Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Connecter un magasin de clés externe
<a name="about-xks-connecting"></a>

Lorsque votre magasin de clés externe est connecté à son proxy de magasin de clés externe, vous pouvez [créer des clés KMS dans votre magasin de clés externe](create-cmk-keystore.md) et utiliser les clés KMS existantes dans les [opérations cryptographiques](manage-cmk-keystore.md#use-cmk-keystore). 

Le processus qui connecte un magasin de clés externe à son proxy de magasin de clés externe varie en fonction de la connectivité du magasin de clés externe.
+ Lorsque vous connectez un magasin de clés externe connecté à un point de [terminaison public,](keystore-external.md#concept-xks-connectivity) AWS KMS envoie une [GetHealthStatus demande](keystore-external.md#concept-proxy-apis) au proxy du magasin de clés externe pour valider le point de [terminaison de l'URI du proxy](create-xks-keystore.md#require-endpoint), le [chemin de l'URI](create-xks-keystore.md#require-path) du [proxy et les informations d'authentification du proxy.](keystore-external.md#concept-xks-credential) Une réponse positive du proxy confirme que le [point de terminaison d'URI de proxy](create-xks-keystore.md#require-endpoint) et le [chemin d'URI de proxy](create-xks-keystore.md#require-path) sont exacts et accessibles, et que le proxy a authentifié la requête signée à l'aide des [informations d'identification pour l'authentification du proxy](keystore-external.md#concept-xks-credential) pour le magasin de clés externe.
+ Lorsque vous connectez un magasin de clés externe connecté au [service de point de terminaison VPC à](choose-xks-connectivity.md#xks-vpc-connectivity) son proxy de magasin de clés externe, procédez AWS KMS comme suit : 
  + Il confirme que le domaine pour le nom DNS privé spécifié dans le [point de terminaison d'URI de proxy](create-xks-keystore.md#require-endpoint) est [vérifié](vpc-connectivity.md#xks-private-dns). 
  + Crée un point de terminaison d'interface entre un AWS KMS VPC et votre service de point de terminaison VPC.
  + Il crée une zone hébergée privée pour le nom DNS privé spécifié dans le point de terminaison d'URI de proxy.
  + Envoie une [GetHealthStatusdemande](keystore-external.md#concept-proxy-apis) au proxy de stockage de clés externe. Une réponse positive du proxy confirme que le [point de terminaison d'URI de proxy](create-xks-keystore.md#require-endpoint) et le [chemin d'URI de proxy](create-xks-keystore.md#require-path) sont exacts et accessibles, et que le proxy a authentifié la requête signée à l'aide des [informations d'identification pour l'authentification du proxy](keystore-external.md#concept-xks-credential) pour le magasin de clés externe.

L'opération de connexion lance le processus de connexion de votre magasin de clés personnalisé, mais la connexion d'un magasin de clés externe à son proxy externe prend environ cinq minutes. Une réponse positive à l'opération de connexion n'indique pas que le magasin de clés externe est connecté. Pour confirmer que la connexion a été établie, utilisez la AWS KMS console ou l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html)opération pour afficher l'[état de connexion](xks-connect-disconnect.md#xks-connection-state) de votre magasin de clés externe.

Lorsque l'état de connexion est `FAILED` atteint, un code d'erreur de connexion s'affiche dans la AWS KMS console et est ajouté à la `DescribeCustomKeyStore` réponse. Pour obtenir de l'aide sur l'interprétation des codes d'erreur de connexion, veuillez consulter la rubrique [Codes d'erreur de connexion pour les magasins de clés externes](xks-troubleshooting.md#xks-connection-error-codes).

## Connectez-vous et reconnectez-vous à votre magasin de clés externe
<a name="connect-xks"></a>

Vous pouvez connecter ou reconnecter votre banque de clés externe dans la AWS KMS console ou en utilisant l'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)opération.

### Utilisation de la AWS KMS console
<a name="connect-xks-console"></a>

Vous pouvez utiliser la AWS KMS console pour connecter un magasin de clés externe à son proxy de magasin de clés externe. 

1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

1. Dans le panneau de navigation, sélectionnez **Custom key stores** (Magasins de clés personnalisés), **External key stores** (Magasins de clés externes).

1. Choisissez la ligne du magasin de clés externe que vous souhaitez connecter. 

   Si l'[état de connexion](xks-connect-disconnect.md#xks-connection-state) du magasin de clés externe est **FAILED** (ÉCHEC), vous devez [déconnecter le magasin de clés externe](disconnect-keystore.md#disconnect-keystore-console) avant de le connecter.

1. Dans le menu **Key store actions** (Actions de magasin de clés), choisissez **Connect** (Connecter).

Le processus de connexion prend en général environ cinq minutes. Lorsque l'opération est terminée, l'[état de connexion](xks-connect-disconnect.md#xks-connection-state) passe à **CONNECTED** (CONNECTÉ). 

Si l'état de connexion est **Failed** (Échec), passez la souris sur l'état de la connexion pour voir le *code d'erreur de connexion*, qui explique la cause de l'erreur. Pour obtenir de l'aide afin de répondre à un code d'erreur de connexion, veuillez consulter la rubrique [Codes d'erreur de connexion pour les magasins de clés externes](xks-troubleshooting.md#xks-connection-error-codes). Pour connecter un magasin de clés externe dont l'état de connexion est **Failed** (Échec), vous devez d'abord [déconnecter le magasin de clés personnalisé](disconnect-keystore.md#disconnect-keystore-console).

### Utilisation de l' AWS KMS API
<a name="connect-xks-api"></a>

Pour connecter un magasin de clés externe déconnecté, utilisez l'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)opération. 

Avant la connexion, l'[état de connexion](xks-connect-disconnect.md#xks-connection-state) du magasin de clés externe doit être `DISCONNECTED`. Si l'état actuel de la connexion est `FAILED`, [déconnectez le magasin de clés externe](about-xks-disconnecting.md#disconnect-xks-api), puis connectez-le. 

Le processus de connexion prend environ cinq minutes. À moins qu'elle n'échoue rapidement, `ConnectCustomKeyStore` renvoie une réponse HTTP 200 et un objet JSON sans propriétés. Cependant, cette réponse initiale n'indique pas que la connexion a abouti. Pour déterminer si le magasin de clés externe est connecté, consultez l'état de la connexion dans la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)réponse. 

Les exemples de cette section utilisent la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge. 

Pour identifier le magasin de clés externe, utilisez son ID du magasin de clés personnalisé. Vous pouvez trouver l'ID sur la page des **stockages de clés personnalisés** de la console ou en utilisant l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération. Avant d'exécuter cet exemple, remplacez l'ID de l'exemple par un ID valide.

```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

L'opération `ConnectCustomKeyStore` ne renvoie pas de `ConnectionState` dans sa réponse. Pour vérifier que le magasin de clés externe est connecté, utilisez l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Toutefois, vous pouvez utiliser le paramètre `CustomKeyStoreName`ou `CustomKeyStoreId` (mais pas les deux) pour limiter la réponse à des magasins de clés personnalisés en particulier. Une valeur de `ConnectionState` égale à `CONNECTED` indique que le magasin de clés externe est connecté à son proxy de magasin de clés externe.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "CONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```

Si la valeur de `ConnectionState` dans la réponse de `DescribeCustomKeyStores` est `FAILED`, l'élément `ConnectionErrorCode` indique la raison de l'échec. 

Dans l'exemple suivant, la `XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND` valeur de `ConnectionErrorCode` indique que AWS KMS le service de point de terminaison VPC qu'il utilise pour communiquer avec le proxy de banque de clés externe est introuvable. Vérifiez que `XksProxyVpcEndpointServiceName` c'est correct, que le principal de AWS KMS service est un principal autorisé sur le service de point de terminaison Amazon VPC et que le service de point de terminaison VPC n'exige pas l'acceptation des demandes de connexion. Pour obtenir de l'aide afin de répondre à un code d'erreur de connexion, veuillez consulter la rubrique [Codes d'erreur de connexion pour les magasins de clés externes](xks-troubleshooting.md#xks-connection-error-codes).

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "FAILED",
      "ConnectionErrorCode": "XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```