Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# AWS KMS keys
<a name="concepts"></a><a name="key-mgmt"></a><a name="kms_keys"></a>

Les clés KMS que vous créez et gérez pour les utiliser dans vos propres applications cryptographiques sont du type connu sous le nom de *clés gérées par le client*. Les clés gérées par le client peuvent également être utilisées conjointement avec AWS des services qui utilisent des clés KMS pour chiffrer les données que le service stocke en votre nom. Les clés gérées par le client sont recommandées aux clients qui souhaitent avoir un contrôle total sur le cycle de vie et l'utilisation de leurs clés. L'ajout d'une clé gérée par le client à votre compte entraîne des frais mensuels. De plus, les demandes d' and/or utilisation de la clé entraînent un coût d'utilisation. Consultez [AWS Key Management Service les tarifs](https://aws.amazon.com/kms/pricing/) pour plus de détails.

Dans certains cas, un client peut souhaiter qu'un AWS service crypte ses données, mais il ne souhaite pas avoir à gérer les clés et ne veut pas payer pour une clé. Une *Clé gérée par AWS*est une clé KMS qui existe dans votre compte, mais qui ne peut être utilisée que dans certaines circonstances. Plus précisément, elle ne peut être utilisée que dans le contexte du AWS service dans lequel vous opérez et elle ne peut être utilisée que par les principaux titulaires du compte sur lequel la clé existe. Vous ne pouvez rien gérer concernant le cycle de vie ou les autorisations de ces clés. Lorsque vous utilisez les fonctionnalités de chiffrement dans les AWS services, vous pouvez le constater Clés gérées par AWS ; ils utilisent un alias de la forme « aws <service code>». Par exemple, une `aws/ebs` clé ne peut être utilisée que pour chiffrer les volumes EBS et uniquement pour les volumes utilisés par les principaux IAM sur le même compte que la clé. Pensez à un Clé gérée par AWS outil destiné uniquement aux utilisateurs de votre compte pour les ressources de votre compte. Vous ne pouvez pas partager de ressources chiffrées sous ou Clé gérée par AWS avec d'autres comptes. Bien que l'existence d'une clé Clé gérée par AWS soit gratuite dans votre compte, toute utilisation de ce type de clé vous est facturée par le AWS service attribué à la clé.

Clés gérées par AWS sont un ancien type de clé qui n'est plus créé pour les nouveaux AWS services à partir de 2021. Au lieu de cela, les nouveaux (et anciens) AWS services utilisent ce que l'on appelle un *Clé détenue par AWS*pour crypter les données des clients par défaut. An Clé détenue par AWS est une clé KMS qui se trouve dans un compte géré par le AWS service, de sorte que les opérateurs du service ont la possibilité de gérer son cycle de vie et ses autorisations d'utilisation. Grâce à l'utilisation Clés détenues par AWS, les AWS services peuvent crypter vos données de manière transparente et permettre un partage aisé des données entre comptes ou entre régions sans que vous ayez à vous soucier des autorisations clés. Clés détenues par AWS À utiliser pour les encryption-by-default charges de travail qui offrent une protection des données plus simple et plus automatisée. Étant donné que ces clés sont détenues et gérées par elles AWS, leur existence ou leur utilisation ne vous sont pas facturées, vous ne pouvez pas modifier leurs politiques, vous ne pouvez pas auditer les activités liées à ces clés et vous ne pouvez pas les supprimer. Utilisez des clés gérées par le client lorsque le contrôle est important, mais Clés détenues par AWS utilisez-les lorsque la commodité est primordiale.


|  |  |  |  | 
| --- |--- |--- |--- |
|  |  Clés gérées par le client  |  Clés gérées par AWS  |  Clés détenues par AWS  | 
|  Stratégie de clé  | Contrôlé exclusivement par le client | Contrôlé par le service ; visible par le client | Contrôlé exclusivement et consultable uniquement par le AWS service qui crypte vos données | 
|  Journalisation  | CloudTrail suivi des clients ou magasin de données sur les événements | CloudTrail suivi des clients ou magasin de données sur les événements | Non visible par le client | 
|  Gestion du cycle de vie  | Le client gère la rotation, la suppression et l'emplacement régional | AWS KMS gère la rotation (annuelle), la suppression et la localisation régionale | Service AWS gère la rotation, la suppression et la localisation régionale | 
|  Tarification  |  Frais mensuels pour l'existence des clés (calculés au prorata de l'heure). Également facturé pour l'utilisation des clés  | Aucuns frais mensuels, mais l'utilisation de l'API sur ces clés est facturée à l'appelant | Aucuns frais pour le client | 

Les clés KMS que vous créez sont des [clés gérées par le client](#customer-mgn-key). Les Services AWS qui utilisent des clés KMS pour chiffrer vos ressources de service créent généralement des clés automatiquement. Les clés KMS Services AWS créées dans votre AWS compte sont [Clés gérées par AWS](#aws-managed-key). Les clés KMS Services AWS créées dans un compte de service sont [Clés détenues par AWS](#aws-owned-key).


| Type de clé KMS | Peut afficher les métadonnées de clés KMS | Peut gérer une clé KMS | Utilisé uniquement pour mon Compte AWS | [Rotation automatique](rotate-keys.md) | [Tarification](https://aws.amazon.com/kms/pricing/) | 
| --- | --- | --- | --- | --- | --- | 
| [Clé gérée par le client](#customer-mgn-key) | Oui | Oui | Oui | Facultatif. | Frais mensuels (au prorata horaire)Frais par utilisation | 
| [Clé gérée par AWS](#aws-managed-key) | Oui | Non | Oui | Obligatoire. Chaque année (environ 365 jours). | Aucun frais mensuelFrais par utilisation (certains Services AWS payent ces frais pour vous) | 
| [Clé détenue par AWS](#aws-owned-key) | Non | Non | Non | Il Service AWS gère la stratégie de rotation | Pas de frais | 

[AWS les services qui s'intègrent AWS KMS](service-integration.md) diffèrent dans leur prise en charge des clés KMS. Certains AWS services cryptent vos données par défaut à l'aide d'un Clé détenue par AWS ou d'un Clé gérée par AWS. Certains AWS services prennent en charge les clés gérées par le client. D'autres AWS services prennent en charge tous les types de clés KMS pour vous permettre de disposer facilement d'une Clé détenue par AWS clé gérée par le client Clé gérée par AWS, de la visibilité ou du contrôle d'une clé gérée par le client. Pour obtenir des informations détaillées sur les options de chiffrement proposées par un AWS service, consultez la rubrique *Chiffrement au repos* du guide de l'utilisateur ou du guide du développeur du service.

## Clés gérées par le client
<a name="customer-mgn-key"></a>

Les clés KMS que vous créez sont des *clés gérées par le client*. Les clés gérées par le client sont des clés KMS Compte AWS que vous créez, détenez et gérez. Vous disposez d'un contrôle total sur ces clés KMS, y compris établir et maintenir leurs [politiques de clé, les politiques IAM et les octrois](control-access.md), leur [activation et leur désactivation](enabling-keys.md), la [rotation de leurs éléments de chiffrement](rotate-keys.md), [l'ajout de balises](tagging-keys.md), [la création d'alias](alias-create.md) qui font référence aux clés KMS, et [la planification des clés KMS en vue de leur suppression](deleting-keys.md). 

Les clés gérées par le client apparaissent sur la page **Clés gérées par le client** de la AWS Management Console pour AWS KMS. Pour identifier définitivement une clé gérée par le client, utilisez l'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)opération. Pour les clés gérées par le client, la valeur du champ `KeyManager` de la réponse `DescribeKey` est `CUSTOMER`.

Vous pouvez utiliser vos clés gérées par le client dans les opérations de chiffrement et auditer leur utilisation dans les journaux AWS CloudTrail . En outre, de nombreux [services AWS qui s'intègrent à AWS KMS](service-integration.md) vous permettent de spécifier une clé gérée par le client pour protéger les données qu'ils stockent et gèrent pour vous. 

Les clés gérées par le client entraînent des frais mensuels et des frais pour une utilisation au-delà de l'offre gratuite. Ils sont comptabilisés dans les AWS KMS [quotas](limits.md) de votre compte. Pour plus d'informations, consultez [Tarification AWS Key Management Service](https://aws.amazon.com/kms/pricing/) et [Quotas](limits.md).

## Clés gérées par AWS
<a name="aws-managed-key"></a>

*Clés gérées par AWS*sont des clés KMS de votre compte créées, gérées et utilisées en votre nom par un [AWS service intégré à AWS KMS](https://aws.amazon.com/kms/features/#AWS_Service_Integration).

Certains AWS services vous permettent de choisir une clé Clé gérée par AWS ou une clé gérée par le client pour protéger vos ressources dans le cadre de ce service. En général, à moins que vous ne soyez obligé de contrôler la clé de chiffrement qui protège vos ressources, une Clé gérée par AWS est un bon choix. Vous n'êtes pas obligé de créer ou de gérer la clé ou sa stratégie de clé, et il n'y a jamais de frais mensuel pour une Clé gérée par AWS.

Vous êtes autorisé à [les consulter Clés gérées par AWS](viewing-keys.md) dans votre compte, à [consulter leurs politiques clés](key-policy-viewing.md) et à [vérifier leur utilisation](logging-using-cloudtrail.md) dans AWS CloudTrail les journaux. Cependant, vous ne pouvez pas modifier leurs propriétés Clés gérées par AWS, les faire pivoter, modifier leurs politiques clés ou planifier leur suppression. De plus, vous ne pouvez pas Clés gérées par AWS les utiliser directement dans des opérations cryptographiques ; le service qui les crée les utilise en votre nom. 

Les [politiques de contrôle des ressources](resource-control-policies.md) de votre organisation ne s'appliquent pas à Clés gérées par AWS.

Clés gérées par AWS apparaissent sur la **Clés gérées par AWS**page du AWS Management Console formulaire AWS KMS. Vous pouvez également les identifier Clés gérées par AWS par leurs alias, dont le format `aws/service-name` est tel que`aws/redshift`. Pour identifier définitivement un Clés gérées par AWS, utilisez l'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)opération. Pour les Clés gérées par AWS, la valeur du champ `KeyManager` de la réponse `DescribeKey` est `AWS`.

Tous Clés gérées par AWS font l'objet d'une rotation automatique chaque année. Vous ne pouvez pas modifier cette programmation de rotation.

**Note**  
En mai 2022, le calendrier de rotation AWS KMS a été modifié, Clés gérées par AWS passant de tous les trois ans (environ 1 095 jours) à chaque année (environ 365 jours).

Il n'y a pas de frais mensuels pour Clés gérées par AWS. Ils peuvent être soumis à des frais d'utilisation au-delà du niveau gratuit, mais certains AWS services couvrent ces coûts pour vous. Pour plus de détails, reportez-vous à la rubrique *Chiffrement au repos* dans le Guide de l'utilisateur ou le guide du développeur du service. Pour plus d’informations, consultez [Tarification AWS Key Management Service](https://aws.amazon.com/kms/pricing/).

Clés gérées par AWS ne comptez pas dans les quotas de ressources le nombre de clés KMS dans chaque région de votre compte. Mais lorsqu'elles sont utilisées pour le compte d'un principal dans votre compte, ces clés KMS sont prises en compte dans les quotas de demandes. Pour en savoir plus, consultez [Quotas](limits.md).

## Clés détenues par AWS
<a name="aws-owned-key"></a>

*Clés détenues par AWS*sont un ensemble de clés KMS qu'un AWS service possède et gère pour une utilisation multiple Comptes AWS. Bien qu' Clés détenues par AWS ils ne figurent pas dans votre compte Compte AWS, tout AWS service peut utiliser un Clé détenue par AWS pour protéger les ressources de votre compte.

Certains AWS services vous permettent de choisir une clé Clé détenue par AWS ou une clé gérée par le client. En général, à moins que vous ne soyez obligé d'auditer ou de contrôler la clé de chiffrement qui protège vos ressources, une Clé détenue par AWS est un bon choix. Clés détenues par AWS sont totalement gratuits (pas de frais mensuels ni de frais d'utilisation), ils ne sont pas pris en compte dans les [AWS KMS quotas](limits.md) de votre compte et ils sont faciles à utiliser. Vous n'avez pas besoin de créer ou de maintenir la clé ou sa politique de clé.

La rotation des services Clés détenues par AWS varie selon les services. Pour plus d'informations sur la rotation d'un service en particulier Clé détenue par AWS, consultez la rubrique *Chiffrement au repos* du guide de l'utilisateur ou du guide du développeur du service.

## AWS KMS key hiérarchie
<a name="key-hierarchy"></a>

Votre hiérarchie de clés commence par une clé logique de haut niveau, une AWS KMS key. Une clé KMS représente un conteneur pour le matériel de clé de niveau supérieur et est définie de manière unique dans l'espace de noms service AWS avec un ARN (Amazon Resource Name). L'ARN comprend un identifiant de clé généré de manière unique, un * ID de la clé.* Une clé KMS est créée sur la base d'une demande initiée par l'utilisateur via AWS KMS. À réception, AWS KMS demande la création d'une clé de sauvegarde HSM initiale (HBK) à placer dans le conteneur de clés KMS. La clé HBK est générée sur un HSM du domaine et conçue pour ne jamais être exporté depuis le HSM en texte brut. Au lieu de cela, la clé HBK est exportée chiffrée dans des clés de domaine gérées par HSM. Ces jetons exportés HBKs sont appelés jetons clés exportés (EKTs).

L'EKT est exporté vers un stockage hautement durable et à faible latence. Par exemple, supposons que vous receviez un ARN sur la clé KMS logique. Cela représente le haut d'une hiérarchie de clés, ou contexte cryptographique, pour vous. Vous pouvez créer plusieurs clés KMS dans votre compte et définir des politiques sur vos clés KMS comme pour toute autre ressource AWS nommée.

Dans la hiérarchie d'une clé KMS spécifique, la clé HBK peut être considérée comme une version de la clé KMS. Lorsque vous souhaitez faire pivoter la clé KMS AWS KMS, une nouvelle clé HBK est créée et associée à la clé KMS en tant que HBK active pour la clé KMS. HBKs Les plus anciens sont conservés et peuvent être utilisés pour déchiffrer et vérifier les données précédemment protégées. Mais seule la clé cryptographique active peut être utilisée pour protéger de nouvelles informations. 

![\[AWS KMS key hiérarchie.\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/CMK-Hierarchy.png)


Vous pouvez demander AWS KMS à utiliser vos clés KMS pour protéger directement les informations ou demander des clés supplémentaires générées par HSM qui sont protégées par votre clé KMS. Ces clés sont appelées clés de données client, ou CDKs. CDKs peuvent être renvoyés chiffrés sous forme de texte chiffré (CT), en texte brut ou les deux. Tous les objets chiffrés sous une clé KMS (qu'il s'agisse de données fournies par le client ou de clés générées par HSM) ne peuvent être déchiffrés que sur un HSM via un appel. AWS KMS

Le texte chiffré renvoyé, ou la charge utile déchiffrée, n'y est jamais stocké. AWS KMS Les informations vous sont retournées via votre connexion TLS à AWS KMS. Cela s'applique également aux appels effectués par AWS les services en votre nom. 

La hiérarchie des clés et les propriétés de ces clés spécifiques s’affichent dans le tableau suivant.


| Clé | Description | Cycle de vie | 
| --- | --- | --- | 
|  **Clé de domaine**  |  Une clé AES-GCM 256 bits uniquement dans la mémoire d'une clé HSM utilisée pour envelopper les versions des clés KMS, les clés de sauvegarde HSM.  |  Rotation tous les jours1  | 
|  **Clé de sauvegarde HSM**  |  Une clé symétrique 256 bits ou une clé privée RSA ou courbe elliptique, utilisée pour protéger les données et les clés du client stockées et chiffrées sous les clés de domaine. Une ou plusieurs clés de sauvegarde HSM comprennent la clé KMS, représentée par l'ID KeyID.  |  Rotation tous les ans2 (configuration facultative)  | 
|  **Clé de chiffrement dérivée**  |  Une clé AES-GCM 256 bits résidant uniquement dans la mémoire d'une clé HSM est utilisée pour chiffrer les données et les clés du client. Dérivée d'une clé HBK pour chaque chiffrement.  |  Utilisée une seule fois par chiffrement et régénérée au déchiffrement   | 
|  **Clé de données client**  |  Clé symétrique ou asymétrique définie par l'utilisateur, exportée depuis une clé HSM en texte brut et en texte chiffré. Chiffrée sous une clé de sauvegarde HSM et renvoyée aux utilisateurs autorisés via le canal TLS.  |  Rotation et utilisation contrôlée par application  | 

1 AWS KMS peut de temps à autre assouplir la rotation des clés de domaine à une rotation hebdomadaire au maximum pour tenir compte des tâches d'administration et de configuration du domaine.

2 Les valeurs par défaut Clés gérées par AWS créées et gérées en votre AWS KMS nom font l'objet d'une rotation annuelle automatique.

## Identifiants clés () KeyId
<a name="key-id"></a>

Les identificateurs de clé servent de noms pour vos clés KMS. Ils vous aident à reconnaître vos clés KMS dans la console. Vous les utilisez pour indiquer les clés KMS que vous souhaitez utiliser dans les opérations d'API AWS KMS , les politiques de clés, les politiques IAM et les octrois. Les valeurs de l'identifiant de clé ne sont absolument pas liées au matériel clé associé à la clé KMS.

AWS KMS définit plusieurs identificateurs clés. Lorsque vous créez une clé KMS, elle AWS KMS génère un ARN de clé et un ID de clé, qui sont des propriétés de la clé KMS. Lorsque vous créez un [alias](kms-alias.md), il AWS KMS génère un ARN d'alias basé sur le nom d'alias que vous définissez. Vous pouvez consulter les identifiants de clé et d'alias dans AWS Management Console et dans l' AWS KMS API. 

Dans la AWS KMS console, vous pouvez afficher et filtrer les clés KMS en fonction de leur ARN clé, de leur ID de clé ou de leur nom d'alias, et les trier par ID de clé et nom d'alias. Pour obtenir de l'aide sur la recherche des identificateurs clés dans la console, veuillez consulter [Rechercher l’ID de clé et l’ARN de clé](find-cmk-id-arn.md).

Dans l' AWS KMS API, les paramètres que vous utilisez pour identifier une clé KMS sont nommés `KeyId` ou une variante, telle que `TargetKeyId` ou`DestinationKeyId`. Cependant, les valeurs de ces paramètres ne sont pas limitées à la clé IDs. Certains peuvent prendre n'importe quel identifiant de clé valide. Pour plus d'informations sur les valeurs de chaque paramètre, consultez la description du paramètre dans la référence de l' AWS Key Management Service API.

**Note**  
Lorsque vous utilisez l' AWS KMS API, faites attention à l'identifiant de clé que vous utilisez. APIs Les différents nécessitent des identificateurs de clé différents. En général, utilisez l'identificateur de clé le plus complet et le plus pratique pour votre tâche.

AWS KMS prend en charge les identificateurs de clé suivants.

**ARN de clé**  <a name="key-id-key-ARN"></a>
L'ARN de clé est l'Amazon Resource Name (ARN) d'une clé KMS. Il s'agit d'un identifiant unique et entièrement qualifié pour la clé KMS. Un ARN de clé inclut Compte AWS la région et l'ID de clé. Pour obtenir de l'aide sur la recherche de l'ARN de clé d'une clé KMS, veuillez consulter [Rechercher l’ID de clé et l’ARN de clé](find-cmk-id-arn.md).  
Le format d'un ARN de clé est le suivant :  

```
arn:<partition>:kms:<region>:<account-id>:key/<key-id>
```
Voici un exemple d'ARN de clé pour une clé KMS de région unique.  

```
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
```
L'*key-id*élément de la clé ARNs des clés [multirégionales](multi-region-keys-overview.md) commence par le `mrk-` préfixe. Voici un exemple d'ARN de clé pour une clé KMS multi-région.  

```
arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab
```

**ID de clé**  <a name="key-id-key-id"></a>
L'ID de clé identifie de manière unique une clé KMS au sein d'un compte et d'une région. Pour obtenir de l'aide sur la recherche de l'ID de clé d'une clé KMS, veuillez consulter [Rechercher l’ID de clé et l’ARN de clé](find-cmk-id-arn.md).  
Voici un exemple d'ID de clé pour une clé KMS de région unique.  

```
1234abcd-12ab-34cd-56ef-1234567890ab
```
La clé IDs des clés [multirégionales](multi-region-keys-overview.md) commence par le `mrk-` préfixe. Voici un exemple d'ID de clé pour une clé KMS multi-région.  

```
mrk-1234abcd12ab34cd56ef1234567890ab
```

**ARN d'alias**  <a name="key-id-alias-ARN"></a>
L'alias ARN est le nom Amazon Resource (ARN) d'un AWS KMS alias. Il s'agit d'un identifiant unique et complet pour l'alias et pour la clé KMS qu'il représente. Un ARN d'alias inclut Compte AWS la région et le nom de l'alias.  
À tout moment, un ARN d'alias identifie une clé KMS particulière. Toutefois, comme vous pouvez modifier la clé KMS associée à l'alias, l'ARN d'alias peut identifier différentes clés KMS à des moments différents. Pour obtenir de l'aide sur la recherche de l'ARN d'alias d'une clé KMS, veuillez consulter [Trouvez le nom d'alias et l'ARN de l'alias pour une clé KMS](alias-view.md).  
Le format d'un ARN d'alias est le suivant :  

```
arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>
```
Ce qui suit est l'ARN d'alias pour un `ExampleAlias` fictif.  

```
arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias
```

**Nom d'alias**  <a name="key-id-alias-name"></a>
Le nom d'alias est une chaîne comportant jusqu'à 256 caractères. Il identifie de manière unique une clé KMS associée au sein d'un compte et d'une région. Dans l' AWS KMS API, les noms d'alias commencent toujours par`alias/`. Pour obtenir de l'aide sur la recherche du nom d'alias d'une clé KMS, veuillez consulter [Trouvez le nom d'alias et l'ARN de l'alias pour une clé KMS](alias-view.md).  
Le format d'un nom d'alias est le suivant :  

```
alias/<alias-name>
```
Par exemple :  

```
alias/ExampleAlias
```
Le préfixe `aws/` d'un nom d'alias est réservé aux [Clés gérées par AWS](#aws-managed-key). Vous ne pouvez pas créer d'alias avec ce préfixe. Par exemple, le nom d'alias du Clé gérée par AWS pour Amazon Simple Storage Service (Amazon S3) est le suivant.  

```
alias/aws/s3
```

# Clés asymétriques AWS KMS
<a name="symmetric-asymmetric"></a>

Une *clé KMS asymétrique* représente une paire de clés publiques et de clés privées mathématiquement liées entre elles. Vous pouvez donner la clé publique à n'importe qui, même s'il ne s'agit pas d'une personne de confiance, mais la clé privée doit rester secrète. 

Dans une clé KMS asymétrique, la clé privée est créée AWS KMS et ne sort jamais AWS KMS non chiffrée. Pour utiliser la clé privée, vous devez appeler AWS KMS. Vous pouvez utiliser la clé publique qu'elle contient AWS KMS en appelant les opérations de l' AWS KMS API. Vous pouvez également [télécharger la clé publique](download-public-key.md) et l'utiliser en dehors de AWS KMS.

Si votre cas d'utilisation nécessite un chiffrement externe AWS par des utilisateurs qui ne peuvent pas appeler AWS KMS, les clés KMS asymétriques sont un bon choix. Toutefois, si vous créez une clé KMS pour chiffrer les données que vous stockez ou gérez dans un AWS service, utilisez une clé KMS de chiffrement symétrique. [AWS les services intégrés AWS KMS utilisent uniquement des](https://aws.amazon.com/kms/features/#AWS_Service_Integration) clés KMS de chiffrement symétriques pour chiffrer vos données. Ces services ne prennent pas en charge le chiffrement avec des clés KMS asymétriques.

Lorsque vous signez des messages d'une taille supérieure à 4 Ko AWS KMS, vous devez hacher le message en dehors de celui-ci AWS KMS avant de le signer. AWS KMS propose trois `MessageType` options pour gérer la saisie des messages : `RAW` pour les messages en texte brut (où AWS KMS le hachage est effectué), `DIGEST` pour les messages pré-hachés (où l'étape de hachage est AWS KMS ignorée), et `EXTERNAL_MU` plus particulièrement pour les spécifications clés du KMS ML-DSA où l'entrée est une valeur μ représentative de 64 octets. [Pour les messages volumineux dépassant la limite de 4 Ko, hachez-les en externe et utilisez-les [https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html#KMS-Sign-request-MessageType](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html#KMS-Sign-request-MessageType)(ou [https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html#KMS-Sign-request-MessageType](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html#KMS-Sign-request-MessageType)pour les clés ML-DSA KMS) lors de l'appel des opérations de AWS KMS[signature](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) et de vérification. AWS KMS](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html)

AWS KMS prend en charge plusieurs types de clés KMS asymétriques. 

**Clés RSA KMS**  
Une clé KMS avec une paire de clés RSA pour le chiffrement et le déchiffrement ou pour la signature et la vérification (mais pas les deux). AWS KMS prend en charge plusieurs longueurs de clé pour différentes exigences de sécurité.  
Pour obtenir des informations techniques sur les algorithmes de chiffrement et de signature compatibles AWS KMS avec les clés RSA KMS, consultez les spécifications des clés [RSA](symm-asymm-choose-key-spec.md#key-spec-rsa).

**Clés KMS à courbe elliptique (ECC)**  
Une clé KMS avec une paire de clés à courbe elliptique pour la signature et la vérification ou pour obtenir des secrets partagés (mais pas les deux). AWS KMS prend en charge plusieurs courbes couramment utilisées.  
Pour plus de détails techniques sur les algorithmes de signature compatibles AWS KMS avec les clés ECC KMS, voir Spécifications des clés à [courbe elliptique](symm-asymm-choose-key-spec.md#key-spec-ecc).

**Clés ML-DSA KMS**  
Une clé KMS avec une paire de clés ML-DSA pour la signature et la vérification. ML-DSA est une norme de cryptographie post-quantique développée par le National Institute of Standards and Technology (NIST) des États-Unis pour se protéger contre les menaces de sécurité posées par l'informatique quantique. ML-DSA est l'algorithme de signature numérique recommandé pour les entreprises qui passent des algorithmes de signature numérique RSA ou Elliptic Curve à la cryptographie sécurisée post-quantique.  
AWS KMS prend en charge plusieurs longueurs de clé pour différentes exigences de sécurité. Pour obtenir des informations techniques sur les algorithmes de signature compatibles AWS KMS avec les clés KMS ML-DSA, reportez-vous à la section Spécification des clés [ML-DSA](symm-asymm-choose-key-spec.md#key-spec-mldsa).

**SM2 Clés KMS (régions de Chine uniquement)**  
Une clé KMS avec une paire de SM2 clés pour le chiffrement et le déchiffrement, la signature et la vérification, ou pour la dérivation de secrets partagés (vous devez en choisir un [Key usage](create-keys.md#key-usage) type).  
Pour obtenir des informations techniques sur les algorithmes de chiffrement et de signature compatibles AWS KMS avec les clés SM2 KMS (régions de Chine uniquement), consultez les [spécifications des SM2 clés](symm-asymm-choose-key-spec.md#key-spec-sm).

Pour obtenir de l'aide quant au choix de la configuration de votre clé asymétrique, veuillez consulter [Choix du type de clé KMS à créer](create-keys.md#symm-asymm-choose). 

**Régions**

Les clés KMS asymétriques et les paires de clés de données asymétriques sont prises en charge dans tous Régions AWS les AWS KMS supports.

**En savoir plus**
+ Pour créer des clés KMS asymétriques, veuillez consulter [Créer une clé KMS asymétrique](asymm-create-key.md). 
+ Pour créer des clés KMS multi-région asymétriques, veuillez consulter [Création de clés primaires multirégionales](create-primary-keys.md).
+ Pour savoir comment signer des messages et vérifier des signatures à l'aide des clés KMS asymétriques, veuillez consulter [Signature numérique avec la nouvelle fonction de clés asymétriques d' AWS KMS](https://aws.amazon.com/blogs/security/digital-signing-asymmetric-keys-aws-kms/) dans le *blog de sécuritéAWS *.
+ Pour en savoir plus sur les considérations particulières relatives à la suppression de clés KMS asymétriques, consultez[Deleting asymmetric KMS keys](deleting-keys.md#deleting-asymmetric-cmks).
+ Pour identifier et afficher les clés KMS asymétriques, consultez[Identifier les clés KMS asymétriques](identify-key-types.md#identify-asymm-keys).

# Clés HMAC entrées AWS KMS
<a name="hmac"></a>

Les clés KMS à code d'authentification des messages basé sur le hachage (HMAC) sont des clés symétriques que vous utilisez pour les générer et les vérifier. HMACs AWS KMS Les éléments de clé uniques associés à chaque clé KMS HMAC fournissent la clé secrète requise par les algorithmes HMAC. Vous pouvez utiliser une clé KMS HMAC avec les opérations `[GenerateMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html)` et [https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html) pour vérifier l'intégrité et l'authenticité des données dans AWS KMS.

Les algorithmes HMAC combinent une fonction de hachage cryptographique et une clé secrète partagée. Ils prennent un message et une clé secrète, comme les éléments de clé d'une clé KMS HMAC, et renvoient un code unique de taille fixe ou une *balise*. Si même un caractère du message change ou si la clé secrète n'est pas identique, la balise obtenue est entièrement différente. En exigeant une clé secrète, HMAC garantit également l'authenticité ; il est impossible de générer une étiquette HMAC identique sans la clé secrète. HMACs sont parfois appelées *signatures symétriques*, car elles fonctionnent comme des signatures numériques, mais utilisent une seule clé pour la signature et la vérification.

Les clés HMAC KMS et les algorithmes HMAC AWS KMS utilisés sont conformes aux normes industrielles définies dans la [RFC](https://datatracker.ietf.org/doc/html/rfc2104) 2104. L' AWS KMS [GenerateMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html)opération génère des balises HMAC standard. Les clés HMAC KMS sont générées dans des modules de sécurité AWS KMS matériels certifiés dans le cadre du programme de [validation des modules cryptographiques FIPS 140-3 (sauf dans les régions de Chine (](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884)Pékin) et de Chine (Ningxia)) et ne sont jamais non chiffrées. AWS KMS Pour utiliser une clé KMS HMAC, vous devez appeler AWS KMS.

Vous pouvez utiliser les clés KMS HMAC pour déterminer l'authenticité d'un message, comme un jeton Web JSON (JWT), des informations de carte de crédit tokenisée ou un mot de passe envoyé. Elles peuvent également être utilisées comme fonctions de dérivation de clés sécurisées (KDFs), en particulier dans les applications qui nécessitent des clés déterministes.

Les clés HMAC KMS offrent un avantage par rapport aux logiciels HMACs d'application, car le contenu clé est généré et utilisé entièrement dans le logiciel AWS KMS, sous réserve des contrôles d'accès que vous définissez sur la clé.

**Astuce**  
Les bonnes pratiques recommandent de limiter la durée pendant laquelle tout mécanisme de signature, y compris un HMAC, est effectif. Cela dissuade une attaque où l'acteur utilise un message signé pour établir la validité à plusieurs reprises ou longtemps après le remplacement du message. Les balises HMAC n'incluent pas d'horodatage, mais vous pouvez inclure un horodatage dans le jeton ou le message pour vous aider à détecter le moment où il convient d'actualiser le HMAC. 

**Opérations cryptographiques prises en charge**  
Les clés HMAC KMS prennent uniquement en charge les opérations de chiffrement [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html) et [https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html). Vous ne pouvez pas utiliser de clés KMS HMAC pour chiffrer des données ou signer des messages, ni pour utiliser tout autre type de clé KMS dans les opérations HMAC. Lorsque vous utilisez l'opération `GenerateMac`, vous fournissez un message pouvant atteindre 4 096 octets, une clé KMS HMAC et l'algorithme MAC compatible avec la spécification de clé HMAC, tandis que `GenerateMac` calcule la balise HMAC. Pour vérifier une balise HMAC, vous devez fournir la balise HMAC, ainsi que le même message, la clé KMS HMAC et l'algorithme MAC que `GenerateMac` a utilisé pour calculer la balise HMAC d'origine. L'opération `VerifyMac` calcule la balise HMAC et vérifie qu'elle est identique à la balise HMAC fournie. Si les balises HMAC en entrée et calculées ne sont pas identiques, la vérification échoue.   
Les clés KMS HMAC ne prennent *pas* en charge la [rotation automatique des clés](rotate-keys.md) et vous ne pouvez pas créer de clé KMS HMAC dans un [magasin de clés personnalisé](key-store-overview.md#custom-key-store-overview).  
Si vous créez une clé KMS pour chiffrer les données d'un AWS service, utilisez une clé de chiffrement symétrique. Vous ne pouvez pas utiliser de clé KMS HMAC.

**Régions**  
Les clés HMAC KMS sont prises en charge dans tous Régions AWS les AWS KMS supports.

**En savoir plus**
+ Pour créer des clés HMAC KMS, voir[Créer une clé KMS HMAC](hmac-create-key.md).
+ Pour créer des clés HMAC KMS multirégionales, consultez. [Clés multirégionales dans AWS KMS](multi-region-keys-overview.md)
+ Pour examiner la différence entre la politique de clé par défaut définie par la AWS KMS console pour les clés HMAC KMS, consultez[Permet aux utilisateurs de clés d'utiliser une clé KMS pour les opérations de chiffrement](key-policy-default.md#key-policy-users-crypto).
+ Pour identifier et afficher les clés HMAC KMS, consultez[Identifier les clés HMAC KMS](identify-key-types.md#hmac-view).
+ Pour en savoir plus sur l'utilisation HMACs de jetons Web JSON pour créer des jetons Web JSON, consultez la section [Comment protéger HMACs l'intérieur AWS KMS](https://aws.amazon.com/blogs/security/how-to-protect-hmacs-inside-aws-kms/) dans le *blog sur la AWS sécurité*.
+ Écoutez un podcast : [Présentation HMACs de AWS Key Management Service](https://aws.amazon.com/podcasts/introducing-hmacs-apis-in-aws-key-management-service) on *The Official AWS Podcast*.

# Clés ML-DSA entrées AWS KMS
<a name="mldsa"></a>

AWS Key Management Service (AWS KMS) prend en charge l'algorithme de signature numérique Module-Lattice (ML-DSA) pour les signatures cryptographiques post-quantiques. Cette mise en œuvre suit la [norme Federal Information Processing Standards (FIPS) 204](https://csrc.nist.gov/pubs/fips/204/final) pour aider à protéger contre les futures menaces informatiques quantiques. AWS KMS crée et protège toutes les clés ML-DSA et les opérations de signature dans les modules de sécurité matériels validés FIPS 140-3 Security Level 3. Pour trouver un équilibre entre sécurité et performances, ML-DSA AWS KMS propose trois niveaux de sécurité distincts grâce à différentes spécifications clés, ML\$1DSA\$144, ML\$1DSA\$165 et ML\$1DSA\$187.

AWS KMS prend en charge les signatures de clé asymétriques pour les messages d'une taille maximale de 4 Ko en utilisant le type de `RAW` message. Pour les messages plus volumineux, vous devez calculer en externe la représentation du message de 64 octets μ utilisée pour la signature ML-DSA, comme défini dans la section 6.2 de la norme NIST FIPS 204. Utilisez le type de `EXTERNAL_MU` message dans l'opération de AWS KMS [signature](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) pour spécifier ce message prétraité de 64 octets. Les signatures produites par le μ calculé en externe sont les mêmes que `RAW` celles produites lors de l'utilisation du même message et de la même clé privée. Notez que cette signature est différente du « pré-hachage » ML-DSA ou du HashML-DSA de la section 5.4 du NIST FIPS 204.

Pour plus d'informations sur l'utilisation de ML-DSA et du type de message EXTERNAL\$1MU, consultez. [Caractéristiques clés de la ML-DSA](symm-asymm-choose-key-spec.md#key-spec-mldsa)

Pour un exemple d'utilisation de ML-DSA et du type de message EXTERNAL\$1MU, consultez. [Vérification hors ligne avec des paires de clés ML-DSA](offline-operations.md#mldsa-offline-verification)

# Clés multirégionales dans AWS KMS
<a name="multi-region-keys-overview"></a>

AWS KMS prend en charge *les clés multirégionales*, qui sont AWS KMS keys différentes Régions AWS et peuvent être utilisées de manière interchangeable, comme si vous aviez la même clé dans plusieurs régions. Chaque ensemble de clés multirégionales *associées* possède le même contenu clé et le même [identifiant de clé](concepts.md#key-id-key-id). Vous pouvez donc chiffrer les données dans une clé Région AWS et les déchiffrer dans une autre Région AWS sans les chiffrer à nouveau ni effectuer un appel interrégional. AWS KMS

Comme toutes les clés KMS, les clés multirégionales ne sont jamais AWS KMS déchiffrées. Vous pouvez créer des clés multi-région symétriques ou asymétriques pour le chiffrement ou la signature, créer des clés multi-régions HMAC pour la génération et la vérification de balises HMAC, mais aussi créer des [clés multi-région avec des éléments de clé importés](importing-keys.md) ou des éléments de clé générés par AWS KMS . Vous devez gérer chaque clé multi-région indépendamment, notamment en créant des alias et des balises, en définissant les politiques et les octrois de clé, en les activant et en les désactivant de manière sélective. Vous pouvez utiliser des clés multi-région dans le cadre de toutes les opérations de chiffrement que vous pouvez effectuer avec des clés à région unique.

Les clés multi-région sont une solution flexible et puissante pour de nombreux scénarios courants liés à la sécurité des données.

**Reprise après sinistre **  
Dans une architecture de sauvegarde et de restauration, les clés multirégionales vous permettent de traiter les données chiffrées sans interruption, même en cas de Région AWS panne. Les données conservées dans les régions de sauvegarde peuvent être déchiffrées dans la région de sauvegarde, et les données nouvellement chiffrées dans la région de sauvegarde peuvent être déchiffrées dans la région principale lorsque cette région est restaurée.

**Gestion globale des données**  
Les entreprises qui opèrent à l'échelle mondiale ont besoin de données distribuées dans le monde entier et qui soient disponibles entre les Régions AWS. Vous pouvez créer des clés multi-région dans toutes les régions où résident vos données, puis utiliser les clés comme s'il s'agissait d'une clé à région unique sans la latence d'un appel inter-régions ou le coût du re-chiffrement des données sous une clé différente dans chaque région.

**Applications de signature distribuées**  
Les applications qui nécessitent des fonctionnalités de signature inter-régions peuvent utiliser des clés de signature asymétriques multi-région pour générer des signatures numériques identiques de manière cohérente et répétée dans différentes Régions AWS.   
Si vous utilisez le chaînage de certificats avec un magasin de confiance global unique (pour une autorité de certification (CA) racine unique, et un intermédiaire régional CAs signé par l'autorité de certification racine, vous n'avez pas besoin de clés multirégionales. Toutefois, si votre système ne prend pas en charge les protocoles intermédiaires CAs, tels que la signature d'applications, vous pouvez utiliser des clés multirégionales pour garantir la cohérence des certifications régionales.

**Applications active/active couvrant plusieurs régions**  
Certaines charges de travail et applications peuvent couvrir plusieurs régions dans des architectures active/active. Pour ces applications, les clés multi-région peuvent réduire la complexité en fournissant les mêmes éléments de clé pour les opérations simultanées de chiffrement et de déchiffrement sur les données susceptibles de se déplacer au-delà des limites de la région.

Vous pouvez utiliser des clés multirégionales avec des bibliothèques de chiffrement côté client, telles que le [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)[SDK de chiffrement de AWS base de données et le chiffrement](https://docs.aws.amazon.com/dynamodb-encryption-client/latest/devguide/) côté client [Amazon](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html) S3. 

La plupart [AWS des services intégrés au](https://aws.amazon.com/kms/features/) chiffrement au repos ou AWS KMS aux signatures numériques traitent actuellement les clés multirégionales comme s'il s'agissait de clés à région unique. Ils peuvent ré-encapsulper ou re-chiffrer les données déplacées entre les régions. Par exemple, la réplication entre régions Amazon S3 déchiffre et rechiffre les données sous une clé KMS dans la région de destination, même lors de la réplication d'objets protégés par une clé multirégionale. Reportez-vous à la documentation spécifique au service pour comprendre comment un service réplique les données chiffrées et s'il traite différemment les clés multirégionales.

Les clés multi-région ne sont pas globales. Vous créez une clé principale multi-région, puis vous la répliquez dans les régions que vous sélectionnez dans une [partition AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html). Vous gérez ensuite la clé multi-région dans chaque région de manière indépendante. Ni AWS ne AWS KMS crée ni ne réplique automatiquement les clés multirégionales dans aucune région en votre nom. [Clés gérées par AWS](concepts.md#aws-managed-key), les clés KMS que les AWS services créent pour vous dans votre compte sont toujours des clés à région unique.

Dans les régions de Chine, vous pouvez utiliser la fonctionnalité de clé multirégionale pour répliquer les clés KMS dans la partition des régions de Chine ()`aws-cn`. Par exemple, vous pouvez répliquer une clé de la région Chine (Pékin) vers la région Chine (Ningxia), ou inversement. En répliquant une clé d'une région de Chine à une autre, vous acceptez d'utiliser celle AWS Key Management Service de la région de destination et de respecter toutes les conditions d'accord applicables à la région de destination. Vous ne pouvez pas répliquer une clé des régions de Pékin et du Ningxia dans une AWS région située en dehors de la partition des régions de Chine. De même, vous ne pouvez pas répliquer une clé d'une région située en dehors de la partition des régions de Chine vers les régions de Pékin et de Ningxia.

Vous ne pouvez pas transformer une clé à région unique en clé multi-région. Cette conception garantit que toutes les données protégées avec les clés à région unique existantes conservent les mêmes propriétés de résidence et de souveraineté des données.

Pour la plupart des besoins de sécurité des données, l'isolation régionale et la tolérance aux pannes des ressources régionales font des clés AWS KMS unirégionales standard la solution la mieux adaptée. Toutefois, lorsque vous avez besoin de chiffrer ou de signer des données dans des applications côté client entre plusieurs régions, les clés multi-région peuvent être la solution.



**Régions**

Les clés multirégionales sont prises en charge dans tous Régions AWS les AWS KMS supports.

**Tarification et quotas**

Chaque clé d'un ensemble de clés multi-région associées compte comme une clé KMS pour la tarification et les quotas. Les [quotas AWS KMS](limits.md) sont calculés séparément pour chaque région d'un compte. L'utilisation et la gestion des clés multi-région dans chaque région sont prises en compte dans les quotas pour cette région.

**Types de clés KMS non pris en charge**

Vous pouvez créer les types suivants de clés KMS multirégions :
+ Clés KMS de chiffrement symétrique
+ Clés KMS asymétriques
+ Clés KMS HMAC
+ Clés KMS avec des éléments de clé importés

Vous ne pouvez pas créer de clés multi-région dans un magasin de clés personnalisé.

**En savoir plus**
+ Pour savoir comment contrôler l'accès aux clés KMS multirégionales, consultez[Contrôler l'accès aux clés multirégionales](multi-region-keys-auth.md).
+ Pour créer des clés KMS primaires multirégionales de n'importe quel type, consultez[Création de clés primaires multirégionales](create-primary-keys.md).
+ Pour créer des répliques de clés KMS multirégionales, consultez[Création de répliques de clés multirégionales](multi-region-keys-replicate.md).
+ Pour mettre à jour la région principale, voir[Modifier la clé primaire dans un ensemble de clés multirégionales](multi-region-update.md).
+ Pour identifier et afficher les clés KMS multirégionales, consultez[Identifier les clés HMAC KMS](identify-key-types.md#hmac-view).
+ Pour en savoir plus sur les considérations particulières relatives à la suppression de clés KMS multirégionales, consultez[Deleting multi-Region keys](deleting-keys.md#deleting-mrks).

## Terminologie et concepts
<a name="multi-region-concepts"></a>

Les termes et concepts suivants sont utilisés avec des clés multi-région.

### Clé multi-région
<a name="multi-Region-concept"></a>

Une *clé multi-région* fait partie d'un ensemble de clés KMS avec le même ID de clé et les mêmes éléments de clé (et d'autres [propriétés partagées](#mrk-replica-key)) dans différentes Régions AWS. Chaque clé multi-région est une clé KMS pleinement fonctionnelle qui peut être utilisée indépendamment des clés multi-région associées. Étant donné que toutes les clés multirégionales *associées* ont le même identifiant de clé et le même matériel clé, elles sont *interopérables*, c'est-à-dire que toute clé multirégionale associée Région AWS peut déchiffrer le texte chiffré par toute autre clé multirégionale associée.

Vous définissez la propriété multi-région d'une clé KMS lors de sa création. Vous ne pouvez pas modifier propriété multi-région sur une clé existante. Vous ne pouvez pas convertir une clé à région unique en clé multi-région ou convertir une clé multi-région en clé à région unique. Pour déplacer des charges de travail existantes dans des scénarios multi-région, vous devez chiffrer à nouveau vos données ou créer de nouvelles signatures avec de nouvelles clés multi-région.

Une clé multirégionale peut être [symétrique ou asymétrique](symmetric-asymmetric.md) et elle peut utiliser du matériel clé ou du matériel AWS KMS clé [importé](importing-keys.md). Vous ne pouvez pas créer de clés multi-région dans un [magasin de clés personnalisé](key-store-overview.md#custom-key-store-overview).

Dans un ensemble de clés multi-région associées, il y a exactement une [clé principale](#mrk-primary-key) à tout moment. Vous pouvez créer des [clés de réplica](#mrk-replica-key) de cette clé principale dans d'autres Régions AWS. Vous pouvez également [mettre à jour la région principale](multi-region-update.md#update-primary-console), qui transforme la clé principale en clé de réplica et transforme une clé de réplica spécifiée en clé principale. Toutefois, vous ne pouvez conserver qu'une seule clé primaire ou une seule clé de réplique dans chacune d'elles Région AWS. Toutes les régions doivent être dans la même [partition AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).

Vous pouvez avoir plusieurs ensembles de clés multi-région associées dans la même ou dans plusieurs Régions AWS. Bien que les clés multi-région associées soient interopérables, les clés multi-région non associées ne sont pas interopérables.

### Clé primaire
<a name="mrk-primary-key"></a>

Une *clé primaire multirégionale est une clé* KMS qui peut être répliquée Régions AWS dans d'autres clés de la même partition. Chaque ensemble de clés multi-région ne possède qu'une seule clé principale.

Une clé principale diffère d'une clé de réplica comme suit :
+ Seule une clé principale peut être [répliquée](multi-region-keys-replicate.md).
+ La clé principale est la source de [propriétés partagées](#mrk-replica-key) de ses [clés de réplica](#mrk-replica-key), y compris les éléments de clé et l'ID de clé. 
+ Vous pouvez activer et désactiver la [rotation automatique des clés](rotate-keys.md) seulement sur une clé principale.
+ Vous pouvez [planifier la suppression d'une clé principale](deleting-keys.md#deleting-mrks) à tout moment. Mais il ne AWS KMS supprimera pas une clé primaire tant que toutes ses clés répliques ne seront pas supprimées.

Cependant, les clés principales et les clés de réplica ne diffèrent pas au niveau des propriétés cryptographiques. Vous pouvez utiliser une clé primaire et ses clés de réplica de manière interchangeable. 

Vous n'êtes pas tenu de répliquer une clé principale. Vous pouvez l'utiliser comme n'importe quelle clé KMS et la répliquer si elle est utile. Toutefois, étant donné que les clés multi-région ont des propriétés de sécurité différentes de celles des clés à région unique, nous vous recommandons de créer une clé multi-région uniquement lorsque vous envisagez de la répliquer.

### Clé de réplica
<a name="mrk-replica-key"></a>

Une clé de *réplication multirégionale* est une clé KMS qui possède le même [identifiant](concepts.md#key-id-key-id) et le même matériau de clé que sa [clé primaire](#mrk-primary-key) et les clés de réplique associées, mais qui existe dans une autre Région AWS. 

Une clé de réplica est une clé KMS pleinement fonctionnelle avec ses propres politiques de clé, octrois, alias, balises et autres propriétés. Il ne s'agit pas d'une copie ou d'un pointeur vers la clé principale ou toute autre clé. Vous pouvez utiliser une clé de réplica même si sa clé principale et toutes les clés de réplica associées sont désactivées. Vous pouvez également transformer une clé de réplica en clé principale et une clé principale en clé de réplica. Une fois créée, une clé de réplica s'appuie sur sa clé principale uniquement pour la [rotation des clés](rotate-keys.md#multi-region-rotate) et la [mise à jour de la région principale](multi-region-update.md). 

Les clés principales et les clés de réplica ne diffèrent pas au niveau des propriétés cryptographiques. Vous pouvez utiliser une clé primaire et ses clés de réplica de manière interchangeable. Les données chiffrées par une clé principale ou de réplica peuvent être déchiffrées par la même clé, ou par toute clé principale ou de réplica associée.

### Répliquer
<a name="replicate"></a>

Vous pouvez *répliquer* une [clé primaire multirégionale dans une autre Région AWS clé](#mrk-primary-key) de la même partition. Lorsque vous le faites, AWS KMS crée une [clé de réplique multirégionale](#mrk-replica-key) dans la région spécifiée avec le même [ID de clé](concepts.md#key-id-key-id) et d'autres [propriétés partagées](#mrk-sync-properties) que sa clé primaire. Pour les clés KMS avec `AWS_KMS` origine, transporte AWS KMS en toute sécurité le matériel clé à travers les limites de la région et l'associe à la nouvelle réplique de clé, le tout à l'intérieur AWS KMS. Pour les clés KMS avec `EXTERNAL` origine, vous devez importer le même contenu clé que celui que vous avez importé dans la clé de région principale dans chaque réplique de clé de région individuellement.

### Propriétés partagées
<a name="mrk-sync-properties"></a>

Les *propriétés partagées* sont les propriétés d'une clé primaire multirégionale qui sont partagées avec ses clés de réplique. AWS KMS crée les clés de réplique avec les mêmes valeurs de propriétés partagées que celles de la clé primaire. Ensuite, il synchronise périodiquement les valeurs de propriété partagées de la clé principale avec ses clés de réplica. Vous ne pouvez pas définir ces propriétés sur une clé de réplica. 

Voici les propriétés partagées des clés multi-région. 
+ [ID de clé](concepts.md#key-id-key-id) — (L'élément `Region` de l'[ARN de clé](concepts.md#key-id-key-ARN) diffère.)
+ [Matériau clé](create-keys.md#key-origin) — Les clés principales et répliques d'un ensemble de clés multirégionales associées partagent le même matériau clé. Pour les clés multirégionales dont le matériel clé est généré par AWS KMS (`AWS_KMS`origine), transporte AWS KMS en toute sécurité tous les matériaux clés du principal vers chaque réplique lorsque la réplique est créée ou lorsqu'un nouveau matériau clé est créé par rotation automatique ou à la demande. Pour les clés multirégionales dont le matériel clé est importé (`EXTERNAL`origine), AWS KMS synchronise l'identifiant du matériau clé à partir de la clé primaire, mais vous devez importer le matériel clé dans chaque clé de réplique indépendamment. 
+ [Origine des éléments de clé](create-keys.md#key-origin)
+ [Spécifications des clés](create-keys.md#key-spec) et algorithmes de chiffrement
+ [Utilisation de la clé](create-keys.md#key-usage)
+ [Rotation automatique des clés](rotating-keys-enable.md) — Vous pouvez activer et désactiver la rotation automatique des clés uniquement sur la clé principale. De nouvelles clés de réplica sont créées avec toutes les versions des éléments de clé partagés. Pour plus de détails, veuillez consulter [Rotating multi-Region keys](rotate-keys.md#multi-region-rotate).
+ [Rotation à la demande](rotating-keys-on-demand.md) : vous pouvez effectuer une rotation à la demande uniquement sur la clé primaire. Pour les clés multirégionales dont le matériau clé est généré par AWS KMS (`AWS_KMS`origine), AWS KMS crée des répliques de clés avec toutes les versions du matériau clé partagé. Pour les clés multirégionales dont le matériau clé est importé (`EXTERNAL`origine), AWS KMS propage l'identifiant du matériau clé et la description du matériau clé de la clé primaire aux clés répliques, mais pas le matériau clé. Vous devez importer le bon matériel clé dans chaque réplique de clé individuellement. Pour plus de détails, veuillez consulter [Rotating multi-Region keys](rotate-keys.md#multi-region-rotate).

Vous pouvez également considérer les désignations principales et de réplica des clés multi-région associées comme des propriétés partagées. Lorsque vous [créez de nouvelles clés répliquées](#mrk-replica-key) ou que vous [mettez à jour la clé primaire](multi-region-update.md#update-primary-console), la modification est AWS KMS synchronisée avec toutes les clés multirégionales associées. Lorsque ces modifications sont terminées, toutes les clés multi-région associées répertorient avec précision leur clé principale et leurs clés de réplica.

[Toutes les autres propriétés des clés multirégionales sont des *propriétés indépendantes*, notamment la description de la clé, la [politique de clé](key-policies.md), les [autorisations](grants.md), les [états clés activés et désactivés, les](enabling-keys.md)[alias](kms-alias.md) et les balises.](tagging-keys.md) Vous pouvez définir les mêmes valeurs pour ces propriétés sur toutes les clés multi-région associées, mais si vous modifiez la valeur d'une propriété indépendante, AWS KMS ne la synchronise pas.

Vous pouvez suivre la synchronisation des propriétés partagées de vos clés multi-région. Dans votre AWS CloudTrail journal, recherchez l'[SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md)événement.

# Considérations sur la sécurité pour les clés multi-région
<a name="mrk-when-to-use"></a>

Utilisez une clé AWS KMS multirégionale uniquement lorsque vous en avez besoin. Les clés multi-région fournissent une solution flexible et évolutive pour les applications qui déplacent des données chiffrées entre Régions AWS ou ont besoin d'un accès inter-régions. Envisagez une clé multi-région si vous devez partager, déplacer ou sauvegarder des données protégées entre les régions ou si vous avez besoin de créer des signatures numériques identiques d'applications fonctionnant dans différentes régions.

Toutefois, le processus de création d'une clé multi-région déplace vos éléments de clé au-delà des frontières des Région AWS au sein de AWS KMS. Le texte chiffré généré par une clé multi-région peut potentiellement être déchiffré par plusieurs clés associées dans plusieurs emplacements géographiques. Il y a également des avantages importants pour les services et les ressources isolés dans la région. Chaque Région AWS est indépendante et isolée des autres régions. Les régions fournissent une tolérance aux pannes, une stabilité et une résilience, et peuvent également réduire la latence. Elles vous permettent de créer des ressources redondantes qui restent disponibles et qui ne sont pas affectées par les pannes dans les autres régions. En AWS KMS, ils garantissent également que chaque texte chiffré peut être déchiffré par une seule clé.

Les clés multi-région soulèvent également de nouvelles considérations de sécurité :
+ Le contrôle de l'accès et l'application de la politique de sécurité des données sont plus complexes avec les clés multi-région. Vous devez vous assurer que la politique est auditée de manière cohérente sur la clé dans plusieurs régions isolées. Vous devez également utiliser la politique pour appliquer les frontières, au lieu de vous appuyer sur des clés séparées.

  Par exemple, vous devez définir des conditions de politique sur les données pour empêcher les équipes de paie d'une région de lire les données de paie pour une autre région. En outre, vous devez utiliser le contrôle d'accès pour empêcher un scénario dans lequel une clé multi-région dans une région protège les données d'un locataire et une clé multi-région associée dans une autre région protège les données d'un autre locataire.
+ L'audit des clés entre les régions est également plus complexe. Avec les clés multi-région, vous devez examiner et réconcilier les activités d'audit entre plusieurs régions afin d'obtenir une compréhension complète des activités de clé liées aux données protégées.
+ La conformité aux mandats de résidence des données peut être plus complexe. Avec les régions isolées, vous pouvez garantir la résidence des données et la conformité à la souveraineté des données. Les clés KMS d'une région donnée peuvent déchiffrer des données sensibles uniquement dans cette région. Les données chiffrées dans une région peuvent rester complètement protégées et inaccessibles dans toute autre région.

  Pour vérifier la résidence et la souveraineté des données à l'aide de clés multirégionales, vous devez mettre en œuvre des politiques d'accès et compiler AWS CloudTrail des événements dans plusieurs régions.

Pour faciliter la gestion du contrôle d'accès sur les clés multirégionales, l'autorisation de répliquer une clé multirégionale ([kms : ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)) est distincte de l'autorisation standard de création de clés ([kms](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) :). CreateKey AWS KMS Prend également en charge plusieurs conditions de politique pour les clés multirégionales`kms:MultiRegion`, notamment celles qui autorisent ou refusent l'autorisation de créer, d'utiliser ou de gérer des clés multirégionales et `kms:ReplicaRegion` qui restreint les régions dans lesquelles une clé multirégionale peut être répliquée. Pour plus de détails, veuillez consulter [Contrôler l'accès aux clés multirégionales](multi-region-keys-auth.md).

# Fonctionnement des clés multi-région
<a name="mrk-how-it-works"></a>

Vous commencez par créer une [clé primaire multirégionale symétrique ou asymétrique dans une clé](multi-region-keys-overview.md#mrk-primary-key) AWS KMS compatible, telle Région AWS que USA East (Virginie du Nord). Vous décidez si une clé est à région unique ou multi-région uniquement lorsque vous la créez ; vous ne pouvez pas modifier cette propriété ultérieurement. Comme pour toute clé KMS, vous définissez une politique de clé pour la clé multi-région, et vous pouvez créer des octrois et ajouter des alias et des balises pour la catégorisation et l'autorisation. (Ce sont des [propriétés indépendantes](multi-region-keys-overview.md#mrk-sync-properties) qui ne sont pas partagées ou synchronisées avec d'autres clés.) Vous pouvez utiliser votre clé principale multi-région dans les opérations de chiffrement pour le chiffrement ou la signature.

Vous pouvez [créer une clé primaire multirégionale](create-primary-keys.md) dans la AWS KMS console ou en utilisant l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API avec le `MultiRegion` paramètre défini sur. `true` Notez que les clés multi-région ont un ID de clé distinctif qui commence par `mrk-`. Vous pouvez utiliser le `mrk-` préfixe pour vous identifier MRKs par programmation.

![\[Multi-Region primary key icon with red key symbol and sample key ID format.\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/multi-region-primary-key.png)


Si vous le souhaitez, vous pouvez [répliquer](multi-region-keys-overview.md#replicate) la clé primaire multirégionale dans une ou plusieurs Régions AWS autres clés de la même [AWS partition](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html), par exemple en Europe (Irlande). Lorsque vous le faites, AWS KMS crée une [réplique de clé](multi-region-keys-overview.md#mrk-replica-key) dans la région spécifiée avec le même ID de clé et d'autres [propriétés partagées](multi-region-keys-overview.md#mrk-sync-properties) que la clé primaire. Le résultat donne deux clés multi-région *associées* : une clé principale et une clé de réplica, pouvant être utilisées de manière interchangeable.

Vous pouvez [créer une réplique de clé multirégionale](multi-region-keys-replicate.md) dans la AWS KMS console ou à l'aide de l'[ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)API. 

![\[Diagram showing multi-Region primary and replica keys in US East and EU regions with key IDs.\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/multi-region-replica-key.png)


La [clé de réplica multi-région](multi-region-keys-overview.md#mrk-replica-key) qui en résulte est une clé KMS pleinement fonctionnelle, avec les mêmes [propriétés partagées](multi-region-keys-overview.md#mrk-sync-properties) que clé principale. À tous autres égards, il s'agit d'une clé KMS indépendante avec ses propres description, politique de clé, octrois, alias et balises. L'activation ou la désactivation d'une clé multi-région n'a aucun effet sur les clés multi-région associées. Vous pouvez utiliser les clés principales et de réplica indépendamment dans les opérations cryptographiques ou coordonner leur utilisation. Par exemple, vous pouvez chiffrer des données avec la clé principale dans la région USA Est (Virginie du Nord), déplacer les données vers la région UE (Irlande) et utiliser la clé de réplica pour déchiffrer les données. 

Les clés multi-région associées ont le même ID de clé. Leur clé ARNs (Amazon Resource Names) ne diffère que dans le champ Région. Par exemple, la clé primaire multirégionale et les clés de réplique peuvent avoir l'exemple de clé ARNs suivant. L'ID de clé (le dernier élément de l'ARN de clé) est identique. Les deux clés ont l'ID de clé distinctif des clés multi-régions, qui commence par **mrk-**.

```
Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
```

Le même ID de clé est requis pour l'interopérabilité. Lors du chiffrement, AWS KMS lie l'ID de clé KMS au texte chiffré afin que le texte chiffré ne puisse être déchiffré qu'avec cette clé KMS ou une clé KMS avec le même identifiant de clé. Cette fonction facilite également la reconnaissance des clés multi-région associées ainsi que leur utilisation interchangeable. Par exemple, lorsque vous les utilisez dans une application, vous pouvez faire référence aux clés multi-région associées par leur ID de clé partagé. Ensuite, si nécessaire, spécifiez la région ou l'ARN pour les distinguer. 

À mesure que vos besoins en matière de données évoluent, vous pouvez répliquer la clé primaire vers d'autres Régions AWS utilisateurs de la même partition, par exemple dans l'ouest des États-Unis (Oregon) et dans la région Asie-Pacifique (Sydney). Le résultat est quatre clés multirégionales *associées* avec le même matériau clé et la même clé IDs, comme indiqué dans le schéma suivant. Vous gérez les clés indépendamment. Pour les clés multirégionales avec du matériel clé importé, vous êtes responsable de l'importation du matériel clé dans chaque clé associée individuellement. Vous pouvez les utiliser indépendamment ou de manière coordonnée. Par exemple, vous pouvez chiffrer des données avec la clé de réplica dans la région Asie-Pacifique (Sydney), déplacer les données vers la région USA Ouest (Oregon) et les déchiffrer avec la clé de réplica dans la région USA Ouest (Oregon). 

![\[Les clés principales et répliques d'une clé multirégionale\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/multi-region-keys.png)


Voici d'autres considérations pour les clés multi-région.

*Synchronisation des propriétés partagées* [: si une [propriété partagée](multi-region-keys-overview.md#mrk-sync-properties) des clés multirégionales change, la modification est AWS KMS automatiquement synchronisée entre la [clé primaire et toutes ses clés](multi-region-keys-overview.md#mrk-primary-key) répliquées.](multi-region-keys-overview.md#mrk-replica-key) Vous ne pouvez pas demander ou forcer la synchronisation des propriétés partagées. AWS KMS détecte et synchronise toutes les modifications pour vous. Vous pouvez toutefois auditer la synchronisation en utilisant l'[SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md)événement dans CloudTrail les journaux.

Par exemple, si vous activez la rotation automatique des clés sur une clé primaire multirégionale symétrique avec `AWS_KMS` origine, AWS KMS copie ce paramètre sur toutes ses clés répliques. Lorsque les éléments de clé sont soumis à une rotation, la rotation est synchronisée entre toutes les clés multi-région associées, de sorte qu'elles continuent d'avoir les mêmes éléments de clé actuels et d'accéder à toutes les versions plus anciennes des éléments de clé. Si vous créez une nouvelle clé de réplica, elle dispose des mêmes éléments de clé actuels que toutes les clés multi-région associées et de l'accès à toutes les versions précédentes des éléments de clé. Pour plus de détails, veuillez consulter [Rotating multi-Region keys](rotate-keys.md#multi-region-rotate).

*Modification de la clé principale* — Chaque ensemble de clés multi-région doit avoir exactement une clé principale. La [clé principale](multi-region-keys-overview.md#mrk-primary-key) est la seule clé qui peut être répliquée. C'est également la source des propriétés partagées de ses clés de réplica. Toutefois, vous pouvez transformerr la clé principale en un réplica et transformer l'une des clés de réplica en clé principale. Vous pouvez procéder ainsi afin de supprimer une clé principale multi-région d'une région particulière ou de placer la clé principale dans une région plus proche des administrateurs de projet. Pour plus de détails, veuillez consulter [Modifier la clé primaire dans un ensemble de clés multirégionales](multi-region-update.md).

*Suppression des clés multirégionales* — Comme toutes les clés KMS, vous devez planifier la suppression des clés multirégionales avant de les AWS KMS supprimer. Lorsque la clé est en attente de suppression, vous ne pouvez pas l'utiliser dans une opération de chiffrement. Toutefois, une clé primaire multirégionale ne AWS KMS sera pas supprimée tant que toutes ses clés répliquées ne seront pas supprimées. Pour en savoir plus, consultez [Deleting multi-Region keys](deleting-keys.md#deleting-mrks).

# Importation de matériel clé pour les AWS KMS clés
<a name="importing-keys"></a>

Vous pouvez créer une AWS KMS keys (clé KMS) avec le matériel clé que vous fournissez. 

Une clé KMS est une représentation logique d'une clé de données. Les métadonnées d'une clé KMS incluent l'identifiant du matériel clé utilisé pour effectuer des opérations cryptographiques. Lorsque vous [créez une clé KMS](create-keys.md), par défaut, le matériel clé pour cette clé KMS est AWS KMS généré. Mais vous pouvez créer une clé KMS sans éléments de clé, puis importer vos propres éléments de clé dans cette clé KMS, une fonction souvent appelée « Bring Your Own Key » (BYOK).

![\[Icône clé qui met en évidence le matériau clé qu'elle représente.\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/import-key.png)


**Note**  
AWS KMS ne prend pas en charge le déchiffrement d'un AWS KMS texte chiffré par une clé KMS de chiffrement symétrique en dehors de AWS KMS, même si le texte chiffré a été chiffré sous une clé KMS avec du matériel clé importé. AWS KMS ne publie pas le format de texte chiffré requis par cette tâche, et le format peut changer sans préavis.

Lorsque vous utilisez du matériel clé importé, vous restez responsable du matériel clé tout en autorisant l'utilisation AWS KMS d'une copie de celui-ci. Vous pouvez choisir de le faire pour une ou plusieurs des raisons suivantes :
+ Pour prouver que l’élément de clé a été généré en utilisant une source d'entropie correspondant à vos besoins. 
+ Pour utiliser le matériel clé de votre propre infrastructure avec AWS des services, et AWS KMS pour gérer le cycle de vie du matériel clé qu'il contient AWS.
+ Pour utiliser des clés existantes et bien établies AWS KMS, telles que les clés pour la signature de code, la signature de certificats PKI et les applications associées à des certificats
+ Pour définir une date d'expiration pour le contenu clé AWS et le [supprimer manuellement](importing-keys-delete-key-material.md), mais aussi pour le rendre à nouveau disponible à l'avenir. En revanche, une [planification de suppression de clé](deleting-keys.md#deleting-keys-how-it-works) nécessite une période d'attente de 7 à 30 jours, après laquelle vous ne pouvez pas récupérer la clé KMS supprimée.
+ Posséder la copie originale du matériel clé et la conserver à l'extérieur AWS pour une durabilité accrue et une reprise après sinistre pendant tout le cycle de vie du matériau clé.
+ Pour les clés asymétriques et les clés HMAC, l'importation crée des clés compatibles et interopérables qui fonctionnent à l'intérieur et à l'extérieur de. AWS

**Types de clés KMS non pris en charge**

AWS KMS prend en charge le matériel clé importé pour les types de clés KMS suivants. Vous ne pouvez pas importer des éléments de clé dans des clés KMS d’un [magasin de clés personnalisé](key-store-overview.md#custom-key-store-overview).
+ [Clés KMS de chiffrement symétrique](symm-asymm-choose-key-spec.md#symmetric-cmks)
+ [Clés KMS asymétriques (sauf les clés ML-DSA)](symmetric-asymmetric.md)
+ [Clés KMS HMAC](hmac.md)
+ [Clés multi-région](multi-region-keys-overview.md) de tous les types pris en charge.

**Régions**

Le matériel clé importé est pris en charge dans tous Régions AWS les AWS KMS supports.

Dans les régions de Chine, les principales exigences matérielles pour les clés KMS de chiffrement symétriques diffèrent de celles des autres régions. Pour en savoir plus, consultez [Étape 3 : Chiffrement des éléments de clé](importing-keys-encrypt-key-material.md).

**En savoir plus**
+ Pour créer des clés KMS avec du matériel clé importé, voir[Création d'une clé KMS avec du matériel clé importé](importing-keys-conceptual.md).
+ Pour créer une alarme qui vous avertit lorsque le contenu clé importé d'une clé KMS approche de sa date d'expiration, voir[Créer une CloudWatch alarme en cas d'expiration du matériel clé importé](imported-key-material-expiration-alarm.md).
+ Pour réimporter du contenu clé dans une clé KMS, consultez[Réimportez le matériel clé](importing-keys-import-key-material.md#reimport-key-material).
+ Pour importer de nouveaux éléments clés dans une clé KMS en vue d'une rotation à la demande, reportez-vous [Importation d’un nouvel élément de clé](importing-keys-import-key-material.md#import-new-key-material) aux sections et[Effectuez une rotation des touches à la demande](rotating-keys-on-demand.md). 
+ Pour identifier et afficher les clés KMS contenant du matériel clé importé, voir[Identifiez les clés KMS avec du matériel clé importé](identify-key-types.md#identify-imported-keys).
+ Pour en savoir plus sur les considérations particulières relatives à la suppression de clés KMS contenant du matériel clé importé, voir[Deleting KMS keys with imported key material](deleting-keys.md#import-delete-key).

# Considérations spéciales relatives au matériel clé importé
<a name="importing-keys-considerations"></a>

Avant de décider d'importer du matériel clé dans AWS KMS, vous devez comprendre les caractéristiques suivantes du matériel clé importé.

**Vous générez les éléments de clé.**  
Vous êtes responsable de la génération des éléments de clé à l'aide d'une source aléatoire qui répond à vos exigences de sécurité.

**Vous êtes responsable de la disponibilité et de la durabilité.**  
AWS KMS est conçu pour maintenir la haute disponibilité du matériel clé importé. Mais AWS KMS ne maintient pas la durabilité du matériau clé importé au même niveau que le matériau clé qui en AWS KMS génère. Pour en savoir plus, consultez [Suppression des éléments de clé importés](import-keys-protect.md).

**Vous pouvez supprimer les éléments de clé.**  
Vous pouvez [supprimer les éléments de clé importés](importing-keys-delete-key-material.md) d'une clé KMS, ce qui la rend immédiatement inutilisable. De plus, lorsque vous importez des éléments de clé dans une clé KMS, vous pouvez [définir sa date d'expiration](importing-keys-import-key-material.md#importing-keys-expiration) si vous souhaitez qu'elle en ait une. Lorsque le délai d'expiration arrive, AWS KMS [supprime le matériel clé.](importing-keys-delete-key-material.md) Sans éléments de clé, la clé KMS ne peut pas être utilisée dans une opération de chiffrement. Pour restaurer la clé, vous devez y réimporter les mêmes éléments de clé. 

**Vous ne pouvez pas modifier le matériau de la clé pour les touches asymétriques et les touches HMAC**  
Lorsque vous importez des éléments de clé dans une clé KMS, celle-ci est définitivement associée à ces éléments de clé. Vous pouvez [réimporter les mêmes éléments de clé](importing-keys-import-key-material.md#reimport-key-material), mais vous ne pouvez pas en importer d'autres dans cette clé KMS. De plus, vous ne pouvez pas [activer la rotation automatique des clés](rotate-keys.md) pour une clé KMS dont les éléments de clé sont importés. Toutefois, vous pouvez [soumettre à une rotation manuelle une clé KMS](rotate-keys-manually.md) avec les éléments de clé importés. 

**Vous pouvez effectuer une rotation à la demande sur des clés de chiffrement symétriques**  
Les clés de chiffrement symétriques avec du matériel clé importé prennent en charge la rotation à la demande. Vous pouvez [importer plusieurs éléments clés](importing-keys-import-key-material.md#import-new-key-material) dans ces clés et utiliser [la rotation à la demande](rotating-keys-on-demand.md) pour mettre à jour le contenu clé actuel. Le matériel clé actuel est utilisé à la fois pour le chiffrement et le déchiffrement, mais les autres matériaux clés (non courants) ne peuvent être utilisés que pour le déchiffrement. 

**Vous ne pouvez pas modifier l’origine des éléments de clé**  
Les clés KMS conçues pour les éléments importés sont dotées d'une valeur [origin](create-keys.md#key-origin) (origine) non modifiable définie sur `EXTERNAL`. Vous ne pouvez pas convertir une clé KMS pour du matériel clé importé afin d'utiliser du matériel clé provenant d'une autre source, y compris AWS KMS. De même, vous ne pouvez pas convertir une clé KMS AWS KMS contenant du matériel clé en une clé conçue pour le matériel clé importé.

**Vous ne pouvez pas exporter d’élément de clé**  
Vous ne pouvez pas exporter de matériel clé que vous avez importé. AWS KMS ne peut pas vous renvoyer le matériel clé importé sous quelque forme que ce soit. Vous devez conserver une copie du matériel clé importé à l'extérieur AWS, de préférence dans un gestionnaire de clés, tel qu'un module de sécurité matériel (HSM), afin de pouvoir réimporter le matériel clé si vous le supprimez ou s'il expire.

**Vous pouvez créer des clés multi-région avec des éléments de clé importés**  
Les zones multirégionales avec un élément de clé importé ont les fonctionnalités des clés KMS avec un élément de clé importé et peuvent interagir entre Régions AWS. Pour créer une clé multi-région avec des éléments de clé importés, vous devez importer les mêmes éléments de clé dans la clé KMS principale et dans chaque clé de réplica. Pour plus de détails sur l'importation de matériaux clés pour les clés multirégionales, consultez[Importation d’un nouvel élément de clé](importing-keys-import-key-material.md#import-new-key-material).

**Les clés asymétriques et les clés HMAC sont portables et interopérables**  
Vous pouvez utiliser votre matériau de clé asymétrique et le matériau de clé HMAC à l'extérieur AWS pour interagir avec des AWS KMS clés contenant le même matériau de clé importé.   
Contrairement au texte chiffré AWS KMS symétrique, qui est inextricablement lié à la clé KMS utilisée dans l'algorithme, AWS KMS utilise des formats HMAC standard et asymétriques pour le chiffrement, la signature et la génération de MAC. Par conséquent, les clés sont portables et prennent en charge les scénarios de clé sous séquestre traditionnels.  
Lorsque votre clé KMS contient du matériel clé importé, vous pouvez utiliser le matériel clé importé AWS à l'extérieur pour effectuer les opérations suivantes.  
+ Clés HMAC – Vous pouvez vérifier une balise HMAC générée par la clé KMS HMAC avec un élément de clé importé. Vous pouvez également utiliser la clé HMAC KMS avec le matériel clé importé pour vérifier une étiquette HMAC qui a été générée par le matériel clé à l'extérieur de. AWS
+ Clés de chiffrement asymétriques — Vous pouvez utiliser votre clé de chiffrement asymétrique privée AWS à l'extérieur pour déchiffrer un texte chiffré par la clé KMS avec la clé publique correspondante. Vous pouvez également utiliser votre clé KMS asymétrique pour déchiffrer un texte chiffré asymétrique généré en dehors de. AWS
+ Clés de signature asymétriques — Vous pouvez utiliser votre clé KMS de signature asymétrique avec du matériel clé importé pour vérifier les signatures numériques générées par votre clé de signature privée en dehors de. AWS Vous pouvez également utiliser votre clé de signature publique asymétrique AWS à l'extérieur pour vérifier les signatures générées par votre clé KMS asymétrique.
+ Clés d'accord de clé asymétriques — Vous pouvez utiliser votre clé KMS d'accord de clé asymétrique avec du matériel clé importé pour obtenir des secrets partagés avec un homologue extérieur à. AWS
Si vous importez les mêmes éléments de clé dans différentes clés KMS du même Région AWS, ces clés sont également interopérables. Pour créer des clés KMS interopérables dans différentes régions Régions AWS, créez une clé multirégionale avec du matériel clé importé.  

**Clés privées RSA**
+ AWS KMS exige que les clés privées RSA importées aient des facteurs premiers conformes au test décrit dans la section A. 1.3 de la norme [FIPS 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf). D'autres logiciels ou appareils peuvent utiliser des algorithmes différents pour valider ces facteurs premiers des clés privées RSA. Dans de rares cas, les clés validées à l'aide d'autres algorithmes peuvent ne pas être acceptées par AWS KMS.

**Les clés de chiffrement symétriques ne sont ni portables ni interopérables**  
Les textes chiffrés symétriques AWS KMS produits ne sont ni portables ni interopérables. AWS KMS ne publie pas le format de texte chiffré symétrique requis par la portabilité, et le format peut changer sans préavis.   
+ AWS KMS ne peut pas déchiffrer les textes chiffrés symétriques que vous chiffrez en dehors de ceux-ci AWS, même si vous utilisez des éléments clés que vous avez importés. 
+ AWS KMS ne prend pas en charge le déchiffrement d'un texte chiffré AWS KMS symétrique en dehors de AWS KMS, même si le texte chiffré a été chiffré sous une clé KMS avec du matériel clé importé.
+ Les clés KMS avec le même élément de clé importé ne sont pas interopérables. Le texte chiffré symétrique qui AWS KMS génère un texte chiffré spécifique à chaque clé KMS. Ce format de texte chiffré garantit que seule la clé KMS qui a chiffré des données peut les déchiffrer. 
En outre, vous ne pouvez utiliser aucun AWS outil, tel que le [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)[chiffrement côté client Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html), pour déchiffrer AWS KMS des textes chiffrés symétriques.  
Par conséquent, vous ne pouvez pas utiliser de clés contenant du matériel clé importé pour soutenir des accords d'entiercement de clés dans le cadre desquels un tiers autorisé ayant un accès conditionnel au contenu clé peut déchiffrer certains textes chiffrés en dehors de. AWS KMS Pour prendre en charge le séquestre de clés, utilisez le kit [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/java-example-code.html#java-example-multiple-providers) pour chiffrer votre message sous une clé indépendante de AWS KMS.

# Suppression des éléments de clé importés
<a name="import-keys-protect"></a>

Les éléments de clé que vous importez sont protégés pendant le transport et au repos. Avant d'importer le matériel clé, vous chiffrez (ou « enveloppez ») le contenu clé avec la clé publique d'une paire de clés RSA générée dans des modules de sécurité AWS KMS matériels (HSMs) validés dans le cadre du programme de validation des modules [cryptographiques FIPS 140-3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884). Vous pouvez chiffrer l’élément de clé directement avec la clé publique d’enveloppement, ou chiffrer l’élément de clé avec une clé symétrique AES, puis chiffrer la clé symétrique AES avec la clé publique RSA.

À réception, AWS KMS déchiffre le contenu de la clé avec la clé privée correspondante dans un AWS KMS HSM et le chiffre à nouveau sous une clé symétrique AES qui n'existe que dans la mémoire volatile du HSM. Votre élément de clé ne quitte jamais le HSM en texte brut. Il est déchiffré uniquement lorsqu'il est utilisé et uniquement en cours d'utilisation. AWS KMS HSMs

L'utilisation de votre clé KMS avec l’élément de clé importé est déterminée uniquement par les [politiques de contrôle d'accès](control-access.md) que vous définissez sur la clé KMS. En outre, vous pouvez utiliser des [alias](kms-alias.md) et des [balises](tagging-keys.md) pour identifier et [contrôler l'accès](abac.md) à la clé KMS. Vous pouvez [activer et désactiver](enabling-keys.md) la clé, la [visualiser](viewing-keys.md) et la [surveiller](monitoring-overview.md) à l'aide de services tels que AWS CloudTrail. 

Cependant, vous conservez la seule copie sûre de votre élément de clé. En échange de cette mesure de contrôle supplémentaire, vous êtes responsable de la durabilité et de la disponibilité globale du matériau clé importé. AWS KMS est conçu pour maintenir la haute disponibilité du matériel clé importé. Mais AWS KMS ne maintient pas la durabilité du matériau clé importé au même niveau que le matériau clé qui en AWS KMS génère.

Cette différence en durabilité est significative dans les cas suivants :
+ Lorsque vous [définissez une date d'expiration](importing-keys-import-key-material.md#importing-keys-expiration) pour votre matériel clé importé, le AWS KMS matériel clé est supprimé après son expiration. AWS KMS ne supprime pas la clé KMS ni ses métadonnées. Vous pouvez [créer une CloudWatch alarme Amazon](imported-key-material-expiration-alarm.md) qui vous avertit lorsque le matériel clé importé approche de sa date d'expiration.

  Vous ne pouvez pas supprimer le contenu clé AWS KMS généré pour une clé KMS et vous ne pouvez pas configurer le contenu AWS KMS clé pour qu'il expire.
+ Lorsque vous [supprimez manuellement le contenu clé importé](importing-keys-delete-key-material.md), il AWS KMS supprime le contenu clé mais ne supprime pas la clé KMS ni ses métadonnées. En revanche, la [planification de la suppression des clés](deleting-keys.md#deleting-keys-how-it-works) nécessite une période d'attente de 7 à 30 jours, après quoi la clé KMS, ses métadonnées et son contenu clé sont AWS KMS définitivement supprimés.
+ Dans le cas peu probable de certaines défaillances régionales susceptibles de l'affecter AWS KMS (comme une perte totale de courant), vous AWS KMS ne pourrez pas restaurer automatiquement le matériel clé importé. Cependant, AWS KMS vous pouvez restaurer la clé KMS et ses métadonnées.

Vous *devez* conserver une copie du matériel clé importé à l'extérieur d' AWS un système que vous contrôlez. Nous vous recommandons de stocker une copie exportable des éléments de clé importés dans un système de gestion des clés, tel qu'un module de sécurité matérielle (HSM). Il est recommandé de stocker une référence à l'ARN de la clé KMS et à l'ID du matériau clé généré par le AWS KMS biais de la copie exportable du contenu clé. Si l’élément de clé importé est supprimé ou expire, la clé KMS associée devient inutilisable tant que vous ne le réimportez pas. En cas de perte définitive des éléments de clé importés, tout texte chiffré au moyen de la clé KMS est irrécupérable. 

**Important**  
Les clés de chiffrement symétriques peuvent être associées à plusieurs éléments clés. La clé KMS dans son intégralité devient inutilisable dès que vous supprimez l'un de ces éléments clés ou si l'un de ces éléments clés expire (sauf si le contenu clé supprimé ou expirant est `PENDING_ROTATION` ou`PENDING_MULTI_REGION_IMPORT_AND_ROTATION`). Vous devez réimporter tous les éléments clés expirés ou supprimés associés à une telle clé avant que celle-ci ne soit utilisable pour des opérations cryptographiques. 

# Clés KMS dans un magasin de clés CloudHSM
<a name="manage-cmk-keystore"></a>

Vous pouvez créer, afficher, gérer, utiliser et planifier la suppression du AWS KMS keys dans un magasin de AWS CloudHSM clés. Les procédures que vous employez sont très similaires à celles que vous utilisez pour les autres clés KMS. La seule différence est que vous spécifiez un magasin de AWS CloudHSM clés lorsque vous créez la clé KMS. AWS KMS Crée ensuite du matériel clé non extractible pour la clé KMS dans le AWS CloudHSM cluster associé au magasin de AWS CloudHSM clés. Lorsque vous utilisez une clé KMS dans un magasin de AWS CloudHSM clés, les [opérations cryptographiques](#use-cmk-keystore) sont effectuées HSMs dans le cluster.

**Fonctionnalités prises en charge**  
Outre les procédures décrites dans cette section, vous pouvez effectuer les opérations suivantes avec les clés KMS dans un magasin de AWS CloudHSM clés :  
+ Utiliser les politiques de clé, les politiques IAM et les octrois pour [autoriser l'accès](control-access.md) aux clés KMS.
+ [Activer et désactiver](enabling-keys.md) les clés KMS. 
+ Attribuer des [balises](tagging-keys.md), créer des [alias](kms-alias.md) et utiliser le contrôle d'accès par attributs (ABAC) pour autoriser l'accès aux clés KMS.
+ Utilisez les clés KMS pour effectuer les opérations cryptographiques suivantes :
  + [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
  + [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
  + [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)
  + [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)
  + [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)

  Les opérations qui génèrent des paires de clés de données asymétriques [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)et [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)*ne sont pas* prises en charge dans les magasins de clés personnalisés.
+ Utiliser les clés KMS avec les [services AWS qui s'intègrent à AWS KMS](service-integration.md) et prennent en charge les clés gérées par le client.
+ Suivez l'utilisation de vos clés KMS dans les [AWS CloudTrail journaux](logging-using-cloudtrail.md) et les [outils CloudWatch de surveillance Amazon](monitoring-overview.md).

**Fonctions non prises en charge**  
+ AWS CloudHSM les magasins de clés ne prennent en charge que le chiffrement symétrique des clés KMS. Vous ne pouvez pas créer de clés HMAC KMS, de clés KMS asymétriques ou de paires de clés de données asymétriques dans un AWS CloudHSM magasin de clés.
+ Vous ne pouvez pas [importer de matériel clé](importing-keys.md) dans une clé KMS dans un magasin de AWS CloudHSM clés. AWS KMS génère le matériel clé pour la clé KMS dans le AWS CloudHSM cluster.
+ Vous ne pouvez pas activer ou désactiver la [rotation automatique](rotate-keys.md) du contenu clé d'une clé KMS dans un magasin de AWS CloudHSM clés.

**Utilisation de clés KMS dans un magasin de AWS CloudHSM clés**  
Lorsque vous utilisez votre clé KMS dans une demande, identifiez-la par son ID ou son alias ; il n'est pas nécessaire de spécifier le magasin de AWS CloudHSM clés ou le AWS CloudHSM cluster. La réponse inclut les mêmes champs qui sont renvoyés pour une clé KMS de chiffrement symétrique.  
Toutefois, lorsque vous utilisez une clé KMS dans un magasin de AWS CloudHSM clés, l'opération cryptographique est entièrement réalisée au sein du AWS CloudHSM cluster associé au magasin de AWS CloudHSM clés. L'opération utilise les éléments de clé du cluster associés à la clé KMS que vous avez choisie.  
Pour que cela soit possible, les conditions suivantes sont requises.  
+ L'[état](key-state.md) de la clé KMS doit être `Enabled`. Pour trouver l'état clé, utilisez le champ **Status** de la [AWS KMS console](finding-keys.md#viewing-console-details) ou le `KeyState` champ de la [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)réponse.
+ Le magasin de AWS CloudHSM clés doit être connecté à son AWS CloudHSM cluster. Son **statut** dans la [AWS KMS console](view-keystore.md) ou `ConnectionState` dans la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)réponse doit être`CONNECTED`.
+ Le AWS CloudHSM cluster associé au magasin de clés personnalisé doit contenir au moins un HSM actif. Pour connaître le nombre de personnes actives HSMs dans le cluster, utilisez la [AWS KMS console](view-keystore.md), la AWS CloudHSM console ou l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)opération.
+ Le AWS CloudHSM cluster doit contenir le matériel clé pour la clé KMS. Si la clé a été supprimé du cluster, ou qu'un module HSM a été créé à partir d'une sauvegarde qui n'inclut pas la clé de chiffrement, l'opération de chiffrement échoue.
Si ces conditions ne sont pas remplies, l'opération cryptographique échoue et AWS KMS renvoie une `KMSInvalidStateException` exception. En général, il suffit de [reconnecter le magasin de AWS CloudHSM clés](connect-keystore.md). Pour obtenir de l'aide supplémentaire, consultez [Comment corriger les clés KMS défaillantes](fix-keystore.md#fix-cmk-failed).  
Lorsque vous utilisez les clés KMS dans un magasin de AWS CloudHSM clés, sachez que les clés KMS de chaque AWS CloudHSM magasin de clés partagent un [quota de demandes de stockage de clés personnalisé](requests-per-second.md#rps-key-stores) pour les opérations cryptographiques. Si vous dépassez le quota, AWS KMS renvoie un`ThrottlingException`. Si le AWS CloudHSM cluster associé au magasin de AWS CloudHSM clés traite de nombreuses commandes, y compris celles qui ne sont pas liées `ThrottlingException` au magasin de AWS CloudHSM clés, vous pouvez obtenir un taux encore plus faible. Si vous obtenez une exception `ThrottlingException` pour une demande, réduisez la fréquence des demandes et essayez les commandes à nouveau. Pour plus d'informations sur le quota de magasin de clés personnalisé, veuillez consulter la rubrique [Quotas de demandes de magasin de clés personnalisé](requests-per-second.md#rps-key-stores).

**En savoir plus**  
+ Pour en savoir plus sur les magasins à AWS CloudHSM clés, consultez[AWS CloudHSM magasins clés](keystore-cloudhsm.md).
+ Pour créer des clés KMS dans un magasin de AWS CloudHSM clés, consultez[Création d'une clé KMS dans un magasin de AWS CloudHSM clés](create-cmk-keystore.md).
+ Pour identifier et afficher les clés KMS dans un magasin de AWS CloudHSM clés, voir[Identifiez les clés KMS dans les magasins de AWS CloudHSM clés](identify-key-types.md#identify-key-hsm-keystore).
+ Pour trouver des clés KMS et du matériel clé dans un magasin de AWS CloudHSM clés, voir[Trouvez les clés KMS et le matériel clé dans un magasin de AWS CloudHSM clés](find-key-material.md).
+ Pour en savoir plus sur les considérations particulières relatives à la suppression de clés KMS dans un magasin de AWS CloudHSM clés, consultez [la section Suppression de clés KMS d'un magasin de AWS CloudHSM clés](deleting-keys.md#delete-cmk-keystore).

# Clés KMS dans des magasins de clés externes
<a name="keystore-external-key-manage"></a>

Pour créer, afficher, gérer, utiliser et planifier la suppression des clés KMS d'un magasin de clés externe, vous devez utiliser des procédures très similaires à celles que vous utilisez pour les autres clés KMS. Toutefois, lorsque vous créez une clé KMS dans un magasin de clés externe, vous spécifiez un [magasin de clés externe](keystore-external.md#concept-external-key-store) et une [clé externe](keystore-external.md#concept-external-key). Lorsque vous utilisez une clé KMS dans un magasin de clés externe, les [opérations de chiffrement et de déchiffrement](keystore-external.md#xks-how-it-works) sont effectuées par votre gestionnaire de clés externe à l'aide de la clé externe spécifiée. 

AWS KMS Impossible de créer, d'afficher, de mettre à jour ou de supprimer des clés cryptographiques dans votre gestionnaire de clés externe. AWS KMS n'accède jamais directement à votre gestionnaire de clés externe ni à aucune clé externe. Toutes les requêtes d'opérations cryptographiques sont acheminées par votre [proxy de magasin de clés externe](keystore-external.md#concept-xks-proxy). Pour utiliser une clé KMS dans un magasin de clés externe, le magasin de clés externe qui héberge la clé KMS doit être [connecté](xks-connect-disconnect.md) à son proxy de magasin de clés externe.

**Fonctionnalités prises en charge**  
Outre les procédures décrites dans cette section, vous pouvez effectuer les actions suivantes avec les clés KMS d'un magasin de clés externe :   
+ Utiliser les [politiques de clé](key-policies.md), les [politiques IAM](iam-policies.md) et les [octrois](grants.md) pour contrôler l'accès aux clés KMS.
+ [Activer et désactiver](enabling-keys.md) les clés KMS. Ces actions n'affectent pas la clé externe dans votre gestionnaire de clés externe.
+ Attribuez des [balises](tagging-keys.md), créez des [alias](kms-alias.md) et utilisez le [contrôle d'accès par attributs](abac.md) (ABAC) pour autoriser l'accès aux clés KMS.
+ Utilisez les clés KMS pour effectuer les opérations cryptographiques suivantes :
  + [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
  + [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
  + [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)
  + [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)
  + [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)

  Les opérations qui génèrent des paires de clés de données asymétriques [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)et [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)*ne sont pas* prises en charge dans les magasins de clés personnalisés.
+ Utilisez les clés KMS avec les [Services AWS qui s'intègrent à AWS KMS](https://aws.amazon.com/kms/features/#AWS_Service_Integration) et prenez en charge les [clés gérées par le client](concepts.md#customer-mgn-key).

**Fonctions non prises en charge**  
+ Les magasins de clés externes ne prennent en charge que les [clés KMS de chiffrement symétriques](symm-asymm-choose-key-spec.md#symmetric-cmks). Vous ne pouvez pas créer de clés KMS HMAC ou de clés KMS asymétriques dans un magasin de clés externe.
+ [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)et ne [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)sont pas pris en charge sur les clés KMS d'un magasin de clés externe.
+ Vous ne pouvez pas utiliser un [AWS::KMS::Key CloudFormation modèle](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html) pour créer un magasin de clés externe ou une clé KMS dans un magasin de clés externe.
+ Les [clés multi-régions](multi-region-keys-overview.md) ne sont pas prises en charge dans un magasin de clés externe.
+ Les clés KMS contenant des [éléments de clé importés](importing-keys.md) ne sont pas prises en charge dans un magasin de clés externe.
+ La [rotation automatique des clés](rotate-keys.md) n'est pas prise en charge pour les clés KMS dans un magasin de clés externe.

**Utilisation de clés KMS dans un magasin de clés externe**  
Lorsque vous utilisez votre clé KMS dans une requête, identifiez la clé KMS par son [ID de clé, son ARN de clé, son alias ou son ARN d'alias](concepts.md#key-id). Vous n'avez pas besoin de spécifier le magasin de clés externe. La réponse inclut les mêmes champs qui sont renvoyés pour une clé KMS de chiffrement symétrique. Toutefois, lorsque vous utilisez une clé KMS dans un magasin de clés externe, les opérations de chiffrement et de déchiffrement sont effectuées par votre gestionnaire de clés externe au moyen de la clé externe associée à la clé KMS.  
[Pour garantir que le texte chiffré par une clé KMS dans un magasin de clés externe est au moins aussi sûr que tout texte chiffré par une clé KMS standard, AWS KMS utilisez le double chiffrement.](keystore-external.md#concept-double-encryption) Les données sont d'abord cryptées à AWS KMS l'aide de matériel AWS KMS clé. Elles sont ensuite chiffrées par votre gestionnaire de clés externe à l'aide de la clé externe de la clé KMS. Pour déchiffrer un texte chiffré à double chiffrement, le texte chiffré est d'abord déchiffré par votre gestionnaire de clés externe à l'aide de la clé externe de la clé KMS. Ensuite, il est déchiffré en AWS KMS utilisant le matériau AWS KMS clé de la clé KMS.  
Pour que cela soit possible, les conditions suivantes sont requises.  
+ L'[état](key-state.md) de la clé KMS doit être `Enabled`. Pour connaître l'état de la clé, consultez le champ **État** pour les clés gérées par le client, sur la [AWS KMS console](finding-keys.md#viewing-console-details) ou dans le `KeyState` champ de la [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)réponse.
+ Le magasin de clés externe qui héberge la clé KMS doit être connecté à son [proxy de magasin de clés externe](keystore-external.md#concept-xks-proxy), c'est-à-dire que l'[état de connexion](xks-connect-disconnect.md#xks-connection-state) du magasin de clés externe doit être `CONNECTED`. 

  Vous pouvez consulter l'état de la connexion sur la page **Stockages de clés externes** de la AWS KMS console ou dans la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)réponse. L'état de connexion du magasin de clés externe est également affiché sur la page de détails de la clé KMS sur la console AWS KMS . Sur la page de détails, choisissez l'onglet **Cryptographic configuration** (Configuration cryptographique) et consultez le champ **Connection state** (État de la connexion) dans la section **Custom key store** (Magasin de clés personnalisé).

  Si l'état de connexion est `DISCONNECTED`, vous devez d'abord le connecter. Si l'état de connexion est `FAILED`, vous devez résoudre le problème, déconnecter le magasin de clés externe, puis le connecter. Pour obtenir des instructions, veuillez consulter [Connecter et déconnecter les magasins de clés externes](xks-connect-disconnect.md).
+ Le proxy de magasin de clés externe doit être en mesure de trouver la clé externe. 
+ La clé externe doit être activée et elle doit effectuer le chiffrement et le déchiffrement. 

  L'état de la clé externe est indépendant et n'est pas affecté par les modifications de l'[état de clé](key-state.md) de la clé KMS, y compris par l'activation et la désactivation de la clé KMS. De même, la désactivation ou la suppression de la clé externe ne modifie pas l'état de la clé KMS, mais les opérations cryptographiques utilisant la clé KMS associée échoueront.
Si ces conditions ne sont pas remplies, l'opération cryptographique échoue et AWS KMS renvoie une `KMSInvalidStateException` exception. Vous devrez peut-être [reconnecter le magasin de clés externe](xks-connect-disconnect.md) ou utiliser les outils de votre gestionnaire de clés externe pour reconfigurer ou réparer votre clé externe. Pour obtenir de l'aide supplémentaire, consultez [Résoudre les problèmes liés aux magasins de clés externes](xks-troubleshooting.md).  
Lorsque vous utilisez les clés KMS dans un magasin de clés externe, sachez que les clés KMS de chaque magasin de clés externe partagent un [quota de magasin de clés personnalisé](requests-per-second.md#rps-key-stores) sur les requêtes d'opérations cryptographiques. Si vous dépassez le quota, AWS KMS renvoie un`ThrottlingException`. Pour plus d'informations sur le quota de magasin de clés personnalisé, veuillez consulter la rubrique [Quotas de demandes de magasin de clés personnalisé](requests-per-second.md#rps-key-stores).

**En savoir plus**  
+ Pour en savoir plus sur les magasins de clés externes, consultez[Magasins de clés externes](keystore-external.md).
+ Pour en savoir plus sur les informations clés contenues dans les magasins de clés externes, consultez[Clé externe](keystore-external.md#concept-external-key).
+ Pour créer des clés KMS dans un magasin de clés externe, consultez[Création d'une clé KMS dans des magasins de clés externes](create-xks-keys.md).
+ Pour identifier et afficher les clés KMS dans un magasin de clés externe, voir[Identifier les clés KMS dans les magasins de clés externes](identify-key-types.md#view-xks-key).
+ Pour en savoir plus sur les considérations particulières relatives à la suppression de clés KMS dans un magasin de clés externe, voir [Suppression de clés KMS d'un magasin de clés externe](deleting-keys.md#delete-xks-key).