Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Présentation des détails cryptographiques de AWS KMS
AWS Key Management Service (AWS KMS) fournit une interface Web aux fins de générer et gérer des clés cryptographiques et fonctionne comme un fournisseur de services cryptographiques pour la protection des données. AWS KMS offre des services traditionnels de gestion des clés intégrés aux AWS services afin de fournir une vue cohérente des clés des clients dans AWS, avec une gestion et un audit centralisés. Ce livre blanc fournit une description détaillée des opérations cryptographiques AWS KMS pour vous aider à évaluer les fonctions offertes par le service.
AWS KMS inclut une interface Web via le AWS Management Console, l'interface de ligne de commande et les opérations d'API RESTful pour demander des opérations cryptographiques d'une flotte distribuée de modules de sécurité matérielle (HSM) validés FIPS 140-2 [1]. Le AWS KMS HSM est un dispositif cryptographique matériel autonome multipuces conçu pour fournir des fonctions cryptographiques dédiées afin de répondre aux exigences de sécurité et d'évolutivité de AWS KMS. Vous pouvez établir votre propre hiérarchie cryptographique basée sur le HSM sous les clés que vous gérez en tant que AWS KMS keys. Ces clés sont disponibles uniquement sur les HSM et uniquement en mémoire pendant le temps nécessaire au traitement de votre demande cryptographique. Vous pouvez créer plusieurs clés KMS, chacune représentée par son ID de clé. Uniquement sous AWS les rôles et comptes IAM administrés par chaque client peuvent créer, supprimer ou utiliser des clés KMS client pour chiffrer, déchiffrer, signer ou vérifier des données. Vous pouvez définir des contrôles d'accès sur les personnes qui peuvent gérer et/ou utiliser les clés KMS en créant une politique associée à la clé. Ces politiques vous permettent de définir des utilisations propres à l'application de vos clés pour chaque opération d'API.
En outre, la plupart des AWS services prennent en charge le chiffrement des données au repos à l'aide des clés KMS. Cette possibilité permet aux clients de contrôler quand et comment AWS les services peuvent accéder aux données chiffrées en contrôlant quand et comment les clés KMS sont accessibles.
AWS KMS est un service à plusieurs niveaux, composé AWS KMS d'hôtes orientés vers le Web et d'un niveau de HSM. Le regroupement de ces hôtes à plusieurs niveaux forme la AWS KMS pile. Toutes les demandes adressées à AWS KMS doivent être effectuées via le protocole TLS (Transport Layer Security) et se terminer sur un AWS KMS hôte. AWS KMS hôtes autorisent uniquement TLS avec une suite de chiffrement qui fournit un secret de transmission parfait
