Service de gestion des clés externes et l’automatisation des instances

  • Rversion finale: Australia
  • Mis à jour 23 avr. 2026
  • 3 minutes de lecture

    • Comprenez les exigences et les limites des opérations d’automatisation des instances lorsque le service de gestion des clés externes est activé.

    Lorsque le service de gestion de clés externes (EKMS) est activé sur votre instance, vous devez planifier les opérations d’automatisation de l’instance telles que le clonage, la sauvegarde et la restauration, la copie, le déplacement et le basculement entre les instances. Ces opérations nécessitent des configurations EKMS compatibles entre les instances source et cible.

    Vous ne pouvez pas cloner ou restaurer des données chiffrées en externe à moins que l’instance cible ne puisse accéder à la même clé de chiffrement externe. La vérification en amont valide la compatibilité EKMS avant le début des opérations d’automatisation de l’instance. Si les configurations sont incompatibles, l’opération est bloquée et vous devez suivre les étapes de résolution manuelle dans KB2540187.

    Compatibilité de l’automatisation de l’instance

    Le tableau suivant indique les opérations d’automatisation d’instance prises en charge en fonction des configurations de vos instances source et cible.
    Tableau 1. Table de compatibilité de l’automatisation de l’instance
    Instance source Instance cible Résultat
    Aucun EKMS Aucun EKMS Pris en charge
    EKMS en cours d’utilisation Prend en charge EKMS Pris en charge
    EKMS en cours d’utilisation Version antérieure sans prise en charge EKMS Pris en charge
    Version antérieure sans prise en charge EKMS Prend en charge EKMS mais n’est pas configuré Pris en charge
    Prend en charge EKMS Version antérieure sans prise en charge EKMS Pris en charge
    EKMS configuré EKMS avec configuration correspondante et stratégie d’emballage des clés Pris en charge
    EKMS configuré EKMS avec configuration compatible Pris en charge
    EKMS configuré avec l’état de clé non ACTIF N'importe lequel Bloqué : voir les exigences d’état clé ci-dessous
    EKMS configuré EKMS avec une configuration différente Bloqué - voir KB2540187
    Retour à la ligne de clé interne Encapsulation de clé externe Bloqué - voir KB2540187
    EKMS configuré EKMS avec une configuration ou une stratégie d’encapsulation différente Bloqué - voir KB2540187
    EKMS présent mais non configuré EKMS en cours d’utilisation Bloqué - voir KB2540187
    Version antérieure sans prise en charge EKMS EKMS configuré Bloqué - voir KB2540187
    Prend en charge EKMS mais n’est pas configuré EKMS configuré Bloqué - voir KB2540187

    Activez d’abord EKMS sur la source.
    EKMS configuré EKMS avec configuration incompatible Bloqué - voir KB2540187

    Exigences relatives à l’état clé

    Les opérations d’automatisation d’instance nécessitent que l’état de votre clé AWS KMS soit ACTIF. Si l’état de la clé externe est notACTIVE, les opérations de chiffrement peuvent échouer pendant ou après l’opération d’automatisation de l’instance.

    Avant d’effectuer l’automatisation d’instance avec EKMS :
    • Vérifiez que l’état de la clé dans votre configuration EKMS s’affiche comme ACTIF.
    • Ne procédez pas à l’automatisation de l’instance lorsque l’état de la clé est désactivé, en attente de suppression, indisponible ou supprimé.
    • Si l’état de la clé n’est pas ACTIF, résolvez le problème avant de tenter l’automatisation de l’instance.
    Principaux problèmes d’état et résolutions :
    • Désactivé : réactivez la clé dans AWS KMS.
    • Suppression en attente : annulez le calendrier de suppression dans AWS, puis réactivez la clé si nécessaire.
    • Non disponible : restaurez la connectivité EKMS en vérifiant les informations d’identification, l’accès à la région et la disponibilité du point de terminaison.
    • Supprimé : contactez l’assistance ServiceNow pour connaître la stratégie de reprise et la planification de la reconfiguration. Il s’agit d’une situation critique et irréversible.

    Après avoir résolu les problèmes d’état de clé, attendez que la tâche de vérification de l’intégrité EKMS mette à jour l’état de l’instance sur ACTIF, puis réexécutez la vérification préliminaire avant de continuer.

    Prise en charge de la gestion des clés héritées

    Par défaut, l’automatisation des instances entre les instances utilisant différentes architectures de gestion des clés (héritées et actuelles) n’est pas prise en charge. Vous pouvez activer la prise en charge des scénarios de gestion des clés hérités en définissant la propriété système glide.ekms.ia.non_bagheera_support sur vrai.

    Pour activer la prise en charge de la gestion des clés héritées :
    1. Accédez à la Propriétés système > Toutes les propriétés.
    2. Recherchez glide.ekms.ia.non_bagheera_support.
    3. Définissez la valeur sur True (Vrai).
    4. Sélectionnez Enregistrer.

    Vous devez disposer du rôle administrateur pour modifier les propriétés système.

    Cette propriété active l’automatisation de l’instance dans les scénarios suivants :
    • L’instance source utilise la gestion des clés héritée et l’instance cible utilise l’architecture de gestion des clés actuelle.
    • Les instances source et cible utilisent toutes deux la gestion des clés héritées.
    • L’instance source utilise l’architecture de gestion des clés actuelle et l’instance cible utilise la gestion des clés héritées.

    Même avec cette propriété activée, si la vérification en amont détecte des configurations incompatibles, vous devez suivre les étapes de résolution manuelle dans KB2540187.