Création de clés KMS asymétriques - AWS Key Management Service
Création de clés KMS asymétriques (console)Création de clés KMS asymétriques (AWS KMS API)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création de clés KMS asymétriques

Vous pouvez créer des clés KMS asymétriques dans la AWS KMS console, à l'aide de l'CreateKeyAPI ou à l'aide d'un AWS CloudFormation modèle. Une clé KMS asymétrique représente une paire de clés publique et privée qui peut être utilisée pour le chiffrement, la signature ou la dérivation de secrets partagés. La clé privée reste à l'intérieur AWS KMS. Pour télécharger la clé publique afin de l'utiliser en dehors de AWS KMS, consultezTéléchargement de clés publiques.

Lorsque vous créez une clé KMS pour chiffrer les données que vous stockez ou gérez dans un AWS service, utilisez une clé KMS de chiffrement symétrique. AWS les services intégrés à ne prennent AWS KMS pas en charge les clés KMS asymétriques. Pour obtenir de l'aide sur la création d'une clé KMS symétrique ou asymétrique, veuillez consulter Choix d'un type de clé KMS.

Pour obtenir plus d'informations sur les autorisations nécessaires pour créer des clés KMS, consultez Autorisations de création de clés KMS.

Création de clés KMS asymétriques (console)

Vous pouvez utiliser le AWS Management Console pour créer des clés asymétriques AWS KMS keys (clés KMS). Chaque clé KMS asymétrique représente une paire de clés publique et privée.

Important

N'incluez pas d'informations confidentielles ou sensibles dans l'alias, la description ou les balises. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.

  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le volet de navigation, sélectionnez Clés gérées par le client.

  4. Choisissez Create key.

  5. Pour créer une clé KMS asymétrique, dans Key type (Type de clé), choisissez Asymmetric (Asymétrique).

    Pour plus d'informations sur la création d'une clé KMS de chiffrement symétrique dans la AWS KMS console, consultezCréation de clés KMS de chiffrement symétriques (console).

  6. Pour créer une clé KMS asymétrique pour le chiffrement de clé publique, dans Key usage (Utilisation de la clé), choisissez Encrypt and decrypt (Chiffrer et déchiffrer). Ou pour créer une clé KMS asymétrique pour la signature des messages et la vérification des signatures, dans Key usage (Utilisation de la clé), choisissez Sign and verify (Signer et vérifier). Pour créer une clé KMS asymétrique afin de dériver des secrets partagés, dans Utilisation des clés, choisissez Key agreement.

    Pour obtenir de l'aide sur le choix d'une valeur d'utilisation de clé, veuillez consulter Sélection de l'utilisation des clés.

  7. Sélectionnez une spécification (Key spec (Spécifications de la clé)) pour votre clé KMS asymétrique.

    Souvent, la spécification de clé que vous sélectionnez est déterminée par des exigences réglementaires, de sécurité ou métier. Elle peut également être influencée par la taille des messages que vous devez chiffrer ou signer. En général, les clés de chiffrement plus longues résistent mieux aux attaques par force brute.

    Pour obtenir de l'aide sur le choix d'une spécification de clé, veuillez consulter Sélection des spécifications de la clé.

  8. Choisissez Suivant.

  9. Saisissez un alias pour la clé KMS. Le nom d'alias ne peut pas commencer par aws/. Le aws/ préfixe est réservé par Amazon Web Services pour être représenté Clés gérées par AWS dans votre compte.

    Un alias est un nom convivial que vous pouvez utiliser pour identifier la clé KMS dans la console et dans certaines AWS KMS API. Nous vous conseillons de choisir un alias qui indique le type de données que vous envisagez de protéger ou l'application que vous pensez utiliser avec la clé KMS.

    Les alias sont requis lorsque vous créez une clé KMS dans la AWS Management Console. Vous ne pouvez pas spécifier d'alias lorsque vous utilisez l'CreateKeyopération, mais vous pouvez utiliser la console ou l'CreateAliasopération pour créer un alias pour une clé KMS existante. Pour plus de détails, veuillez consulter Utilisation des alias.

  10. (Facultatif) Saisissez une description pour la clé KMS.

    Saisissez une description qui explique le type de données que vous envisagez de protéger ou l'application que vous pensez utiliser avec la clé KMS.

    Vous pouvez ajouter une description maintenant ou la mettre à jour à tout moment, sauf si l'état de la clé est Pending Deletion ou Pending Replica Deletion. Pour ajouter, modifier ou supprimer la description d'une clé gérée par le client existante, modifiez la description dans l'opération AWS Management Console ou utilisez l'UpdateKeyDescriptionopération.

  11. (Facultatif) Saisissez une clé de balise et une valeur de balise facultative. Pour ajouter plus d'une balise à la clé KMS, sélectionnez Add tag (Ajouter une balise).

    Lorsque vous ajoutez des balises à vos AWS ressources, AWS génère un rapport de répartition des coûts avec l'utilisation et les coûts agrégés par balises. Les balises peuvent également être utilisées pour contrôler l'accès à une clé KMS. Pour de plus amples informations sur l'étiquetage des clés KMS, veuillez consulter Clés de balisage et ABAC pour AWS KMS.

  12. Choisissez Suivant.

  13. Sélectionnez les utilisateurs et les rôles IAM qui peuvent administrer la clé KMS.

    Note

    Cette politique clé donne le contrôle Compte AWS total de cette clé KMS. Il permet aux administrateurs de compte d'utiliser des politiques IAM pour autoriser d'autres principals à gérer la clé KMS. Pour plus de détails, consultez politique de clé par défaut.

    Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez Security best practices in IAM (Bonnes pratiques de sécurité dans IAM) dans le Guide de l'utilisateur IAM.

  14. (Facultatif) Pour empêcher les utilisateurs et les rôles IAM sélectionnés de supprimer cette clé KMS, dans la section Key deletion (Suppression de la clé) en bas de la page, décochez la case Allow key administrators to delete this key (Autoriser les administrateurs de clé à supprimer cette clé).

  15. Choisissez Suivant.

  16. Sélectionnez les utilisateurs et les rôles IAM qui peuvent utiliser la clé KMS pour les opérations crytographiques.

    Note

    Cette politique clé donne le contrôle Compte AWS total de cette clé KMS. Il permet aux administrateurs de compte d'utiliser des politiques IAM pour autoriser d'autres principals à utiliser la clé KMS dans les opérations de chiffrement. Pour plus de détails, consultez politique de clé par défaut.

    Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez Security best practices in IAM (Bonnes pratiques de sécurité dans IAM) dans le Guide de l'utilisateur IAM.

  17. (Facultatif) Vous pouvez autoriser d'autres Comptes AWS utilisateurs à utiliser cette clé KMS pour des opérations cryptographiques. Pour cela, dans la section Autres Comptes AWS en bas de la page, sélectionnez Ajouter un autre Compte AWS et saisissez le numéro d'identification Compte AWS d'un compte externe. Pour ajouter plusieurs comptes externes, répétez cette étape.

    Note

    Pour autoriser les principaux des comptes externes à utiliser la clé KMS, les administrateurs du compte externe doivent créer des politiques IAM qui fournissent ces autorisations. Pour plus d’informations, consultez Autoriser des utilisateurs d'autres comptes à utiliser une clé KMS.

  18. Choisissez Suivant.

  19. Passez en revue les paramètres de clé que vous avez choisis. Vous pouvez toujours revenir en arrière et modifier tous les paramètres.

  20. Choisissez Finish (Terminer) pour créer la clé KMS.

Afficher plusAfficher moins

Création de clés KMS asymétriques (AWS KMS API)

Vous pouvez utiliser cette CreateKeyopération pour créer une asymétrique AWS KMS key. Ces exemples utilisent l'AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

Lorsque vous créez une clé KMS asymétrique, vous devez spécifier le paramètre KeySpec, qui détermine le type de clés que vous créez. Vous devez également spécifier la KeyUsage valeur ENCRYPT_DECRYPT, SIGN_VERIFY ou KEY_AGREEMENT. Vous ne pouvez pas modifier ces propriétés après la création de la clé KMS.

L'CreateKeyopération ne vous permet pas de spécifier un alias, mais vous pouvez l'CreateAliasutiliser pour créer un alias pour votre nouvelle clé KMS.

Important

N'incluez pas d'informations confidentielles ou sensibles dans les champs Description ou Tags. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.

L'exemple suivant utilise l'opération CreateKey pour créer une clé KMS asymétrique de clés RSA 4 096 bits conçues pour le chiffrement d'une clé publique.

$ aws kms create-key --key-spec RSA_4096 --key-usage ENCRYPT_DECRYPT
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": 1569973196.214,
        "MultiRegion": false,
        "KeySpec": "RSA_4096",
        "CustomerMasterKeySpec": "RSA_4096",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "EncryptionAlgorithms": [
            "RSAES_OAEP_SHA_1",
            "RSAES_OAEP_SHA_256"
        ],
        "AWSAccountId": "111122223333",
        "Origin": "AWS_KMS",
        "Enabled": true
    }
}

L'exemple de commande suivant crée une clé KMS asymétrique qui représente une paire de clés ECDSA utilisées pour la signature et la vérification. Vous ne pouvez pas créer une paire de clés de courbe elliptique pour le chiffrement et le déchiffrement.

$ aws kms create-key --key-spec ECC_NIST_P521 --key-usage SIGN_VERIFY
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": 1570824817.837,
        "Origin": "AWS_KMS",
        "SigningAlgorithms": [
            "ECDSA_SHA_512"
        ],
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
        "AWSAccountId": "111122223333",
        "KeySpec": "ECC_NIST_P521",
        "CustomerMasterKeySpec": "ECC_NIST_P521",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Enabled": true,
        "MultiRegion": false,
        "KeyUsage": "SIGN_VERIFY"
    }
}

L'exemple de commande suivant crée une clé KMS asymétrique qui représente une paire de clés ECDH utilisées pour dériver des secrets partagés. Vous ne pouvez pas créer une paire de clés de courbe elliptique pour le chiffrement et le déchiffrement.

$ aws kms create-key --key-spec ECC_NIST_P256 --key-usage KEY_AGREEMENT
{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": "2023-12-27T19:10:15.063000+00:00",
        "Enabled": true,
        "Description": "",
        "KeyUsage": "KEY_AGREEMENT",
        "KeyState": "Enabled",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "ECC_NIST_P256",
        "KeySpec": "ECC_NIST_P256",
        "KeyAgreementAlgorithms": [
            "ECDH"
        ],
        "MultiRegion": false
    }
}
Afficher plusAfficher moins