Modifier l’état d’une clé AWS KMS

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Modifiez l’état de votre clé Amazon Web Services Key Management System (AWS KMS) et synchronisez l’état avec votre ServiceNow instance.

    Avant de commencer

    Rôles requis : admin, security_admin et sn_kmf.cryptographic_manager

    Vérifiez que vous disposez des éléments suivants :

    • Configuration d’un Service de gestion des clés externes (EKMS) dans ServiceNow
    • Autorisations pour modifier l’état de la clé dans AWS

    Pourquoi et quand exécuter cette tâche

    Les clés AWS KMS peuvent avoir différents états qui contrôlent si elles peuvent être utilisées pour les opérations de chiffrement et de déchiffrement. La modification de l’état d’une clé dans AWS affecte votre capacité à chiffrer de nouvelles données et à déchiffrer des données existantes dans Service de gestion des clés externes (EKMS). Une tâche de synchronisation en arrière-plan est mise à jour EKMS avec l’état actuel de la clé AWS toutes les 30 minutes.

    Important :
    Les changements d’état des clés ont des répercussions immédiates sur la sécurité et les opérations. Coordonnez tous les changements d’état clés avec vos administrateurs et vos ServiceNow équipes d’application avant d’effectuer des changements.

    Procédure

    1. Accédez à AWS Key Management Service.
    2. Passez en revue l’état actuel de la clé.
    3. Modifiez l’état de la clé en fonction de vos besoins.
      Avertissement :
      La désactivation ou la suppression d’une clé empêchera ServiceNow le chiffrement de nouvelles données et le déchiffrement de données existantes. Vérifiez que vous avez un plan pour la migration de données ou la récupération des clés avant de désactiver ou de planifier la suppression.
    4. Attendez que la tâche de synchronisation planifiée traite le changement d’état de clé.
      EKMS synchronise automatiquement l’état de la clé AWS toutes les 30 minutes via une tâche en arrière-plan. La tâche détecte et met à jour le changement d’état clé dans votre instance dans les 30 minutes.
    5. Vérifiez l’état de la clé mis à jour dans EKMS.
      Voir Vérifier l’état de la clé du service de gestion des clés externes.
      L’état de la clé AWS est synchronisé avec EKMS.

    Résultats

    Le nouvel état est reflété dans votre EKMS configuration, et les opérations de chiffrement et de déchiffrement se comportent en fonction de l’état de la nouvelle clé.

    Lorsque vous désactivez une clé dans AWS, ServiceNow plusieurs notifications sont fournies pour alerter les administrateurs :

    • Le champ État de clé externe devient « Désactivé » sur la EKMS page de configuration.
    • Une tâche de sécurité de priorité élevée est automatiquement créée dans le centre de sécurité pour notifier les administrateurs que la EKMS clé a été désactivée. Pour afficher les notifications, accédez à Tous > Centre de sécurité > Vue d'ensemble. Voir Centre de sécurité.

    Lorsque la clé est désactivée, vous ne pouvez pas chiffrer ou déchiffrer des données dans des champs chiffrés. Vous pouvez toujours créer des enregistrements si le champ chiffré n’est pas un champ obligatoire et vous pouvez mettre à jour les champs non chiffrés dans les enregistrements existants. Toutes les opérations de chiffrement sont bloquées jusqu’à ce que la clé soit réactivée dans AWS.

    Que faire ensuite

    Considérations importantes après le changement de l’état de la clé :

    • Si vous avez désactivé votre clé AWS : Les nouvelles données ne peuvent pas être chiffrées et les données chiffrées existantes ne peuvent pas être déchiffrées tant que la clé n’est pas réactivée. Planifiez la façon dont les champs chiffrés doivent être traités pendant cette période.
    • Si vous avez activé une clé précédemment désactivée : Les opérations de chiffrement et de déchiffrement reprennent une fois que la tâche de synchronisation met à jour l’état de la clé dans EKMS (dans les 30 minutes). Testez votre configuration EKMS en cliquant sur le bouton Test . Vérifiez ensuite que tous les champs chiffrés sont accessibles.
    • Si vous avez programmé la suppression de la clé : Vous disposez de 7 à 30 jours (selon votre calendrier de suppression dans AWS) pour annuler la suppression avant que la clé ne soit définitivement supprimée. Après une suppression définitive, les données chiffrées ne peuvent pas être récupérées.
    • Si vous avez annulé une suppression planifiée : N’oubliez pas d’activer la clé si elle a été désactivée. L’annulation de la suppression n’active pas automatiquement la clé.
    Important :
    La tâche de synchronisation automatique s’exécute toutes les 30 minutes. EKMS détecte automatiquement les changements d’état dans les 30 minutes suivant leur survenue dans AWS.

    AWS exige une période d’attente minimale de 7 jours pour la suppression des clés. Au cours de cette période, l’état de la clé indique « Suppression en attente » dans AWS et EKMS. Les clés ne peuvent pas être utilisées pendant une suppression en attente. Après sept jours, la clé est définitivement supprimée et ne peut pas être récupérée. Toutes les données chiffrées avec une clé supprimée deviennent définitivement inaccessibles.