Clés gérées par le client Clés gérées par AWS Clés détenues par AWS AWS KMS key hiérarchie Identifiants clés () KeyId

AWS KMS keys

Les KMS clés que vous créez et gérez pour les utiliser dans vos propres applications cryptographiques sont du type connu sous le nom de clés gérées par le client. Les clés gérées par le client peuvent également être utilisées conjointement avec AWS des services qui utilisent KMS des clés pour chiffrer les données que le service stocke en votre nom. Les clés gérées par le client sont recommandées aux clients qui souhaitent avoir un contrôle total sur le cycle de vie et l'utilisation de leurs clés. L'ajout d'une clé gérée par le client à votre compte entraîne des frais mensuels. En outre, les demandes d'utilisation et/ou de gestion de la clé entraînent un coût d'utilisation. Consultez AWS Key Management Service les tarifs pour plus de détails.

Dans certains cas, un client peut souhaiter qu'un AWS service crypte ses données, mais il ne souhaite pas avoir à gérer les clés et ne veut pas payer pour une clé. Un Clé gérée par AWSest une KMS clé qui existe dans votre compte, mais qui ne peut être utilisée que dans certaines circonstances. Plus précisément, elle ne peut être utilisée que dans le contexte du AWS service dans lequel vous opérez et elle ne peut être utilisée que par les principaux titulaires du compte sur lequel la clé existe. Vous ne pouvez rien gérer concernant le cycle de vie ou les autorisations de ces clés. Lorsque vous utilisez les fonctionnalités de chiffrement dans les AWS services, vous pouvez le constater Clés gérées par AWS ; ils utilisent un alias de la forme « aws <service code>». Par exemple, une aws/ebs clé ne peut être utilisée que pour chiffrer des EBS volumes et uniquement pour les volumes utilisés par IAM les principaux titulaires du même compte que la clé. Pensez à un Clé gérée par AWS outil destiné uniquement aux utilisateurs de votre compte pour les ressources de votre compte. Vous ne pouvez pas partager de ressources chiffrées sous ou Clé gérée par AWS avec d'autres comptes. Bien que l'existence d'une clé Clé gérée par AWS soit gratuite dans votre compte, toute utilisation de ce type de clé vous est facturée par le AWS service attribué à la clé.

Clés gérées par AWS sont un ancien type de clé qui n'est plus créé pour les nouveaux AWS services à partir de 2021. Au lieu de cela, les nouveaux (et anciens) AWS services utilisent ce que l'on appelle un Clé détenue par AWSpour crypter les données des clients par défaut. Une Clé détenue par AWS est une KMS clé qui se trouve dans un compte géré par le AWS service, de sorte que les opérateurs du service ont la possibilité de gérer son cycle de vie et ses autorisations d'utilisation. Grâce à l'utilisation Clés détenues par AWS, les AWS services peuvent crypter vos données de manière transparente et permettre un partage aisé des données entre comptes ou entre régions sans que vous ayez à vous soucier des autorisations clés. Clés détenues par AWS À utiliser pour les encryption-by-default charges de travail qui offrent une protection des données plus simple et plus automatisée. Étant donné que ces clés sont détenues et gérées par elles AWS, leur existence ou leur utilisation ne vous sont pas facturées, vous ne pouvez pas modifier leurs politiques, vous ne pouvez pas auditer les activités liées à ces clés et vous ne pouvez pas les supprimer. Utilisez des clés gérées par le client lorsque le contrôle est important, mais Clés détenues par AWS utilisez-les lorsque la commodité est primordiale.

	Clés gérées par le client	Clés gérées par AWS	Clés détenues par AWS
Stratégie de clé	Contrôlé exclusivement par le client	Contrôlé par le service ; visible par le client	Contrôlé exclusivement et consultable uniquement par le AWS service qui crypte vos données
Journalisation	CloudTrail suivi des clients ou magasin de données sur les événements	CloudTrail suivi des clients ou magasin de données sur les événements	Non visible par le client
Gestion du cycle de vie	Le client gère la rotation, la suppression et l'emplacement régional	AWS KMS gère la rotation (annuelle), la suppression et la localisation régionale	Service AWS gère la rotation, la suppression et la localisation régionale
Tarification	Frais mensuels liés à l'existence des clés (calculés au prorata) toutes les heures). Également facturé pour l'utilisation des clés	Aucuns frais mensuels, mais l'APIutilisation de ces clés est facturée à l'appelant	Aucuns frais pour le client

Les KMS clés que vous créez sont des clés gérées par le client. Services AWS qui utilisent KMS des clés pour chiffrer les ressources de votre service créent souvent des clés pour vous. KMSles clés Services AWS créées dans votre AWS compte sont Clés gérées par AWS. KMSles clés Services AWS créées dans un compte de service sont Clés détenues par AWS.

Type de KMS clé	Peut afficher les métadonnées KMS clés	Peut gérer la KMS clé	Utilisé uniquement pour mon Compte AWS	Rotation automatique	Tarification
Clé gérée par le client	Oui	Oui	Oui	Facultatif.	Frais mensuels (au prorata horaire) Frais par utilisation
Clé gérée par AWS	Oui	Non	Oui	Obligatoire. Chaque année (environ 365 jours).	Aucun frais mensuel Frais par utilisation (certains Services AWS payent ces frais pour vous)
Clé détenue par AWS	Non	Non	Non	Service AWS Gère la stratégie de rotation.	Pas de frais

Type de KMS clé

Peut afficher les métadonnées KMS clés

Peut gérer la KMS clé

Utilisé uniquement pour mon Compte AWS

Rotation automatique

Tarification

Clé gérée par le client

Oui

Facultatif.

Frais mensuels (au prorata horaire)

Frais par utilisation

Clé gérée par AWS

Oui

Non

Oui

Obligatoire. Chaque année (environ 365 jours).

Aucun frais mensuel

Frais par utilisation (certains Services AWS payent ces frais pour vous)

Clé détenue par AWS

Non

Service AWS Gère la stratégie de rotation.

Pas de frais

AWS les services qui s'intègrent AWS KMS diffèrent dans leur prise en charge des KMS clés. Certains AWS services cryptent vos données par défaut à l'aide d'un Clé détenue par AWS ou d'un Clé gérée par AWS. Certains AWS services prennent en charge les clés gérées par le client. D'autres AWS services prennent en charge tous les types de KMS clés pour vous permettre d'utiliser facilement une Clé détenue par AWS clé gérée par le client Clé gérée par AWS, d'en avoir la visibilité ou de la contrôler. Pour obtenir des informations détaillées sur les options de chiffrement proposées par un AWS service, consultez la rubrique Chiffrement au repos du guide de l'utilisateur ou du guide du développeur du service.

Clés gérées par le client

Les KMS clés que vous créez sont des clés gérées par le client. Les clés gérées par le client sont des KMS clés Compte AWS que vous créez, détenez et gérez. Vous avez le contrôle total de ces KMS clés, notamment en établissant et en maintenant leurs politiques, IAM politiques et autorisations clés, en les activant et en les désactivant, en faisant alterner leur matériel cryptographique, en ajoutant des balises, en créant des alias faisant référence aux KMS clés et en planifiant la suppression des KMS clés.

Les clés gérées par le client apparaissent sur la page Clés gérées par le client de la AWS Management Console pour AWS KMS. Pour identifier définitivement une clé gérée par le client, utilisez l'DescribeKeyopération. Pour les clés gérées par le client, la valeur du champ KeyManager de la réponse DescribeKey est CUSTOMER.

Vous pouvez utiliser vos clés gérées par le client dans les opérations de chiffrement et auditer leur utilisation dans les journaux AWS CloudTrail . En outre, de nombreux services AWS qui s'intègrent à AWS KMS vous permettent de spécifier une clé gérée par le client pour protéger les données qu'ils stockent et gèrent pour vous.

Les clés gérées par le client entraînent des frais mensuels et des frais pour une utilisation au-delà de l'offre gratuite. Ils sont comptabilisés dans les AWS KMS quotas de votre compte. Pour plus d'informations, consultez Tarification AWS Key Management Service et Quotas.

Clés gérées par AWS

Clés gérées par AWSsont KMS des clés de votre compte créées, gérées et utilisées en votre nom par un AWS service intégré à AWS KMS.

Certains AWS services vous permettent de choisir une clé Clé gérée par AWS ou une clé gérée par le client pour protéger vos ressources dans le cadre de ce service. En général, à moins que vous ne soyez obligé de contrôler la clé de chiffrement qui protège vos ressources, une Clé gérée par AWS est un bon choix. Vous n'êtes pas obligé de créer ou de gérer la clé ou sa stratégie de clé, et il n'y a jamais de frais mensuel pour une Clé gérée par AWS.

Vous êtes autorisé à les consulter Clés gérées par AWS dans votre compte, à consulter leurs politiques clés et à vérifier leur utilisation dans AWS CloudTrail les journaux. Cependant, vous ne pouvez pas modifier leurs propriétés Clés gérées par AWS, les faire pivoter, modifier leurs politiques clés ou planifier leur suppression. De plus, vous ne pouvez pas Clés gérées par AWS les utiliser directement dans des opérations cryptographiques ; le service qui les crée les utilise en votre nom.

Les politiques de contrôle des ressources de votre organisation ne s'appliquent pas à Clés gérées par AWS.

Clés gérées par AWS apparaissent sur la Clés gérées par AWSpage du AWS Management Console formulaire AWS KMS. Vous pouvez également les identifier Clés gérées par AWS par leurs alias, dont le format aws/service-name est tel queaws/redshift. Pour identifier définitivement un Clés gérées par AWS, utilisez l'DescribeKeyopération. Pour les Clés gérées par AWS, la valeur du champ KeyManager de la réponse DescribeKey est AWS.

Tous Clés gérées par AWS font l'objet d'une rotation automatique chaque année. Vous ne pouvez pas modifier cette programmation de rotation.

Note

En mai 2022, le calendrier de rotation AWS KMS a été modifié, Clés gérées par AWS passant de tous les trois ans (environ 1 095 jours) à chaque année (environ 365 jours).

Clés gérées par AWS Les nouvelles versions font l'objet d'une rotation automatique un an après leur création, et environ chaque année par la suite.

Clés gérées par AWS Les versions existantes font automatiquement l'objet d'une rotation un an après leur dernière rotation, puis chaque année.

Il n'y a pas de frais mensuels pour Clés gérées par AWS. Ils peuvent être soumis à des frais s'ils dépassent le niveau gratuit, mais certains AWS services couvrent ces coûts pour vous. Pour plus de détails, reportez-vous à la rubrique Chiffrement au repos dans le Guide de l'utilisateur ou le guide du développeur du service. Pour plus d’informations, consultez Tarification AWS Key Management Service.

Clés gérées par AWS ne comptez pas dans les quotas de ressources le nombre de KMS clés dans chaque région de votre compte. Mais lorsqu'elles sont utilisées pour le compte d'un mandant de votre compte, les KMS clés sont prises en compte dans le calcul des quotas de demandes. Pour plus de détails, consultez Quotas.

Clés détenues par AWS

Clés détenues par AWSsont un ensemble de KMS clés qu'un AWS service possède et gère pour une utilisation multiple Comptes AWS. Bien qu' Clés détenues par AWS ils ne soient pas dans votre compte Compte AWS, tout AWS service peut utiliser un Clé détenue par AWS pour protéger les ressources de votre compte.

Certains AWS services vous permettent de choisir une clé Clé détenue par AWS ou une clé gérée par le client. En général, à moins que vous ne soyez obligé d'auditer ou de contrôler la clé de chiffrement qui protège vos ressources, une Clé détenue par AWS est un bon choix. Clés détenues par AWS sont totalement gratuits (pas de frais mensuels ni de frais d'utilisation), ils ne sont pas pris en compte dans les AWS KMS quotas de votre compte et ils sont faciles à utiliser. Vous n'avez pas besoin de créer ou de maintenir la clé ou sa politique de clé.

La rotation des services Clés détenues par AWS varie selon les services. Pour plus d'informations sur la rotation d'un service en particulier Clé détenue par AWS, consultez la rubrique Chiffrement au repos du guide de l'utilisateur ou du guide du développeur du service.

AWS KMS key hiérarchie

Votre hiérarchie de clés commence par une clé logique de haut niveau, une AWS KMS key. Une KMS clé représente un conteneur pour le contenu clé de haut niveau et est définie de manière unique dans l'espace de noms du AWS service avec un Amazon Resource Name ()ARN. ARNCela inclut un identifiant de clé généré de manière unique, un identifiant de clé. Une KMS clé est créée sur la base d'une demande initiée par l'utilisateur via AWS KMS. À réception, AWS KMS demande la création d'une clé de HSM sauvegarde initiale (HBK) à placer dans le conteneur de KMS clés. Le HBK est généré sur un HSM dans le domaine et est conçu pour ne jamais être exporté à partir du texte HSM en clair. Au lieu de cela, HBK ils sont exportés HSM chiffrés sous des clés de domaine gérées. Ces jetons exportés HBKs sont appelés jetons clés exportés (EKTs).

EKTIl est exporté vers un stockage hautement durable et à faible latence. Supposons, par exemple, que vous receviez un ARN vers la KMS clé logique. Cela représente le haut d'une hiérarchie de clés, ou contexte cryptographique, pour vous. Vous pouvez créer plusieurs KMS clés dans votre compte et définir des politiques relatives à vos KMS clés, comme pour toute autre ressource AWS nommée.

Dans la hiérarchie d'une KMS clé spécifique, elle HBK peut être considérée comme une version de la KMS clé. Lorsque vous souhaitez faire pivoter la KMS touche AWS KMS, une nouvelle touche HBK est créée et associée à la KMS touche en tant que KMS touche activeHBK. HBKsLes plus anciens sont conservés et peuvent être utilisés pour déchiffrer et vérifier les données précédemment protégées. Mais seule la clé cryptographique active peut être utilisée pour protéger de nouvelles informations.

Vous pouvez demander AWS KMS à utiliser vos KMS clés pour protéger directement les informations ou demander des clés HSM générées supplémentaires qui sont protégées sous votre KMS clé. Ces clés sont appelées clés de données client, ouCDKs. CDKspeuvent être renvoyés chiffrés sous forme de texte chiffré (CT), en texte brut ou les deux. Tous les objets chiffrés sous une KMS clé (qu'il s'agisse de données fournies par le client ou de clés HSM générées) ne peuvent être déchiffrés que lors d'un appel. HSM AWS KMS

Le texte chiffré renvoyé, ou la charge utile déchiffrée, n'y est jamais stocké. AWS KMS Les informations vous sont renvoyées via votre TLS connexion à AWS KMS. Cela s'applique également aux appels effectués par AWS les services en votre nom.

La hiérarchie des clés et les propriétés de ces clés spécifiques s’affichent dans le tableau suivant.

Clé	Description	Cycle de vie
Clé de domaine	Une GCM clé de 256 bits AES uniquement en mémoire d'une version HSM utilisée pour envelopper les versions des KMS clés, les touches de HSM sauvegarde.	Rotation tous les jours¹
HSMclé de sauvegarde	Clé symétrique RSA ou clé privée à courbe elliptique de 256 bits, utilisée pour protéger les données et les clés des clients et stockée sous forme cryptée sous des clés de domaine. Une ou plusieurs touches de HSM sauvegarde constituent la KMS clé, représentée par lekeyId.	Rotation tous les ans² (configuration facultative)
Clé de chiffrement dérivée	Une GCM clé de 256 bits AES uniquement en mémoire et HSM utilisée pour chiffrer les données et les clés des clients. Dérivé d'un HBK pour chaque chiffrement.	Utilisée une seule fois par chiffrement et régénérée au déchiffrement
Clé de données client	Clé symétrique ou asymétrique définie par l'utilisateur exportée en texte brut et en texte chiffré. HSM Chiffré sous une clé de HSM sauvegarde et renvoyé aux utilisateurs autorisés via le TLS canal.	Rotation et utilisation contrôlée par application

¹ AWS KMS peut de temps à autre assouplir la rotation des clés de domaine à une rotation hebdomadaire au maximum pour tenir compte des tâches d'administration et de configuration du domaine.

² Les valeurs par défaut Clés gérées par AWS créées et gérées en votre AWS KMS nom font l'objet d'une rotation annuelle automatique.

Identifiants clés () KeyId

Les identificateurs de clé agissent comme des noms pour vos KMS clés. Ils vous aident à reconnaître vos KMS clés dans la console. Vous les utilisez pour indiquer les KMS clés que vous souhaitez utiliser dans les AWS KMS API opérations, les politiques clés, IAM les politiques et les subventions. Les valeurs de l'identifiant clé ne sont absolument pas liées au matériel clé associé à la KMS clé.

AWS KMS définit plusieurs identificateurs clés. Lorsque vous créez une KMS clé, elle AWS KMS génère une clé ARN et un identifiant de clé, qui sont des propriétés de la KMS clé. Lorsque vous créez un alias, il en AWS KMS génère un ARN en fonction du nom d'alias que vous avez défini. Vous pouvez consulter les identifiants de clé et d'alias dans le AWS Management Console et dans le AWS KMS API.

Dans la AWS KMS console, vous pouvez afficher et filtrer KMS les clés en fonction de leur cléARN, de leur identifiant de clé ou de leur nom d'alias, et les trier par identifiant de clé et nom d'alias. Pour obtenir de l'aide sur la recherche des identificateurs clés dans la console, veuillez consulter Trouvez l'identifiant et la clé ARN.

Dans le AWS KMS API, les paramètres que vous utilisez pour identifier une KMS clé sont nommés KeyId ou une variante, telle que TargetKeyId ouDestinationKeyId. Cependant, les valeurs de ces paramètres ne sont pas limitées à la cléIDs. Certains peuvent prendre n'importe quel identifiant de clé valide. Pour plus d'informations sur les valeurs de chaque paramètre, consultez la description du paramètre dans la AWS Key Management Service API référence.

Note

Lorsque vous utilisez le AWS KMS API, faites attention à l'identifiant de clé que vous utilisez. APIsLes différents nécessitent des identificateurs de clé différents. En général, utilisez l'identificateur de clé le plus complet et le plus pratique pour votre tâche.

AWS KMS prend en charge les identificateurs de clé suivants.

Clé ARN

La clé ARN est le nom de ressource Amazon (ARN) d'une KMS clé. Il s'agit d'un identifiant unique et complet pour la KMS clé. Une clé ARN inclut la Compte AWS région et l'identifiant de la clé. Pour obtenir de l'aide pour trouver ARN la clé d'une KMS clé, consultezTrouvez l'identifiant et la clé ARN.

Le format d'une clé ARN est le suivant :


arn:<partition>:kms:<region>:<account-id>:key/<key-id>

Voici un exemple de clé ARN pour une clé à région uniqueKMS.


arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

Le key-id L'élément de la clé ARNs des clés multirégionales commence par le mrk- préfixe. Voici un exemple de clé ARN pour une clé multirégionale.


arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab

ID de clé

L'identifiant de clé identifie de manière unique une KMS clé au sein d'un compte et d'une région. Pour obtenir de l'aide pour trouver l'identifiant d'une KMS clé, consultezTrouvez l'identifiant et la clé ARN.

Voici un exemple d'ID de clé pour une KMS clé à région unique.


1234abcd-12ab-34cd-56ef-1234567890ab

La clé IDs des clés multirégionales commence par le mrk- préfixe. Voici un exemple d'ID de clé pour une clé KMS multi-région.


mrk-1234abcd12ab34cd56ef1234567890ab

Alias ARN

L'alias ARN est le nom de ressource Amazon (ARN) d'un AWS KMS alias. Il s'agit d'un identifiant unique et complet pour l'alias et pour la KMS clé qu'il représente. Un alias ARN inclut la Compte AWS région et le nom de l'alias.

À tout moment, un alias ARN identifie une KMS clé en particulier. Toutefois, comme vous pouvez modifier la KMS clé associée à l'alias, celui-ci ARN peut identifier différentes KMS clés à différents moments. Pour obtenir de l'aide pour trouver ARN l'alias d'une KMS clé, consultezTrouvez le nom d'alias et l'alias ARN d'une KMS clé.

Le format d'un alias ARN est le suivant :


arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>

Ce qui suit est l'alias ARN d'un fictifExampleAlias.


arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias

Nom d'alias

Le nom d'alias est une chaîne comportant jusqu'à 256 caractères. Il identifie de manière unique une KMS clé associée au sein d'un compte et d'une région. Dans le AWS KMS API, les noms d'alias commencent toujours paralias/. Pour obtenir de l'aide pour trouver le nom d'alias d'une KMS clé, consultezTrouvez le nom d'alias et l'alias ARN d'une KMS clé.

Le format d'un nom d'alias est le suivant :


alias/<alias-name>

Par exemple :


alias/ExampleAlias

Le préfixe aws/ d'un nom d'alias est réservé aux Clés gérées par AWS. Vous ne pouvez pas créer d'alias avec ce préfixe. Par exemple, le nom d'alias du Clé gérée par AWS pour Amazon Simple Storage Service (Amazon S3) est le suivant.


alias/aws/s3

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Concepts

Clés asymétriques