Création d'une KMS clé dans un magasin de AWS CloudHSM clés - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'une KMS clé dans un magasin de AWS CloudHSM clés

Après avoir créé un magasin de AWS CloudHSM clés, vous pouvez le créer AWS KMS keys dans votre magasin de clés. Il doit s'agir de KMSclés de chiffrement symétriques dont le contenu clé est AWS KMS généré. Vous ne pouvez pas créer de KMSclés asymétriques, de HMACKMSclés ou de KMS clés avec du matériel de clé importé dans un magasin de clés personnalisé. Vous ne pouvez pas non plus utiliser de KMS clés de chiffrement symétriques dans un magasin de clés personnalisé pour générer des paires de clés de données asymétriques.

Pour créer une KMS clé dans un magasin de AWS CloudHSM clés, le magasin de AWS CloudHSM clés doit être connecté au AWS CloudHSM cluster associé et le cluster doit en contenir au moins deux actifs HSMs dans des zones de disponibilité différentes. Pour connaître l'état de la connexion et le nombre deHSMs, consultez la page des magasins de AWS CloudHSM clés dans le AWS Management Console. Lorsque vous utilisez les API opérations, DescribeCustomKeyStoresutilisez-les pour vérifier que le magasin de AWS CloudHSM clés est connecté. Pour vérifier le nombre de personnes actives HSMs dans le cluster et leurs zones de disponibilité, utilisez l' AWS CloudHSM DescribeClustersopération.

Lorsque vous créez une KMS clé dans votre magasin de AWS CloudHSM clés, AWS KMS crée la KMS clé dans AWS KMS. Mais cela crée le matériau clé pour la KMS clé dans le AWS CloudHSM cluster associé. Plus précisément, se AWS KMS connecte au cluster en tant que kmsuserCU que vous avez créé. Il crée ensuite une clé symétrique Advanced Encryption Standard (AES) persistante et non extractible de 256 bits dans le cluster. AWS KMS définit la valeur de l'attribut key label, qui n'est visible que dans le cluster, sur Amazon Resource Name (ARN) de la KMS clé.

Lorsque la commande aboutit, l'état clé de la nouvelle KMS clé est Enabled et son origine estAWS_CLOUDHSM. Vous ne pouvez pas modifier l'origine d'une KMS clé après l'avoir créée. Lorsque vous visualisez une KMS clé dans un magasin de AWS CloudHSM clés de la AWS KMS console ou que vous utilisez l'DescribeKeyopération, vous pouvez voir des propriétés typiques, telles que son identifiant de clé, son état de clé et sa date de création. Mais vous pouvez également voir l'ID du magasin de clés personnalisé et l'ID du cluster AWS CloudHSM (facultatif).

Si votre tentative de création d'une KMS clé dans votre magasin de AWS CloudHSM clés échoue, utilisez le message d'erreur pour en déterminer la cause. Cela peut indiquer que le magasin de AWS CloudHSM clés n'est pas connecté (CustomKeyStoreInvalidStateException) ou HSMs que le AWS CloudHSM cluster associé ne possède pas les deux clés actives requises pour cette opération (CloudHsmClusterInvalidConfigurationException). Pour obtenir de l'aide, consultez Dépannage d'un magasin de clés personnalisé.

Pour un exemple du AWS CloudTrail journal de l'opération qui crée une KMS clé dans un magasin de AWS CloudHSM clés, consultezCreateKey.

Créez une nouvelle KMS clé dans votre magasin de HSM clés Cloud

Vous pouvez créer une KMS clé de chiffrement symétrique dans votre magasin de AWS CloudHSM clés de la AWS KMS console ou en utilisant l'CreateKeyopération.

Utilisez la procédure suivante pour créer une KMS clé de chiffrement symétrique dans un magasin de AWS CloudHSM clés.

Note

N'incluez pas d'informations confidentielles ou sensibles dans l'alias, la description ou les balises. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.

  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le volet de navigation, sélectionnez Clés gérées par le client.

  4. Choisissez Create key.

  5. Choisissez Symmetric (Symétrique).

  6. Dans Key usage (Utilisation de la clé), l'option Encrypt and decrypt (Chiffrer et déchiffrer) est sélectionnée pour vous. Ne la modifiez pas.

  7. Choisissez Options avancées.

  8. Dans le champ Key material origin (Origine de la clé), sélectionnez AWS CloudHSM key store (Magasin de clés).

    Vous ne pouvez pas créer de clé multirégionale dans un magasin de AWS CloudHSM clés.

  9. Choisissez Suivant.

  10. Sélectionnez un magasin de AWS CloudHSM clés pour votre nouvelle KMS clé. Pour créer un nouveau magasin de AWS CloudHSM clés, choisissez Créer un magasin de clés personnalisé.

    Le magasin de AWS CloudHSM clés que vous sélectionnez doit avoir le statut Connecté. Son AWS CloudHSM cluster associé doit être actif et en contenir au moins deux actifs HSMs dans des zones de disponibilité différentes.

    Pour obtenir de l'aide sur la connexion d'un magasin de AWS CloudHSM clés, consultezDéconnecter un magasin de AWS CloudHSM clés. Pour obtenir de l'aide concernant l'ajoutHSMs, consultez la section Ajouter un HSM dans le guide de AWS CloudHSM l'utilisateur.

  11. Choisissez Suivant.

  12. Entrez un alias et une description facultative pour la KMS clé.

  13. (Facultatif). Sur la page Ajouter des balises, ajoutez des balises qui identifient ou catégorisent votre KMS clé.

    Lorsque vous ajoutez des balises à vos AWS ressources, AWS génère un rapport de répartition des coûts avec l'utilisation et les coûts agrégés par balises. Les tags peuvent également être utilisés pour contrôler l'accès à une KMS clé. Pour plus d'informations sur le balisage des KMS clés, reportez-vous aux sections Tags dans AWS KMS etABACpour AWS KMS.

  14. Choisissez Suivant.

  15. Dans la section Administrateurs clés, sélectionnez les IAM utilisateurs et les rôles autorisés à gérer la KMS clé. Pour plus d'informations, voir Autoriser les administrateurs de clés à administrer la KMS clé.

    Note

    IAMles politiques peuvent autoriser d'autres IAM utilisateurs et rôles à utiliser la KMS clé.

    IAMles meilleures pratiques découragent l'utilisation d'IAMutilisateurs possédant des informations d'identification à long terme. Dans la mesure du possible, utilisez IAM des rôles qui fournissent des informations d'identification temporaires. Pour plus de détails, consultez la section Bonnes pratiques en matière de sécurité IAM dans le guide de IAM l'utilisateur.

  16. (Facultatif) Pour empêcher ces administrateurs clés de supprimer cette KMS clé, décochez la case Autoriser les administrateurs clés à supprimer cette clé en bas de page.

  17. Choisissez Suivant.

  18. Dans la section Ce compte, sélectionnez les IAM utilisateurs et les rôles autorisés à utiliser la KMS clé dans le cadre d'opérations cryptographiques. Compte AWS Pour plus d'informations, voir Autoriser les utilisateurs clés à utiliser la KMS clé.

    Note

    IAMles politiques peuvent autoriser d'autres IAM utilisateurs et rôles à utiliser la KMS clé.

    IAMles meilleures pratiques découragent l'utilisation d'IAMutilisateurs possédant des informations d'identification à long terme. Dans la mesure du possible, utilisez IAM des rôles qui fournissent des informations d'identification temporaires. Pour plus de détails, consultez la section Bonnes pratiques en matière de sécurité IAM dans le guide de IAM l'utilisateur.

  19. (Facultatif) Vous pouvez autoriser d'autres Comptes AWS utilisateurs à utiliser cette KMS clé pour des opérations cryptographiques. Pour ce faire, dans la Comptes AWS section Autre au bas de la page, choisissez Ajouter un autre compte Compte AWS et entrez l' Compte AWS identifiant d'un compte externe. Pour ajouter plusieurs comptes externes, répétez cette étape.

    Note

    Les administrateurs de l'autre Comptes AWS doivent également autoriser l'accès à la KMS clé en créant des IAM politiques pour leurs utilisateurs. Pour de plus amples informations, veuillez consulter Autoriser les utilisateurs d'autres comptes à utiliser une KMS clé.

  20. Choisissez Suivant.

  21. Passez en revue les paramètres de clé que vous avez choisis. Vous pouvez toujours revenir en arrière et modifier tous les paramètres.

  22. Lorsque vous avez terminé, choisissez Finish (Terminer) pour créer la clé.

Lorsque la procédure aboutit, l'écran affiche la nouvelle KMS clé dans le magasin de AWS CloudHSM clés que vous avez choisi. Lorsque vous choisissez le nom ou l'alias de la nouvelle KMS clé, l'onglet Configuration cryptographique de sa page détaillée affiche l'origine de la KMS clé (AWS CloudHSM), le nom, l'ID et le type du magasin de clés personnalisé, ainsi que l'ID du AWS CloudHSM cluster. Si la procédure échoue, un message d'erreur s'affiche qui décrit l'échec.

Astuce

Pour faciliter l'identification des KMS clés dans un magasin de clés personnalisé, sur la page des clés gérées par le client, ajoutez la colonne ID du magasin de clés personnalisé à l'écran. Cliquez sur l'icône des paramètres en haut à droite et sélectionnez ID du magasin de clés personnalisé. Pour plus de détails, consultez Personnalisez l'affichage de votre console.

Pour créer une nouvelle AWS KMS key (KMSclé) dans votre magasin de AWS CloudHSM clés, utilisez l'CreateKeyopération. Utilisez le paramètre CustomKeyStoreId pour identifier votre magasin de clés personnalisé et spécifier une valeur Origin égale à AWS_CLOUDHSM.

Vous pouvez également souhaiter utiliser le paramètre Policy pour spécifier une politique de clé. Vous pouvez modifier la politique clé (PutKeyPolicy) et ajouter des éléments facultatifs, tels qu'une description et des balises à tout moment.

Les exemples de cette section utilisent la AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

L'exemple suivant commence par un appel à l'DescribeCustomKeyStoresopération visant à vérifier que le magasin de AWS CloudHSM clés est connecté au AWS CloudHSM cluster associé. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Pour décrire uniquement un magasin de AWS CloudHSM clés en particulier, utilisez son CustomKeyStoreName paramètre CustomKeyStoreId or (mais pas les deux).

Avant d'exécuter cette commande, remplacez l'exemple d'ID de magasin de clés personnalisé par un ID valide.

Note

N'incluez pas d'informations confidentielles ou sensibles dans les champs Description ou Tags. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0 { "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CustomKeyStoreType": "AWS CloudHSM key store", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "CONNECTED" ], }

L'exemple de commande suivant utilise l'DescribeClustersopération pour vérifier que le AWS CloudHSM cluster associé au ExampleKeyStore (cluster-1a23b4cdefg) en possède au moins deux actifs. HSMs Si le cluster en compte moins de deuxHSMs, l'CreateKeyopération échoue.

$ aws cloudhsmv2 describe-clusters { "Clusters": [ { "SubnetMapping": { ... }, "CreateTimestamp": 1507133412.351, "ClusterId": "cluster-1a23b4cdefg", "SecurityGroup": "sg-865af2fb", "HsmType": "hsm1.medium", "VpcId": "vpc-1a2b3c4d", "BackupPolicy": "DEFAULT", "Certificates": { "ClusterCertificate": "-----BEGIN CERTIFICATE-----\...\n-----END CERTIFICATE-----\n" }, "Hsms": [ { "AvailabilityZone": "us-west-2a", "EniIp": "10.0.1.11", "ClusterId": "cluster-1a23b4cdefg", "EniId": "eni-ea8647e1", "StateMessage": "HSM created.", "SubnetId": "subnet-a6b10bd1", "HsmId": "hsm-abcdefghijk", "State": "ACTIVE" }, { "AvailabilityZone": "us-west-2b", "EniIp": "10.0.0.2", "ClusterId": "cluster-1a23b4cdefg", "EniId": "eni-ea8647e1", "StateMessage": "HSM created.", "SubnetId": "subnet-b6b10bd2", "HsmId": "hsm-zyxwvutsrqp", "State": "ACTIVE" }, ], "State": "ACTIVE" } ] }

Cet exemple de commande utilise l'CreateKeyopération pour créer une KMS clé dans un magasin de AWS CloudHSM clés. Pour créer une KMS clé dans un magasin de AWS CloudHSM clés, vous devez fournir l'ID de magasin de clés personnalisé du magasin de AWS CloudHSM clés et spécifier une Origin valeur deAWS_CLOUDHSM.

La réponse inclut le magasin IDs de clés personnalisé et le AWS CloudHSM cluster.

Avant d'exécuter cette commande, remplacez l'exemple d'ID de magasin de clés personnalisé par un ID valide.

$ aws kms create-key --origin AWS_CLOUDHSM --custom-key-store-id cks-1234567890abcdef0 { "KeyMetadata": { "AWSAccountId": "111122223333", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1.499288695918E9, "Description": "Example key", "Enabled": true, "MultiRegion": false, "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyManager": "CUSTOMER", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_CLOUDHSM" "CloudHsmClusterId": "cluster-1a23b4cdefg", "CustomKeyStoreId": "cks-1234567890abcdef0" "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }