoue, un message d'erreur s'affiche qui décrit la raison de l'échec. Avant de réessayer de vous connecter, [consultez l'état de connexion](view-keystore.md) de votre magasin de AWS CloudHSM clés. Si le statut est **Failed**, vous devez [déconnecter le magasin de clés personnalisé](disconnect-keystore.md#disconnect-keystore-console) avant de vous connecter à nouveau. Si vous avez besoin d'aide, consultez [Dépannage d'un magasin de clés personnalisé](fix-keystore.md).

**Suivant :** [Création d'une clé KMS dans un magasin de AWS CloudHSM clés](create-cmk-keystore.md).

### Utilisation de l' AWS KMS API
<a name="connect-keystore-api"></a>

Pour connecter un magasin de AWS CloudHSM clés déconnecté, utilisez l'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)opération. Le AWS CloudHSM cluster associé doit contenir au moins un HSM actif et l'état de connexion ne peut pas l'être`FAILED`.

Le processus de connexion peut prendre un certain temps pour s'achever, jusqu'à 20 minutes. Sauf si elle échoue rapidement, l'opération renvoie une réponse HTTP 200 et un objet JSON sans propriétés. Cependant, cette réponse initiale n'indique pas que la connexion a abouti. Pour déterminer l'état de connexion du magasin de clés personnalisé, consultez la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)réponse.

Les exemples de cette section utilisent la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge. 

Pour identifier le magasin de AWS CloudHSM clés, utilisez son identifiant de magasin de clés personnalisé. Vous pouvez trouver l'ID sur la page des **stockages de clés personnalisés** de la console ou en utilisant l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération sans paramètres. Avant d'exécuter cet exemple, remplacez l'ID de l'exemple par un ID valide.

```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Pour vérifier que le magasin de AWS CloudHSM clés est connecté, utilisez l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Toutefois, vous pouvez utiliser le paramètre `CustomKeyStoreName`ou `CustomKeyStoreId` (mais pas les deux) pour limiter la réponse à des magasins de clés personnalisés en particulier. Si `ConnectionState` a la valeur `CONNECTED`, cela indique que le magasin de clés personnalisé est connecté à son cluster AWS CloudHSM .

**Note**  
Le `CustomKeyStoreType` champ a été ajouté à la `DescribeCustomKeyStores` réponse pour distinguer les magasins de AWS CloudHSM clés des magasins de clés externes.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}
```

Si la valeur de `ConnectionState` est failed, l'élément `ConnectionErrorCode` indique la raison de l'échec. Dans ce cas, vous AWS KMS n'avez pas trouvé de AWS CloudHSM cluster dans votre compte avec l'ID du cluster`cluster-1a23b4cdefg`. Si vous avez supprimé le cluster, vous pouvez le [restaurer à partir d'une sauvegarde](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) du cluster d'origine, puis [modifier l'ID de cluster](update-keystore.md) pour le magasin de clés personnalisé. Pour obtenir de l'aide afin de répondre à un code d'erreur de connexion, veuillez consulter la rubrique [Comment corriger un échec de connexion](fix-keystore.md#fix-keystore-failed).

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
      "ConnectionErrorCode": "CLUSTER_NOT_FOUND"
   ],
}
```

# Déconnecter un magasin de AWS CloudHSM clés
<a name="disconnect-keystore"></a>

Lorsque vous déconnectez un magasin de AWS CloudHSM clés, AWS KMS que vous vous déconnectez du AWS CloudHSM client, que vous vous déconnectez du AWS CloudHSM cluster associé et que vous supprimez l'infrastructure réseau créée pour prendre en charge la connexion.

Lorsqu'un magasin de AWS CloudHSM clés est déconnecté, vous pouvez gérer le magasin de AWS CloudHSM clés et ses clés KMS, mais vous ne pouvez pas créer ou utiliser de clés KMS dans le magasin de AWS CloudHSM clés. L'état de connexion du magasin de clés est `DISCONNECTED` et l'[état de la clé](key-state.md) des clés KMS du magasin de clés personnalisé est `Unavailable`, sauf si elles sont `PendingDeletion`. Vous pouvez reconnecter le magasin de AWS CloudHSM clés à tout moment.

**Note**  
AWS CloudHSM les magasins de clés ont un état de `DISCONNECTED` connexion uniquement lorsque le magasin de clés n'a jamais été connecté ou que vous le déconnectez explicitement. Si l'état de votre connexion au magasin de AWS CloudHSM clés est le même `CONNECTED` mais que vous ne parvenez pas à l'utiliser, assurez-vous que le AWS CloudHSM cluster associé est actif et qu'il en contient au moins un actif HSMs. Pour obtenir de l'aide concernant les connexions ayant échoué, veuillez consulter [Dépannage d'un magasin de clés personnalisé](fix-keystore.md).

Lorsque vous déconnectez un magasin de clés personnalisé, les clés KMS du magasin de clés deviennent immédiatement inutilisables (sous réserve d'une éventuelle cohérence). Toutefois, les ressources chiffrées à l'aide de [clés de données](data-keys.md) protégées par la clé KMS ne sont pas affectées tant que la clé KMS n'est pas réutilisée, par exemple pour déchiffrer la clé de données. Ce problème affecte les Services AWS, dont beaucoup utilisent des clés de données pour protéger vos ressources. Pour en savoir plus, consultez [Comment les clés KMS inutilisables affectent les clés de données](unusable-kms-keys.md).

**Note**  
Même si un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de clés KMS dans le magasin de clés personnalisé ou d'utilisation de clés KMS existantes dans les opérations de chiffrement échouent. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.

Pour mieux estimer l'effet de la déconnexion de votre magasin de clés personnalisé, [identifiez les clés KMS](find-cmk-in-keystore.md) du magasin de clés personnalisé et [déterminez leur utilisation antérieure](deleting-keys-determining-usage.md).

Vous pouvez déconnecter un magasin de AWS CloudHSM clés pour les raisons suivantes :
+ **Pour effectuer une rotation du mot de passe `kmsuser`. ** AWS KMS modifie le mode de passe de `kmsuser` chaque fois qu'il se connecte au cluster AWS CloudHSM . Pour forcer une rotation de mot de passe, déconnectez-vous et reconnectez-vous.
+ **Pour auditer le matériel clé** des clés KMS du AWS CloudHSM cluster. Lorsque vous déconnectez le magasin de clés personnalisé AWS KMS , vous vous déconnectez du compte [utilisateur `kmsuser` cryptographique](keystore-cloudhsm.md#concept-kmsuser) du AWS CloudHSM client. Ceci vous permet de vous connecter au cluster en tant qu'utilisateur du chiffrement `kmsuser`, et d'auditer et gérer les éléments de clé pour la clé KMS.
+ **Pour désactiver immédiatement toutes les clés KMS** dans le magasin de clés AWS CloudHSM . Vous pouvez [désactiver et réactiver les clés KMS](enabling-keys.md) dans un magasin de AWS CloudHSM clés en utilisant l'[DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)opération AWS Management Console ou. Ces opérations s'effectuent rapidement, mais elles agissent sur une seule clé KMS à la fois. La déconnexion du magasin de AWS CloudHSM clés change immédiatement l'état de toutes les clés KMS du magasin de AWS CloudHSM clés`Unavailable`, ce qui empêche leur utilisation dans le cadre d'une opération cryptographique.
+ **Pour réparer un échec de tentative de connexion**. Si la tentative de connexion d'un magasin de AWS CloudHSM clés échoue (l'état de connexion du magasin de clés personnalisé est le cas`FAILED`), vous devez déconnecter le magasin de AWS CloudHSM clés avant de réessayer de le connecter.

## Déconnectez votre magasin de AWS CloudHSM clés
<a name="disconnect-hsm-keystore"></a>

Vous pouvez déconnecter votre AWS CloudHSM porte-clés dans la AWS KMS console ou en utilisant l'[DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)opération.

### Déconnexion à l'aide de la AWS KMS console
<a name="disconnect-keystore-console"></a>

Pour déconnecter un magasin de AWS CloudHSM clés connecté dans la AWS KMS console, commencez par choisir le magasin de AWS CloudHSM clés **sur la page Stockages de clés personnalisés**.

1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

1. Dans le panneau de navigation, sélectionnez **Custom key stores** (Magasins de clés personnalisés), **AWS CloudHSM key stores** (Magasins de clés).

1. Choisissez la ligne du magasin de clés externe que vous souhaitez déconnecter. 

1. Dans le menu **Key store actions** (Actions de magasin de clés), choisissez **Disconnect** (Déconnecter).

Une fois l'opération terminée, l'état de la connexion passe de **Disconnecting** à **Disconnected**. Si l'opération échoue, un message d'erreur s'affiche qui décrit le problème et fournit une aide pour le résoudre. Si vous avez besoin d'aide supplémentaire, consultez [Dépannage d'un magasin de clés personnalisé](fix-keystore.md).

### Déconnectez-vous à l'aide de l' AWS KMS API
<a name="disconnect-keystore-api"></a>

Pour déconnecter un magasin de AWS CloudHSM clés connecté, utilisez l'[DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)opération. Si l'opération aboutit, AWS KMS renvoie une réponse HTTP 200 et un objet JSON sans propriétés.

Les exemples de cette section utilisent la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge. 

Cet exemple déconnecte un magasin de AWS CloudHSM clés. Avant d'exécuter cet exemple, remplacez l'ID de l'exemple par un ID valide.

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Pour vérifier que le magasin de AWS CloudHSM clés est déconnecté, utilisez l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Toutefois, vous pouvez utiliser le paramètre `CustomKeyStoreName` ou `CustomKeyStoreId` (mais pas les deux) pour limiter la réponse à des magasins de clés personnalisés en particulier. La `ConnectionState` valeur de `DISCONNECTED` indique que cet exemple de magasin de AWS CloudHSM clés n'est pas connecté à son AWS CloudHSM cluster.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "1.499288695918E9",
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>"
   ],
}
```

# Supprimer un magasin AWS CloudHSM de clés
<a name="delete-keystore"></a>

Lorsque vous supprimez un magasin de AWS CloudHSM clés, toutes les AWS KMS métadonnées le AWS CloudHSM concernant sont supprimées de KMS, y compris les informations relatives à son association avec un AWS CloudHSM cluster. Cette opération n'affecte ni le AWS CloudHSM cluster HSMs, ni ses utilisateurs. Vous pouvez créer un nouveau magasin de AWS CloudHSM clés associé au même AWS CloudHSM cluster, mais vous ne pouvez pas annuler l'opération de suppression.

Vous ne pouvez supprimer qu'un magasin de AWS CloudHSM clés qui est déconnecté de son AWS CloudHSM cluster et qui n'en contient aucun AWS KMS keys. Avant de supprimer un magasin de clés personnalisé, procédez comme suit :
+ Vérifiez que vous n'aurez jamais besoin d'utiliser l'une des clés KMS du magasin de clés pour des [opérations de chiffrement](manage-cmk-keystore.md#use-cmk-keystore). Ensuite, [planifiez la suppression](deleting-keys.md#delete-cmk-keystore) de toutes les clés KMS du magasin de clés. Pour obtenir de l'aide pour trouver les clés KMS dans un magasin de AWS CloudHSM clés, consultez[Trouvez les clés KMS dans un magasin de AWS CloudHSM clés](find-cmk-in-keystore.md).
+ Vérifiez que toutes les clés KMS ont été supprimées. Pour afficher les clés KMS dans un magasin de AWS CloudHSM clés, voir[Identifiez les clés KMS dans les magasins de AWS CloudHSM clés](identify-key-types.md#identify-key-hsm-keystore).
+ [Déconnectez le magasin de AWS CloudHSM clés](disconnect-keystore.md) de son AWS CloudHSM cluster.

Au lieu de supprimer le magasin de AWS CloudHSM clés, pensez à le [déconnecter](disconnect-keystore.md) de son AWS CloudHSM cluster associé. Lorsqu'un magasin de AWS CloudHSM clés est déconnecté, vous pouvez gérer le magasin de AWS CloudHSM clés et son AWS KMS keys. Mais vous ne pouvez pas créer ou utiliser de clés KMS dans le magasin de AWS CloudHSM clés. Vous pouvez reconnecter le magasin de AWS CloudHSM clés à tout moment.

## Supprimer votre magasin AWS CloudHSM de clés
<a name="delete-hsm-keystore"></a>

Vous pouvez supprimer votre magasin de AWS CloudHSM clés dans la AWS KMS console ou en utilisant cette [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)opération.

### Utilisation de la AWS KMS console
<a name="delete-keystore-console"></a>

Pour supprimer un magasin de AWS CloudHSM clés dans le AWS Management Console, commencez par sélectionner le magasin de AWS CloudHSM clés **sur la page Stockages de clés personnalisés**.

1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

1. Dans le panneau de navigation, sélectionnez **Custom key stores** (Magasins de clés personnalisés), **AWS CloudHSM key stores** (Magasins de clés).

1. Recherchez la ligne qui représente le magasin de AWS CloudHSM clés que vous souhaitez supprimer. Si l'**état de connexion** du magasin de AWS CloudHSM clés n'est pas **Déconnecté**, vous devez [déconnecter le magasin de AWS CloudHSM clés](disconnect-keystore.md) avant de le supprimer.

1. Dans le menu **Key store actions** (Actions de magasin de clés), choisissez **Delete** (Supprimer).

Lorsque l'opération est terminée, un message de réussite apparaît et le magasin de AWS CloudHSM clés n'apparaît plus dans la liste des magasins de clés. Si l'opération échoue, un message d'erreur s'affiche qui décrit le problème et fournit une aide pour le résoudre. Si vous avez besoin d'aide supplémentaire, consultez [Dépannage d'un magasin de clés personnalisé](fix-keystore.md).

### Utilisation de l' AWS KMS API
<a name="delete-keystore-api"></a>

Pour supprimer un magasin de AWS CloudHSM clés, utilisez l'[DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)opération. Si l'opération aboutit, AWS KMS renvoie une réponse HTTP 200 et un objet JSON sans propriétés.

Pour commencer, vérifiez que le magasin de AWS CloudHSM clés n'en contient aucune AWS KMS keys. Vous ne pouvez pas supprimer un magasin de clés personnalisé qui contient des clés KMS. Le premier exemple de commande utilise [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)et [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)pour rechercher AWS KMS keys dans le magasin de AWS CloudHSM clés avec l'exemple d'ID de magasin de clés *cks-1234567890abcdef0* personnalisé. Dans ce cas, la commande ne renvoie aucune clé KMS. Si c'est le cas, utilisez l'[ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)opération pour planifier la suppression de chacune des clés KMS.

------
#### [ Bash ]

```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ; 
do aws kms describe-key --key-id $key | 
grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done
```

------
#### [ PowerShell ]

```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'
```

------

Ensuite, déconnectez le magasin de AWS CloudHSM clés. Cet exemple de commande utilise l'[DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)opération pour déconnecter un magasin de AWS CloudHSM clés de son AWS CloudHSM cluster. Avant d’exécuter la commande, remplacez l’exemple d’ID de magasin de clés personnalisé par un ID valide.

------
#### [ Bash ]

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

------
#### [ PowerShell ]

```
PS C:\> Disconnect-KMSCustomKeyStore -CustomKeyStoreId cks-1234567890abcdef0
```

------

Une fois le magasin de clés personnalisé déconnecté, vous pouvez utiliser [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)cette opération pour le supprimer. 

------
#### [ Bash ]

```
$ aws kms delete-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

------
#### [ PowerShell ]

```
PS C:\> Remove-KMSCustomKeyStore -CustomKeyStoreId cks-1234567890abcdef0
```

------

# Dépannage d'un magasin de clés personnalisé
<a name="fix-keystore"></a>

AWS CloudHSM les magasins clés sont conçus pour être disponibles et résilients. Cependant, vous devrez peut-être corriger certaines erreurs pour que votre magasin de AWS CloudHSM clés reste opérationnel.

**Topics**
+ [Comment corriger les clés KMS non disponibles](#fix-unavailable-cmks)
+ [Comment corriger les clés KMS défaillantes](#fix-cmk-failed)
+ [Comment corriger un échec de connexion](#fix-keystore-failed)
+ [Comment répondre à un échec d'opération de chiffrement](#fix-keystore-communication)
+ [Comment corriger les informations d'identification `kmsuser` non valides](#fix-keystore-password)
+ [Comment supprimer les éléments de clé orphelins](#fix-keystore-orphaned-key)
+ [Comment récupérer les éléments de clé supprimés pour une clé KMS](#fix-keystore-recover-backing-key)
+ [Comment se connecter en tant que `kmsuser`](#fix-login-as-kmsuser)

## Comment corriger les clés KMS non disponibles
<a name="fix-unavailable-cmks"></a>

L'[état clé](key-state.md) de AWS KMS keys dans un magasin de AWS CloudHSM clés est généralement`Enabled`. Comme toutes les clés KMS, l'état de la clé change lorsque vous désactivez les clés KMS dans un magasin de AWS CloudHSM clés ou que vous planifiez leur suppression. Toutefois, contrairement à d'autres clés KMS, les clés KMS d'un magasin de clés personnalisé peuvent également avoir un [état de clé](key-state.md) de `Unavailable`. 

Un état de clé `Unavailable` indique que la clé KMS est dans un magasin de clés personnalisé qui a été intentionnellement [déconnecté](disconnect-keystore.md) et que les tentatives pour le reconnecter, le cas échéant, ont échoué. Lorsqu'une clé KMS n'est pas disponible, vous pouvez afficher et gérer la clé KMS, mais vous ne pouvez pas l'utiliser dans les [opérations de chiffrement](manage-cmk-keystore.md#use-cmk-keystore).

Pour obtenir l'état de clé d'une clé KMS, sur la page **Clés gérées par le client**, veuillez consulter le champ **Status (État)** de la clé KMS. Vous pouvez également utiliser l'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)opération et afficher l'`KeyState`élément dans la réponse. Pour plus de détails, veuillez consulter [Identifier et afficher les clés](viewing-keys.md).

Les clés KMS d'un magasin de clés personnalisé déconnecté possèdent l'état de clé `Unavailable` ou `PendingDeletion`. Les clés KMS dont la suppression a été planifiée à partir d'un magasin de clés personnalisé ont un état de clé `Pending Deletion`, même si le magasin de clés personnalisé est déconnecté. Cela vous permet d'annuler la suppression de clé planifiée sans reconnecter le magasin de clés personnalisé. 

Pour corriger une clé KMS indisponible, [reconnectez le magasin de clés personnalisé](disconnect-keystore.md). Une fois le magasin de clés personnalisé reconnecté, l'état de clé des clés KMS du magasin de clés personnalisé est automatiquement restauré à son état précédent, comme `Enabled` ou `Disabled`. Les clés KMS qui sont en attente de suppression restent dans l'état `PendingDeletion`. Toutefois, si le problème persiste, [l'activation et la désactivation d'une clé KMS indisponible](enabling-keys.md) ne changent pas son état. L'action d'activation ou de désactivation prend effet uniquement lorsque la clé devient disponible.

Pour obtenir de l'aide concernant les connexions ayant échoué, consultez [Comment corriger un échec de connexion](#fix-keystore-failed). 

## Comment corriger les clés KMS défaillantes
<a name="fix-cmk-failed"></a>

Les problèmes liés à la création et à l'utilisation de clés KMS dans AWS CloudHSM les magasins de clés peuvent être dus à un problème lié à votre magasin de AWS CloudHSM clés, au AWS CloudHSM cluster associé, à la clé KMS ou à son contenu clé. 

Lorsqu'un magasin de AWS CloudHSM clés est déconnecté de son AWS CloudHSM cluster, l'état clé des clés KMS dans le magasin de clés personnalisé est`Unavailable`. Toutes les demandes de création de clés KMS dans un magasin de AWS CloudHSM clés déconnecté renvoient une `CustomKeyStoreInvalidStateException` exception. Toutes les demandes pour chiffrer, déchiffrer, rechiffrer ou générer les clés de données renvoient une exception `KMSInvalidStateException`. Pour résoudre le problème, [reconnectez le magasin de AWS CloudHSM clés.](connect-keystore.md)

Toutefois, vos tentatives d'utilisation d'une clé KMS dans un magasin de AWS CloudHSM clés pour [des opérations cryptographiques](manage-cmk-keystore.md#use-cmk-keystore) peuvent échouer même si l'état de la clé est `Enabled` identique à celui de la connexion du magasin de AWS CloudHSM clés. `Connected` Cela peut être dû à l'une des conditions suivantes.
+ Les éléments de clé de la clé KMS peuvent avoir été supprimés du cluster AWS CloudHSM associé. Pour étudier, [recherchez l'identifiant](find-handle-for-cmk-id.md) de la clé d'une clé KMS et, si nécessaire, essayez de [récupérer la clé](#fix-keystore-recover-backing-key).
+ Tous HSMs ont été supprimés du AWS CloudHSM cluster associé au magasin de AWS CloudHSM clés. Pour utiliser une clé KMS dans un magasin de AWS CloudHSM clés dans le cadre d'une opération cryptographique, son AWS CloudHSM cluster doit contenir au moins un HSM actif. Pour vérifier le nombre et l'état de HSMs dans un AWS CloudHSM cluster, [utilisez la AWS CloudHSM console](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html) ou l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)opération. Pour ajouter un HSM au cluster, utilisez la AWS CloudHSM console ou l'[CreateHsm](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateHsm.html)opération.
+ Le AWS CloudHSM cluster associé au magasin de AWS CloudHSM clés a été supprimé. Pour corriger le problème, [créez un cluster à partir d'une sauvegarde](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) qui est liée au cluster d'origine, telle qu'une sauvegarde du cluster d'origine ou une sauvegarde qui a été utilisée pour créer le cluster d'origine. Ensuite, [modifiez l'ID de cluster](update-keystore.md) dans les paramètres du magasin de clés personnalisé. Pour obtenir des instructions, veuillez consulter [Comment récupérer les éléments de clé supprimés pour une clé KMS](#fix-keystore-recover-backing-key).
+ Le AWS CloudHSM cluster associé au magasin de clés personnalisé ne disposait d'aucune session PKCS \$111 disponible. Cela se produit généralement pendant les périodes de fort trafic en rafale, lorsque des sessions supplémentaires sont nécessaires pour traiter le trafic. Pour réagir à une exception `KMSInternalException` avec un message d'erreur concernant les sessions PKCS \$111, revenez en arrière et relancez la requête. 

## Comment corriger un échec de connexion
<a name="fix-keystore-failed"></a>

Si vous essayez de [connecter un magasin de AWS CloudHSM clés](connect-keystore.md) à son AWS CloudHSM cluster, mais que l'opération échoue, l'état de connexion du magasin de AWS CloudHSM clés passe à`FAILED`. Pour connaître l'état de connexion d'un magasin de AWS CloudHSM clés, utilisez la AWS KMS console ou l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération. 

Sinon, certains tentatives de connexion échouent rapidement en raison d'erreurs de configuration de cluster facilement détectées. Dans ce cas, l'état de la connexion est toujours `DISCONNECTED`. Ces échecs renvoient un message d'erreur ou une [exception](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html#API_ConnectCustomKeyStore_Errors) qui explique pourquoi la tentative a échoué. Consultez la description de l'exception et [les exigences du cluster](create-keystore.md#before-keystore), résolvez le problème, [mettez à jour le magasin de AWS CloudHSM clés](update-keystore.md), si nécessaire, et réessayez de vous connecter.

Lorsque l'état de connexion est `FAILED` défini, exécutez l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération et voyez l'`ConnectionErrorCode`élément dans la réponse.

**Note**  
Lorsque l'état de connexion d'un magasin de AWS CloudHSM clés est `FAILED` atteint, vous devez [le AWS CloudHSM déconnecter](disconnect-keystore.md) avant de tenter de le reconnecter. Vous ne pouvez pas connecter un magasin de AWS CloudHSM clés doté d'un état de `FAILED` connexion.
+ `CLUSTER_NOT_FOUND`indique qu'il est AWS KMS impossible de trouver un AWS CloudHSM cluster avec l'ID de cluster spécifié. Cela peut se produire parce que le mauvais ID de cluster a été fourni à une opération d'API ou que le cluster a été supprimé et n'a pas été remplacé. Pour corriger cette erreur, vérifiez l'ID du cluster, par exemple à l'aide de la AWS CloudHSM console ou de l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)opération. Si le cluster a été supprimé, la [créez un cluster à partir d'une sauvegarde récente](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) de l'original. [Déconnectez ensuite le magasin de AWS CloudHSM clés](disconnect-keystore.md), [modifiez le AWS CloudHSM paramètre d'ID du cluster de magasins](update-keystore.md) de clés et [reconnectez le magasin de AWS CloudHSM clés](connect-keystore.md) au cluster.
+ `INSUFFICIENT_CLOUDHSM_HSMS`indique que le AWS CloudHSM cluster associé n'en contient aucun HSMs. Pour vous connecter, le cluster doit avoir au moins un HSM. Pour trouver le nombre de HSMs dans le cluster, utilisez l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)opération. Pour résoudre cette erreur, [ajoutez au moins un module HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-hsm.html) au cluster. Si vous en ajoutez plusieurs HSMs, il est préférable de les créer dans différentes zones de disponibilité.
+ `INSUFFICIENT_FREE_ADDRESSES_IN_SUBNET`indique qu'il n' AWS KMS a pas pu connecter le magasin de AWS CloudHSM clés à son AWS CloudHSM cluster car au moins un [sous-réseau privé associé au cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html) ne dispose d'aucune adresse IP disponible. Une connexion au magasin de AWS CloudHSM clés nécessite une adresse IP libre dans chacun des sous-réseaux privés associés, bien que deux soient préférables.

  Vous [ne pouvez pas ajouter des adresses IP](https://aws.amazon.com/premiumsupport/knowledge-center/vpc-ip-address-range/) (blocs CIDR) vers un sous-réseau existant. Si possible, déplacez ou supprimez les autres ressources qui utilisent les adresses IP du sous-réseau, telles que les instances EC2 inutilisées ou les interfaces réseau Elastic. Sinon, vous pouvez [créer un cluster à partir d'une sauvegarde récente](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) du AWS CloudHSM cluster avec des sous-réseaux privés nouveaux ou existants qui disposent de [plus d'espace d'adressage libre](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing). Ensuite, pour associer le nouveau cluster à votre magasin de AWS CloudHSM clés, [déconnectez le magasin de clés personnalisé](disconnect-keystore.md), [remplacez l'ID de cluster](update-keystore.md) du magasin de AWS CloudHSM clés par l'ID du nouveau cluster, puis réessayez de vous connecter.
**Astuce**  
Pour éviter [de réinitialiser le `kmsuser` mot de passe](#fix-keystore-password), utilisez la sauvegarde la plus récente du AWS CloudHSM cluster.
+ `INTERNAL_ERROR`indique que la demande n' AWS KMS a pas pu être traitée en raison d'une erreur interne. Réitérez la demande. Pour les `ConnectCustomKeyStore` demandes, déconnectez le magasin de AWS CloudHSM clés avant de réessayer de vous connecter.
+ `INVALID_CREDENTIALS`indique qu'il AWS KMS ne peut pas se connecter au AWS CloudHSM cluster associé car le mot de passe du `kmsuser` compte n'est pas correct. Pour obtenir de l'aide sur cette erreur, veuillez consulter [Comment corriger les informations d'identification `kmsuser` non valides](#fix-keystore-password).
+ `NETWORK_ERRORS` indique généralement des problèmes réseau temporaires. [Déconnectez le magasin de AWS CloudHSM clés](disconnect-keystore.md), attendez quelques minutes, puis réessayez de vous connecter.
+ `SUBNET_NOT_FOUND`indique qu'au moins un sous-réseau de la configuration du AWS CloudHSM cluster a été supprimé. Si vous AWS KMS ne trouvez pas tous les sous-réseaux dans la configuration du cluster, les tentatives de connexion du magasin de AWS CloudHSM clés au AWS CloudHSM cluster échouent. 

  Pour corriger cette erreur, [créez un cluster à partir d'une sauvegarde récente](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) du même AWS CloudHSM cluster. (Ce processus crée une nouvelle configuration de cluster avec un VPC et des sous-réseaux privés.) Vérifiez que le nouveau cluster répond aux [conditions requises pour un magasin de clés personnalisé](create-keystore.md#before-keystore) et notez l'ID du nouveau cluster. Ensuite, pour associer le nouveau cluster à votre magasin de AWS CloudHSM clés, [déconnectez le magasin de clés personnalisé](disconnect-keystore.md), [remplacez l'ID de cluster](update-keystore.md) du magasin de AWS CloudHSM clés par l'ID du nouveau cluster, puis réessayez de vous connecter.
**Astuce**  
Pour éviter [de réinitialiser le `kmsuser` mot de passe](#fix-keystore-password), utilisez la sauvegarde la plus récente du AWS CloudHSM cluster.
+ `USER_LOCKED_OUT` indique que le [compte CU (utilisateur de chiffrement) `kmsuser`](keystore-cloudhsm.md#concept-kmsuser) est verrouillé pour le cluster AWS CloudHSM associé en raison d'un trop grand nombre de tentatives de mot de passe ayant échoué. Pour obtenir de l'aide sur cette erreur, veuillez consulter [Comment corriger les informations d'identification `kmsuser` non valides](#fix-keystore-password).

  Pour corriger cette erreur, [déconnectez le magasin de AWS CloudHSM clés](disconnect-keystore.md) et utilisez la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) dans la CLI CloudHSM pour modifier le mot de passe du compte. `kmsuser` Ensuite, [modifiez le `kmsuser` paramètre de mot de passe](update-keystore.md) pour le magasin de clés personnalisé, et essayez de vous connecter à nouveau. Pour obtenir de l'aide, utilisez la procédure décrite dans la rubrique [Comment corriger les informations d'identification `kmsuser` non valides](#fix-keystore-password).
+ `USER_LOGGED_IN`indique que le compte `kmsuser` CU est connecté au AWS CloudHSM cluster associé. Cela AWS KMS empêche la rotation du mot de passe du `kmsuser` compte et la connexion au cluster. Pour corriger cette erreur, déconnectez le compte CU `kmsuser` du cluster. Si vous avez modifié le `kmsuser` mot de passe pour vous connecter au cluster, vous devez également mettre à jour la valeur du mot de passe du magasin de clés pour le magasin de AWS CloudHSM clés. Pour obtenir de l'aide, veuillez consulter [Comment se déconnecter et se reconnecter](#login-kmsuser-2).
+ `USER_NOT_FOUND`indique qu'il est AWS KMS impossible de trouver un compte `kmsuser` CU dans le AWS CloudHSM cluster associé. Pour corriger cette erreur, [créez un compte `kmsuser` CU](create-keystore.md#kmsuser-concept) dans le cluster, puis [mettez à jour la valeur du mot de passe du magasin de clés](update-keystore.md) pour le magasin de AWS CloudHSM clés. Pour obtenir de l'aide, veuillez consulter [Comment corriger les informations d'identification `kmsuser` non valides](#fix-keystore-password).

## Comment répondre à un échec d'opération de chiffrement
<a name="fix-keystore-communication"></a>

Une opération de chiffrement qui utilise une clé KMS dans un magasin de clés personnalisé peut échouer avec un `KMSInvalidStateException`. Les messages d'erreur suivants peuvent accompagner le `KMSInvalidStateException`.


|  | 
| --- |
| KMS ne peut pas communiquer avec votre cluster CloudHSM. Il peut s'agir d'un problème réseau transitoire. Si cette erreur s'affiche à plusieurs reprises, vérifiez que les règles du réseau ACLs et du groupe de sécurité pour le VPC de votre AWS CloudHSM cluster sont correctes. | 
+ Bien qu'il s'agisse d'une erreur HTTPS 400, elle peut résulter de problèmes réseau transitoires. Pour répondre, commencez par relancer la demande. Toutefois, si elle continue d'échouer, examinez la configuration de vos composants réseau. Cette erreur est probablement causée par une mauvaise configuration d'un composant réseau, telle qu'une règle de pare-feu ou une règle de groupe de sécurité VPC qui bloque le trafic sortant. Par exemple, KMS ne peut pas communiquer avec AWS CloudHSM les clusters IPv6. Pour plus de détails sur les prérequis, voir[Création d'un magasin de AWS CloudHSM clés](create-keystore.md).


|  | 
| --- |
| KMS ne peut pas communiquer avec votre AWS CloudHSM cluster car l'utilisateur kmsuser est verrouillé. Si cette erreur s'affiche à plusieurs reprises, déconnectez le magasin de AWS CloudHSM clés et réinitialisez le mot de passe du compte kmsuser. Mettez à jour le mot de passe kmsuser pour le magasin de clés personnalisé et réessayez la demande. | 
+ Ce message d’erreur indique que le [compte CU (utilisateur de chiffrement) `kmsuser`](keystore-cloudhsm.md#concept-kmsuser) est verrouillé pour le cluster AWS CloudHSM associé en raison d'un trop grand nombre de tentatives de mot de passe ayant échoué. Pour obtenir de l'aide sur cette erreur, veuillez consulter [Comment se déconnecter et se connecter](#login-kmsuser-1).

## Comment corriger les informations d'identification `kmsuser` non valides
<a name="fix-keystore-password"></a>

Lorsque vous [connectez un magasin de AWS CloudHSM clés](connect-keystore.md), vous AWS KMS vous connectez au AWS CloudHSM cluster associé en tant qu'[utilisateur `kmsuser` cryptographique](keystore-cloudhsm.md#concept-kmsuser) (CU). Il reste connecté jusqu'à ce que le magasin de AWS CloudHSM clés soit déconnecté. La réponse [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) réponse affiche pour `ConnectionState` la valeur `FAILED` et pour `ConnectionErrorCode` la valeur `INVALID_CREDENTIALS`, comme indiqué dans l'exemple suivant.

Si vous déconnectez le magasin de AWS CloudHSM clés et modifiez le `kmsuser` mot de passe, vous AWS KMS ne pouvez pas vous connecter au AWS CloudHSM cluster avec les informations d'identification du compte `kmsuser` CU. Par conséquent, toutes les tentatives de connexion au magasin de AWS CloudHSM clés échouent. La réponse `DescribeCustomKeyStores` réponse affiche pour `ConnectionState` la valeur `FAILED` et pour `ConnectionErrorCode` la valeur `INVALID_CREDENTIALS`, comme indiqué dans l'exemple suivant.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "INVALID_CREDENTIALS"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}
```

De plus, au bout de cinq tentatives de connexion au cluster ayant échoué avec un mot de passe incorrect, AWS CloudHSM verrouille le compte utilisateur. Pour se connecter au cluster, vous devez modifier le mot de passe du compte.

S'il AWS KMS obtient une réponse de verrouillage lorsqu'il essaie de se connecter au cluster en tant que `kmsuser` CU, la demande de connexion au magasin de AWS CloudHSM clés échoue. La [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)réponse inclut un `ConnectionState` de `FAILED` et une `ConnectionErrorCode` valeur de`USER_LOCKED_OUT`, comme indiqué dans l'exemple suivant.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "USER_LOCKED_OUT"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}
```

Pour réparer l'une ou l'autre de ces conditions, utilisez la procédure suivante. 

1. [Déconnectez le magasin de AWS CloudHSM clés](disconnect-keystore.md). 

1. Exécutez l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération et visualisez la valeur de l'`ConnectionErrorCode`élément dans la réponse. 
   + Si la valeur de `ConnectionErrorCode` est `INVALID_CREDENTIALS`, déterminez le mot de passe actuel pour le compte `kmsuser`. Si nécessaire, utilisez la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) dans la CLI CloudHSM pour définir le mot de passe sur une valeur connue.
   + Si la `ConnectionErrorCode` valeur est`USER_LOCKED_OUT`, vous devez utiliser la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) dans la CLI CloudHSM pour modifier le mot de passe. `kmsuser`

1. [Modifiez le mot de passe actuel de `kmsuser`](update-keystore.md) afin qu'il corresponde au mot de passe actuel de `kmsuser` dans le cluster. Cette action indique à AWS KMS le mot de passe à utiliser pour se connecter au cluster. Elle ne change pas le mot de passe de `kmsuser` dans le cluster.

1. [Connectez le magasin de clés personnalisé](connect-keystore.md).

## Comment supprimer les éléments de clé orphelins
<a name="fix-keystore-orphaned-key"></a>

Après avoir planifié la suppression d'une clé KMS d'un magasin de AWS CloudHSM clés, vous devrez peut-être supprimer manuellement le matériel clé correspondant du AWS CloudHSM cluster associé. 

Lorsque vous créez une clé KMS dans un magasin de AWS CloudHSM clés, AWS KMS crée les métadonnées de la clé KMS AWS KMS et génère le matériel clé dans le AWS CloudHSM cluster associé. Lorsque vous planifiez la suppression d'une clé KMS dans un magasin de AWS CloudHSM clés, les métadonnées de la clé KMS sont AWS KMS supprimées après la période d'attente. AWS KMS Fait ensuite de son mieux pour supprimer le matériel clé correspondant du AWS CloudHSM cluster. La tentative peut échouer si vous AWS KMS ne pouvez pas accéder au cluster, par exemple s'il est déconnecté du magasin de AWS CloudHSM clés ou si le `kmsuser` mot de passe est modifié. AWS KMS ne tente pas de supprimer les éléments clés des sauvegardes du cluster.

AWS KMS rapporte les résultats de sa tentative de suppression du contenu clé du cluster lors de `DeleteKey` la saisie de vos AWS CloudTrail journaux. Ils apparaissent dans l'élément `backingKeysDeletionStatus` de l'élément `additionalEventData`, comme illustré dans l'exemple d'entrée suivant. L'entrée inclut également l'ARN de la clé KMS, l'ID du AWS CloudHSM cluster et l'ID (`backing-key-id`) du matériau clé.

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "accountId": "111122223333",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2021-12-10T14:23:51Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DeleteKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": null,
    "responseElements":  {
        "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "additionalEventData": {
        "customKeyStoreId": "cks-1234567890abcdef0",
        "clusterId": "cluster-1a23b4cdefg",
        "backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]",
        "backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"FAILURE\"}]"
    },
    "eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsServiceEvent",
    "recipientAccountId": "111122223333",
    "managementEvent": true,
    "eventCategory": "Management"
}
```

**Remarques**  
Les procédures suivantes utilisent l'outil de ligne de commande du SDK AWS CloudHSM client 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. La CLI `key-handle` CloudHSM remplace par. `key-reference`  
Le 1er janvier 2025, la prise en charge des outils de ligne de commande du SDK client 3, de l'utilitaire de gestion CloudHSM (CMU) et de l'utilitaire de gestion des clés (KMU) AWS CloudHSM prendra fin. *Pour plus d'informations sur les différences entre les outils de ligne de commande du SDK client 3 et l'outil de ligne de commande du SDK client 5, consultez la section [Migrer de la CMU et de la KMU du SDK client 3 vers la CLI CloudHSM du SDK client 5](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) dans le guide de l'utilisateur.AWS CloudHSM *

Les procédures suivantes montrent comment supprimer le matériel clé orphelin du AWS CloudHSM cluster associé.

1. Déconnectez le magasin de AWS CloudHSM clés, s'il ne l'est pas déjà, [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html), comme expliqué dans[Comment se déconnecter et se connecter](#login-kmsuser-1).
**Note**  
Même si un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de clés KMS dans le magasin de clés personnalisé ou d'utilisation de clés KMS existantes dans les opérations de chiffrement échouent. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.

1. Utilisez la commande [key delete](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-delete.html) de la CLI CloudHSM pour supprimer la clé HSMs du cluster.

   Toutes les entrées du CloudTrail journal relatives aux opérations cryptographiques effectuées avec une clé KMS dans un magasin de AWS CloudHSM clés incluent un `additionalEventData` champ avec le `customKeyStoreId` et`backingKey`. La valeur renvoyée dans le `backingKeyId` champ est l'attribut clé `id` CloudHSM. Nous vous recommandons de filtrer l'opération de **suppression des clés** `id` afin de supprimer le contenu clé orphelin que vous avez identifié dans vos CloudTrail journaux.

   AWS CloudHSM reconnaît la `backingKeyId` valeur sous forme de valeur hexadécimale. Pour filtrer par`id`, vous devez ajouter le mot `backingKeyId` avec`Ox`. Par exemple, si `backingKeyId` dans votre CloudTrail journal l'est`1a2b3c45678abcdef`, vous devez filtrer par`0x1a2b3c45678abcdef`.

   L'exemple suivant supprime une clé de HSMs votre cluster. Le `backing-key-id` est répertorié dans l'entrée du CloudTrail journal. Avant d'exécuter cette commande, remplacez l'exemple `backing-key-id` par un exemple valide provenant de votre compte.

   ```
   aws-cloudhsm key delete --filter attr.id="0x<backing-key-id>"
   {
     "error_code": 0,
     "data": {
       "message": "Key deleted successfully"
     }
   }
   ```

1. Déconnectez-vous et reconnectez le magasin de AWS CloudHSM clés comme décrit dans[Comment se déconnecter et se reconnecter](#login-kmsuser-2).

## Comment récupérer les éléments de clé supprimés pour une clé KMS
<a name="fix-keystore-recover-backing-key"></a>

Si le contenu clé d'un AWS KMS key est supprimé, la clé KMS est inutilisable et tout le texte chiffré sous la clé KMS ne peut pas être déchiffré. Cela peut se produire si le matériel clé d'une clé KMS dans un magasin de AWS CloudHSM clés est supprimé du AWS CloudHSM cluster associé. Toutefois, il peut être possible de récupérer les clés.

Lorsque vous créez une AWS KMS key (clé KMS) dans un magasin de AWS CloudHSM clés AWS KMS , connectez-vous au AWS CloudHSM cluster associé et créez le matériel clé pour la clé KMS. Il remplace également le mot de passe par une valeur qu'il est le seul à connaître et reste connecté tant que le magasin de AWS CloudHSM clés est connecté. Étant donné que seul le propriétaire de la clé, c'est-à-dire le CU qui a créé une clé, peut supprimer la clé, il est peu probable que la clé soit supprimée HSMs accidentellement. 

Toutefois, si le contenu clé d'une clé KMS est supprimé HSMs d'un cluster, l'état de la clé KMS devient finalement`UNAVAILABLE`. Si vous essayez d'utiliser la clé KMS pour une opération cryptographique, l'opération échoue avec une exception `KMSInvalidStateException`. Et surtout, toutes les données chiffrées à l'aide de la clé KMS ne peuvent pas être déchiffrées.

Dans certains cas, vous pouvez récupérer les clés supprimés par [en créant un cluster à partir d'une sauvegarde](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) qui contient les clés. Cette stratégie fonctionne uniquement lorsqu'au moins une sauvegarde a été créée, tandis que la clé existait et avant qu'elle n'ait été supprimée. 

Utilisez la procédure suivante pour récupérer les éléments de clé.

1. Recherchez une sauvegarde de cluster qui contient les éléments de clé. La sauvegarde doit également contenir tous les utilisateurs et toutes les clés dont vous avez besoin pour prendre en charge le cluster et ses données chiffrées.

   Utilisez l'[DescribeBackups](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeBackups.html)opération pour répertorier les sauvegardes d'un cluster. Utilisez ensuite l'horodatage de la sauvegarde afin de vous aider à sélectionner une sauvegarde. Pour limiter la sortie au cluster associé au magasin de AWS CloudHSM clés, utilisez le `Filters` paramètre, comme indiqué dans l'exemple suivant. 

   ```
   $ aws cloudhsmv2 describe-backups --filters clusterIds=<cluster ID>
   {
       "Backups": [
           {
               "ClusterId": "cluster-1a23b4cdefg",
               "BackupId": "backup-9g87f6edcba",
               "CreateTimestamp": 1536667238.328,
               "BackupState": "READY"
           },
                ...
       ]
   }
   ```

1. [Créez un cluster à partir de la sauvegarde sélectionnée](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html). Vérifiez que la sauvegarde contient la clé supprimée et les clés que le cluster nécessite. 

1. [Déconnectez le magasin de AWS CloudHSM clés](disconnect-keystore.md) afin de pouvoir modifier ses propriétés.

1. [Modifiez l'ID de cluster](update-keystore.md) du magasin de AWS CloudHSM clés. Entrez l'ID du cluster que vous avez créé à partir de la sauvegarde. Étant donné que le cluster partage un historique des sauvegardes avec le cluster d'origine, le nouvel ID de cluster doit être valide. 

1. [Reconnectez le magasin de AWS CloudHSM clés.](connect-keystore.md)

## Comment se connecter en tant que `kmsuser`
<a name="fix-login-as-kmsuser"></a>

Pour créer et gérer les éléments clés du AWS CloudHSM cluster pour votre magasin de AWS CloudHSM clés, utilisez AWS KMS le [compte `kmsuser` Crypto User (CU)](keystore-cloudhsm.md#concept-kmsuser). Vous [créez le compte `kmsuser` CU](create-keystore.md#before-keystore) dans votre cluster et vous fournissez son mot de passe AWS KMS lorsque vous créez votre magasin de AWS CloudHSM clés.

En général, AWS KMS gère le `kmsuser` compte. Toutefois, pour certaines tâches, vous devez déconnecter le magasin de AWS CloudHSM clés, vous connecter au cluster en tant que `kmsuser` CU et utiliser l'[interface de ligne de commande (CLI) CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html).

**Note**  
Même si un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de clés KMS dans le magasin de clés personnalisé ou d'utilisation de clés KMS existantes dans les opérations de chiffrement échouent. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.

Cette rubrique explique comment [déconnecter votre magasin de AWS CloudHSM clés et vous connecter en](#login-kmsuser-1) tant que tel`kmsuser`, exécuter l'outil de ligne de AWS CloudHSM commande, puis [vous déconnecter et reconnecter votre magasin de AWS CloudHSM clés](#login-kmsuser-2).

**Topics**
+ [Comment se déconnecter et se connecter](#login-kmsuser-1)
+ [Comment se déconnecter et se reconnecter](#login-kmsuser-2)

### Comment se déconnecter et se connecter
<a name="login-kmsuser-1"></a>

Utilisez la procédure suivante à chaque fois pour vous connecter à un cluster associé en tant qu'utilisateur du `kmsuser` chiffrement.

**Remarques**  
Les procédures suivantes utilisent l'outil de ligne de commande du SDK AWS CloudHSM client 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. La CLI `key-handle` CloudHSM remplace par. `key-reference`  
Le 1er janvier 2025, la prise en charge des outils de ligne de commande du SDK client 3, de l'utilitaire de gestion CloudHSM (CMU) et de l'utilitaire de gestion des clés (KMU) AWS CloudHSM prendra fin. *Pour plus d'informations sur les différences entre les outils de ligne de commande du SDK client 3 et l'outil de ligne de commande du SDK client 5, consultez la section [Migrer de la CMU et de la KMU du SDK client 3 vers la CLI CloudHSM du SDK client 5](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) dans le guide de l'utilisateur.AWS CloudHSM *

1. Déconnectez le magasin de AWS CloudHSM clés, s'il ne l'est pas déjà. Vous pouvez utiliser la AWS KMS console ou AWS KMS l'API. 

   Lorsque votre AWS CloudHSM clé est connectée, elle AWS KMS est connectée en tant que`kmsuser`. Cela vous empêche de vous connecter comme `kmsuser` ou de modifier le mot de passe `kmsuser`.

   Par exemple, cette commande permet [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)de déconnecter un exemple de magasin de clés. Remplacez l'exemple d'ID de magasin de AWS CloudHSM clés par un identifiant valide.

   ```
   $ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
   ```

1. Utilisez la commande **de connexion** pour vous connecter en tant qu'administrateur. Utilisez les procédures décrites dans la section [Utilisation de la CLI CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7) du Guide *AWS CloudHSM de l'*utilisateur.

   ```
   aws-cloudhsm > login --username admin --role admin
             Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "admin",
       "role": "admin"
     }
   }
   ```

1. Utilisez la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) la CLI CloudHSM pour remplacer le mot de passe du compte par un mot de passe `kmsuser` que vous connaissez. (AWS KMS fait pivoter le mot de passe lorsque vous connectez votre magasin de AWS CloudHSM clés.) Le mot de passe doit contenir entre 7 et 32 caractères alphanumériques. Il est sensible à la casse et ne peut contenir aucun des caractères spéciaux.

1. Connectez-vous en `kmsuser` utilisant le mot de passe que vous avez défini. Pour obtenir des instructions détaillées, consultez la section [Utilisation de la CLI CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7) du Guide *AWS CloudHSM de l'*utilisateur.

   ```
   aws-cloudhsm > login --username kmsuser --role crypto-user
             Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "kmsuser",
       "role": "crypto-user"
     }
   }
   ```

### Comment se déconnecter et se reconnecter
<a name="login-kmsuser-2"></a>

Suivez la procédure suivante chaque fois que vous devez vous déconnecter en tant qu'utilisateur `kmsuser` cryptographique et reconnecter votre magasin de clés.

**Remarques**  
Les procédures suivantes utilisent l'outil de ligne de commande du SDK AWS CloudHSM client 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. La CLI `key-handle` CloudHSM remplace par. `key-reference`  
Le 1er janvier 2025, la prise en charge des outils de ligne de commande du SDK client 3, de l'utilitaire de gestion CloudHSM (CMU) et de l'utilitaire de gestion des clés (KMU) AWS CloudHSM prendra fin. *Pour plus d'informations sur les différences entre les outils de ligne de commande du SDK client 3 et l'outil de ligne de commande du SDK client 5, consultez la section [Migrer de la CMU et de la KMU du SDK client 3 vers la CLI CloudHSM du SDK client 5](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) dans le guide de l'utilisateur.AWS CloudHSM *

1. Effectuez la tâche, puis utilisez la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html) dans la CLI CloudHSM pour vous déconnecter. Si vous ne vous déconnectez pas, les tentatives de reconnexion de votre magasin de AWS CloudHSM clés échoueront.

   ```
   aws-cloudhsm  logout
   {
     "error_code": 0,
     "data": "Logout successful"
   }
   ```

1. [Modifiez le paramètre de mot de passe de `kmsuser`](update-keystore.md) pour le magasin de clés personnalisé. 

   Cela indique AWS KMS le mot de passe actuel pour `kmsuser` le cluster. Si vous omettez cette étape, vous ne AWS KMS pourrez pas vous connecter au cluster et toutes les tentatives de reconnexion à votre banque de clés personnalisée échoueront. `kmsuser` Vous pouvez utiliser la AWS KMS console ou le `KeyStorePassword` paramètre de l'[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)opération.

   Par exemple, cette commande indique AWS KMS que le mot de passe actuel est`tempPassword`. Remplacez l'exemple de mot de passe par le mot de passe réel. 

   ```
   $ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password tempPassword
   ```

1. Reconnectez le magasin de AWS KMS clés à son AWS CloudHSM cluster. Remplacez l'exemple d'ID de magasin de AWS CloudHSM clés par un identifiant valide. Au cours du processus de connexion, AWS KMS remplace le `kmsuser` mot de passe par une valeur qu'il est le seul à connaître.

   L'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)opération revient rapidement, mais le processus de connexion peut prendre un certain temps. Cependant, cette réponse initiale n'indique pas que la connexion a réussi.

   ```
   $ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
   ```

1. Utilisez cette [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération pour vérifier que le magasin de AWS CloudHSM clés est connecté. Remplacez l'exemple d'ID de magasin de AWS CloudHSM clés par un identifiant valide.

   Dans cet exemple, le champ d'état de connexion indique que le magasin de AWS CloudHSM clés est désormais connecté.

   ```
   $ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
   {
      "CustomKeyStores": [
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleKeyStore",
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "TrustAnchorCertificate": "<certificate string appears here>",
         "CreationDate": "1.499288695918E9",
         "ConnectionState": "CONNECTED"
      ],
   }
   ```