Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Clés KMS dans des magasins de clés externes Pour créer, afficher, gérer, utiliser et planifier la suppression des clés KMS d'un magasin de clés externe, vous devez utiliser des procédures très similaires à celles que vous utilisez pour les autres clés KMS. Toutefois, lorsque vous créez une clé KMS dans un magasin de clés externe, vous spécifiez un [magasin de clés externe](keystore-external.md#concept-external-key-store) et une [clé externe](keystore-external.md#concept-external-key). Lorsque vous utilisez une clé KMS dans un magasin de clés externe, les [opérations de chiffrement et de déchiffrement](keystore-external.md#xks-how-it-works) sont effectuées par votre gestionnaire de clés externe à l'aide de la clé externe spécifiée. AWS KMS Impossible de créer, d'afficher, de mettre à jour ou de supprimer des clés cryptographiques dans votre gestionnaire de clés externe. AWS KMS n'accède jamais directement à votre gestionnaire de clés externe ni à aucune clé externe. Toutes les requêtes d'opérations cryptographiques sont acheminées par votre [proxy de magasin de clés externe](keystore-external.md#concept-xks-proxy). Pour utiliser une clé KMS dans un magasin de clés externe, le magasin de clés externe qui héberge la clé KMS doit être [connecté](xks-connect-disconnect.md) à son proxy de magasin de clés externe. **Fonctionnalités prises en charge** Outre les procédures décrites dans cette section, vous pouvez effectuer les actions suivantes avec les clés KMS d'un magasin de clés externe : + Utiliser les [politiques de clé](key-policies.md), les [politiques IAM](iam-policies.md) et les [octrois](grants.md) pour contrôler l'accès aux clés KMS. + [Activer et désactiver](enabling-keys.md) les clés KMS. Ces actions n'affectent pas la clé externe dans votre gestionnaire de clés externe. + Attribuez des [balises](tagging-keys.md), créez des [alias](kms-alias.md) et utilisez le [contrôle d'accès par attributs](abac.md) (ABAC) pour autoriser l'accès aux clés KMS. + Utilisez les clés KMS pour effectuer les opérations cryptographiques suivantes : + [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) + [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) + [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) + [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) + [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) Les opérations qui génèrent des paires de clés de données asymétriques [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)et [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)*ne sont pas* prises en charge dans les magasins de clés personnalisés. + Utilisez les clés KMS avec les [Services AWS qui s'intègrent à AWS KMS](https://aws.amazon.com/kms/features/#AWS_Service_Integration) et prenez en charge les [clés gérées par le client](concepts.md#customer-mgn-key). **Fonctions non prises en charge** + Les magasins de clés externes ne prennent en charge que les [clés KMS de chiffrement symétriques](symm-asymm-choose-key-spec.md#symmetric-cmks). Vous ne pouvez pas créer de clés KMS HMAC ou de clés KMS asymétriques dans un magasin de clés externe. + [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)et ne [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)sont pas pris en charge sur les clés KMS d'un magasin de clés externe. + Vous ne pouvez pas utiliser un [AWS::KMS::Key CloudFormation modèle](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html) pour créer un magasin de clés externe ou une clé KMS dans un magasin de clés externe. + Les [clés multi-régions](multi-region-keys-overview.md) ne sont pas prises en charge dans un magasin de clés externe. + Les clés KMS contenant des [éléments de clé importés](importing-keys.md) ne sont pas prises en charge dans un magasin de clés externe. + La [rotation automatique des clés](rotate-keys.md) n'est pas prise en charge pour les clés KMS dans un magasin de clés externe. **Utilisation de clés KMS dans un magasin de clés externe** Lorsque vous utilisez votre clé KMS dans une requête, identifiez la clé KMS par son [ID de clé, son ARN de clé, son alias ou son ARN d'alias](concepts.md#key-id). Vous n'avez pas besoin de spécifier le magasin de clés externe. La réponse inclut les mêmes champs qui sont renvoyés pour une clé KMS de chiffrement symétrique. Toutefois, lorsque vous utilisez une clé KMS dans un magasin de clés externe, les opérations de chiffrement et de déchiffrement sont effectuées par votre gestionnaire de clés externe au moyen de la clé externe associée à la clé KMS. [Pour garantir que le texte chiffré par une clé KMS dans un magasin de clés externe est au moins aussi sûr que tout texte chiffré par une clé KMS standard, AWS KMS utilisez le double chiffrement.](keystore-external.md#concept-double-encryption) Les données sont d'abord cryptées à AWS KMS l'aide de matériel AWS KMS clé. Elles sont ensuite chiffrées par votre gestionnaire de clés externe à l'aide de la clé externe de la clé KMS. Pour déchiffrer un texte chiffré à double chiffrement, le texte chiffré est d'abord déchiffré par votre gestionnaire de clés externe à l'aide de la clé externe de la clé KMS. Ensuite, il est déchiffré en AWS KMS utilisant le matériau AWS KMS clé de la clé KMS. Pour que cela soit possible, les conditions suivantes sont requises. + L'[état](key-state.md) de la clé KMS doit être `Enabled`. Pour connaître l'état de la clé, consultez le champ **État** pour les clés gérées par le client, sur la [AWS KMS console](finding-keys.md#viewing-console-details) ou dans le `KeyState` champ de la [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)réponse. + Le magasin de clés externe qui héberge la clé KMS doit être connecté à son [proxy de magasin de clés externe](keystore-external.md#concept-xks-proxy), c'est-à-dire que l'[état de connexion](xks-connect-disconnect.md#xks-connection-state) du magasin de clés externe doit être `CONNECTED`. Vous pouvez consulter l'état de la connexion sur la page **Stockages de clés externes** de la AWS KMS console ou dans la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)réponse. L'état de connexion du magasin de clés externe est également affiché sur la page de détails de la clé KMS sur la console AWS KMS . Sur la page de détails, choisissez l'onglet **Cryptographic configuration** (Configuration cryptographique) et consultez le champ **Connection state** (État de la connexion) dans la section **Custom key store** (Magasin de clés personnalisé). Si l'état de connexion est `DISCONNECTED`, vous devez d'abord le connecter. Si l'état de connexion est `FAILED`, vous devez résoudre le problème, déconnecter le magasin de clés externe, puis le connecter. Pour obtenir des instructions, veuillez consulter [Connecter et déconnecter les magasins de clés externes](xks-connect-disconnect.md). + Le proxy de magasin de clés externe doit être en mesure de trouver la clé externe. + La clé externe doit être activée et elle doit effectuer le chiffrement et le déchiffrement. L'état de la clé externe est indépendant et n'est pas affecté par les modifications de l'[état de clé](key-state.md) de la clé KMS, y compris par l'activation et la désactivation de la clé KMS. De même, la désactivation ou la suppression de la clé externe ne modifie pas l'état de la clé KMS, mais les opérations cryptographiques utilisant la clé KMS associée échoueront. Si ces conditions ne sont pas remplies, l'opération cryptographique échoue et AWS KMS renvoie une `KMSInvalidStateException` exception. Vous devrez peut-être [reconnecter le magasin de clés externe](xks-connect-disconnect.md) ou utiliser les outils de votre gestionnaire de clés externe pour reconfigurer ou réparer votre clé externe. Pour obtenir de l'aide supplémentaire, consultez [Résoudre les problèmes liés aux magasins de clés externes](xks-troubleshooting.md). Lorsque vous utilisez les clés KMS dans un magasin de clés externe, sachez que les clés KMS de chaque magasin de clés externe partagent un [quota de magasin de clés personnalisé](requests-per-second.md#rps-key-stores) sur les requêtes d'opérations cryptographiques. Si vous dépassez le quota, AWS KMS renvoie un`ThrottlingException`. Pour plus d'informations sur le quota de magasin de clés personnalisé, veuillez consulter la rubrique [Quotas de demandes de magasin de clés personnalisé](requests-per-second.md#rps-key-stores). **En savoir plus** + Pour en savoir plus sur les magasins de clés externes, consultez[Magasins de clés externes](keystore-external.md). + Pour en savoir plus sur les informations clés contenues dans les magasins de clés externes, consultez[Clé externe](keystore-external.md#concept-external-key). + Pour créer des clés KMS dans un magasin de clés externe, consultez[Création d'une clé KMS dans des magasins de clés externes](create-xks-keys.md). + Pour identifier et afficher les clés KMS dans un magasin de clés externe, voir[Identifier les clés KMS dans les magasins de clés externes](identify-key-types.md#view-xks-key). + Pour en savoir plus sur les considérations particulières relatives à la suppression de clés KMS dans un magasin de clés externe, voir [Suppression de clés KMS d'un magasin de clés externe](deleting-keys.md#delete-xks-key).