AWS KMS concepts

Découvrez les termes et concepts de base utilisés dans AWS Key Management Service (AWS KMS) et découvrez comment ils fonctionnent ensemble pour protéger vos données.

Présentation de AWS KMS

AWS Key Management Service (AWS KMS) fournit une interface Web pour générer et gérer des clés cryptographiques et fonctionne en tant que fournisseur de services cryptographiques pour protéger les données. AWS KMS propose des services traditionnels de gestion des clés intégrés à AWS des services visant à fournir une vue cohérente des clés des clients AWS, avec une gestion et un audit centralisés.

AWS KMS inclut une interface Web via l' AWS Management Console interface de ligne de commande et RESTful API des opérations permettant de demander des opérations cryptographiques d'un parc distribué de FIPS 140 à 2 modules de sécurité matériels validés (). HSMs AWS KMS HSMIl s'agit d'une appliance cryptographique matérielle autonome multipuce conçue pour fournir des fonctions cryptographiques dédiées répondant aux exigences de sécurité et d'évolutivité de. AWS KMS Vous pouvez établir votre propre hiérarchie cryptographique HSM basée sur les clés que vous gérez en tant AWS KMS keys que telles. Ces clés ne sont disponibles que sur le HSMs et uniquement en mémoire pendant le temps nécessaire au traitement de votre demande cryptographique. Vous pouvez créer plusieurs KMS clés, chacune étant représentée par son identifiant de clé. Ce n'est que dans le cadre des AWS IAM rôles et des comptes administrés par chaque client que KMS les clés gérées par le client peuvent être créées, supprimées ou utilisées pour chiffrer, déchiffrer, signer ou vérifier des données. Vous pouvez définir des contrôles d'accès indiquant qui peut gérer et/ou utiliser KMS les clés en créant une politique attachée à la clé. Ces politiques vous permettent de définir des utilisations spécifiques à l'application de vos clés pour chaque API opération.

En outre, la plupart des AWS services prennent en charge le chiffrement des données au repos à l'aide de KMS clés. Cette fonctionnalité permet aux clients de contrôler comment et quand les AWS services peuvent accéder aux données cryptées en contrôlant comment et quand KMS les clés sont accessibles.

AWS KMS est un service à plusieurs niveaux composé d' AWS KMS hôtes accessibles sur le Web et d'un niveau de. HSMs Le regroupement de ces hôtes hiérarchisés forme la AWS KMS pile. Toutes les demandes AWS KMS doivent être effectuées via le protocole Transport Layer Security (TLS) et se terminer sur un AWS KMS hôte. AWS KMS les hôtes ne l'autorisent qu'TLSavec une suite de chiffrement offrant une parfaite confidentialité de transmission. AWS KMS authentifie et autorise vos demandes en utilisant les mêmes mécanismes d'identification et de politique de AWS Identity and Access Management (IAM) que ceux disponibles pour toutes les autres opérations. AWS API

AWS KMS objectifs de conception

AWS KMS est conçu pour répondre aux exigences suivantes.

Durabilité: La durabilité des clés cryptographiques est conçue pour égaler celle des services les plus durables en AWS. Une seule clé cryptographique peut chiffrer de grands volumes de vos données qui se sont accumulés sur une longue période.
Digne de confiance: L'utilisation des clés est protégée par des politiques de contrôle d'accès que vous définissez et gérez. Il n'existe aucun mécanisme permettant d'exporter des KMS clés en texte brut. La confidentialité de vos clés cryptographiques est primordiale. Plusieurs employés d'Amazon disposant d'un accès spécifique à un rôle aux contrôles d'accès basés sur le quorum sont tenus d'effectuer des actions administratives sur le. HSMs
Faible latence et haut débit: AWS KMS fournit des opérations cryptographiques à des niveaux de latence et de débit adaptés à une utilisation par d'autres services dans. AWS
Régions indépendantes: AWS fournit des régions indépendantes aux clients qui ont besoin de restreindre l'accès aux données dans différentes régions. L'utilisation de la clé peut être isolée dans un Région AWS.
Source sécurisée de nombres aléatoires: Parce qu'une cryptographie puissante dépend d'une génération de nombres aléatoires vraiment imprévisible, elle AWS KMS fournit une source validée de nombres aléatoires de haute qualité.
Audit: AWS KMS enregistre l'utilisation et la gestion des clés cryptographiques dans des AWS CloudTrail journaux. Vous pouvez utiliser AWS CloudTrail les journaux pour contrôler l'utilisation de vos clés cryptographiques, y compris l'utilisation des clés par les AWS services en votre nom.

Pour atteindre ces objectifs, le AWS KMS système inclut un ensemble d' AWS KMS opérateurs et d'opérateurs hôtes de services (collectivement, les « opérateurs ») qui administrent les « domaines ». Un domaine est un ensemble de AWS KMS serveurs et d'opérateurs défini au niveau régional. HSMs Chaque AWS KMS opérateur dispose d'un jeton matériel qui contient une paire de clés privée et publique utilisée pour authentifier ses actions. Ils HSMs disposent d'une paire de clés privée et publique supplémentaire pour établir des clés de chiffrement qui protègent la synchronisation des HSM états.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Journalisation AWS KMS des demandes utilisant un VPC point de terminaison

AWS KMS keys