Créez un magasin de clés - AWS Encryption SDK

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez un magasin de clés

Avant de créer des clés de branche ou d'utiliser un trousseau de clés AWS KMS hiérarchique, vous devez créer votre magasin de clés, une table Amazon DynamoDB qui gère et protège vos clés de branche.

Important

Ne supprimez pas la table DynamoDB qui conserve vos clés de branche. Si vous supprimez ce tableau, vous ne pourrez pas déchiffrer les données chiffrées à l'aide du trousseau de clés hiérarchique.

Suivez les procédures de création d'une table du guide du développeur Amazon DynamoDB, en utilisant les valeurs de chaîne requises suivantes pour la clé de partition et la clé de tri.

Clé de partition Clé de tri
Table de base branch-key-id type

Nom du magasin de clés logique

Lorsque vous nommez la table DynamoDB qui sert de banque de clés, il est important de prendre soigneusement en compte le nom logique de la banque de clés que vous allez spécifier lors de la configuration de vos actions de banque de clés. Le nom logique du magasin de clés sert d'identifiant à votre magasin de clés et ne peut pas être modifié une fois qu'il a été initialement défini par le premier utilisateur. Vous devez toujours spécifier le même nom logique de banque de clés dans vos actions de banque de clés.

Il doit y avoir un one-to-one mappage entre le nom de la table DynamoDB et le nom du magasin de clés logiques. Le nom du magasin de clés logique est lié de manière cryptographique à toutes les données stockées dans la table afin de simplifier les opérations de restauration DynamoDB. Bien que le nom du magasin de clés logique puisse être différent du nom de votre table DynamoDB, nous vous recommandons vivement de spécifier le nom de votre table DynamoDB comme nom de magasin de clés logique. Si le nom de votre table change après avoir restauré votre table DynamoDB à partir d'une sauvegarde, le nom logique du magasin de clés peut être mappé au nouveau nom de table DynamoDB afin de garantir que le trousseau de clés hiérarchique peut toujours accéder à votre magasin de clés.

N'incluez pas d'informations confidentielles ou sensibles dans le nom de votre banque de clés logique. Le nom du magasin de clés logique est affiché en texte clair dans les AWS KMS CloudTrail événements sous la forme detablename.