Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Création d'une clé KMS
Vous pouvez créer AWS KMS keys dans ou AWS Management Console en utilisant l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération ou la [AWS::KMS::Key AWS CloudFormation ressource](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html). Au cours de ce processus, vous définissez la politique de clé pour la clé KMS, que vous pouvez modifier à tout moment. Vous sélectionnez également les valeurs suivantes qui définissent le type de clé KMS que vous créez. Vous ne pouvez pas modifier ces propriétés après la création de la clé KMS.
**Type de clé KMS**
Le *type de clé* est une propriété qui détermine le type de clé cryptographique créé. AWS KMS propose trois types de clés pour protéger les données :
+ Clés symétriques AES (Advanced Encryption Standard)
Clés de 256 bits utilisées dans le mode Galois Counter Mode (GCM) d'AES pour fournir des données authentifiées d'une taille inférieure à encryption/decryption 4 Ko. Il s'agit du type de clé le plus courant. Il est utilisé pour protéger les autres clés de chiffrement de données utilisées dans vos applications et crypter ainsi vos données en Services AWS votre nom.
+ Clés RSA, courbe elliptique ou (régions de SM2 Chine uniquement) asymétriques
Ces clés sont disponibles en différentes tailles et supportent de nombreux algorithmes. Ils peuvent être utilisés pour le chiffrement et le déchiffrement, la signature et la vérification, ou pour dériver des opérations de secret partagé en fonction du choix de l'algorithme.
+ Clés symétriques pour effectuer des opérations de codes d'authentification de message basés sur le hachage (HMAC)
Ces clés sont des clés de 256 bits utilisées pour les opérations de signature et de vérification.
Les clés KMS ne peuvent pas être exportées depuis le service en texte brut. Ils sont générés par et ne peuvent être utilisés que dans les modules de sécurité matériels (HSMs) utilisés par le service. Il s'agit de la propriété de sécurité fondamentale de AWS KMS garantir que les clés ne sont pas compromises.
**Utilisation des clés**
*L'utilisation de la clé* est une propriété qui détermine les opérations cryptographiques prises en charge par la clé. Les clés KMS peuvent être utilisées comme clé `ENCRYPT_DECRYPT``SIGN_VERIFY`,`GENERATE_VERIFY_MAC`, ou`KEY_AGREEMENT`. Chaque clé KMS ne peut avoir qu'un seul type d'utilisation de clé. Cela suit les meilleures pratiques d'utilisation des clés conformément à la [publication spéciale 800-57 du National Institute of Standards and Technology (NIST) intitulée Recommandations pour la gestion des clés](https://csrc.nist.gov/pubs/sp/800/57/pt1/r5/final), section 5.2, Utilisation des clés. L'utilisation d'une clé KMS pour plusieurs types d'opérations rend le produit des deux opérations plus vulnérable aux attaques.
**Spécification clé**
La *spécification de la clé* est une propriété qui représente la configuration de chiffrement d'une clé. La signification de la spécification de la clé diffère selon le type de clé.
Pour les clés KMS, la *spécification de clé* détermine si la clé KMS est symétrique ou asymétrique. Elles déterminent également le type d'éléments de clé et les algorithmes pris en charge.
La spécification de clé par défaut, [SYMMETRIC\$1DEFAULT](symm-asymm-choose-key-spec.md#symmetric-cmks), représente une clé de chiffrement symétrique de 256 bits. Pour une description détaillée de toutes les spécifications clés prises en charge, voir[Référence de spécification clé](symm-asymm-choose-key-spec.md).
**Origine du matériau clé**
L'*origine des éléments de clé* est une propriété de clé KMS qui identifie la source des éléments de clé dans la clé KMS. Vous choisissez l'origine des éléments de clé lorsque vous créez la clé KMS, et vous ne pouvez pas la modifier. La source des éléments de clé affecte les caractéristiques de sécurité, de durabilité, de disponibilité, de latence et de débit de la clé KMS.
Chaque clé KMS inclut une référence à ses éléments de clé dans ses métadonnées. L'origine des éléments de clé des clés KMS de chiffrement symétrique peut varier. Vous pouvez utiliser le matériel clé qui AWS KMS génère, le matériel clé généré dans un [magasin de clés personnalisé](key-store-overview.md#custom-key-store-overview) ou [importer votre propre matériel clé](importing-keys.md).
Par défaut, chaque clé KMS possède des éléments de clé uniques. Toutefois, vous pouvez créer un ensemble de [clés multi-région](multi-region-keys-overview.md) avec les mêmes éléments de clé.
Les clés KMS peuvent avoir l'une des valeurs d'origine matérielle clés suivantes :`AWS_KMS`, `EXTERNAL` ([matériau clé importé](importing-keys.md)), `AWS_CLOUDHSM` ([clé KMS dans un magasin de AWS CloudHSM clés](keystore-cloudhsm.md)) ou `EXTERNAL_KEY_STORE` ([clé KMS dans un magasin de clés externe](keystore-external.md)).
**Topics**
+ [Autorisations de création de clés KMS](#create-key-permissions)
+ [Choix du type de clé KMS à créer](#symm-asymm-choose)
+ [Créer une clé KMS de chiffrement symétrique](create-symmetric-cmk.md)
+ [Créer une clé KMS asymétrique](asymm-create-key.md)
+ [Créer une clé KMS HMAC](hmac-create-key.md)
+ [Création de clés primaires multirégionales](create-primary-keys.md)
+ [Création de répliques de clés multirégionales](multi-region-keys-replicate.md)
+ [Création d'une clé KMS avec du matériel clé importé](importing-keys-conceptual.md)
+ [Création d'une clé KMS dans un magasin de AWS CloudHSM clés](create-cmk-keystore.md)
+ [Création d'une clé KMS dans des magasins de clés externes](create-xks-keys.md)
## Autorisations de création de clés KMS
Pour créer une clé KMS dans la console ou à l'aide de APIs, vous devez disposer de l'autorisation suivante dans une politique IAM. Dans la mesure du possible, utilisez des [clés de condition](policy-conditions.md) pour limiter les autorisations. Par exemple, vous pouvez utiliser la clé de KeySpec condition [kms :](conditions-kms.md#conditions-kms-key-spec) dans une politique IAM pour permettre aux principaux de créer uniquement des clés de chiffrement symétriques.
Pour obtenir un exemple de politique IAM pour les entités qui créent des clés, veuillez consulter [Autoriser un utilisateur à créer des clés KMS](customer-managed-policies.md#iam-policy-example-create-key).
**Note**
Soyez prudent lorsque vous autorisez les principaux à gérer les balises et les alias. La modification d'une balise ou d'un alias permet d'accorder ou de refuser l'autorisation d'utiliser la clé gérée par le client. Pour plus de détails, veuillez consulter [ABAC pour AWS KMS](abac.md).
+ [kms : CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) obligatoire.
+ [kms : CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html) est nécessaire pour créer une clé KMS dans la console où un alias est requis pour chaque nouvelle clé KMS.
+ [kms : TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) est obligatoire pour ajouter des balises lors de la création de la clé KMS.
+ [iam : CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) est nécessaire pour créer des clés primaires multirégionales. Pour en savoir plus, consultez [Contrôler l'accès aux clés multirégionales](multi-region-keys-auth.md).
L'PutKeyPolicyautorisation [kms :](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) n'est pas requise pour créer la clé KMS. L'autorisation `kms:CreateKey` inclut l'autorisation de définir la politique de clé initiale. Toutefois, vous devez ajouter cette autorisation à la politique de clé lors de la création de la clé KMS pour vous assurer que vous pouvez contrôler l'accès à la clé KMS. L'alternative consiste à utiliser le [BypassLockoutSafetyCheck](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html#KMS-CreateKey-request-BypassPolicyLockoutSafetyCheck)paramètre, ce qui n'est pas recommandé.
Les clés KMS appartiennent au AWS compte dans lequel elles ont été créées. L'utilisateur IAM qui crée une clé KMS n'est pas considéré comme le propriétaire de la clé et il n'est pas automatiquement autorisé à utiliser ou à gérer la clé KMS qu'il a créée. Comme tout autre principal, le créateur de clé doit obtenir l'autorisation via une politique de clé, une politique IAM ou une autorisation. Toutefois, les principaux qui disposent de l'autorisation `kms:CreateKey` peuvent définir la politique de clé initiale et s'octroyer l'autorisation d'utiliser ou de gérer la clé.
## Choix du type de clé KMS à créer
Le type de clé KMS que vous créez dépend en grande partie de la manière dont vous prévoyez d'*utiliser* la clé KMS, de vos exigences en matière de sécurité et de vos exigences en matière d'autorisation. Le type de clé et l'utilisation de la clé KMS déterminent les opérations cryptographiques que la clé peut effectuer. Chaque clé KMS n'a qu'une seule utilisation de la clé. L'utilisation d'une clé KMS pour plusieurs types d'opérations rend le produit de toutes les opérations plus vulnérable aux attaques.
Pour autoriser les principaux à créer des clés KMS uniquement pour une utilisation spécifique, utilisez la clé de KeyUsage condition [kms :](conditions-kms.md#conditions-kms-key-usage). Vous pouvez également utiliser la clé de condition `kms:KeyUsage` pour permettre aux principaux d'appeler des opérations d'API pour une clé KMS en fonction de son utilisation de clé. Par exemple, vous pouvez autoriser la désactivation d'une clé KMS uniquement si son utilisation de clé est SIGN\$1VERIFY.
Utilisez les conseils suivants pour déterminer le type de clé KMS dont vous avez besoin en fonction de votre cas d'utilisation.
**Chiffrer et déchiffrer des données**
Utilisez une [clé KMS symétrique](symm-asymm-choose-key-spec.md#symmetric-cmks) pour la plupart des cas d'utilisation nécessitant le chiffrement et le déchiffrement de données. L'algorithme de chiffrement symétrique qu'utilise AWS KMS est rapide, efficace et assure la confidentialité et l'authenticité des données. Il prend en charge le chiffrement authentifié avec des données authentifiées supplémentaires (AAD), définies comme un [contexte de chiffrement](encrypt_context.md). Ce type de clé KMS nécessite que l'expéditeur et le destinataire des données chiffrées disposent d' AWS informations d'identification valides pour appeler AWS KMS.
Si votre cas d'utilisation nécessite un chiffrement externe AWS par des utilisateurs qui ne peuvent pas appeler AWS KMS, les [clés KMS asymétriques](symmetric-asymmetric.md) sont un bon choix. Vous pouvez distribuer la clé publique de la clé KMS asymétrique pour permettre à ces utilisateurs de chiffrer des données. Aussi, vos applications qui ont besoin de déchiffrer ces données peuvent utiliser la clé privée de la clé KMS asymétrique dans AWS KMS.
**Signer des messages et vérifier des signatures**
Pour signer des messages et vérifier des signatures, vous devez utiliser une [clé KMS asymétrique](symmetric-asymmetric.md). Vous pouvez utiliser une clé KMS avec une [spécification de clé](symm-asymm-choose-key-spec.md) qui représente une paire de clés RSA, une paire de clés à courbe elliptique (ECC), une paire de clés ML-DSA ou une paire de clés (régions de Chine SM2 uniquement). La spécification de clé que vous choisissez est déterminée par l'algorithme de signature que vous souhaitez utiliser. Plutôt que les algorithmes de signature RSA, nous vous recommandons d'utiliser les algorithmes de signature ECDSA pris en charge par les paires de clés ECC. Utilisez une paire de clés ML-DSA lors de la migration de clés RSA ou ECC vers des clés post-quantiques. Toutefois, vous devrez peut-être utiliser une spécification de clé et un algorithme de signature particuliers pour prendre en charge les utilisateurs qui vérifient les signatures en dehors d' AWS.
**Chiffrer avec des paires de clés asymétriques**
Pour chiffrer des données avec une paire de clés asymétriques, vous devez utiliser une clé [KMS asymétrique avec une spécification de clé](symmetric-asymmetric.md) [RSA ou une spécification de clé](symm-asymm-choose-key-spec.md#key-spec-rsa-encryption) [(régions de SM2 Chine](symm-asymm-choose-key-spec.md#key-spec-sm) uniquement). Pour chiffrer des données dans AWS KMS avec la clé publique d'une paire de clés KMS, utilisez l'opération [Encrypt (Chiffrer)](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html). Vous pouvez également [télécharger la clé publique](download-public-key.md) et la partager avec les parties qui ont besoin de chiffrer des données en dehors de AWS KMS.
Lorsque vous téléchargez la clé publique d'une clé KMS asymétrique, vous pouvez l'utiliser à l'extérieur de AWS KMS. Mais il n'est plus soumis aux contrôles de sécurité qui protègent la clé KMS AWS KMS. Par exemple, vous ne pouvez pas utiliser de politiques ou de subventions AWS KMS clés pour contrôler l'utilisation de la clé publique. Vous ne pouvez pas non plus contrôler si la clé est utilisée uniquement pour le chiffrement et le déchiffrement à l'aide des algorithmes de chiffrement pris AWS KMS en charge. Pour plus d'informations, veuillez consulter [Considérations spéciales pour le téléchargement de clés publiques](offline-public-key.md#download-public-key-considerations).
Pour déchiffrer des données chiffrées avec la clé publique extérieure à AWS KMS, appelez l'opération [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html). L'`Decrypt`opération échoue si les données ont été chiffrées sous une clé publique à partir d'une clé KMS avec une clé d'utilisation de`SIGN_VERIFY`. Il échouera également s'il a été chiffré à l'aide d'un algorithme qui AWS KMS ne prend pas en charge la spécification de clé que vous avez sélectionnée. Pour plus d'informations sur les spécifications clés et les algorithmes pris en charge, consultez[Référence de spécification clé](symm-asymm-choose-key-spec.md).
Pour éviter ces erreurs, toute personne utilisant une clé publique en dehors de AWS KMS doit enregistrer la configuration de la clé. La AWS KMS console et la [GetPublicKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetPublicKey.html)réponse fournissent les informations que vous devez inclure lorsque vous partagez la clé publique.
**Déterminez des secrets partagés**
Pour obtenir des secrets partagés, utilisez une clé KMS avec une [courbe elliptique conforme aux normes du NIST](symm-asymm-choose-key-spec.md#key-spec-ecc) ou un élément clé (régions de [SM2](symm-asymm-choose-key-spec.md#key-spec-sm)Chine uniquement). AWS KMS utilise le [cofacteur de cryptographie à courbe elliptique Diffie-Hellman Primitive](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-56Ar3.pdf#page=60) (ECDH) pour établir un accord clé entre deux pairs en dérivant un secret partagé à partir de leurs paires de clés publiques-privées sur courbe elliptique. Vous pouvez utiliser le secret partagé brut renvoyé par l'[ DeriveSharedSecret](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeriveSharedSecret.html)opération pour obtenir une clé symétrique capable de chiffrer et de déchiffrer les données envoyées entre deux parties, ou de les générer et de les vérifier. HMACs AWS KMS recommande de suivre les [recommandations du NIST pour la dérivation de clés](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-56Cr2.pdf) lorsque vous utilisez le secret partagé brut pour dériver une clé symétrique.
**Générer et vérifier les codes HMAC**
Pour générer et vérifier les codes d'authentification de message utilisant hash, utilisez une clé KMS HMAC. Lorsque vous créez une clé HMAC AWS KMS, elle AWS KMS crée et protège le contenu de votre clé et garantit que vous utilisez les algorithmes MAC appropriés pour votre clé. Les codes HMAC peuvent également être utilisés comme nombres pseudo-aléatoires et dans certains scénarios pour la signature symétrique et la création de jeton.
Les clés KMS HMAC sont des clés symétriques. Lors de la création d'une clé KMS HMAC dans la console AWS KMS , choisissez le type de clé `Symmetric`.
**Utilisation avec les AWS services**
Pour créer une clé KMS à utiliser avec un [AWS service intégré AWS KMS](service-integration.md), consultez la documentation du service. AWS les services qui chiffrent vos données nécessitent une clé [KMS de chiffrement symétrique](symm-asymm-choose-key-spec.md#symmetric-cmks).
Outre ces considérations, les opérations de chiffrement sur des clés KMS dont les spécifications sont différentes sont soumises à des tarifs et à des quotas de demande différents. Pour plus d'informations sur la tarification AWS KMS , consultez [AWS Key Management Service Tarification ](https://aws.amazon.com/kms/pricing/). Pour de plus amples informations sur les quotas de demande, veuillez consulter [Quotas de demande](requests-per-second.md).
# Créer une clé KMS de chiffrement symétrique
Cette rubrique explique comment créer la clé KMS de base, une clé [KMS de chiffrement symétrique](symm-asymm-choose-key-spec.md#symmetric-cmks) pour une seule région dont le contenu clé provient de AWS KMS. Vous pouvez utiliser cette clé KMS pour protéger vos ressources dans un Service AWS.
Vous pouvez créer des clés KMS de chiffrement symétriques dans la AWS KMS console, à l'aide de l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API ou du [AWS::KMS::Key CloudFormation modèle](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html).
La spécification de clé par défaut, [SYMMETRIC\$1DEFAULT](symm-asymm-choose-key-spec.md#symmetric-cmks), est la spécification de clé pour les clés KMS de chiffrement symétriques. Lorsque vous sélectionnez le type de clé **symétrique** et l'utilisation de la clé de **chiffrement et de déchiffrement** dans la AWS KMS console, la spécification de la `SYMMETRIC_DEFAULT` clé est sélectionnée. Dans l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération, si vous ne spécifiez aucune `KeySpec` valeur, SYMMETRIC\$1DEFAULT est sélectionné. Si vous n'avez pas de raison d'utiliser une spécification de clé différente, SYMMETRIC\$1DEFAULT est un bon choix.
Pour de plus amples informations sur les quotas qui s'appliquent aux clés KMS, veuillez consulter [Quotas](limits.md).
## Utilisation de la AWS KMS console
Vous pouvez utiliser le AWS Management Console pour créer AWS KMS keys (clés KMS).
**Important**
N'incluez pas d'informations confidentielles ou sensibles dans l'alias, la description ou les balises. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
1. Dans le panneau de navigation, choisissez **Clés gérées par le client**.
1. Choisissez **Create key**.
1. Pour créer une clé KMS de chiffrement symétrique, pour **Key type** (Type de clé), choisissez **Symmetric** (Symétrique).
1. Dans **Key usage** (Utilisation de la clé), l'option **Encrypt and decrypt** (Chiffrer et déchiffrer) est sélectionnée pour vous.
1. Choisissez **Suivant**.
1. Saisissez un alias pour la clé KMS. Le nom d'alias ne peut pas commencer par **aws/**. Le **aws/** préfixe est réservé par Amazon Web Services pour être représenté Clés gérées par AWS dans votre compte.
**Note**
L'ajout, la suppression ou la mise à jour d'un alias peut permettre d'accorder ou de refuser l'autorisation d'utiliser la KMS. Pour plus de détails, veuillez consulter [ABAC pour AWS KMS](abac.md) et [Utiliser des alias pour contrôler l'accès aux clés KMS](alias-authorization.md).
Un alias est un nom d'affichage que vous pouvez utiliser pour identifier facilement la clé KMS. Nous vous conseillons de choisir un alias qui indique le type de données que vous envisagez de protéger ou l'application que vous pensez utiliser avec la clé KMS.
Les alias sont requis lorsque vous créez une clé KMS dans la AWS Management Console. Ils sont facultatifs lorsque vous utilisez l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération.
1. (Facultatif) Saisissez une description pour la clé KMS.
Vous pouvez ajouter une description maintenant ou la mettre à jour à tout moment, sauf si l'[état de la clé](key-state.md) est `Pending Deletion` ou `Pending Replica Deletion`. Pour ajouter, modifier ou supprimer la description d'une clé gérée par le client existante, modifiez la description sur la page de détails de la clé KMS dans l'opération AWS Management Console ou utilisez l'[UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)opération.
1. (Facultatif) Saisissez une clé de balise et une valeur de balise facultative. Pour ajouter plus d'une balise à la clé KMS, sélectionnez **Add tag (Ajouter une balise)**.
**Note**
L'étiquetage ou le désétiquetage d'une clé KMS permet d'accorder ou refuser l'autorisation d'utilisation de cette clé KMS. Pour plus de détails, veuillez consulter [ABAC pour AWS KMS](abac.md) et [Utiliser des balises pour contrôler l'accès aux clés KMS](tag-authorization.md).
Lorsque vous ajoutez des balises à vos AWS ressources, AWS génère un rapport de répartition des coûts avec l'utilisation et les coûts agrégés par balises. Les balises peuvent également être utilisées pour contrôler l'accès à une clé KMS. Pour de plus amples informations sur l'étiquetage des clés KMS, veuillez consulter [Tags dans AWS KMS](tagging-keys.md) et [ABAC pour AWS KMS](abac.md).
1. Choisissez **Suivant**.
1. Sélectionnez les utilisateurs et les rôles IAM qui peuvent administrer la clé KMS.
**Remarques**
Cette politique clé donne le contrôle Compte AWS total de cette clé KMS. Il permet aux administrateurs de compte d'utiliser des politiques IAM pour autoriser d'autres principals à gérer la clé KMS. Pour en savoir plus, consultez [politique de clé par défaut](key-policy-default.md).
Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez [Security best practices in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) (Bonnes pratiques de sécurité dans IAM) dans le *Guide de l'utilisateur IAM*.
La AWS KMS console ajoute des administrateurs clés à la politique clé sous l'identifiant de l'instruction`"Allow access for Key Administrators"`. La modification de cet identifiant d'instruction peut avoir un impact sur la façon dont la console affiche les mises à jour que vous apportez à l'instruction.
1. (Facultatif) Pour empêcher les utilisateurs et les rôles IAM sélectionnés de supprimer cette clé KMS, dans la section **Key deletion (Suppression de la clé)** en bas de la page, décochez la case **Allow key administrators to delete this key (Autoriser les administrateurs de clé à supprimer cette clé)**.
1. Choisissez **Suivant**.
1. Sélectionnez les utilisateurs et les rôles IAM qui peuvent utiliser la clé dans les [opérations de chiffrement](kms-cryptography.md#cryptographic-operations).
**Remarques**
Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez [Security best practices in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) (Bonnes pratiques de sécurité dans IAM) dans le *Guide de l'utilisateur IAM*.
La AWS KMS console ajoute des utilisateurs clés à la politique clé sous les identificateurs de déclaration `"Allow use of the key"` et`"Allow attachment of persistent resources"`. La modification de ces identificateurs de déclaration peut avoir un impact sur la façon dont la console affiche les mises à jour que vous apportez à l'instruction.
1. (Facultatif) Vous pouvez autoriser d'autres Comptes AWS utilisateurs à utiliser cette clé KMS pour des opérations cryptographiques. Pour ce faire, dans la Comptes AWS section **Autre** au bas de la page, choisissez **Ajouter un autre** compte Compte AWS et entrez le numéro Compte AWS d'identification d'un compte externe. Pour ajouter plusieurs comptes externes, répétez cette étape.
**Note**
Pour autoriser les principaux des comptes externes à utiliser la clé KMS, les administrateurs du compte externe doivent créer des politiques IAM qui fournissent ces autorisations. Pour de plus amples informations, veuillez consulter [Autoriser des utilisateurs d'autres comptes à utiliser une clé KMS](key-policy-modifying-external-accounts.md).
1. Choisissez **Suivant**.
1. Passez en revue les principales déclarations de politique pour la clé. Pour modifier la politique clé, sélectionnez **Modifier**.
1. Choisissez **Suivant**.
1. Passez en revue les paramètres de clé que vous avez choisis. Vous pouvez toujours revenir en arrière et modifier tous les paramètres.
1. Choisissez **Finish (Terminer)** pour créer la clé KMS.
## Utilisation de l' AWS KMS API
Vous pouvez utiliser cette [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération pour créer tous les AWS KMS keys types. Ces exemples utilisent le [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/). Pour obtenir des exemples dans plusieurs langages de programmation, veuillez consulter [Utilisation `CreateKey` avec un AWS SDK ou une CLI](example_kms_CreateKey_section.md).
**Important**
N'incluez pas d'informations confidentielles ou sensibles dans les champs `Description` ou `Tags`. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
L'opération suivante crée une clé de chiffrement symétrique dans une seule région basée sur le matériel clé généré par AWS KMS. Cette opération n'a aucun paramètre obligatoire. Vous pouvez également souhaiter utiliser le paramètre `Policy` pour spécifier une politique de clé. Vous pouvez modifier la politique clé ([PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)) et ajouter des éléments facultatifs, tels qu'une [description](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) et des [balises](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) à tout moment. Vous pouvez également créer des [clés asymétriques](asymm-create-key.md#create-asymmetric-keys-api), des [clés multi-régions](create-primary-keys.md), des clés avec des [éléments de clé importés](importing-keys-create-cmk.md#importing-keys-create-cmk-api) et des clés dans des [magasins de clés personnalisés](create-cmk-keystore.md#create-cmk-keystore-api). Pour créer des clés de données pour le chiffrement côté client, utilisez l'[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)opération.
L'`CreateKey`opération ne vous permet pas de spécifier un alias, mais vous pouvez l'[CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)utiliser pour créer un alias pour votre nouvelle clé KMS.
Voici un exemple d'appel à l'opération `CreateKey` sans paramètre. Cette commande utilise toutes les valeurs par défaut. Elle crée une clé KMS de chiffrement symétrique avec les éléments de clé générés par AWS KMS.
```
$ aws kms create-key
{
"KeyMetadata": {
"Origin": "AWS_KMS",
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"Description": "",
"KeyManager": "CUSTOMER",
"Enabled": true,
"KeySpec": "SYMMETRIC_DEFAULT",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"CreationDate": 1502910355.475,
"Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"AWSAccountId": "111122223333",
"MultiRegion": false
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
}
}
```
Si vous ne spécifiez pas de politique de clé pour votre nouvelle clé KMS, la [politique de clé par défaut](key-policy-default.md) appliquée par `CreateKey` est différente de celle appliquée par la console lorsque vous utilisez cette dernière pour créer une nouvelle clé KMS.
Par exemple, cet appel à l'[GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)opération renvoie la politique clé qui `CreateKey` s'applique. Il donne Compte AWS accès à la clé KMS et lui permet de créer des politiques Gestion des identités et des accès AWS (IAM) pour la clé KMS. Pour plus d'informations sur les politiques IAM et les politiques de clé pour les clés KMS, veuillez consulter [Accès aux clés KMS et autorisations](control-access.md)
```
$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text
```
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id" : "key-default-1",
"Statement" : [ {
"Sid" : "EnableIAMUserPermissions",
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn:aws:iam::111122223333:root"
},
"Action" : "kms:*",
"Resource" : "*"
} ]
}
```
------
# Créer une clé KMS asymétrique
Vous pouvez créer des [clés KMS asymétriques](symmetric-asymmetric.md) dans la AWS KMS console, à l'aide de l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API ou du [AWS::KMS::Key CloudFormation modèle](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html). Une clé KMS asymétrique représente une paire de clés publique et privée qui peut être utilisée pour le chiffrement, la signature ou la dérivation de secrets partagés. La clé privée reste à l'intérieur AWS KMS. Pour télécharger la clé publique afin de l'utiliser en dehors de AWS KMS, consultez[Télécharger la clé publique](download-public-key.md).
Lorsque vous créez une clé KMS asymétrique, vous devez sélectionner une spécification de clé. Souvent, la spécification de clé que vous sélectionnez est déterminée par des exigences réglementaires, de sécurité ou métier. Elle peut également être influencée par la taille des messages que vous devez chiffrer ou signer. En général, les clés de chiffrement plus longues résistent mieux aux attaques par force brute. Pour une description détaillée de toutes les spécifications clés prises en charge, voir[Référence de spécification clé](symm-asymm-choose-key-spec.md).
AWS les services intégrés à ne prennent AWS KMS pas en charge les clés KMS asymétriques. Si vous souhaitez créer une clé KMS qui chiffre les données que vous stockez ou gérez dans un AWS service, [créez une clé KMS de chiffrement symétrique](create-symmetric-cmk.md).
Pour obtenir plus d'informations sur les autorisations nécessaires pour créer des clés KMS, consultez [Autorisations de création de clés KMS](create-keys.md#create-key-permissions).
## Utilisation de la AWS KMS console
Vous pouvez utiliser le AWS Management Console pour créer des clés asymétriques AWS KMS keys (clés KMS). Chaque clé KMS asymétrique représente une paire de clés publique et privée.
**Important**
N'incluez pas d'informations confidentielles ou sensibles dans l'alias, la description ou les balises. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
1. Dans le panneau de navigation, choisissez **Clés gérées par le client**.
1. Choisissez **Create key**.
1. Pour créer une clé KMS asymétrique, dans **Key type (Type de clé),** choisissez **Asymmetric (Asymétrique)**.
1. Pour créer une clé KMS asymétrique pour le chiffrement de clé publique, dans **Key usage (Utilisation de la clé)**, choisissez **Encrypt and decrypt (Chiffrer et déchiffrer)**.
Pour créer une clé KMS asymétrique pour signer les messages et vérifier les signatures, dans **Utilisation des clés**, choisissez **Signer et vérifier**.
Pour créer une clé KMS asymétrique afin de dériver des secrets partagés, dans **Utilisation des clés**, choisissez **Key** agreement.
Pour obtenir de l'aide sur le choix d'une valeur d'utilisation de clé, veuillez consulter [Choix du type de clé KMS à créer](create-keys.md#symm-asymm-choose).
1. Sélectionnez une spécification (**Key spec (Spécifications de la clé)**) pour votre clé KMS asymétrique.
1. Choisissez **Suivant**.
1. Saisissez un [alias](kms-alias.md) pour la clé KMS. Le nom d'alias ne peut pas commencer par **aws/**. Le préfixe **aws/** est réservé par Amazon Web Services pour représenter Clés gérées par AWS dans votre compte.
Un *alias* est un nom convivial que vous pouvez utiliser pour identifier la clé KMS dans la console et dans certaines autres AWS KMS APIs. Nous vous conseillons de choisir un alias qui indique le type de données que vous envisagez de protéger ou l'application que vous pensez utiliser avec la clé KMS.
Les alias sont requis lorsque vous créez une clé KMS dans la AWS Management Console. Vous ne pouvez pas spécifier d'alias lorsque vous utilisez l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération, mais vous pouvez utiliser la console ou l'[CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)opération pour créer un alias pour une clé KMS existante. Pour plus de détails, veuillez consulter [Alias dans AWS KMS](kms-alias.md).
1. (Facultatif) Saisissez une description pour la clé KMS.
Saisissez une description qui explique le type de données que vous envisagez de protéger ou l'application que vous pensez utiliser avec la clé KMS.
Vous pouvez ajouter une description maintenant ou la mettre à jour à tout moment, sauf si l'[état de la clé](key-state.md) est `Pending Deletion` ou `Pending Replica Deletion`. Pour ajouter, modifier ou supprimer la description d'une clé gérée par le client existante, modifiez la description sur la page de détails de la clé KMS dans l'opération AWS Management Console ou utilisez l'[UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)opération.
1. (Facultatif) Saisissez une clé de balise et une valeur de balise facultative. Pour ajouter plus d'une balise à la clé KMS, sélectionnez **Add tag (Ajouter une balise)**.
Lorsque vous ajoutez des balises à vos AWS ressources, AWS génère un rapport de répartition des coûts avec l'utilisation et les coûts agrégés par balises. Les balises peuvent également être utilisées pour contrôler l'accès à une clé KMS. Pour de plus amples informations sur l'étiquetage des clés KMS, veuillez consulter [Tags dans AWS KMS](tagging-keys.md) et [ABAC pour AWS KMS](abac.md).
1. Choisissez **Suivant**.
1. Sélectionnez les utilisateurs et les rôles IAM qui peuvent administrer la clé KMS.
**Remarques**
Cette politique clé donne le contrôle Compte AWS total de cette clé KMS. Il permet aux administrateurs de compte d'utiliser des politiques IAM pour autoriser d'autres principals à gérer la clé KMS. Pour en savoir plus, consultez [politique de clé par défaut](key-policy-default.md).
Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez [Security best practices in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) (Bonnes pratiques de sécurité dans IAM) dans le *Guide de l'utilisateur IAM*.
La AWS KMS console ajoute des administrateurs clés à la politique clé sous l'identifiant de l'instruction`"Allow access for Key Administrators"`. La modification de cet identifiant d'instruction peut avoir un impact sur la façon dont la console affiche les mises à jour que vous apportez à l'instruction.
1. (Facultatif) Pour empêcher les utilisateurs et les rôles IAM sélectionnés de supprimer cette clé KMS, dans la section **Key deletion (Suppression de la clé)** en bas de la page, décochez la case **Allow key administrators to delete this key (Autoriser les administrateurs de clé à supprimer cette clé)**.
1. Choisissez **Suivant**.
1. Sélectionnez les utilisateurs et les rôles IAM qui peuvent utiliser la clé KMS pour les [opérations crytographiques](kms-cryptography.md#cryptographic-operations).
**Remarques**
Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez [Security best practices in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) (Bonnes pratiques de sécurité dans IAM) dans le *Guide de l'utilisateur IAM*.
La AWS KMS console ajoute des utilisateurs clés à la politique clé sous les identificateurs de déclaration `"Allow use of the key"` et`"Allow attachment of persistent resources"`. La modification de ces identificateurs de déclaration peut avoir un impact sur la façon dont la console affiche les mises à jour que vous apportez à l'instruction.
1. (Facultatif) Vous pouvez autoriser d'autres Comptes AWS utilisateurs à utiliser cette clé KMS pour des opérations cryptographiques. Pour cela, dans la section **Autres Comptes AWS** en bas de la page, sélectionnez **Ajouter un autre Compte AWS** et saisissez le numéro d'identification Compte AWS d'un compte externe. Pour ajouter plusieurs comptes externes, répétez cette étape.
**Note**
Pour autoriser les principaux des comptes externes à utiliser la clé KMS, les administrateurs du compte externe doivent créer des politiques IAM qui fournissent ces autorisations. Pour de plus amples informations, veuillez consulter [Autoriser des utilisateurs d'autres comptes à utiliser une clé KMS](key-policy-modifying-external-accounts.md).
1. Choisissez **Suivant**.
1. Passez en revue les principales déclarations de politique pour la clé. Pour apporter des modifications à la politique clé, sélectionnez **Modifier**.
1. Choisissez **Suivant**.
1. Passez en revue les paramètres de clé que vous avez choisis. Vous pouvez toujours revenir en arrière et modifier tous les paramètres.
1. Choisissez **Finish (Terminer)** pour créer la clé KMS.
## Utilisation de l' AWS KMS API
Vous pouvez utiliser cette [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération pour créer une asymétrique AWS KMS key. Ces exemples utilisent l'[AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.
Lorsque vous créez une clé KMS asymétrique, vous devez spécifier le paramètre `KeySpec`, qui détermine le type de clés que vous créez. Vous devez également spécifier la `KeyUsage` valeur ENCRYPT\$1DECRYPT, SIGN\$1VERIFY ou KEY\$1AGREEMENT. Vous ne pouvez pas modifier ces propriétés après la création de la clé KMS.
L'`CreateKey`opération ne vous permet pas de spécifier un alias, mais vous pouvez l'[CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)utiliser pour créer un alias pour votre nouvelle clé KMS.
**Important**
N'incluez pas d'informations confidentielles ou sensibles dans les champs `Description` ou `Tags`. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
**Création d'une paire de clés KMS asymétriques pour le chiffrement public**
L'exemple suivant utilise l'opération `CreateKey` pour créer une clé KMS asymétrique de clés RSA 4 096 bits conçues pour le chiffrement d'une clé publique.
```
$ aws kms create-key --key-spec RSA_4096 --key-usage ENCRYPT_DECRYPT
{
"KeyMetadata": {
"KeyState": "Enabled",
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyManager": "CUSTOMER",
"Description": "",
"Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"CreationDate": 1569973196.214,
"MultiRegion": false,
"KeySpec": "RSA_4096",
"CustomerMasterKeySpec": "RSA_4096",
"KeyUsage": "ENCRYPT_DECRYPT",
"EncryptionAlgorithms": [
"RSAES_OAEP_SHA_1",
"RSAES_OAEP_SHA_256"
],
"AWSAccountId": "111122223333",
"Origin": "AWS_KMS",
"Enabled": true
}
}
```
**Création d'une paire de clés KMS asymétriques pour la signature et la vérification**
L'exemple de commande suivant crée une clé KMS asymétrique qui représente une paire de clés ECC utilisées pour la signature et la vérification. Vous ne pouvez pas créer une paire de clés de courbe elliptique pour le chiffrement et le déchiffrement.
```
$ aws kms create-key --key-spec ECC_NIST_P521 --key-usage SIGN_VERIFY
{
"KeyMetadata": {
"KeyState": "Enabled",
"KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"CreationDate": 1570824817.837,
"Origin": "AWS_KMS",
"SigningAlgorithms": [
"ECDSA_SHA_512"
],
"Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"AWSAccountId": "111122223333",
"KeySpec": "ECC_NIST_P521",
"CustomerMasterKeySpec": "ECC_NIST_P521",
"KeyManager": "CUSTOMER",
"Description": "",
"Enabled": true,
"MultiRegion": false,
"KeyUsage": "SIGN_VERIFY"
}
}
```
**Créez une paire de clés KMS asymétriques pour obtenir des secrets partagés**
L'exemple de commande suivant crée une clé KMS asymétrique qui représente une paire de clés ECDH utilisées pour dériver des secrets partagés. Vous ne pouvez pas créer une paire de clés de courbe elliptique pour le chiffrement et le déchiffrement.
```
$ aws kms create-key --key-spec ECC_NIST_P256 --key-usage KEY_AGREEMENT
{
"KeyMetadata": {
"AWSAccountId": "111122223333",
"KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"CreationDate": "2023-12-27T19:10:15.063000+00:00",
"Enabled": true,
"Description": "",
"KeyUsage": "KEY_AGREEMENT",
"KeyState": "Enabled",
"Origin": "AWS_KMS",
"KeyManager": "CUSTOMER",
"CustomerMasterKeySpec": "ECC_NIST_P256",
"KeySpec": "ECC_NIST_P256",
"KeyAgreementAlgorithms": [
"ECDH"
],
"MultiRegion": false
}
}
```
# Créer une clé KMS HMAC
Vous pouvez créer des clés HMAC KMS dans la AWS KMS console, à l'aide de l'[https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API ou du [AWS::KMS::Key CloudFormation modèle](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html).
Lorsque vous créez une clé HMAC KMS, vous devez sélectionner une spécification de clé. AWS KMS prend en charge plusieurs [spécifications clés pour les clés HMAC KMS](symm-asymm-choose-key-spec.md#hmac-key-specs). La spécification de clé que vous sélectionnez pourrait être déterminée par des exigences réglementaires, de sécurité ou métier. En général, les clés plus longues résistent mieux aux attaques par force brute.
Pour obtenir plus d'informations sur les autorisations nécessaires pour créer des clés KMS, consultez [Autorisations de création de clés KMS](create-keys.md#create-key-permissions).
## Utilisation de la AWS KMS console
Vous pouvez utiliser le AWS Management Console pour créer des clés HMAC KMS. Les clés KMS HMAC sont des clés symétriques avec une utilisation de clé de **Generate and verify MAC** (Générer et vérifier le MAC). Vous pouvez également créer des clés HMAC multi-région.
1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
1. Dans le panneau de navigation, choisissez **Clés gérées par le client**.
1. Choisissez **Create key**.
1. Pour **Type de clé**, choisissez **Symétrique**.
Les clés KMS HMAC sont symétriques. Vous utilisez la même clé pour générer et vérifier les balises HMAC.
1. Pour **Key usage** (Utilisation de la clé), choisissez **Generate and verify MAC** (Générer et vérifier le MAC).
Générer et vérifier le MAC est la seule utilisation valide de clés KMS HMAC.
**Note**
**Key usage** (Utilisation de la clé) est affiché pour les clés symétriques uniquement lorsque les clés KMS HMAC sont prises en charge dans votre région sélectionnée.
1. Sélectionnez une spécification (**Key spec** [Spécifications de clé]) pour votre clé KMS HMAC.
La spécification de clé que vous sélectionnez peut être déterminée par des exigences réglementaires, de sécurité ou métier. En général, les clés plus longues sont plus sécurisées.
1. Pour créer une clé HMAC *principale* [multi-région](multi-region-keys-overview.md), dans **Advanced options** (Options avancées), choisissez **Multi-Region key** (Clé multi-région). Les [propriétés partagées](multi-region-keys-overview.md#mrk-sync-properties) que vous définissez pour cette clé KMS, comme son type de clé et son utilisation de clé, seront partagés avec ses clés de réplica.
Vous ne pouvez pas utiliser cette procédure pour créer une clé de réplica. Pour créer une clé HMAC de réplica *multi-région*, suivez les [instructions de création d'une clé de réplica](multi-region-keys-replicate.md).
1. Choisissez **Suivant**.
1. Saisissez un [alias](kms-alias.md) pour la clé KMS. Le nom d'alias ne peut pas commencer par **aws/**. Le préfixe **aws/** est réservé par Amazon Web Services pour représenter Clés gérées par AWS dans votre compte.
Nous vous recommandons d'utiliser un alias qui identifie la clé KMS en tant que clé HMAC, comme `HMAC/test-key`. Cela vous permettra d'identifier plus facilement vos clés HMAC dans la AWS KMS console, où vous pourrez trier et filtrer les clés par balises et alias, mais pas par spécification ou utilisation des clés.
Les alias sont requis lorsque vous créez une clé KMS dans la AWS Management Console. Vous ne pouvez pas spécifier d'alias lorsque vous utilisez l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération, mais vous pouvez utiliser la console ou l'[CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)opération pour créer un alias pour une clé KMS existante. Pour en savoir plus, consultez [Alias dans AWS KMS](kms-alias.md).
1. (Facultatif) Saisissez une description pour la clé KMS.
Saisissez une description qui explique le type de données que vous envisagez de protéger ou l'application que vous pensez utiliser avec la clé KMS.
Vous pouvez ajouter une description maintenant ou la mettre à jour à tout moment, sauf si l'[état de la clé](key-state.md) est `Pending Deletion` ou `Pending Replica Deletion`. Pour ajouter, modifier ou supprimer la description d'une clé gérée par le client existante, modifiez la description sur la page de détails de la clé KMS AWS Management Console dans le AWS Management Console ou utilisez l'[UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)opération.
1. (Facultatif) Saisissez une clé de balise et une valeur de balise facultative. Pour ajouter plus d'une balise à la clé KMS, sélectionnez **Add tag (Ajouter une balise)**.
Envisagez d'ajouter une balise qui identifie la clé en tant que clé HMAC, comme `Type=HMAC`. Cela vous permettra d'identifier plus facilement vos clés HMAC dans la AWS KMS console, où vous pourrez trier et filtrer les clés par balises et alias, mais pas par spécification ou utilisation des clés.
Lorsque vous ajoutez des balises à vos AWS ressources, AWS génère un rapport de répartition des coûts avec l'utilisation et les coûts agrégés par balises. Les balises peuvent également être utilisées pour contrôler l'accès à une clé KMS. Pour de plus amples informations sur l'étiquetage des clés KMS, veuillez consulter [Tags dans AWS KMS](tagging-keys.md) et [ABAC pour AWS KMS](abac.md).
1. Choisissez **Suivant**.
1. Sélectionnez les utilisateurs et les rôles IAM qui peuvent administrer la clé KMS.
**Remarques**
Cette politique clé donne le contrôle Compte AWS total de cette clé KMS. Il permet aux administrateurs de compte d'utiliser des politiques IAM pour autoriser d'autres principals à gérer la clé KMS. Pour en savoir plus, consultez [politique de clé par défaut](key-policy-default.md).
Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez [Security best practices in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) (Bonnes pratiques de sécurité dans IAM) dans le *Guide de l'utilisateur IAM*.
La AWS KMS console ajoute des administrateurs clés à la politique clé sous l'identifiant de l'instruction`"Allow access for Key Administrators"`. La modification de cet identifiant d'instruction peut avoir un impact sur la façon dont la console affiche les mises à jour que vous apportez à l'instruction.
1. (Facultatif) Pour empêcher les utilisateurs et les rôles IAM sélectionnés de supprimer cette clé KMS, dans la section **Key deletion (Suppression de la clé)** en bas de la page, décochez la case **Allow key administrators to delete this key (Autoriser les administrateurs de clé à supprimer cette clé)**.
1. Choisissez **Suivant**.
1. Sélectionnez les utilisateurs et les rôles IAM qui peuvent utiliser la clé KMS pour les [opérations crytographiques](kms-cryptography.md#cryptographic-operations).
**Remarques**
Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez [Security best practices in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) (Bonnes pratiques de sécurité dans IAM) dans le *Guide de l'utilisateur IAM*.
La AWS KMS console ajoute des utilisateurs clés à la politique clé sous les identificateurs de déclaration `"Allow use of the key"` et`"Allow attachment of persistent resources"`. La modification de ces identificateurs de déclaration peut avoir un impact sur la façon dont la console affiche les mises à jour que vous apportez à l'instruction.
1. (Facultatif) Vous pouvez autoriser d'autres Comptes AWS utilisateurs à utiliser cette clé KMS pour des opérations cryptographiques. Pour cela, dans la section **Autres Comptes AWS** en bas de la page, sélectionnez **Ajouter un autre Compte AWS** et saisissez le numéro d'identification Compte AWS d'un compte externe. Pour ajouter plusieurs comptes externes, répétez cette étape.
**Note**
Pour autoriser les principaux des comptes externes à utiliser la clé KMS, les administrateurs du compte externe doivent créer des politiques IAM qui fournissent ces autorisations. Pour de plus amples informations, veuillez consulter [Autoriser des utilisateurs d'autres comptes à utiliser une clé KMS](key-policy-modifying-external-accounts.md).
1. Choisissez **Suivant**.
1. Passez en revue les principales déclarations de politique pour trouver la clé. Pour apporter des modifications à la politique clé, sélectionnez **Modifier**.
1. Choisissez **Suivant**.
1. Passez en revue les paramètres de clé que vous avez choisis. Vous pouvez toujours revenir en arrière et modifier tous les paramètres.
1. Choisissez **Finish** (Terminer) pour créer la clé KMS HMAC.
## Utilisation de l' AWS KMS API
Vous pouvez utiliser cette [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération pour créer une clé HMAC KMS. Ces exemples utilisent l'[AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.
Lorsque vous créez une clé KMS HMAC, vous devez spécifier le paramètre `KeySpec`, qui détermine le type de clé KMS. Vous devez également spécifier une valeur `KeyUsage` de GENERATE\$1VERIFY\$1MAC, même s'il s'agit de la seule valeur d'utilisation de clé valide pour les clés HMAC. Pour créer une clé [multi-région](multi-region-keys-overview.md) KMS HMAC, ajoutez le paramètre `MultiRegion` avec la valeur `true`. Vous ne pouvez pas modifier ces propriétés après la création de la clé KMS.
L'`CreateKey`opération ne vous permet pas de spécifier un alias, mais vous pouvez l'[CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)utiliser pour créer un alias pour votre nouvelle clé KMS. Nous vous recommandons d'utiliser un alias qui identifie la clé KMS en tant que clé HMAC, comme `HMAC/test-key`. Cela vous permettra d'identifier plus facilement vos clés HMAC dans la AWS KMS console, où vous pourrez trier et filtrer les clés par alias, mais pas par spécification ou utilisation des clés.
Si vous essayez de créer une clé HMAC KMS dans un fichier Région AWS dans lequel les clés HMAC ne sont pas prises en charge, l'`CreateKey`opération renvoie un `UnsupportedOperationException`
L'exemple suivant utilise l'opération `CreateKey` pour créer une clé KMS HMAC de 512 bits.
```
$ aws kms create-key --key-spec HMAC_512 --key-usage GENERATE_VERIFY_MAC
{
"KeyMetadata": {
"KeyState": "Enabled",
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyManager": "CUSTOMER",
"Description": "",
"Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"CreationDate": 1669973196.214,
"MultiRegion": false,
"KeySpec": "HMAC_512",
"CustomerMasterKeySpec": "HMAC_512",
"KeyUsage": "GENERATE_VERIFY_MAC",
"MacAlgorithms": [
"HMAC_SHA_512"
],
"AWSAccountId": "111122223333",
"Origin": "AWS_KMS",
"Enabled": true
}
}
```
# Création de clés primaires multirégionales
Vous pouvez créer une [clé primaire multirégionale](multi-region-keys-overview.md#mrk-primary-key) dans la AWS KMS console ou à l'aide de l' AWS KMS API. Vous pouvez créer la clé primaire partout Région AWS où les clés multirégionales sont prises AWS KMS en charge.
Pour créer une clé primaire multirégionale, le principal a besoin des [mêmes autorisations](create-keys.md#create-key-permissions) que celles dont il a besoin pour créer n'importe quelle clé KMS, y compris l'CreateKeyautorisation [kms :](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) dans une politique IAM. Le principal a également besoin de l'CreateServiceLinkedRoleautorisation [iam :](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html). Vous pouvez utiliser la clé de MultiRegionKeyType condition [kms :](conditions-kms.md#conditions-kms-multiregion-key-type) pour autoriser ou refuser l'autorisation de créer des clés primaires multirégionales.
**Note**
Lorsque vous créez votre clé primaire multirégionale, prenez bien en compte les utilisateurs et les rôles IAM que vous sélectionnez pour administrer et utiliser la clé. Les politiques IAM peuvent accorder à d'autres utilisateurs et rôles l'autorisation de gérer la clé KMS.
Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez [Security best practices in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) (Bonnes pratiques de sécurité dans IAM) dans le *Guide de l'utilisateur IAM*.
## Utilisation de la AWS KMS console
Pour créer une clé primaire multirégionale dans la AWS KMS console, utilisez le même processus que celui que vous utiliseriez pour créer n'importe quelle clé KMS. Vous sélectionnez une clé multi-région dans **Advanced options (Options avancées)**. Pour obtenir des instructions complètes, veuillez consulter [Création d'une clé KMS](create-keys.md).
**Important**
N'incluez pas d'informations confidentielles ou sensibles dans l'alias, la description ou les balises. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
1. Dans le panneau de navigation, choisissez **Clés gérées par le client**.
1. Choisissez **Create key**.
1. Sélectionnez un type de clé [symétrique ou asymétrique](symmetric-asymmetric.md). Les clés symétriques sont les valeurs par défaut.
Vous pouvez créer des clés symétriques et asymétriques multi-région, y compris des clés HMAC KMS multi-région, qui sont symétriques.
1. Sélectionnez l'utilisation de vos clés. **Encrypt and decrypt** (Chiffrer et déchiffrer) est la valeur par défaut.
Pour obtenir de l'aide, veuillez consulter [Création d'une clé KMS](create-keys.md), [Créer une clé KMS asymétrique](asymm-create-key.md) ou [Créer une clé KMS HMAC](hmac-create-key.md).
1. (Facultatif) Développez **Options avancées**.
1. Sous **Origine du matériau clé**, pour avoir AWS KMS généré le matériel clé que vos clés principales et répliques partageront, choisissez **KMS**. Si vous [importez des éléments de clé](importing-keys-create-cmk.md) dans les clés principales et clés de réplica, sélectionnez **External (Import key material)** (Externe (Importation des éléments de clé)).
1. Sous **Régionalité**, choisissez la clé **multirégionale.**
Vous ne pouvez pas modifier ce paramètre une fois que vous créez la clé KMS.
1. Saisissez un [alias](kms-alias.md) pour la clé principale.
Les alias ne sont pas une propriété partagée de clés multi-région. Vous pouvez attribuer à votre clé primaire multirégionale et à ses répliques le même alias ou des alias différents. AWS KMS ne synchronise pas les alias des clés multirégionales.
**Note**
L'ajout, la suppression ou la mise à jour d'un alias peut permettre d'accorder ou de refuser l'autorisation d'utiliser la KMS. Pour plus de détails, veuillez consulter [ABAC pour AWS KMS](abac.md) et [Utiliser des alias pour contrôler l'accès aux clés KMS](alias-authorization.md).
1. (Facultatif) Saisissez une description de la clé principale.
Les descriptions ne sont pas une propriété partagée des clés multi-région. Vous pouvez donner à votre clé primaire multirégionale et à ses répliques la même description ou des descriptions différentes. AWS KMS ne synchronise pas les descriptions des clés multirégionales.
1. (Facultatif) Saisissez une clé de balise et une valeur de balise facultative. Pour affecter plus d'une balise à la clé principale, sélectionnez **Add tag (Ajouter une balise)**.
Les balises ne sont pas une propriété partagée des clés multi-région. Vous pouvez attribuer à votre clé principale multi-région et à ses réplicas les mêmes balises ou des balises différentes. AWS KMS ne synchronise pas les balises des clés multi-région. Vous pouvez modifier les balises des clés KMS à tout moment.
**Note**
L'ajout ou la suppression d'une balise sur une KMS permet d'accorder ou de refuser l'autorisation d'utilisation de cette clé KMS. Pour plus de détails, veuillez consulter [ABAC pour AWS KMS](abac.md) et [Utiliser des balises pour contrôler l'accès aux clés KMS](tag-authorization.md).
1. Sélectionnez les utilisateurs et les rôles IAM qui peuvent administrer la clé principale.
**Remarques**
Cette étape démarre le processus de création d'une [politique de clé](key-policies.md) pour la clé principale. Les politiques de clé ne sont pas une propriété partagée des clés multi-région. Vous pouvez attribuer à votre clé primaire multirégionale et à ses répliques la même politique clé ou des politiques clés différentes. AWS KMS ne synchronise pas les politiques clés des clés multirégionales. Vous pouvez modifier la politique de clé d'une clé KMS à tout moment.
Lorsque vous créez une clé primaire multirégionale, pensez à utiliser la [politique de clé par défaut](key-policy-default.md) générée par la console. Si vous modifiez cette politique, la console ne fournira pas d'étapes pour sélectionner les administrateurs et les utilisateurs clés lors de la création de répliques de clés, et elle n'ajoutera pas non plus les déclarations de politique correspondantes. Par conséquent, vous devrez les ajouter manuellement.
La AWS KMS console ajoute des administrateurs clés à la politique clé sous l'identifiant de l'instruction`"Allow access for Key Administrators"`. La modification de cet identifiant d'instruction peut avoir un impact sur la façon dont la console affiche les mises à jour que vous apportez à l'instruction.
1. (Facultatif) Pour empêcher les utilisateurs et les rôles IAM sélectionnés de supprimer cette clé KMS, dans la section **Key deletion (Suppression de la clé)** en bas de la page, décochez la case **Allow key administrators to delete this key (Autoriser les administrateurs de clé à supprimer cette clé)**.
1. Choisissez **Suivant**.
1. Sélectionnez les utilisateurs et les rôles IAM qui peuvent utiliser la clé KMS pour les [opérations crytographiques](kms-cryptography.md#cryptographic-operations).
**Remarques**
La AWS KMS console ajoute des utilisateurs clés à la politique clé sous les identificateurs de déclaration `"Allow use of the key"` et`"Allow attachment of persistent resources"`. La modification de ces identificateurs de déclaration peut avoir un impact sur la façon dont la console affiche les mises à jour que vous apportez à l'instruction.
1. (Facultatif) Vous pouvez autoriser d'autres Comptes AWS utilisateurs à utiliser cette clé KMS pour des opérations cryptographiques. Pour cela, dans la section **Autres Comptes AWS** en bas de la page, sélectionnez **Ajouter un autre Compte AWS** et saisissez le numéro d'identification Compte AWS d'un compte externe. Pour ajouter plusieurs comptes externes, répétez cette étape.
**Note**
Pour autoriser les principaux des comptes externes à utiliser la clé KMS, les administrateurs du compte externe doivent créer des politiques IAM qui fournissent ces autorisations. Pour de plus amples informations, veuillez consulter [Autoriser des utilisateurs d'autres comptes à utiliser une clé KMS](key-policy-modifying-external-accounts.md).
1. Choisissez **Suivant**.
1. Passez en revue les principales déclarations de politique pour la clé. Pour apporter des modifications à la politique clé, sélectionnez **Modifier**.
1. Choisissez **Suivant**.
1. Passez en revue les paramètres de clé que vous avez choisis. Vous pouvez toujours revenir en arrière et modifier tous les paramètres.
1. Choisissez **Terminer** pour créer la clé primaire multirégionale.
## Utilisation de l' AWS KMS API
Pour créer une clé primaire multirégionale, utilisez l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération. Utilisez le paramètre `MultiRegion` avec la valeur `True`.
Par exemple, la commande suivante crée une clé primaire multirégionale dans celle de l'appelant ( Région AWS us-east-1). Elle accepte les valeurs par défaut pour toutes les autres propriétés, y compris la politique de clé. Les valeurs par défaut pour les clés principales multi-région sont les mêmes que les valeurs par défaut pour toutes les autres clés KMS, y compris la [politique de clé par défaut](key-policy-default.md). Cette procédure crée une clé de chiffrement symétrique, la clé KMS par défaut.
La réponse inclut l'élément `MultiRegion` et l'élément `MultiRegionConfiguration` avec des sous-éléments et des valeurs typiques pour une clé principale multi-région sans clés de réplica. L'[ID de clé](concepts.md#key-id-key-id) d'une clé multi-région commence toujours par `mrk-`.
**Important**
N'incluez pas d'informations confidentielles ou sensibles dans les champs `Description` ou `Tags`. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
```
$ aws kms create-key --multi-region
{
"KeyMetadata": {
"Origin": "AWS_KMS",
"KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
"Description": "",
"KeyManager": "CUSTOMER",
"Enabled": true,
"KeySpec": "SYMMETRIC_DEFAULT",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"CreationDate": 1606329032.475,
"Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"AWSAccountId": "111122223333",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"MultiRegion": true,
"MultiRegionConfiguration": {
"MultiRegionKeyType": "PRIMARY",
"PrimaryKey": {
"Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "us-east-1"
},
"ReplicaKeys": [ ]
}
}
}
```
# Création de répliques de clés multirégionales
Vous pouvez créer une [réplique de clé multirégionale](multi-region-keys-overview.md#mrk-primary-key) dans la AWS KMS console, en utilisant l'[ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)opération ou en utilisant un [AWS::KMS::ReplicaKey CloudFormation modèle](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-replicakey.html). Vous ne pouvez pas utiliser [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)cette opération pour créer une clé de réplique.
Vous pouvez utiliser ces procédures pour répliquer n'importe quelle clé principale multi-région, y compris une [clé KMS de chiffrement symétrique](symm-asymm-choose-key-spec.md#symmetric-cmks), une [clé KMS asymétrique](symmetric-asymmetric.md) ou une [clé KMS HMAC](hmac.md).
Lorsque cette opération est terminée, la nouvelle clé de réplica a un [état de clé](key-state.md) de `Creating`. Cet état clé devient `Enabled` (ou `PendingImport` si vous créez une clé multirégionale avec du [matériel clé importé](importing-keys.md)) après quelques secondes lorsque le processus de création de la nouvelle clé de réplique est terminé. Alors que l'état de la clé est `Creating`, vous pouvez gérer la clé, mais vous ne pouvez pas encore l'utiliser dans les opérations cryptographiques. Si vous créez et utilisez la clé de réplique par programmation, réessayez `KMSInvalidStateException` ou appelez [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)pour vérifier sa `KeyState` valeur avant de l'utiliser.
Si vous supprimez par erreur une clé de réplica, vous pouvez utiliser cette procédure pour la recréer. Si vous répliquez la même clé primaire dans la même région, la nouvelle clé de réplica que vous allez créer aura les mêmes [propriétés partagées](multi-region-keys-overview.md#mrk-sync-properties) que la clé de réplica d'origine.
**Important**
N'incluez pas d'informations confidentielles ou sensibles dans l'alias, la description ou les balises. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
Pour utiliser un AWS CloudFormation modèle afin de créer une réplique de clé, reportez-vous [AWS::KMS::ReplicaKey](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-replicakey.html)au *guide de l'AWS CloudFormation utilisateur*.
## Étape 1 : Choisissez les régions de réplication
Vous choisissez généralement de répliquer une clé multirégionale dans un fichier en Région AWS fonction de votre modèle commercial et des exigences réglementaires. Par exemple, vous pouvez répliquer une clé dans les régions où vous conservez vos ressources. Ou, pour vous conformer à une exigence de reprise après sinistre, vous pouvez répliquer une clé dans des régions géographiquement éloignées.
Les AWS KMS exigences relatives aux régions de réplication sont les suivantes. Si la région que vous choisissez n'est pas conforme à ces exigences, les tentatives de réplication d'une clé échouent.
+ **Une clé multi-région associée par région** — Vous ne pouvez pas créer de clé de réplica dans la même région que sa clé principale ou dans la même région qu'un autre réplica de la clé principale.
Si vous essayez de répliquer une clé primaire dans une région qui possède déjà un réplica de cette clé, la tentative échouera. Si la clé de réplica actuelle dans la région affiche l'[état de clé `PendingDeletion`](key-state.md), vous pouvez [annuler la suppression de la clé de réplica](deleting-keys-scheduling-key-deletion.md) ou attendre que la clé de réplica soit supprimée.
+ **Plusieurs clés multi-région non associées dans la même région** — Vous pouvez avoir plusieurs clés multi-région non associées dans la même région. Vous pouvez par exemple avoir deux clés principales multi-région dans la région `us-east-1`. Chacune des clés principales peut avoir une clé de réplica dans la région `us-west-2`.
+ **Régions dans la même partition** — La région de clé de réplica doit être dans la même [partition AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) que la région de clé principale.
+ **La région doit être activée** — Si une région est [désactivée par défaut](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable), vous ne pouvez pas créer de ressources dans cette région tant qu'elle n'est pas activée pour votre Compte AWS.
## Étape 2 : Création de répliques de clés
**Note**
Lorsque vous créez des clés de réplique, prenez bien en compte les utilisateurs et les rôles IAM que vous sélectionnez pour administrer et utiliser la clé de réplique. Les politiques IAM peuvent accorder à d'autres utilisateurs et rôles l'autorisation de gérer la clé KMS.
Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez [Security best practices in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) (Bonnes pratiques de sécurité dans IAM) dans le *Guide de l'utilisateur IAM*.
### Utilisation de la AWS KMS console
Dans la AWS KMS console, vous pouvez créer une ou plusieurs répliques d'une clé primaire multirégionale au cours de la même opération.
Cette procédure est similaire à la création d'une clé KMS standard à région unique dans la console. Toutefois, comme une clé de réplica est basée sur la clé principale, vous ne sélectionnez pas de valeurs pour les [propriétés partagées](multi-region-keys-overview.md#mrk-sync-properties), telles que les spécifications (symétrique ou asymétrique), l'utilisation ou l'origine de la clé.
Vous spécifiez des propriétés qui ne sont pas partagées, notamment un alias, des balises, une description et une politique de clé. Par commodité, la console affiche les valeurs de propriété actuelles de la clé principale, mais vous pouvez les modifier. Même si vous conservez les valeurs de la clé primaire, ces valeurs AWS KMS ne sont pas synchronisées.
**Important**
N'incluez pas d'informations confidentielles ou sensibles dans l'alias, la description ou les balises. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
1. Dans le panneau de navigation, choisissez **Clés gérées par le client**.
1. Sélectionnez l'ID de clé ou l'alias d'une [clé principale multi-région](multi-region-keys-overview.md#mrk-primary-key). Cela ouvre la page des détails de clé pour la clé KMS.
Pour identifier une clé principale multi-région, utilisez l'icône de l'outil dans le coin supérieur droit pour ajouter la colonne **Regionality (Régionalité)** dans la table.
1. Cliquez sur l'onglet **Regionality (Régionalité)**.
1. Dans la section **Related multi-Region keys (Clés multi-région associées)**, choisissez **Create new replica keys (Créer de nouvelles clés de réplica)**.
La section **Related multi-Region keys (Clés multi-région associées)** affiche la région de la clé principale et de ses clés de réplica. Vous pouvez utiliser cet affichage pour vous aider à choisir la région pour votre nouvelle clé de réplica.
1. Sélectionnez une ou plusieurs Régions AWS. Cette procédure crée une clé de réplica dans chacune des régions que vous sélectionnez.
Le menu inclut uniquement les régions situées dans la même AWS partition que la clé primaire. Les régions qui ont déjà une clé multi-région associée sont affichées, mais ne peuvent pas être sélectionnées. Vous n'êtes peut-être pas autorisé à répliquer une clé dans toutes les régions du menu.
Lorsque vous avez terminé de choisir les régions, fermez le menu. Les régions que vous avez choisies s'affichent. Pour annuler la réplication dans une région, cliquez sur le **X** en regard du nom de la région.
1. Saisissez un [alias](kms-alias.md) pour la clé de réplica.
La console affiche l'un des alias actuels de la clé principale, mais vous pouvez le modifier. Vous pouvez attribuer à votre clé principale multi-région et à ses réplicas le même alias ou des alias différents. Les alias ne sont pas une [propriété partagée](multi-region-keys-overview.md#mrk-sync-properties) des clés multirégionales. AWS KMS ne synchronise pas les alias des clés multirégionales.
L'ajout, la suppression ou la mise à jour d'un alias peut permettre d'accorder ou de refuser l'autorisation d'utiliser la KMS. Pour plus de détails, veuillez consulter [ABAC pour AWS KMS](abac.md) et [Utiliser des alias pour contrôler l'accès aux clés KMS](alias-authorization.md).
1. (Facultatif) Saisissez une description de la clé de réplica.
La console affiche la description actuelle de la clé principale, mais vous pouvez la modifier. Les descriptions ne sont pas une propriété partagée des clés multi-région. Vous pouvez donner à votre clé primaire multirégionale et à ses répliques la même description ou des descriptions différentes. AWS KMS ne synchronise pas les descriptions des clés multirégionales.
1. (Facultatif) Saisissez une clé de balise et une valeur de balise facultative. Pour affecter plus d'une balise à la clé de réplica, sélectionnez **Add tag (Ajouter une balise)**.
La console affiche les balises actuellement attachées à la clé principale, mais vous pouvez les modifier. Les balises ne sont pas une propriété partagée des clés multi-région. Vous pouvez attribuer à votre clé primaire multirégionale et à ses répliques les mêmes balises ou des balises différentes. AWS KMS ne synchronise pas les balises des clés multirégionales.
L'étiquetage ou le désétiquetage d'une clé KMS permet d'accorder ou refuser l'autorisation d'utilisation de cette clé KMS. Pour plus de détails, veuillez consulter [ABAC pour AWS KMS](abac.md) et [Utiliser des balises pour contrôler l'accès aux clés KMS](tag-authorization.md).
1. Sélectionnez les utilisateurs et les rôles IAM qui peuvent administrer la clé de réplica.
**Remarques**
Si vous avez modifié la politique de clé par défaut lors de la création de votre clé primaire multirégionale, la console ne vous demandera pas de sélectionner des administrateurs ou des utilisateurs clés (étapes 11 à 15) lors de la création de la réplique de clés. Dans ce cas, vous devrez ajouter manuellement les autorisations nécessaires pour les administrateurs et utilisateurs clés à la politique clé en sélectionnant **Modifier** à l'étape **Modifier la politique clé** (étape 17).
Cette étape démarre le processus de création d'une [politique de clé](key-policies.md) pour la clé de réplica. La console affiche la politique de clé actuelle de la clé principale, mais vous pouvez la modifier. Les politiques de clé ne sont pas une propriété partagée des clés multi-région. Vous pouvez attribuer à votre clé principale multi-région et à ses réplicas la même politique de clé ou des politiques de clé différentes. AWS KMS ne synchronise pas les politiques de clé. Vous pouvez modifier la politique de clé d'une clé KMS à tout moment.
La AWS KMS console ajoute des administrateurs clés à la politique clé sous l'identifiant de l'instruction`"Allow access for Key Administrators"`. La modification de cet identifiant d'instruction peut avoir un impact sur la façon dont la console affiche les mises à jour que vous apportez à l'instruction.
1. (Facultatif) Pour empêcher les utilisateurs et les rôles IAM sélectionnés de supprimer cette clé KMS, dans la section **Key deletion (Suppression de la clé)** en bas de la page, décochez la case **Allow key administrators to delete this key (Autoriser les administrateurs de clé à supprimer cette clé)**.
1. Choisissez **Suivant**.
1. Sélectionnez les utilisateurs et les rôles IAM qui peuvent utiliser la clé KMS pour les [opérations crytographiques](kms-cryptography.md#cryptographic-operations).
**Remarque**
La AWS KMS console ajoute des utilisateurs clés à la politique clé sous les identificateurs de déclaration `"Allow use of the key"` et`"Allow attachment of persistent resources"`. La modification de ces identificateurs de déclaration peut avoir un impact sur la façon dont la console affiche les mises à jour que vous apportez à l'instruction.
1. (Facultatif) Vous pouvez autoriser d'autres Comptes AWS utilisateurs à utiliser cette clé KMS pour des opérations cryptographiques. Pour cela, dans la section **Autres Comptes AWS** en bas de la page, sélectionnez **Ajouter un autre Compte AWS** et saisissez le numéro d'identification Compte AWS d'un compte externe. Pour ajouter plusieurs comptes externes, répétez cette étape.
**Note**
Pour autoriser les principaux des comptes externes à utiliser la clé KMS, les administrateurs du compte externe doivent créer des politiques IAM qui fournissent ces autorisations. Pour de plus amples informations, veuillez consulter [Autoriser des utilisateurs d'autres comptes à utiliser une clé KMS](key-policy-modifying-external-accounts.md).
1. Choisissez **Suivant**.
1. Passez en revue les principales déclarations de politique pour la clé. Pour modifier la politique clé, sélectionnez **Modifier**.
1. Choisissez **Suivant**.
1. Passez en revue les paramètres de clé que vous avez choisis. Vous pouvez toujours revenir en arrière et modifier tous les paramètres.
1. Choisissez **Terminer** pour créer la clé de réplique multirégionale.
### Utilisation de l' AWS KMS API
Pour créer une clé de réplique multirégionale, utilisez l'[ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)opération. Vous ne pouvez pas utiliser [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)cette opération pour créer une clé de réplique. Cette opération crée une clé de réplica à la fois. La région que vous spécifiez doit respecter les [exigences de région](#replica-region) pour les clés de réplica.
Lorsque vous utilisez l'opération `ReplicateKey`, vous ne spécifiez aucune valeur pour les [propriétés partagées](multi-region-keys-overview.md#mrk-sync-properties) des clés multi-région. Les valeurs des propriétés partagées sont copiées à partir de la clé principale et leur synchronisation est maintenue. Toutefois, vous pouvez spécifier des valeurs pour les propriétés qui ne sont pas partagées. Sinon, AWS KMS applique les valeurs par défaut standard pour les clés KMS, et non les valeurs de la clé primaire.
**Note**
Si vous ne spécifiez pas de valeurs pour le `Description``KeyPolicy`, ou `Tags` les paramètres, AWS KMS crée la clé de réplique avec une description sous forme de chaîne vide, la [politique de clé par défaut](key-policy-default.md) et aucune balise.
N'incluez pas d'informations confidentielles ou sensibles dans les champs `Description` ou `Tags`. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
Par exemple, la commande suivante crée une clé de réplica multi-région dans la région Asie-Pacifique (Sydney) (ap-southeast-2). Cette clé de réplica est modélisée sur la clé principale de la région USA Est (Virginie du Nord) (us-east-1), qui est identifiée par la valeur du paramètre `KeyId`. Cet exemple accepte les valeurs par défaut pour toutes les autres propriétés, y compris la politique de clé.
La réponse décrit la nouvelle clé de réplica. Elle inclut des champs pour les propriétés partagées, tels que `KeyId`, `KeySpec`, `KeyUsage`, et l'origine des éléments de clé (`Origin`). Elle inclut également des propriétés indépendantes de la clé principale, telles que la `Description`, la politique de clé (`ReplicaKeyPolicy`), et les balises (`ReplicaTags`).
La réponse inclut également l'ARN de clé et la région de la clé principale et toutes ses clés de réplica, y compris celle qui vient d'être créée dans la région ap-southeast-2. Dans cet exemple, l'élément `ReplicaKey` montre que cette clé principale a déjà été répliquée dans la région UE (Irlande) (eu-west-1).
```
$ aws kms replicate-key \
--key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
--replica-region ap-southeast-2
{
"ReplicaKeyMetadata": {
"MultiRegion": true,
"MultiRegionConfiguration": {
"MultiRegionKeyType": "REPLICA",
"PrimaryKey": {
"Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "us-east-1"
},
"ReplicaKeys": [
{
"Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "ap-southeast-2"
},
{
"Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "eu-west-1"
}
]
},
"AWSAccountId": "111122223333",
"Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"CreationDate": 1607472987.918,
"Description": "",
"Enabled": true,
"KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
"KeyManager": "CUSTOMER",
"KeySpec": "SYMMETRIC_DEFAULT",
"KeyState": "Enabled",
"KeyUsage": "ENCRYPT_DECRYPT",
"Origin": "AWS_KMS",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
]
},
"ReplicaKeyPolicy": "{\n \"Version\" : \"2012-10-17\",\n \"Id\" : \"key-default-1\",...,
"ReplicaTags": []
}
```
# Création d'une clé KMS avec du matériel clé importé
Le matériel clé importé vous permet de protéger vos AWS ressources à l'aide des clés cryptographiques que vous générez. La présentation suivante explique comment importer vos éléments de clé dans AWS KMS. Pour plus de détails sur chaque étape du processus, consultez les rubriques correspondantes.
1. [Créer une clé KMS sans élément de clé](importing-keys-create-cmk.md) – L'origine doit être `EXTERNAL`. Une origine de clé `EXTERNAL` indique que la clé est conçue pour le matériel clé importé et AWS KMS empêche de générer du matériel clé pour la clé KMS. Dans une étape ultérieure, vous importerez vos propres éléments de clé dans cette clé KMS.
Le matériel clé que vous importez doit être compatible avec les spécifications de la AWS KMS clé associée. Pour plus d'informations sur la compatibilité, consultez[Exigences relatives aux éléments de clé importés](#importing-keys-material-requirements).
1. [Téléchargement de la clé publique d’encapsulation et du jeton d'importation](importing-keys-get-public-key-and-token.md) – Une fois l'étape 1 terminée, téléchargez une clé publique d'encapsulage et un jeton d'importation. Ces articles protègent votre matériel clé lorsqu'il est importé AWS KMS.
Au cours de cette étape, vous choisissez le type (« spécification de clé ») de la clé d'encapsulation RSA et l'algorithme d'encapsulage que vous utiliserez pour chiffrer vos données en transit vers AWS KMS. Vous pouvez choisir une spécification de clé d'encapsulage et un algorithme de clé d'encapsulage différents chaque fois que vous importez ou réimportez le même élément de clé.
1. [Chiffrement des éléments de clé](importing-keys-encrypt-key-material.md) – Utilisez la clé publique d’encapsulage que vous avez téléchargée à l'étape 2 pour chiffrer les éléments de clé que vous avez créés sur votre propre système.
1. [Importation des éléments de clé](importing-keys-import-key-material.md) – Téléchargez les éléments de clé chiffrés que vous avez créés à l'étape 3 et le jeton d'importation que vous avez téléchargé à l'étape 2.
À ce stade, vous pouvez [définir un délai d'expiration facultatif](importing-keys-import-key-material.md#importing-keys-expiration). Lorsque le contenu clé importé expire, il est AWS KMS supprimé et la clé KMS devient inutilisable. Pour continuer à utiliser la clé KMS, vous devez réimporter les **mêmes** éléments de clé.
Lorsque l'opération d'importation est terminée, l'état de la clé KMS passe de `PendingImport` à `Enabled`. Vous pouvez désormais utiliser la clé KMS dans des opérations de chiffrement.
AWS KMS enregistre une entrée dans votre AWS CloudTrail journal lorsque vous [créez la clé KMS, que vous téléchargez la clé](ct-createkey.md) [publique d'encapsulage et le jeton d'importation](ct-getparametersforimport.md), et que vous [importez le matériel clé](ct-importkeymaterial.md). AWS KMS enregistre également une entrée lorsque vous supprimez du matériel clé importé ou lorsque vous AWS KMS [supprimez du matériel clé expiré](ct-deleteexpiredkeymaterial.md).
## Autorisations d'importation des éléments de clé
Pour créer et gérer des clés KMS avec des éléments de clé importés, l'utilisateur a besoin d'une autorisation pour les opérations de ce processus. Vous pouvez fournir les autorisations `kms:GetParametersForImport`, `kms:ImportKeyMaterial` et `kms:DeleteImportedKeyMaterial` dans la politique de clé lorsque vous créez la clé KMS. Dans la AWS KMS console, ces autorisations sont ajoutées automatiquement pour les administrateurs de clés lorsque vous créez une clé avec une origine matérielle de clé **externe**.
Pour créer des clés KMS avec des éléments de clé importés, le principal a besoin des autorisations suivantes.
+ [kms : CreateKey](customer-managed-policies.md#iam-policy-example-create-key) (politique IAM)
+ Pour limiter cette autorisation aux clés KMS contenant du matériel clé importé, utilisez la condition de KeyOrigin politique [kms :](conditions-kms.md#conditions-kms-key-origin) avec une valeur de`EXTERNAL`.
```
{
"Sid": "CreateKMSKeysWithoutKeyMaterial",
"Effect": "Allow",
"Resource": "*",
"Action": "kms:CreateKey",
"Condition": {
"StringEquals": {
"kms:KeyOrigin": "EXTERNAL"
}
}
}
```
+ [kms : GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html) (politique clé ou politique IAM)
+ Pour limiter cette autorisation aux demandes qui utilisent un algorithme d'encapsulage et une spécification de clé d'encapsulation particuliers, utilisez les conditions de WrappingKeySpec politique [kms : WrappingAlgorithm](conditions-kms.md#conditions-kms-wrapping-algorithm) [et kms :](conditions-kms.md#conditions-kms-wrapping-key-spec).
+ [kms : ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html) (politique clé ou politique IAM)
+ Pour autoriser ou interdire le contenu clé qui expire et contrôler la date d'expiration, utilisez les conditions de ValidTo politique [kms : ExpirationModel](conditions-kms.md#conditions-kms-expiration-model) [et kms :](conditions-kms.md#conditions-kms-valid-to).
Pour réimporter du matériel clé importé, le principal a besoin des ImportKeyMaterial autorisations [kms : GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html) et [kms :](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html).
Pour supprimer le matériel clé importé, le principal a besoin de l'DeleteImportedKeyMaterialautorisation [kms :](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html).
Par exemple, pour donner à l'exemple l'autorisation `KMSAdminRole` de gérer tous les aspects d'une clé KMS avec des éléments de clé importés, incluez une instruction de politique de clé telle que celle suivante dans la politique clé de la clé KMS.
```
{
"Sid": "Manage KMS keys with imported key material",
"Effect": "Allow",
"Resource": "*",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/KMSAdminRole"
},
"Action": [
"kms:GetParametersForImport",
"kms:ImportKeyMaterial",
"kms:DeleteImportedKeyMaterial"
]
}
```
## Exigences relatives aux éléments de clé importés
L’élément de clé que vous importez doit être compatible avec les [spécifications de clés](create-keys.md#key-spec) de la clé KMS associée. Pour les paires de clés asymétriques, importez uniquement la clé privée de la paire. AWS KMS déduit la clé publique de la clé privée.
AWS KMS prend en charge les spécifications clés suivantes pour les clés KMS avec du matériel clé importé.
+ **Clés de chiffrement symétrique**
+ **Spécification clé :**
+ SYMMETRIC\$1DEFAULT.
+ **Prérequis:**
+ 256 bits (32 octets) de données binaires.
+ Dans les régions de Chine, il doit s'agir de 128 bits (16 octets) de données binaires.
+ **Clés HMAC**
+ **Caractéristiques principales :**
+ HMAC\$1224
+ HMAC\$1256
+ HMAC\$1384
+ HMAC\$1512
+ **Prérequis:**
+ L’élément de clé HMAC doit être conforme à la norme [RFC 2104](https://datatracker.ietf.org/doc/html/rfc2104).
+ La longueur de la clé doit être au moins la même que celle spécifiée par la spécification de la clé. La longueur maximale de la clé est de 1024 bits.
+ Si le contenu de votre clé dépasse 1024 bits, vous pouvez le hacher et importer la sortie de hachage. L'algorithme de hachage doit correspondre à la spécification de clé de la clé HMAC KMS que vous créez.
+ **Exemple :**
+ Pour importer 2048 bits de contenu clé dans une clé HMAC\$1256, calculez d'abord le hachage SHA-256 du contenu clé de 2048 bits, puis importez le hachage de 256 bits obtenu dans la clé KMS.
+ **Longueurs de clés valides :**
+ HMAC\$1224 : 224 à 1024 bits
+ HMAC\$1256 : 256 à 1024 bits
+ HMAC\$1384 : 384 à 1024 bits
+ HMAC\$1512 : 512 à 1024 bits
+ **Clé privée asymétrique RSA**
+ **Caractéristiques principales :**
+ RSA\$12048
+ RSA\$13072
+ RSA\$14096
+ **Prérequis:**
+ La clé privée asymétrique RSA que vous importez doit faire partie d'une paire de clés conforme à la norme [RFC 3447](https://datatracker.ietf.org/doc/html/rfc3447/).
+ **Module** : 2 048 bits, 3 072 bits ou 4 096 bits
+ **Nombre de nombres premiers** : 2 (les clés RSA à plusieurs nombres premiers ne sont pas prises en charge)
+ [Le matériel de clé asymétrique doit être codé en BER ou en DER au format PKCS (Public-Key Cryptography Standards) \$18 conforme à la RFC 5208.](https://datatracker.ietf.org/doc/html/rfc5208)
+ **Clé privée asymétrique à courbe elliptique**
+ **Caractéristiques principales :**
+ ECC\$1NIST\$1P256 (secp256r1)
+ ECC\$1NIST\$1P384 (secp384r1)
+ ECC\$1NIST\$1P521 (secp521r1)
+ ECC\$1SECG\$1P256K1 (secp256k1)
+ EDWARDS25519 ECC\$1NIST\$1 (ed25519)
+ **Prérequis:**
+ La clé privée asymétrique ECC que vous importez doit faire partie d'une paire de clés conforme à la norme [RFC 5915](https://datatracker.ietf.org/doc/html/rfc5915/).
+ **Courbe :** NIST P-256, NIST P-384, NIST P-521, SECP256K1, NIST Ed25519.
+ **Paramètres :** courbes nommées uniquement (les clés ECC avec des paramètres explicites sont rejetées).
+ **Coordonnées des points publics : elles** peuvent être compressées, non compressées ou projectives.
+ [Le matériel de clé asymétrique doit être codé en BER ou en DER au format PKCS (Public-Key Cryptography Standards) \$18 conforme à la RFC 5208.](https://datatracker.ietf.org/doc/html/rfc5208)
+ **Clé ML-DSA**
+ **Caractéristiques principales :**
+ ML\$1DSA\$144
+ ML\$1DSA\$165
+ ML\$1DSA\$187
**Important**
L'importation de clés ML-DSA n'est pas prise en charge.
+ **SM2 clé privée asymétrique** (régions de Chine uniquement)
+ **Prérequis:**
+ La clé privée SM2 asymétrique que vous importez doit faire partie d'une paire de clés conforme à GM/T 0003.
+ **Courbe :** SM2.
+ **Paramètres :** courbe nommée uniquement (SM2 les clés avec des paramètres explicites sont rejetées).
+ **Coordonnées des points publics : elles** peuvent être compressées, non compressées ou projectives.
+ [Le matériel de clé asymétrique doit être codé en BER ou en DER au format PKCS (Public-Key Cryptography Standards) \$18 conforme à la RFC 5208.](https://datatracker.ietf.org/doc/html/rfc5208)
# Étape 1 : Création d'un matériau AWS KMS key sans clé
Par défaut, AWS KMS crée du matériel clé pour vous lorsque vous créez une clé KMS. Pour importer vos propres éléments de clé à la place, commencez par créer une clé KMS sans élément de clé. Procédez ensuite à l'importation. Pour créer une clé KMS sans élément clé, utilisez AWS KMS la console ou l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération.
Pour créer une clé sans élément de clé, spécifiez l'[origine](create-keys.md#key-origin) de `EXTERNAL`. La propriété d'origine d'une clé KMS est immuable. Une fois que vous l'avez créée, vous ne pouvez pas convertir une clé KMS conçue pour le matériel clé importé en clé KMS avec du matériel clé provenant d'une autre source AWS KMS ou de toute autre source.
L'[état d'une clé](key-state.md) KMS avec une origine `EXTERNAL` et aucun élément de clé est `PendingImport`. Une clé KMS peut rester dans l'état `PendingImport` indéfiniment. Toutefois, vous ne pouvez pas utiliser une clé KMS dans l’état `PendingImport` dans le cadre des opérations cryptographiques. Lorsque vous importez l'élément de clé, l'état de la clé KMS passe à `Enabled`, et vous pouvez l’utiliser dans des opérations de chiffrement.
AWS KMS enregistre un événement dans votre AWS CloudTrail journal lorsque vous [créez la clé KMS, que vous téléchargez la clé](ct-createkey.md) [publique et le jeton d'importation, et](ct-getparametersforimport.md) que vous [importez le contenu de la clé](ct-importkeymaterial.md). AWS KMS enregistre également un CloudTrail événement lorsque vous [supprimez du matériel clé importé](ct-deleteimportedkeymaterial.md) ou lorsque vous AWS KMS [supprimez du matériel clé expiré](ct-deleteexpiredkeymaterial.md).
**Topics**
+ [Création d'une clé KMS sans élément de clé (console)](#importing-keys-create-cmk-console)
+ [Création d'une clé KMS sans matériel clé (AWS KMS API)](#importing-keys-create-cmk-api)
## Création d'une clé KMS sans élément de clé (console)
Vous devez créer uniquement une clé KMS pour les éléments de clé importés une seule fois. Vous pouvez importer et réimporter le même élément de clé sur la clé KMS existante aussi souvent que vous avez besoin, mais vous ne pouvez pas importer d’élément de clé différent dans une clé KMS. Pour en savoir plus, consultez [Étape 2 : Téléchargement de la clé publique d’encapsulage et du jeton d'importation](importing-keys-get-public-key-and-token.md).
Pour rechercher des clés KMS existantes contenant des éléments de clé importés dans votre tableau **Customer managed keys** (Clés gérées par le client), utilisez l'icône en forme d'engrenage dans le coin supérieur droit pour afficher la colonne **Origin** (Origine) de la liste des clés KMS. Les clés importées ont une valeur **Origine** égale à **Externe (Importation des éléments de clé)**.
Pour créer une clé KMS avec du matériel de clé importé, commencez par suivre les [instructions de création d'une clé KMS du type de clé que vous préférez](create-keys.md), à l'exception suivante.
Après avoir choisi l'utilisation de la clé, procédez comme suit :
1. (Facultatif) Développez **Options avancées**.
1. Dans le champ **Key material origin** (Origine des éléments de clé), sélectionnez **External (Import key material)** (Externe (Importation des éléments de clé)).
1. Cochez la case à côté de **I understand the security, availability, and durability implications of using an imported key** pour indiquer que vous comprenez les implications de l'utilisation d'éléments de clé importés. Pour de plus amples informations sur ces implications, veuillez consulter [Suppression des éléments de clé importés](import-keys-protect.md).
1. Facultatif : pour créer une [clé KMS multirégionale avec du matériel clé](multi-region-keys-overview.md) importé, sous **Régionalité**, sélectionnez Clé **multirégionale**.
1. Revenez aux instructions de base. Les étapes restantes de la procédure de base sont les mêmes pour toutes les clés KMS de ce type.
Lorsque vous choisissez **Terminer**, vous avez créé une clé KMS sans élément de clé et un statut ([état de clé](key-state.md)) **En attente d'importation**.
Cependant, au lieu de retourner au tableau des **clés gérées par le client**, la console affiche une page sur laquelle vous pouvez télécharger la clé publique et le jeton d'importation dont vous avez besoin pour importer l’élément de clé. Vous pouvez poursuivre l'étape de téléchargement dès maintenant ou choisir **Annuler** pour arrêter à ce stade. Vous pouvez revenir à cette étape de téléchargement à tout moment.
Suivant: [Étape 2 : Téléchargement de la clé publique d’encapsulage et du jeton d'importation](importing-keys-get-public-key-and-token.md).
## Création d'une clé KMS sans matériel clé (AWS KMS API)
Pour utiliser l'[AWS KMS API](https://docs.aws.amazon.com/kms/latest/APIReference/) afin de créer une clé KMS de chiffrement symétrique sans clé, envoyez une [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)demande avec le `Origin` paramètre défini sur. `EXTERNAL` L'exemple suivant montre comment procéder avec l'[AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/).
```
$ aws kms create-key --origin EXTERNAL
```
Lorsque la commande s'exécute correctement, vous obtenez une sortie similaire à ce qui suit. La AWS KMS clé `Origin` est `EXTERNAL` et elle `KeyState` est`PendingImport`.
**Astuce**
Si la commande échoue, vous pouvez voir un `KMSInvalidStateException` ou un `NotFoundException`. Vous pouvez réessayer la demande.
```
{
"KeyMetadata": {
"Origin": "EXTERNAL",
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"Description": "",
"Enabled": false,
"MultiRegion": false,
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "PendingImport",
"CreationDate": 1568289600.0,
"Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"AWSAccountId": "111122223333",
"KeyManager": "CUSTOMER",
"KeySpec": "SYMMETRIC_DEFAULT",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
]
}
}
```
Copiez la valeur `KeyId` dans la sortie de votre commande pour l'utiliser dans les étapes ultérieures, puis passez à l'[Étape 2 : Téléchargement de la clé publique d’encapsulage et du jeton d'importation](importing-keys-get-public-key-and-token.md).
**Note**
Cette commande crée une clé KMS de chiffrement symétrique avec un `KeySpec` de `SYMMETRIC_DEFAULT` et `KeyUsage` de`ENCRYPT_DECRYPT`. Vous pouvez utiliser les paramètres facultatifs `--key-spec` et `--key-usage` créer une clé asymétrique ou KMS HMAC. Pour plus d'informations, consultez l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération.
# Étape 2 : Téléchargement de la clé publique d’encapsulage et du jeton d'importation
Après avoir [créé un élément AWS KMS key sans clé](importing-keys-create-cmk.md), téléchargez une clé publique encapsulée et un jeton d'importation pour cette clé KMS à l'aide de la AWS KMS console ou de l'[GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html)API. La clé publique d'encapsulage et le jeton d'importation constituent un ensemble indivisible qui doit être utilisé ensemble.
Vous utiliserez la clé publique d'encapsulage pour [chiffrer votre élément de clé](importing-keys-encrypt-key-material.md) pour le transport. [Avant de télécharger une paire de clés d'encapsulation RSA, vous sélectionnez la longueur (spécification de clé) de la paire de clés d'encapsulation RSA et l'algorithme d'encapsulation que vous utiliserez pour chiffrer le matériel clé importé en vue de son transport à l'étape 3.](importing-keys-encrypt-key-material.md) AWS KMS prend également en charge la spécification de la clé SM2 d'emballage (régions de Chine uniquement).
Chaque ensemble de clés publiques d'encapsulage et de jetons d'importation est valide pendant 24 heures. Si vous ne les utilisez pas pour importer les éléments de clé dans les 24 heures après les avoir téléchargés, vous devez en télécharger de nouveaux. Vous pouvez télécharger de nouvelles clés publiques d'encapsulage et importer des ensembles de jetons à tout moment. Cela vous permet de modifier la longueur de votre clé d'encapsulage RSA (« spécification de clé ») ou de remplacer un ensemble perdu.
Vous pouvez également télécharger une clé publique d'encapsulage et un ensemble de jetons d'importation pour [réimporter les mêmes éléments de clé](importing-keys-import-key-material.md#reimport-key-material) dans une clé KMS. Vous pouvez le faire pour définir ou modifier le délai d'expiration des éléments de clé ou pour restaurer des éléments de clé expirés ou supprimés. Vous devez télécharger et rechiffrer votre contenu clé chaque fois que vous l'importez dans. AWS KMS
**Utilisation de la clé publique d'encapsulage**
Le téléchargement inclut une clé publique qui vous est propre Compte AWS, également appelée *clé publique encapsulée*.
Avant d'importer le contenu clé, vous le chiffrez à l'aide de la clé d'encapsulage publique, puis vous le téléchargez sur. AWS KMS Lorsqu'il AWS KMS reçoit le contenu de votre clé chiffrée, il le déchiffre avec la clé privée correspondante, puis le chiffre à nouveau sous une clé symétrique AES, le tout dans un module de sécurité AWS KMS matériel (HSM).
**Utilisation du jeton d'importation**
Le téléchargement comprend un jeton d'importation avec des métadonnées qui garantissent que vos éléments de clé sont importés correctement. Lorsque vous téléchargez le contenu de votre clé chiffrée sur AWS KMS, vous devez télécharger le même jeton d'importation que celui que vous avez téléchargé à cette étape.
## Sélectionnez une spécification de clé publique d'encapsulage
Pour protéger votre contenu clé lors de l'importation, vous le chiffrez à l'aide de la clé publique d'encapsulage à partir de AWS KMS laquelle vous le téléchargez et d'un [algorithme d'encapsulage](#select-wrapping-algorithm) pris en charge. Vous sélectionnez une spécification de clé avant de télécharger votre clé publique d'encapsulage et votre jeton d'importation. Toutes les paires de clés d'encapsulage sont générées dans les modules de sécurité AWS KMS matériels (HSMs). La clé privée ne quitte jamais le HSM en texte brut.
**Caractéristiques clés du RSA Wrapping**
La *spécification de clé* de la clé publique d’encapsulage détermine la longueur des clés de la paire de clés RSA qui protège votre élément de clé pendant son transport vers AWS KMS. En général, nous recommandons d'utiliser la clé publique d'encapsulage la plus longue qui soit pratique. Nous proposons plusieurs spécifications d'encapsulation des clés publiques pour soutenir une variété HSMs de gestionnaires clés.
AWS KMS prend en charge les spécifications clés suivantes pour les clés d'encapsulation RSA utilisées pour importer du matériel clé de tous types, sauf indication contraire.
+ RSA\$14096 (recommandé)
+ RSA\$13072
+ RSA\$12048
**Note**
La combinaison suivante n'est PAS prise en charge : l’élément de clé ECC\$1NIST\$1P521, la spécification de clé d'encapsulage publique RSA\$12048 et un algorithme d'encapsulage RSAES\$1OAEP\$1SHA\$1\$1.
Vous ne pouvez pas directement encapsuler l’élément de clé ECC\$1NIST\$1P521 avec une clé d'encapsulage publique RSA\$12048. Utilisez une clé d'encapsulage plus grande ou un algorithme d'encapsulage RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1\$1.
**SM2 spécification clé d'emballage (régions de Chine uniquement)**
AWS KMS prend en charge les spécifications clés suivantes pour les clés SM2 d'encapsulation utilisées pour importer du matériel clé asymétrique.
+ SM2
## Sélectionner un algorithme d'encapsulage
Pour protéger vos éléments de clé pendant l'importation, vous les chiffrez à l'aide de la clé publique d’encapsulage téléchargée et d'un algorithme d'enveloppement pris en charge.
AWS KMS prend en charge plusieurs algorithmes d'encapsulation RSA standard et un algorithme d'encapsulation hybride en deux étapes. En général, nous vous recommandons d'utiliser l'algorithme d'encapsulage le plus sécurisé qui soit compatible avec l’élément de clé importé et les [spécifications de clé d’encapsulage](#select-wrapping-key-spec). Généralement, vous choisissez un algorithme pris en charge par le module de sécurité matérielle (HSM) ou le système de gestion de clés qui protège vos éléments de clé.
Le tableau suivant présente les algorithmes d'encapsulage pris en charge pour chaque type d’élément de clé et de clé KMS. Les algorithmes sont répertoriés dans l'ordre de préférence.
| Éléments de clé | Algorithme et spécification d'encapsulage pris en charge |
| --- | --- |
| Clés de chiffrement symétrique Clé AES 256 bits SM4 Clé 128 bits (régions de Chine uniquement) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/importing-keys-get-public-key-and-token.html) |
| Clé privée RSA asymétrique | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/importing-keys-get-public-key-and-token.html) |
| Clé privée asymétrique à courbe elliptique (ECC) Vous ne pouvez pas utiliser les algorithmes d'encapsulage RSAES\$1OAEP\$1SHA\$1\$1 avec la spécification de clé d'encapsulage RSA\$12048 pour encapsuler l’élément de clé ECC\$1NIST\$1P521. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/importing-keys-get-public-key-and-token.html) |
| Clé SM2 privée asymétrique (régions de Chine uniquement) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/importing-keys-get-public-key-and-token.html) |
| Clé HMAC | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/importing-keys-get-public-key-and-token.html) |
**Note**
Les algorithmes `RSA_AES_KEY_WRAP_SHA_1` d'encapsulation `RSA_AES_KEY_WRAP_SHA_256` et de compression ne sont pas pris en charge dans les régions de Chine.
+ `RSA_AES_KEY_WRAP_SHA_256` – Un algorithme d'encapsulage hybride en deux étapes qui combine le chiffrement de votre élément de clé avec une clé symétrique AES que vous générez, puis le chiffrement de la clé symétrique AES avec la clé d'encapsulage publique RSA téléchargée et l'algorithme d'encapsulage RSAES\$1OAEP\$1SHA\$1256.
Un algorithme `RSA_AES_KEY_WRAP_SHA_*` d'encapsulage est requis pour encapsuler le contenu de la clé privée RSA, sauf dans les régions de Chine, où vous devez utiliser l'algorithme `SM2PKE` d'encapsulage.
+ `RSA_AES_KEY_WRAP_SHA_1` – Un algorithme d'encapsulage hybride en deux étapes qui combine le chiffrement de votre élément de clé avec une clé symétrique AES que vous générez, puis le chiffrement de la clé symétrique AES avec la clé publique d'encapsulage RSA téléchargée et l'algorithme d'encapsulage RSAES\$1OAEP\$1SHA\$11.
Un algorithme `RSA_AES_KEY_WRAP_SHA_*` d'encapsulage est requis pour encapsuler le contenu de la clé privée RSA, sauf dans les régions de Chine, où vous devez utiliser l'algorithme `SM2PKE` d'encapsulage.
+ `RSAES_OAEP_SHA_256` : algorithme de chiffrement RSA avec fonctionnalité OAEP (Optimal Asymmetric Encryption Padding) et fonction de hachage SHA-256.
+ `RSAES_OAEP_SHA_1` : algorithme de chiffrement RSA avec fonctionnalité OAEP (Optimal Asymmetric Encryption Padding) et fonction de hachage SHA-1.
+ `RSAES_PKCS1_V1_5`(Obsolète ; depuis le 10 octobre 2023, il AWS KMS ne prend pas en charge l'algorithme d'encapsulage RSAES\$1 PKCS1 \$1V1\$15) — L'algorithme de chiffrement RSA avec le format de remplissage défini dans la version 1.5 de PKCS \$11.
+ `SM2PKE`(Régions de Chine uniquement) — Algorithme de chiffrement basé sur une courbe elliptique défini par l'OSCCA en 0003.4-2012. GM/T
**Topics**
+ [Sélectionnez une spécification de clé publique d'encapsulage](#select-wrapping-key-spec)
+ [Sélectionner un algorithme d'encapsulage](#select-wrapping-algorithm)
+ [Téléchargement de la clé publique d’encapsulage et du jeton d'importation (console)](#importing-keys-get-public-key-and-token-console)
+ [Téléchargement de la clé publique d'encapsulage et du jeton d'importation (AWS KMS API)](#importing-keys-get-public-key-and-token-api)
## Téléchargement de la clé publique d’encapsulage et du jeton d'importation (console)
Vous pouvez utiliser la AWS KMS console pour télécharger la clé publique d'encapsulage et le jeton d'importation.
1. Si vous venez de terminer les étapes pour [créer une clé KMS sans élément de clé](importing-keys-create-cmk.md#importing-keys-create-cmk-console) et que vous êtes sur la page **Download wrapping key and import token (Télécharger la clé d'encapsulage et le jeton d'importation)**, passez directement à [Step 10](#id-wrap-step).
1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
1. Dans le panneau de navigation, choisissez **Clés gérées par le client**.
**Astuce**
Vous pouvez uniquement importer un élément de clé dans une clé KMS d’une **Origine** **Externe (Importation d'éléments de clé)**. Cela indique que la clé KMS a été créée sans élément de clé. Pour ajouter la colonne **Origine** à votre table, dans le coin supérieur droit de la page, choisissez l'icône des paramètres (![\[Gear or cog icon representing settings or configuration options.\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/console-icon-settings-new.png)). Activez **Origine**, puis choisissez **Confirmer**.
1. Choisissez l'alias ou l'ID de clé de la clé KMS qui est en attente d'importation.
1. Choisissez l'onglet **Cryptographic configuration (Configuration de chiffrement)** et affichez ses valeurs. Les onglets se trouvent sous la section **General configuration (Configuration générale)**.
Vous pouvez uniquement importer un élément de clé dans des clés KMS d’une **Origine** **Externe (Importation d'éléments de clé)**. Pour plus d'informations sur la création de clés KMS avec des éléments de clé importés, veuillez consulter [Importation de matériel clé pour les AWS KMS clés](importing-keys.md).
1. Choisissez l'onglet approprié en fonction de votre type de clé.
+ Pour les touches asymétriques et HMAC, choisissez l'onglet **Matériau de la clé.**
+ Pour les clés de chiffrement symétriques, choisissez l'onglet **Matériau des clés et rotations.**
1. Choisissez l'action d'importation.
+ Pour les clés asymétriques et HMAC, choisissez **Importer le matériel clé**.
+ Pour les clés de chiffrement symétriques, choisissez l'une des options suivantes :
+ **Importer le matériel clé initial** (si aucun matériel clé n'a encore été importé)
+ **Importer un nouveau matériau clé** (pour ajouter du nouveau matériau pour la rotation)
+ **Réimporter le matériel clé** (disponible dans le menu **Actions** du tableau des matériaux clés)
**Note**
Pour les clés multirégionales, vous devez d'abord importer le nouveau contenu clé dans la clé régionale principale. Importez ensuite le même matériau clé dans chaque réplique de clé de région.
Pour les clés multirégionales principales, le tableau **des matériaux clés** inclut une colonne d'**état d'importation des répliques** qui affiche le statut de l'importation dans toutes les régions de réplication (par exemple, « 0 sur 3 importé »). Choisissez la valeur de l'état d'importation de la réplique pour ouvrir un modal indiquant le statut de l'importation pour chaque région de réplication. Le modal fournit des liens **d'importation de matériaux clés** pour les régions de réplique où le nouveau matériau clé n'a pas été importé.
1. Pour **Sélectionner la spécification de la clé d'encapsulage**, choisissez la configuration de votre clé KMS. Une fois cette clé créée, vous ne pouvez pas modifier ses spécifications.
1. Pour **Sélectionner l'algorithme d'encapsulage**, choisissez l'option que vous allez utiliser pour chiffrer vos éléments de clé. Pour de plus amples informations sur les options, veuillez consulter [Sélectionner l'algorithme d'encapsulage](#select-wrapping-algorithm).
1. Choisissez **Télécharger la clé publique d'encapsulage et le jeton d'importation**, puis enregistrez le fichier.
Si vous avez une option **Suivant**, pour poursuivre le processus immédiatement, choisissez **Suivant**. Pour continuer ultérieurement, choisissez **Annuler**.
1. Décompressez le fichier `.zip` que vous avez enregistré à l'étape précédente (`Import_Parameters__`).
Le dossier contient les fichiers suivants :
+ Une clé publique encapsulée dans un fichier nommé`WrappingPublicKey.bin`.
+ Un jeton d'importation dans un fichier nommé `ImportToken.bin`.
+ Un fichier texte nommé README.txt. Ce fichier contient des informations sur la clé publique d'encapsulage, l'algorithme d'encapsulage à utiliser pour chiffrer vos éléments de clé, et la date et l'heure d'expiration de la clé publique d'encapsulage et du jeton d'importation.
1. Pour poursuivre le processus, consultez [Chiffrer vos éléments de clé](importing-keys-encrypt-key-material.md).
## Téléchargement de la clé publique d'encapsulage et du jeton d'importation (AWS KMS API)
Pour télécharger la clé publique et le jeton d'importation, utilisez l'[GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html)API. Spécifiez la clé KMS qui sera associée aux éléments de clé importé. Cette clé KMS doit avoir une [Origin](create-keys.md#key-origin) (Origine) définie à la valeur `EXTERNAL`.
**Note**
Vous ne pouvez pas importer de matériel clé pour les clés ML-DSA KMS.
Cet exemple indique l'algorithme d'encapsulage `RSA_AES_KEY_WRAP_SHA_256`, la spécification de clé publique d'encapsulage RSA\$13072 et un exemple d'ID de clé. Remplacez ces exemples de valeurs par des valeurs valides pour votre téléchargement. Pour l’ID de clé, vous pouvez utiliser un [ID de clé](concepts.md#key-id-key-id) ou le nom [ARN de clé](concepts.md#key-id-key-ARN), mais vous ne pouvez pas utiliser un [nom d'alias](concepts.md#key-id-alias-name) ou un [ARN d'alias](concepts.md#key-id-alias-ARN) pour cette opération.
```
$ aws kms get-parameters-for-import \
--key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--wrapping-algorithm RSA_AES_KEY_WRAP_SHA_256 \
--wrapping-key-spec RSA_3072
```
Lorsque la commande s'exécute correctement, vous obtenez une sortie similaire à ce qui suit :
```
{
"ParametersValidTo": 1568290320.0,
"PublicKey": "public key (base64 encoded)",
"KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"ImportToken": "import token (base64 encoded)"
}
```
Pour préparer les données pour l'étape suivante, base64 décode la clé publique, importe le jeton et enregistre les valeurs décodées dans des fichiers.
Pour décoder la clé publique et le jeton d'importation en base64 :
1. Copiez la clé publique codée en base64 (représentée *public key (base64 encoded)* dans l'exemple de sortie), collez-la dans un nouveau fichier, puis enregistrez le fichier. Donnez au fichier un nom descriptif, par exemple `PublicKey.b64`.
1. Utilisez [OpenSSL](https://openssl.org/) pour décoder du format base64 le contenu du fichier et enregistrer les données décodées dans un nouveau fichier. L'exemple suivant décode les données dans le fichier que vous avez enregistré à l'étape précédente (`PublicKey.b64`) et enregistre le résultat dans un nouveau fichier nommé `WrappingPublicKey.bin`.
```
$ openssl enc -d -base64 -A -in PublicKey.b64 -out WrappingPublicKey.bin
```
1. Copiez le jeton d'importation codé en base64 (représenté *import token (base64 encoded)* dans l'exemple de sortie), collez-le dans un nouveau fichier, puis enregistrez le fichier. Donnez au fichier un nom descriptif, par exemple `importtoken.b64`.
1. Utilisez [OpenSSL](https://openssl.org/) pour décoder du format base64 le contenu du fichier et enregistrer les données décodées dans un nouveau fichier. L'exemple suivant décode les données dans le fichier que vous avez enregistré à l'étape précédente (`ImportToken.b64`) et enregistre le résultat dans un nouveau fichier nommé `ImportToken.bin`.
```
$ openssl enc -d -base64 -A -in importtoken.b64 -out ImportToken.bin
```
Passez à [Étape 3 : Chiffrement des éléments de clé](importing-keys-encrypt-key-material.md).
# Étape 3 : Chiffrement des éléments de clé
Après avoir [téléchargé la clé publique et le jeton d'importation](importing-keys-get-public-key-and-token.md), chiffrez l’élément de votre clé à l'aide de la clé publique que vous avez téléchargée et de l'algorithme d'encapsulage que vous avez spécifié. Si vous devez remplacer la clé publique ou le jeton d'importation, ou modifier l'algorithme d'encapsulage, vous devez télécharger une nouvelle clé publique et un nouveau jeton d'importation. Pour plus d'informations sur les clés publiques et les algorithmes d'encapsulation AWS KMS compatibles, reportez-vous [Sélectionnez une spécification de clé publique d'encapsulage](importing-keys-get-public-key-and-token.md#select-wrapping-key-spec) aux sections et[Sélectionner un algorithme d'encapsulage](importing-keys-get-public-key-and-token.md#select-wrapping-algorithm).
La clé doit être au format binaire. Pour plus d’informations, consultez [Exigences relatives aux éléments de clé importés](importing-keys-conceptual.md#importing-keys-material-requirements).
**Note**
Pour les paires de clés asymétriques, chiffrez et importez uniquement la clé privée. AWS KMS déduit la clé publique de la clé privée.
La combinaison suivante n'est PAS prise en charge : l’élément de clé ECC\$1NIST\$1P521, la spécification de clé d'encapsulage publique RSA\$12048 et un algorithme d'encapsulage RSAES\$1OAEP\$1SHA\$1\$1.
Vous ne pouvez pas directement encapsuler l’élément de clé ECC\$1NIST\$1P521 avec une clé d'encapsulage publique RSA\$12048. Utilisez une clé d'encapsulage plus grande ou un algorithme d'encapsulage RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1\$1.
Les algorithmes d'encapsulage RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1256 et RSA\$1AES\$1KEY\$1WRAP\$1SHA\$11 ne sont pas pris en charge dans les régions de Chine.
En règle générale, vous chiffrez vos éléments de clé lorsque vous les exportez à partir du module de sécurité matérielle (HSM) ou du système de gestion de clés. Pour plus d'informations sur l'exportation des clés au format binaire, consultez la documentation relative au module HSM ou au système de gestion de clés. Vous pouvez également vous reporter à la section suivante qui fournit la démonstration d'une preuve de concept à l'aide d'OpenSSL.
Lorsque vous chiffrez vos éléments de clé, utilisez le même algorithme d’encapsulage que celui que vous avez spécifié lorsque vous avez [téléchargé la clé publique et le jeton d'importation](importing-keys-get-public-key-and-token.md). Pour trouver l'algorithme d'encapsulage que vous avez spécifié, consultez le CloudTrail journal des événements de la [GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html)demande associée.
## Générer un élément de clé à tester
Les commandes OpenSSL suivantes génèrent des éléments de clés pour chaque type pris en charge à des fins de test. Ces exemples sont fournis uniquement à des fins de test et de proof-of-concept démonstration. Pour les systèmes de production, utilisez une méthode plus sécurisée pour générer votre élément de clé, notamment un module de sécurité matériel ou un système de gestion de clé.
Pour convertir les clés privées des paires de clés asymétriques au format codé DER, dirigez la commande de génération de l’élément de clé vers la commande `openssl pkcs8` suivante. Le paramètre `topk8` indique à OpenSSL de prendre une clé privée en entrée et de renvoyer une clé au format PKCS \$18. (Le comportement par défaut est le contraire.)
```
openssl pkcs8 -topk8 -outform der -nocrypt
```
Les commandes suivantes génèrent des éléments de clés de test pour chaque type de clé pris en charge.
+ Clé de chiffrement symétrique (32 octets)
Cette commande génère une clé symétrique de 256 bits (chaîne aléatoire de 32 octets) et l'enregistre dans le fichier `PlaintextKeyMaterial.bin`. Vous n'avez pas besoin d'encoder cet élément de clé.
```
openssl rand -out PlaintextKeyMaterial.bin 32
```
Dans les régions de Chine uniquement, vous devez générer une clé symétrique de 128 bits (chaîne aléatoire de 16 octets).
```
openssl rand -out PlaintextKeyMaterial.bin 16
```
+ Clés HMAC
Cette commande génère une chaîne d'octets aléatoire de la taille spécifiée. Vous n'avez pas besoin d'encoder cet élément de clé.
La longueur de votre clé HMAC doit correspondre à la longueur définie par la spécification de clé de la clé KMS. Par exemple, si la clé KMS est HMAC\$1384, vous devez importer une clé de 384 bits (48 octets).
```
openssl rand -out HMAC_224_PlaintextKey.bin 28
openssl rand -out HMAC_256_PlaintextKey.bin 32
openssl rand -out HMAC_384_PlaintextKey.bin 48
openssl rand -out HMAC_512_PlaintextKey.bin 64
```
+ Clés privées RSA
```
openssl genpkey -algorithm rsa -pkeyopt rsa_keygen_bits:2048 | openssl pkcs8 -topk8 -outform der -nocrypt > RSA_2048_PrivateKey.der
openssl genpkey -algorithm rsa -pkeyopt rsa_keygen_bits:3072 | openssl pkcs8 -topk8 -outform der -nocrypt > RSA_3072_PrivateKey.der
openssl genpkey -algorithm rsa -pkeyopt rsa_keygen_bits:4096 | openssl pkcs8 -topk8 -outform der -nocrypt > RSA_4096_PrivateKey.der
```
+ Clés privées ECC
```
openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:P-256 | openssl pkcs8 -topk8 -outform der -nocrypt > ECC_NIST_P256_PrivateKey.der
openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:P-384 | openssl pkcs8 -topk8 -outform der -nocrypt > ECC_NIST_P384_PrivateKey.der
openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:P-521 | openssl pkcs8 -topk8 -outform der -nocrypt > ECC_NIST_P521_PrivateKey.der
openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:secp256k1 | openssl pkcs8 -topk8 -outform der -nocrypt > ECC_SECG_P256K1_PrivateKey.der
```
+ SM2 clés privées (régions de Chine uniquement)
```
openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:sm2 | openssl pkcs8 -topk8 -outform der -nocrypt > SM2_PrivateKey.der
```
## Exemple de chiffrement des éléments de clé avec OpenSSL
Les exemples suivants montrent comment utiliser [OpenSSL](https://openssl.org/) pour chiffrer votre élément de clé avec la clé publique que vous avez téléchargée. Pour chiffrer votre contenu clé à l'aide d'une clé SM2 publique (régions de Chine uniquement), utilisez la [`SM2OfflineOperationHelper`classe](offline-operations.md#key-spec-sm-offline-helper). Pour plus d'informations sur les principaux types de matériaux pris en charge par chaque algorithme d'emballage, consultez[Sélectionner un algorithme d'encapsulage](importing-keys-get-public-key-and-token.md#select-wrapping-algorithm).
**Important**
Ces exemples sont la démonstration d'une preuve de concept uniquement. Pour les systèmes de production, utilisez une méthode plus sécurisée (par exemple, un système de gestion de clés ou un module HSM commercial) pour générer et stocker vos éléments de clé.
La combinaison suivante n'est PAS prise en charge : l’élément de clé ECC\$1NIST\$1P521, la spécification de clé d'encapsulage publique RSA\$12048 et un algorithme d'encapsulage RSAES\$1OAEP\$1SHA\$1\$1.
Vous ne pouvez pas directement encapsuler l’élément de clé ECC\$1NIST\$1P521 avec une clé d'encapsulage publique RSA\$12048. Utilisez une clé d'encapsulage plus grande ou un algorithme d'encapsulage RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1\$1.
------
#### [ RSAES\$1OAEP\$1SHA\$11 ]
AWS KMS prend en charge le RSAES\$1OAEP\$1SHA\$11 pour les clés de chiffrement symétriques (SYMMETRIC\$1DEFAULT), les clés privées à courbe elliptique (ECC), les clés privées et les clés HMAC. SM2
RSAES\$1OAEP\$1SHA\$11 n'est pas pris en charge pour les clés privées RSA. Vous ne pouvez pas non plus utiliser une clé publique d’encapsulage RSA\$12048 avec un algorithme d'encapsulage RSAES\$1OAEP\$1SHA\$1\$1 pour encapsuler une clé privée ECC\$1NIST\$1P521 (secp521r1). Vous devez utiliser une clé d'encapsulage plus grande ou un algorithme d'encapsulage RSA\$1AES\$1KEY\$1WRAP.
L'exemple suivant chiffre votre élément de clé avec la [clé publique que vous avez téléchargée](importing-keys-get-public-key-and-token.md) et l'algorithme d'encapsulage RSAES\$1OAEP\$1SHA\$11, puis l'enregistre dans le fichier `EncryptedKeyMaterial.bin`.
Dans cet exemple :
+ *`WrappingPublicKey.bin`* est le fichier qui contient la clé publique d'encapsulage téléchargée.
+ *`PlaintextKeyMaterial.bin`* est le fichier qui contient l’élément de clé que vous chiffres, tel que `PlaintextKeyMaterial.bin`, `HMAC_384_PlaintextKey.bin` ou `ECC_NIST_P521_PrivateKey.der`.
```
$ openssl pkeyutl \
-encrypt \
-in PlaintextKeyMaterial.bin \
-out EncryptedKeyMaterial.bin \
-inkey WrappingPublicKey.bin \
-keyform DER \
-pubin \
-pkeyopt rsa_padding_mode:oaep \
-pkeyopt rsa_oaep_md:sha1
```
------
#### [ RSAES\$1OAEP\$1SHA\$1256 ]
AWS KMS prend en charge le RSAES\$1OAEP\$1SHA\$1256 pour les clés de chiffrement symétriques (SYMMETRIC\$1DEFAULT), les clés privées à courbe elliptique (ECC), les clés privées et les clés HMAC. SM2
RSAES\$1OAEP\$1SHA\$1256 n'est pas pris en charge pour les clés privées RSA. Vous ne pouvez pas non plus utiliser une clé publique d’encapsulage RSA\$12048 avec un algorithme d'encapsulage RSAES\$1OAEP\$1SHA\$1\$1 pour encapsuler une clé privée ECC\$1NIST\$1P521 (secp521r1). Vous devez utiliser une clé d'encapsulage plus grande ou un algorithme d'encapsulage RSA\$1AES\$1KEY\$1WRAP.
L'exemple suivant chiffre votre élément de clé avec la [clé publique que vous avez téléchargée](importing-keys-get-public-key-and-token.md) et l'algorithme d'encapsulage RSAES\$1OAEP\$1SHA\$1256, puis l'enregistre dans le fichier `EncryptedKeyMaterial.bin`.
Dans cet exemple :
+ *`WrappingPublicKey.bin`* est le fichier qui contient la clé publique d'encapsulage téléchargée. Si vous avez téléchargé la clé publique à partir de la console, ce fichier est nommé `wrappingKey_KMS key_key_ID_timestamp` (par exemple, `wrappingKey_f44c4e20-f83c-48f4-adc6-a1ef38829760_0809092909`).
+ *`PlaintextKeyMaterial.bin`* est le fichier qui contient l’élément de clé que vous chiffres, tel que `PlaintextKeyMaterial.bin`, `HMAC_384_PlaintextKey.bin` ou `ECC_NIST_P521_PrivateKey.der`.
```
$ openssl pkeyutl \
-encrypt \
-in PlaintextKeyMaterial.bin \
-out EncryptedKeyMaterial.bin \
-inkey WrappingPublicKey.bin \
-keyform DER \
-pubin \
-pkeyopt rsa_padding_mode:oaep \
-pkeyopt rsa_oaep_md:sha256 \
-pkeyopt rsa_mgf1_md:sha256
```
------
#### [ RSA\$1AES\$1KEY\$1WRAP\$1SHA\$11 ]
L'algorithme d'encapsulage RSA\$1AES\$1KEY\$1WRAP\$1SHA\$11 implique deux opérations de chiffrement.
1. Chiffrez votre élément de clé à l'aide d'une clé symétrique AES que vous générez et d'un algorithme de chiffrement symétrique AES.
1. Chiffrez la clé symétrique AES que vous avez utilisée avec la clé publique que vous avez téléchargée et l'algorithme d'encapsulage RSAES\$1OAEP\$1SHA\$11.
L'algorithme d'encapsulage RSA\$1AES\$1KEY\$1WRAP\$1SHA\$11 nécessite la version 3.*x* ou version ultérieure d'OpenSSL.
1.
**Générez une clé de chiffrement symétrique AES 256 bits**
Cette commande génère une clé de chiffrement symétrique AES composée de 256 bits aléatoires et l'enregistre dans le fichier `aes-key.bin`
```
# Generate a 32-byte AES symmetric encryption key
$ openssl rand -out aes-key.bin 32
```
1.
**Chiffrez votre élément de clé avec la clé de chiffrement symétrique AES**
Cette commande chiffre l’élément de votre clé avec la clé de chiffrement symétrique AES et enregistre le contenu de la clé chiffrée dans le fichier `key-material-wrapped.bin`.
Dans cet exemple de commande :
+ *`PlaintextKeyMaterial.bin`* est le fichier qui contient l’élément de clé que vous importez, tel que `PlaintextKeyMaterial.bin`, `HMAC_384_PlaintextKey.bin`, `RSA_3072_PrivateKey.der`, ou `ECC_NIST_P521_PrivateKey.der`.
+ *`aes-key.bin`* est le fichier qui contient la clé de chiffrement symétrique AES 256 bits que vous avez générée dans la commande précédente.
```
# Encrypt your key material with the AES symmetric encryption key
$ openssl enc -id-aes256-wrap-pad \
-K "$(xxd -p < aes-key.bin | tr -d '\n')" \
-iv A65959A6 \
-in PlaintextKeyMaterial.bin \
-out key-material-wrapped.bin
```
1.
**Chiffrez votre clé de chiffrement symétrique AES avec la clé publique**
Cette commande chiffre votre clé de chiffrement symétrique AES avec la clé publique que vous avez téléchargée et l'algorithme d'encapsulage RSAES\$1OAEP\$1SHA\$11, la code DER et l'enregistre dans le fichier `aes-key-wrapped.bin`.
Dans cet exemple de commande :
+ *`WrappingPublicKey.bin`* est le fichier qui contient la clé publique d'encapsulage téléchargée. Si vous avez téléchargé la clé publique à partir de la console, ce fichier est nommé `wrappingKey_KMS key_key_ID_timestamp` (par exemple, `wrappingKey_f44c4e20-f83c-48f4-adc6-a1ef38829760_0809092909`)
+ *`aes-key.bin`* est le fichier qui contient la clé de chiffrement symétrique AES 256 bits que vous avez générée dans la première commande de cette séquence d’exemple.
```
# Encrypt your AES symmetric encryption key with the downloaded public key
$ openssl pkeyutl \
-encrypt \
-in aes-key.bin \
-out aes-key-wrapped.bin \
-inkey WrappingPublicKey.bin \
-keyform DER \
-pubin \
-pkeyopt rsa_padding_mode:oaep \
-pkeyopt rsa_oaep_md:sha1 \
-pkeyopt rsa_mgf1_md:sha1
```
1.
**Générez le fichier à importer**
Concaténez le fichier contenant l’élément de clé chiffré et le fichier contenant la clé AES chiffrée. Enregistrez-les dans le fichier `EncryptedKeyMaterial.bin`, qui est le fichier que vous allez importer dans le [Étape 4 : Importation des éléments de clé](importing-keys-import-key-material.md).
Dans cet exemple de commande :
+ *`key-material-wrapped.bin`* est le fichier qui contient votre élément de clé chiffré.
+ *`aes-key-wrapped.bin`* est le fichier qui contient la clé de chiffrement AES chiffrée.
```
# Combine the encrypted AES key and encrypted key material in a file
$ cat aes-key-wrapped.bin key-material-wrapped.bin > EncryptedKeyMaterial.bin
```
------
#### [ RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1256 ]
L'algorithme d'encapsulage RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1256 implique deux opérations de chiffrement.
1. Chiffrez votre élément de clé à l'aide d'une clé symétrique AES que vous générez et d'un algorithme de chiffrement symétrique AES.
1. Chiffrez la clé symétrique AES que vous avez utilisée avec la clé publique que vous avez téléchargée et l'algorithme d'encapsulage RSAES\$1OAEP\$1SHA\$1256.
L'algorithme d'encapsulage RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1256 nécessite la version 3.*x* ou version ultérieure d'OpenSSL.
1.
**Générez une clé de chiffrement symétrique AES 256 bits**
Cette commande génère une clé de chiffrement symétrique AES composée de 256 bits aléatoires et l'enregistre dans le fichier `aes-key.bin`
```
# Generate a 32-byte AES symmetric encryption key
$ openssl rand -out aes-key.bin 32
```
1.
**Chiffrez votre élément de clé avec la clé de chiffrement symétrique AES**
Cette commande chiffre l’élément de votre clé avec la clé de chiffrement symétrique AES et enregistre le contenu de la clé chiffrée dans le fichier `key-material-wrapped.bin`.
Dans cet exemple de commande :
+ *`PlaintextKeyMaterial.bin`* est le fichier qui contient l’élément de clé que vous importez, tel que `PlaintextKeyMaterial.bin`, `HMAC_384_PlaintextKey.bin`, `RSA_3072_PrivateKey.der`, ou `ECC_NIST_P521_PrivateKey.der`.
+ *`aes-key.bin`* est le fichier qui contient la clé de chiffrement symétrique AES 256 bits que vous avez générée dans la commande précédente.
```
# Encrypt your key material with the AES symmetric encryption key
$ openssl enc -id-aes256-wrap-pad \
-K "$(xxd -p < aes-key.bin | tr -d '\n')" \
-iv A65959A6 \
-in PlaintextKeyMaterial.bin \
-out key-material-wrapped.bin
```
1.
**Chiffrez votre clé de chiffrement symétrique AES avec la clé publique**
Cette commande chiffre votre clé de chiffrement symétrique AES avec la clé publique que vous avez téléchargée et l'algorithme d'encapsulage RSAES\$1OAEP\$1SHA\$1256, la code DER et l'enregistre dans le fichier `aes-key-wrapped.bin`.
Dans cet exemple de commande :
+ *`WrappingPublicKey.bin`* est le fichier qui contient la clé publique d'encapsulage téléchargée. Si vous avez téléchargé la clé publique à partir de la console, ce fichier est nommé `wrappingKey_KMS key_key_ID_timestamp` (par exemple, `wrappingKey_f44c4e20-f83c-48f4-adc6-a1ef38829760_0809092909`)
+ *`aes-key.bin`* est le fichier qui contient la clé de chiffrement symétrique AES 256 bits que vous avez générée dans la première commande de cette séquence d’exemple.
```
# Encrypt your AES symmetric encryption key with the downloaded public key
$ openssl pkeyutl \
-encrypt \
-in aes-key.bin \
-out aes-key-wrapped.bin \
-inkey WrappingPublicKey.bin \
-keyform DER \
-pubin \
-pkeyopt rsa_padding_mode:oaep \
-pkeyopt rsa_oaep_md:sha256 \
-pkeyopt rsa_mgf1_md:sha256
```
1.
**Générez le fichier à importer**
Concaténez le fichier contenant l’élément de clé chiffré et le fichier contenant la clé AES chiffrée. Enregistrez-les dans le fichier `EncryptedKeyMaterial.bin`, qui est le fichier que vous allez importer dans le [Étape 4 : Importation des éléments de clé](importing-keys-import-key-material.md).
Dans cet exemple de commande :
+ *`key-material-wrapped.bin`* est le fichier qui contient votre élément de clé chiffré.
+ *`aes-key-wrapped.bin`* est le fichier qui contient la clé de chiffrement AES chiffrée.
```
# Combine the encrypted AES key and encrypted key material in a file
$ cat aes-key-wrapped.bin key-material-wrapped.bin > EncryptedKeyMaterial.bin
```
------
Passez à [Étape 4 : Importation des éléments de clé](importing-keys-import-key-material.md).
# Étape 4 : Importation des éléments de clé
Après avoir [chiffré vos éléments de clé](importing-keys-encrypt-key-material.md), vous pouvez importer les éléments de clé à utiliser avec une AWS KMS key. Pour importer les éléments de clé, vous devez télécharger les éléments de clé chiffrés à partir de l'[Étape 3 : Chiffrement des éléments de clé](importing-keys-encrypt-key-material.md) et le jeton d'importation que vous avez téléchargé à l'[Étape 2 : Téléchargement de la clé publique d’encapsulage et du jeton d'importation](importing-keys-get-public-key-and-token.md). Vous devez importer les éléments de clé dans la même clé KMS que vous avez spécifiée lorsque vous avez [téléchargé la clé publique et le jeton d'importation](importing-keys-get-public-key-and-token.md). Lorsque l'élément de clé est importé avec succès, l'[état de la clé](key-state.md) KMS passe à `Enabled`, et vous pouvez utiliser la clé KMS dans des opérations de chiffrement.
Lorsque vous importez les éléments de clé, vous pouvez éventuellement [définir une date d'expiration](#importing-keys-expiration) pour ceux-ci. Lorsque les éléments de clé expirent, AWS KMS supprime les éléments de clé et la clé KMS devient inutilisable. Après avoir importé vos éléments de clé, vous ne pouvez pas définir, modifier ou annuler la date d'expiration de l'importation en cours. Pour modifier ces valeurs, vous devez [réimporter](#reimport-key-material) le même élément clé.
Pour toutes les clés KMS ayant une `EXTERNAL` origine, le premier élément clé importé devient actuel et y est associé de façon permanente. Les clés de chiffrement symétriques avec `EXTERNAL` origine prennent en charge la rotation à la demande. Vous pouvez associer plusieurs matériaux clés à des clés importées qui prennent en charge la rotation à la demande. Le processus d'importation de nouveaux éléments clés diffère pour les clés à région unique et multirégionale, comme décrit dans la section [Importer de nouveaux documents clés](#import-new-key-material). Vous devez définir le `importType` paramètre sur `NEW_KEY_MATERIAL` avec l'[ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)action permettant d'associer un nouveau matériau clé à une clé KMS. La valeur par défaut du `ImportType` paramètre facultatif est`EXISTING_KEY_MATERIAL`. Lorsque vous omettez le `ImportType` paramètre ou que vous le spécifiez comme tel`EXISTING_KEY_MATERIAL`, vous devez importer un élément clé précédemment associé à la clé KMS.
Pour les clés asymétriques ou HMAC KMS avec `EXTERNAL` origine, un seul matériau clé peut être associé à la clé. AWS KMS rejettera les demandes d'[ ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)API avec le `ImportType` paramètre.
Lorsque tous les éléments clés associés de façon permanente à une clé KMS sont importés, la clé KMS peut être utilisée dans des opérations cryptographiques. Si l'un de ces éléments clés est supprimé ou autorisé à expirer, l'état de la clé KMS devient inutilisable pour les opérations cryptographiques. `PendingImport`
Pour importer du matériel clé, vous pouvez utiliser la [AWS KMS console](#importing-keys-import-key-material-console) ou l'[ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)API. Vous pouvez utiliser l'API directement en effectuant des requêtes HTTP ou en utilisant un [AWS SDKs[AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/)](https://aws.amazon.com/tools/#sdk)ou [Outils AWS pour PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/).
Lorsque vous importez le matériel clé, une [ImportKeyMaterialentrée](ct-importkeymaterial.md) est ajoutée à votre AWS CloudTrail journal pour enregistrer l'`ImportKeyMaterial`opération. L' CloudTrail entrée est la même que vous utilisiez la AWS KMS console ou l' AWS KMS API.
## Définir un délai d'expiration (facultatif)
Lorsque vous importez les éléments de clé de votre clé KMS, vous pouvez définir une date et une heure d'expiration facultatives pour les éléments de clé pouvant aller jusqu'à 365 jours à compter de la date d'importation. Lorsque le matériel clé importé expire, il est AWS KMS supprimé. Cette action change l'[état de la clé](key-state.md#key-state-table) KMS en `PendingImport`, ce qui l'empêche d'être utilisée dans toute opération cryptographique. Pour utiliser la clé KMS, vous devez [réimporter une copie des éléments de clé originaux](#reimport-key-material).
S'assurer que les éléments de clé importés expirent fréquemment peut vous aider à satisfaire aux exigences réglementaires, mais cela introduit un risque supplémentaire pour les données chiffrées au moyen de la clé KMS. Tant que vous n'avez pas réimporté une copie des éléments de clé originaux, une clé KMS dont les éléments de clé ont expiré est inutilisable, et toutes les données chiffrées au moyen de la clé KMS sont inaccessibles. Si vous ne parvenez pas à réimporter les éléments de clé pour quelque raison que ce soit, y compris la perte de votre copie des éléments de clé originaux, la clé KMS est définitivement inutilisable et les données chiffrées au moyen de la clé KMS sont irrécupérables.
Pour atténuer ce risque, assurez-vous que votre copie du matériel clé importé est accessible et concevez un système pour supprimer et réimporter le matériel clé avant qu'il n'expire et n'interrompe votre AWS charge de travail. Nous vous recommandons de [programmer une alerte](imported-key-material-expiration-alarm.md) pour l'expiration de vos éléments de clé importés, afin de disposer de suffisamment de temps pour réimporter les éléments de clé avant leur expiration. Vous pouvez également utiliser vos CloudTrail journaux pour auditer les opérations d'[importation (et de réimportation) de matériel clé](ct-importkeymaterial.md) et de [suppression de matériel clé importé](ct-deleteimportedkeymaterial.md), ainsi que l' AWS KMS opération de [suppression de matériel clé expiré](ct-deleteexpiredkeymaterial.md).
AWS KMS ne peut pas restaurer, récupérer ou reproduire le contenu clé supprimé. Au lieu de définir une date d'expiration, vous pouvez [supprimer](importing-keys-delete-key-material.md) et [réimporter](#reimport-key-material) périodiquement et par programmation les éléments de clé importés, mais les exigences relatives à la conservation d'une copie des éléments de clé originaux sont les mêmes.
Vous déterminez si et quand les éléments de clé importés expirent lorsque vous importez les éléments de clé importés. Vous pouvez toutefois activer ou désactiver l'expiration, ou définir une nouvelle date d'expiration en réimportant le matériel clé. Utilisez le `ExpirationModel` paramètre [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)pour activer et désactiver l'expiration (`KEY_MATERIAL_EXPIRES``KEY_MATERIAL_DOES_NOT_EXPIRE`) et le `ValidTo` paramètre pour définir le délai d'expiration. Le délai maximal est de 365 jours à compter de la date d'importation ; il n'y a pas de minimum, mais le délai doit être dans le futur.
## Description du matériau clé du set
Les clés de chiffrement symétriques ayant une `EXTERNAL` origine peuvent être associées à plusieurs éléments clés. Vous pouvez spécifier une description facultative du matériau clé lorsque vous importez du matériel clé dans de telles clés. La description peut être utilisée pour garder une trace de l'endroit où le matériau clé correspondant est conservé durablement à l'extérieur AWS KMS.
Pour les clés multirégionales, vous pouvez définir ou modifier la description du matériau clé uniquement sur la clé de région principale. AWS KMS propage automatiquement la description du matériau clé vers les clés de région répliquées.
## Importation d’un nouvel élément de clé
Pour effectuer une rotation à la demande sur une clé KMS de chiffrement symétrique avec du matériel de clé importé, vous devez d'abord importer un nouveau contenu de clé, non associé auparavant à la clé.
+ **Clés de région uniques**
+ Utilisez l'[ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)opération avec le `ImportType` paramètre défini sur `NEW_KEY_MATERIAL` pour accomplir cette tâche. Ce matériau clé n'est pas associé de façon permanente à la clé tant que vous n'avez pas effectué l'[RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html)opération ou que vous ne faites pas pivoter la clé dans le AWS Management Console. D'ici là, ce matériau clé est en bon `PENDING_ROTATION` état. Une clé KMS peut contenir au plus un élément `PENDING_ROTATION` clé à tout moment. Un élément clé en cours `PENDING_ROTATION` peut être supprimé sans affecter l'utilisabilité de la clé dans les opérations cryptographiques.
+ **Clés multi-région**
+ Pour importer du matériel clé dans une clé multirégionale, vous devez d'abord importer le nouveau matériel clé dans la clé de région principale. Vous ne pouvez pas importer directement de nouveaux matériaux clés dans des répliques de clés de région. Après avoir importé de nouveaux éléments clés dans la clé de région principale, vous pouvez importer les mêmes matériaux clés dans les clés de région répliques.
+ Utilisez l'[https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)opération avec le `ImportType` paramètre défini sur **NEW\$1KEY\$1MATERIAL** pour la clé de région principale pour accomplir cette tâche. Pour la clé Region de la réplique, utilisez le **EXISTING\$1KEY\$1MATERIAL** paramètre `ImportType` pour l'`ImportKeyMaterial`opération.
+ Le matériau clé pour le chiffrement symétrique Les clés multirégionales doivent être importés dans toutes les clés de région répliquées et dans toutes les clés de région primaires avant que l'état du matériau clé ne passe à l'état. `PENDING_ROTATION` Jusque-là, l'état du nouveau matériau clé est`PENDING_MULTI_REGION_IMPORT_AND_ROTATION`. Une clé KMS peut contenir au plus un élément `PENDING_ROTATION` ou un `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` état clé à tout moment (voir la `KeyMaterialState` description dans [RotationsListEntry](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotationsListEntry.html)). Un élément clé dans `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` ou dans un `PENDING_ROTATION` état n'est pas associé de façon permanente à la clé et peut être supprimé sans affecter l'utilisabilité de la clé dans les opérations cryptographiques.
## Réimportez le matériel clé
Si vous gérez une clé KMS avec des éléments de clé importés, vous pouvez avoir besoin de les réimporter. Vous pouvez réimporter des éléments de clé pour remplacer des éléments de clé expirés ou supprimés, ou pour modifier le modèle ou la date d'expiration de ceux-ci.
Vous pouvez réimporter des éléments de clé à tout moment, selon une planification qui répond à vos exigences de sécurité. Vous n'avez pas besoin d'attendre que les éléments de clé arrivent à leur date d'expiration ou en soient proches.
La procédure de réimportation du matériel clé est la même que celle que vous utilisez pour importer le matériel clé la première fois, avec les exceptions suivantes.
+ Utilisez une clé KMS existante au lieu de créer une nouvelle clé KMS. Vous pouvez ignorer l'[étape 1](importing-keys-create-cmk.md) de la procédure d'importation.
+ Lorsque vous réimportez des éléments de clé, vous pouvez modifier le modèle et la date d'expiration. Pour les clés de chiffrement symétriques, vous pouvez également modifier la description du matériau de la clé.
Pour les clés multirégionales, vous pouvez définir ou modifier la description du matériau clé uniquement sur la clé de région principale. AWS KMS propage automatiquement la description du matériau clé vers les clés de région répliquées.
Chaque fois que vous importez des éléments de clé pour une clé KMS, vous devez [télécharger et utiliser une nouvelle clé d'encapsulage et un nouveau jeton d'importation](importing-keys-get-public-key-and-token.md) pour la clé KMS. La procédure d'encapsulage n'affecte pas le contenu de l’élément de clé. Vous pouvez ainsi utiliser différentes clés d'encapsulage et algorithmes d’encapsulation différents pour importer le même élément de clé.
## Importer les éléments de clé (console)
Vous pouvez utiliser le AWS Management Console pour importer du matériel clé.
1. Si vous êtes sur la page **Téléchargez votre élément de clé encapsulé**, passez à [Step 10](#id-key-materials-step).
1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
1. Dans le panneau de navigation, choisissez **Clés gérées par le client**.
1. Choisissez l'ID de clé ou l'alias de la clé KMS pour laquelle vous avez téléchargé la clé publique et le jeton d'importation.
1. Choisissez l'onglet **Cryptographic configuration (Configuration de chiffrement)** et affichez ses valeurs. Les onglets se trouvent sur la page détaillée d'une clé KMS située sous la section **General configuration (Configuration générale)**.
Vous pouvez uniquement importer un élément de clé dans des clés KMS d’une **Origine** **Externe (Importation d'éléments de clé)**. Pour plus d'informations sur la création de clés KMS avec des éléments de clé importés, veuillez consulter [Importation de matériel clé pour les AWS KMS clés](importing-keys.md).
1. Choisissez l'onglet approprié en fonction de votre type de clé.
+ Pour les touches asymétriques et HMAC, choisissez l'onglet **Matériau de la clé.**
+ Pour les clés de chiffrement symétriques, choisissez l'onglet **Matériau des clés et rotations.**
1. Choisissez l'action d'importation.
+ Pour les clés asymétriques et HMAC, choisissez **Importer le matériel clé**.
+ Pour les clés de chiffrement symétriques, choisissez l'une des options suivantes :
+ **Importer le matériel clé initial** (si aucun matériel clé n'a encore été importé)
+ **Importer un nouveau matériau clé** (pour ajouter du nouveau matériau pour la rotation)
+ **Réimporter le matériel clé** (disponible dans le menu **Actions** du tableau des matériaux clés)
**Note**
Pour les clés multirégionales, vous devez d'abord importer le nouveau contenu clé dans la clé régionale principale. Importez ensuite le même matériau clé dans chaque réplique de clé de région.
Pour les clés multirégionales principales, le tableau **des matériaux clés** inclut une colonne d'**état d'importation des répliques** qui affiche le statut de l'importation dans toutes les régions de réplication (par exemple, « 0 sur 3 importé »). Choisissez la valeur de l'état d'importation de la réplique pour ouvrir un modal indiquant le statut de l'importation pour chaque région de réplication. Le modal fournit des liens **d'importation de matériaux clés** pour les régions de réplique où le nouveau matériau clé n'a pas été importé.
1. Si vous avez téléchargé l’élément de clé, le jeton d’importation et chiffré l’élément de clé, choisissez **Next** (Suivant).
**Note**
Pour les clés multirégionales, vous devez d'abord importer le nouveau contenu clé dans la clé régionale principale. Vous pouvez ensuite importer le même matériau clé dans les clés de région de la réplique.
1. Dans la section **Éléments clés chiffrés et jeton d'importation**, procédez comme suit.
1. Sous **Élément de clé encapsulé**, choisissez **Choisir un fichier**. Puis, chargez le fichier qui inclut vos clés encapsulées (chiffrées).
1. Sous **Jeton d'importation**, choisissez **Charger un fichier**. Chargez le fichier qui inclut le jeton d'importation que vous avez [téléchargé](importing-keys-get-public-key-and-token.md#importing-keys-get-public-key-and-token-console).
1. Sous **Expiration option (Option d'expiration)**, déterminez si l'élément de clé expire. Pour définir la date et l'heure d'expiration, choisissez **Date d'expiration des clés**, et utilisez le calendrier pour sélectionner une date et une heure. Vous pouvez spécifier une date jusqu'à 365 jours à compter de la date et de l'heure actuelles.
1. Pour les clés de chiffrement symétriques, vous pouvez éventuellement spécifier une description du contenu clé importé.
1. Choisissez **Importer le matériel clé**.
## Importer du matériel clé (AWS KMS API)
Pour importer du matériel clé, utilisez l'[ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)opération. Les exemples suivants utilisent l'[AWS CLI](https://aws.amazon.com/cli/), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.
Pour utiliser cet exemple :
1. Remplacer `1234abcd-12ab-34cd-56ef-1234567890ab` par l'ID de la clé KMS que vous avez spécifié lorsque vous avez téléchargé la clé publique et le jeton d'importation. Pour identifier la clé KMS, utilisez son [ID de clé](concepts.md#key-id-key-id) ou son [ARN de clé](concepts.md#key-id-key-ARN). Vous ne pouvez pas utiliser un [nom d'alias](concepts.md#key-id-alias-name) ou un [ARN d'alias](concepts.md#key-id-alias-ARN) pour cette opération.
1. Remplacez `EncryptedKeyMaterial.bin` par le nom du fichier qui contient les clés chiffrées.
1. Remplacez `ImportToken.bin` par le nom du fichier qui contient le jeton d'importation.
1. Si vous souhaitez que l'élément de clé importé expire, définissez la valeur du paramètre `expiration-model` sur sa valeur par défaut, `KEY_MATERIAL_EXPIRES`, ou omettez le paramètre `expiration-model`. Procédez ensuite au remplacement de la valeur du paramètre `valid-to` par la date et l'heure auxquelles vous souhaitez que l'élément de clé expire. La date et l'heure peuvent aller jusqu'à 365 jours à compter de la date de la requête.
```
$ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--encrypted-key-material fileb://EncryptedKeyMaterial.bin \
--import-token fileb://ImportToken.bin \
--expiration-model KEY_MATERIAL_EXPIRES \
--valid-to 2023-06-17T12:00:00-08:00
```
Si vous souhaitez que l'élément de clé importé n'expire pas, définissez la valeur du paramètre `expiration-model` sur `KEY_MATERIAL_DOES_NOT_EXPIRE`, et omettez le paramètre `valid-to` de la commande.
```
$ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--encrypted-key-material fileb://EncryptedKeyMaterial.bin \
--import-token fileb://ImportToken.bin \
--expiration-model KEY_MATERIAL_DOES_NOT_EXPIRE
```
1. Si vous souhaitez importer de nouveaux éléments clés, non associés auparavant à la clé KMS, définissez le `ImportType` paramètre sur`NEW_KEY_MATERIAL`. Cette option ne peut être utilisée qu'avec des clés de chiffrement symétriques. Pour ces clés, vous pouvez également utiliser le `KeyMaterialDescription` paramètre facultatif pour définir une description du contenu clé importé dans l'exemple de ligne de commande suivant :
```
$ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--encrypted-key-material fileb://EncryptedKeyMaterial.bin \
--import-token fileb://ImportToken.bin \
--expiration-model KEY_MATERIAL_EXPIRES \
--valid-to 2023-06-17T12:00:00-08:00 \
--import-type NEW_KEY_MATERIAL \
--key-material-description "Q2 2025 Rotation"
```
1. Pour les clés multirégionales, vous pouvez définir ou modifier la description du matériau clé uniquement sur la clé de région principale. AWS KMS propage automatiquement la description du matériau clé vers les clés de région répliquées.
**Astuce**
Si la commande échoue, vous pouvez voir un `KMSInvalidStateException` ou un `NotFoundException`. Vous pouvez réessayer la demande.
# Création d'une clé KMS dans un magasin de AWS CloudHSM clés
Après avoir créé un magasin de AWS CloudHSM clés, vous pouvez le créer AWS KMS keys dans votre magasin de clés. Il doit s'agir de [clés KMS de chiffrement symétriques](symm-asymm-choose-key-spec.md#symmetric-cmks) dont le contenu clé est AWS KMS généré. Vous ne pouvez pas créer de [clés KMS asymétriques](symmetric-asymmetric.md), de [clés KMS HMAC](hmac.md) ou de clés KMS avec des [éléments de clé importés](importing-keys.md) dans un magasin de clé personnalisé. De plus, vous ne pouvez pas utiliser de clés KMS de chiffrement symétriques dans un magasin de clés personnalisé pour générer des paires de clés de données asymétriques. KMS ne peut pas communiquer IPv6 avec les magasins de AWS CloudHSM clés.
Pour créer une clé KMS dans un magasin de AWS CloudHSM clés, le magasin de AWS CloudHSM clés doit être [connecté au AWS CloudHSM cluster associé](connect-keystore.md) et le cluster doit en contenir au moins deux actifs HSMs dans des zones de disponibilité différentes. Pour connaître l'état de la connexion et le nombre de HSMs, consultez la [page des magasins de AWS CloudHSM clés](view-keystore.md#view-keystore-console) dans le AWS Management Console. Lorsque vous utilisez les opérations d'API, utilisez l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération pour vérifier que le magasin de AWS CloudHSM clés est connecté. Pour vérifier le nombre de personnes actives HSMs dans le cluster et leurs zones de disponibilité, utilisez l' AWS CloudHSM [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)opération.
Lorsque vous créez une clé KMS dans votre magasin de AWS CloudHSM clés, AWS KMS crée la clé KMS dans AWS KMS. Mais il crée le matériau clé pour la clé KMS dans le AWS CloudHSM cluster associé. Plus précisément, se AWS KMS connecte au cluster en tant que [`kmsuser`CU que vous avez créé](create-keystore.md#before-keystore). Ensuite, il crée une clé symétrique AES 256 bits persistante, non extractible dans le cluster. AWS KMS définit la valeur de l'[attribut de l'étiquette de clé](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-attributes.html), qui est visible uniquement dans le cluster, sur l'Amazon Resource Name (ARN) de la clé KMS.
Lorsque la commande réussit, l'[état de la clé](key-state.md) de la nouvelle clé KMS est `Enabled` et son origine est `AWS_CLOUDHSM`. Vous ne pouvez pas modifier l'origine d'une clé KMS après l'avoir créée. Lorsque vous affichez une clé KMS dans un magasin de AWS CloudHSM clés de la AWS KMS console ou en utilisant l'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)opération, vous pouvez voir des propriétés typiques, telles que son identifiant de clé, son état de clé et sa date de création. Mais vous pouvez également voir l'ID du magasin de clés personnalisé et l'ID du cluster AWS CloudHSM (facultatif).
Si votre tentative de création d'une clé KMS dans votre banque de AWS CloudHSM clés échoue, utilisez le message d'erreur pour en déterminer la cause. Cela peut indiquer que le magasin de AWS CloudHSM clés n'est pas connecté (`CustomKeyStoreInvalidStateException`) ou HSMs que le AWS CloudHSM cluster associé ne possède pas les deux clés actives requises pour cette opération (`CloudHsmClusterInvalidConfigurationException`). Pour obtenir de l'aide, consultez [Dépannage d'un magasin de clés personnalisé](fix-keystore.md).
Pour un exemple du AWS CloudTrail journal de l'opération qui crée une clé KMS dans un magasin de AWS CloudHSM clés, consultez[CreateKey](ct-createkey.md).
## Créez une nouvelle clé KMS dans votre magasin de clés CloudHSM
Vous pouvez créer une clé KMS de chiffrement symétrique dans votre magasin de AWS CloudHSM clés de la AWS KMS console ou en utilisant l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération.
### Utilisation de la AWS KMS console
Utilisez la procédure suivante pour créer une clé KMS de chiffrement symétrique dans un magasin de AWS CloudHSM clés.
**Note**
N'incluez pas d'informations confidentielles ou sensibles dans l'alias, la description ou les balises. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
1. Dans le panneau de navigation, choisissez **Clés gérées par le client**.
1. Choisissez **Create key**.
1. Choisissez **Symmetric (Symétrique)**.
1. Dans **Key usage** (Utilisation de la clé), l'option **Encrypt and decrypt** (Chiffrer et déchiffrer) est sélectionnée pour vous. Ne la modifiez pas.
1. Choisissez **Options avancées**.
1. Dans le champ **Key material origin** (Origine de la clé), sélectionnez **AWS CloudHSM key store** (Magasin de clés).
Vous ne pouvez pas créer de clé multirégionale dans un magasin de AWS CloudHSM clés.
1. Choisissez **Suivant**.
1. Sélectionnez un magasin de AWS CloudHSM clés pour votre nouvelle clé KMS. Pour créer un nouveau magasin de AWS CloudHSM clés, choisissez **Créer un magasin de clés personnalisé**.
Le magasin de AWS CloudHSM clés que vous sélectionnez doit avoir le statut **Connecté**. Son AWS CloudHSM cluster associé doit être actif et en contenir au moins deux actifs HSMs dans des zones de disponibilité différentes.
Pour obtenir de l'aide sur la connexion d'un magasin de AWS CloudHSM clés, consultez[Déconnecter un magasin de AWS CloudHSM clés](connect-keystore.md). Pour obtenir de l'aide concernant l'ajout HSMs, consultez la section [Ajout d'un HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html#add-hsm) dans le *guide de AWS CloudHSM l'utilisateur*.
1. Choisissez **Suivant**.
1. Saisissez un alias et éventuellement une description pour la clé KMS.
1. (Facultatif). Sur la page **Ajouter des identifications**, ajoutez des identifications qui identifient ou catégorisent votre clé KMS.
Lorsque vous ajoutez des balises à vos AWS ressources, AWS génère un rapport de répartition des coûts avec l'utilisation et les coûts agrégés par balises. Les balises peuvent également être utilisées pour contrôler l'accès à une clé KMS. Pour de plus amples informations sur l'étiquetage des clés KMS, veuillez consulter [Tags dans AWS KMS](tagging-keys.md) et [ABAC pour AWS KMS](abac.md).
1. Choisissez **Suivant**.
1. Dans la section **Administrateurs de clé**, sélectionnez les utilisateurs et les rôles IAM qui peuvent gérer la clé KMS. Pour plus d'informations, veuillez consulter la rubrique [Autorise les administrateurs de clé à administrer la clé KMS](key-policy-default.md#key-policy-default-allow-administrators).
**Remarques**
Les politiques IAM peuvent accorder à d'autres utilisateurs et rôles IAM l'autorisation d'utiliser la clé KMS.
Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez [Security best practices in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) (Bonnes pratiques de sécurité dans IAM) dans le *Guide de l'utilisateur IAM*.
La AWS KMS console ajoute des administrateurs clés à la politique clé sous l'identifiant de l'instruction`"Allow access for Key Administrators"`. La modification de cet identifiant d'instruction peut avoir un impact sur la façon dont la console affiche les mises à jour que vous apportez à l'instruction.
1. (Facultatif) Pour empêcher les administrateurs de clé de supprimer cette clé KMS, décochez la case en bas de la page pour **Autoriser les administrateurs de clé à supprimer cette clé.**
1. Choisissez **Suivant**.
1. Dans la section **Ce compte**, sélectionnez les utilisateurs et les rôles IAM autorisés à utiliser la clé KMS dans le cadre d'opérations [cryptographiques](kms-cryptography.md#cryptographic-operations). Compte AWS Pour plus d'informations, veuillez consulter la rubrique [Allows key users to use the KMS key](key-policy-default.md#key-policy-default-allow-users) (Autorise les utilisateurs de clé à utiliser la clé KMS).
**Remarques**
Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez [Security best practices in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) (Bonnes pratiques de sécurité dans IAM) dans le *Guide de l'utilisateur IAM*.
La AWS KMS console ajoute des utilisateurs clés à la politique clé sous les identificateurs de déclaration `"Allow use of the key"` et`"Allow attachment of persistent resources"`. La modification de ces identificateurs de déclaration peut avoir un impact sur la façon dont la console affiche les mises à jour que vous apportez à l'instruction.
1. (Facultatif) Vous pouvez autoriser d'autres Comptes AWS utilisateurs à utiliser cette clé KMS pour des opérations cryptographiques. Pour ce faire, dans la Comptes AWS section **Autre** au bas de la page, choisissez **Ajouter un autre** compte Compte AWS et entrez l' Compte AWS identifiant d'un compte externe. Pour ajouter plusieurs comptes externes, répétez cette étape.
**Note**
Les administrateurs de l'autre Comptes AWS doivent également autoriser l'accès à la clé KMS en créant des politiques IAM pour leurs utilisateurs. Pour de plus amples informations, veuillez consulter [Autoriser des utilisateurs d'autres comptes à utiliser une clé KMS](key-policy-modifying-external-accounts.md).
1. Choisissez **Suivant**.
1. Passez en revue les principales déclarations de politique pour trouver la clé. Pour apporter des modifications à la politique clé, sélectionnez **Modifier**.
1. Choisissez **Suivant**.
1. Passez en revue les paramètres de clé que vous avez choisis. Vous pouvez toujours revenir en arrière et modifier tous les paramètres.
1. Lorsque vous avez terminé, choisissez **Finish (Terminer)** pour créer la clé.
Lorsque la procédure aboutit, l'écran affiche la nouvelle clé KMS dans le magasin de AWS CloudHSM clés que vous avez choisi. Lorsque vous choisissez le nom ou l'alias de la nouvelle clé KMS, l'onglet **Configuration cryptographique** de sa page détaillée affiche l'origine de la clé KMS (**AWS CloudHSM**), le nom, l'ID et le type du magasin de clés personnalisé, ainsi que l'ID du AWS CloudHSM cluster. Si la procédure échoue, un message d'erreur s'affiche qui décrit l'échec.
**Astuce**
Pour faciliter l'identification des clés KMS dans un magasin de clés personnalisé, sur la page **Clés gérées par le client**, ajoutez la colonne **Custom key store ID (ID du magasin de clés personnalisé)** à l'affichage. Cliquez sur l'icône des paramètres en haut à droite et sélectionnez **ID du magasin de clés personnalisé**. Pour en savoir plus, consultez [Personnalisez l'affichage de votre console](viewing-console-customize.md).
### Utilisation de l' AWS KMS API
Pour créer une nouvelle AWS KMS key (clé KMS) dans votre magasin de AWS CloudHSM clés, utilisez l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération. Utilisez le paramètre `CustomKeyStoreId` pour identifier votre magasin de clés personnalisé et spécifier une valeur `Origin` égale à `AWS_CLOUDHSM`.
Vous pouvez également souhaiter utiliser le paramètre `Policy` pour spécifier une politique de clé. Vous pouvez modifier la politique clé ([PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)) et ajouter des éléments facultatifs, tels qu'une [description](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) et des [balises](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) à tout moment.
Les exemples de cette section utilisent la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.
L'exemple suivant commence par un appel à l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération visant à vérifier que le magasin de AWS CloudHSM clés est connecté au AWS CloudHSM cluster associé. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Pour décrire uniquement un magasin de AWS CloudHSM clés en particulier, utilisez son `CustomKeyStoreName` paramètre `CustomKeyStoreId` or (mais pas les deux).
Avant d'exécuter cette commande, remplacez l'exemple d'ID de magasin de clés personnalisé par un ID valide.
**Note**
N'incluez pas d'informations confidentielles ou sensibles dans les champs `Description` ou `Tags`. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
"CustomKeyStores": [
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"CustomKeyStoreType": "AWS CloudHSM key store",
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"TrustAnchorCertificate": "",
"CreationDate": "1.499288695918E9",
"ConnectionState": "CONNECTED"
],
}
```
L'exemple de commande suivant utilise l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)opération pour vérifier que le AWS CloudHSM cluster associé au `ExampleKeyStore` (cluster-1a23b4cdefg) en possède au moins deux actifs. HSMs Si le cluster en compte moins de deux HSMs, l'`CreateKey`opération échoue.
```
$ aws cloudhsmv2 describe-clusters
{
"Clusters": [
{
"SubnetMapping": {
...
},
"CreateTimestamp": 1507133412.351,
"ClusterId": "cluster-1a23b4cdefg",
"SecurityGroup": "sg-865af2fb",
"HsmType": "hsm1.medium",
"VpcId": "vpc-1a2b3c4d",
"BackupPolicy": "DEFAULT",
"Certificates": {
"ClusterCertificate": "-----BEGIN CERTIFICATE-----\...\n-----END CERTIFICATE-----\n"
},
"Hsms": [
{
"AvailabilityZone": "us-west-2a",
"EniIp": "10.0.1.11",
"ClusterId": "cluster-1a23b4cdefg",
"EniId": "eni-ea8647e1",
"StateMessage": "HSM created.",
"SubnetId": "subnet-a6b10bd1",
"HsmId": "hsm-abcdefghijk",
"State": "ACTIVE"
},
{
"AvailabilityZone": "us-west-2b",
"EniIp": "10.0.0.2",
"ClusterId": "cluster-1a23b4cdefg",
"EniId": "eni-ea8647e1",
"StateMessage": "HSM created.",
"SubnetId": "subnet-b6b10bd2",
"HsmId": "hsm-zyxwvutsrqp",
"State": "ACTIVE"
},
],
"State": "ACTIVE"
}
]
}
```
Cet exemple de commande utilise l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération pour créer une clé KMS dans un magasin de AWS CloudHSM clés. Pour créer une clé KMS dans un magasin de AWS CloudHSM clés, vous devez fournir l'ID de magasin de clés personnalisé du magasin de AWS CloudHSM clés et spécifier une `Origin` valeur de`AWS_CLOUDHSM`.
La réponse inclut le magasin IDs de clés personnalisé et le AWS CloudHSM cluster.
Avant d'exécuter cette commande, remplacez l'exemple d'ID de magasin de clés personnalisé par un ID valide.
```
$ aws kms create-key --origin AWS_CLOUDHSM --custom-key-store-id cks-1234567890abcdef0
{
"KeyMetadata": {
"AWSAccountId": "111122223333",
"Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"CreationDate": 1.499288695918E9,
"Description": "Example key",
"Enabled": true,
"MultiRegion": false,
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyManager": "CUSTOMER",
"KeyState": "Enabled",
"KeyUsage": "ENCRYPT_DECRYPT",
"Origin": "AWS_CLOUDHSM"
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"CustomKeyStoreId": "cks-1234567890abcdef0"
"KeySpec": "SYMMETRIC_DEFAULT",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
]
}
}
```
# Création d'une clé KMS dans des magasins de clés externes
Après avoir [créé](create-xks-keystore.md) et [connecté](xks-connect-disconnect.md) votre magasin de clés externe, vous pouvez le créer AWS KMS keys dans votre magasin de clés. Il doit s'agir de [clés KMS de chiffrement symétrique](symm-asymm-choose-key-spec.md#symmetric-cmks) dont la valeur d'origine est **External key store** (Magasin de clés externe) (`EXTERNAL_KEY_STORE`). Vous ne pouvez pas créer de [clés KMS asymétriques](symmetric-asymmetric.md), de [clés KMS HMAC](hmac.md) ou de clés KMS avec des [éléments de clé importés](importing-keys.md) dans un magasin de clé personnalisé. De plus, vous ne pouvez pas utiliser de clés KMS de chiffrement symétriques dans un magasin de clés personnalisé pour générer des paires de clés de données asymétriques.
Une clé KMS dans un magasin de clés externe peut présenter une latence, une durabilité et une disponibilité inférieures à celles d'une clé KMS standard, car elle dépend de composants situés à l'extérieur d' AWS. Avant de créer ou d'utiliser une clé KMS dans un magasin de clés externe, vérifiez que vous avez besoin d'une clé dotée de propriétés de magasin de clés externe.
**Note**
Certains gestionnaires de clés externes proposent une méthode plus simple pour créer des clés KMS dans un magasin de clés externe. Pour en savoir plus, veuillez consulter la documentation de votre gestionnaire de clés externe.
Pour créer une clé KMS dans votre magasin de clés externe, vous devez spécifier les éléments suivants :
+ L'ID de votre magasin de clés externe.
+ Une [origine des éléments de clé](create-keys.md#key-origin) du magasin de clés externe (`EXTERNAL_KEY_STORE`).
+ L'ID d'une [clé externe](keystore-external.md#concept-external-key) existante dans le [gestionnaire de clés externe](keystore-external.md#concept-ekm) associé à votre magasin de clés externe. Cette clé externe fait office d'éléments de clé pour la clé KMS. Vous ne pouvez pas modifier l'ID de clé externe une fois que vous avez créé la clé KMS.
AWS KMS fournit l'ID de clé externe à votre proxy de stockage de clés externe dans les demandes d'opérations de chiffrement et de déchiffrement. AWS KMS ne peut pas accéder directement à votre gestionnaire de clés externe ou à l'une de ses clés cryptographiques.
Outre la clé externe, une clé KMS dans un magasin de clés externe contient également du matériel AWS KMS clé. Toutes les données chiffrées sous la clé KMS sont d'abord cryptées à l' AWS KMS aide du contenu de la AWS KMS clé, puis par votre gestionnaire de clés externe à l'aide de votre clé externe. Ce processus de [double chiffrement](keystore-external.md#concept-double-encryption) garantit que le texte chiffré protégé par une clé KMS dans un magasin de clés externe est au moins aussi robuste que le texte chiffré protégé uniquement par AWS KMS. Pour en savoir plus, consultez [Fonctionnement des magasins de clés externes](keystore-external.md#xks-how-it-works).
Lorsque l'opération `CreateKey` aboutit, l'[état de clé](key-state.md) de la nouvelle clé KMS est `Enabled`. Lorsque vous [consultez une clé KMS dans un magasin de clés externe](identify-key-types.md#view-xks-key), vous pouvez afficher les propriétés classiques, comme son ID de clé, sa [spécification de clé](create-keys.md#key-spec), son [utilisation de clé](create-keys.md#key-usage), son [état de clé](key-state.md) et sa date de création. Mais vous pouvez également voir l'ID et [l'état de connexion](xks-connect-disconnect.md#xks-connection-state) du magasin de clés externe ainsi que l'ID de la clé externe.
Si votre tentative de créer une clé KMS dans votre magasin de clés externe échoue, utilisez le message d'erreur pour identifier la cause. Il peut indiquer que le magasin de clés externe n'est pas connecté (`CustomKeyStoreInvalidStateException`), que le proxy de votre magasin de clés externe ne trouve pas de clé externe avec l'ID de clé externe spécifié (`XksKeyNotFoundException`) ou que la clé externe est déjà associée à une clé KMS dans le même magasin de clés externe `XksKeyAlreadyInUseException`.
Pour un exemple du AWS CloudTrail journal de l'opération qui crée une clé KMS dans un magasin de clés externe, consultez[CreateKey](ct-createkey.md).
**Topics**
+ [Exigences relatives à une clé KMS dans un magasin de clés externe](#xks-key-requirements)
+ [Créez une nouvelle clé KMS dans votre magasin de clés externe](#create-key-xks)
## Exigences relatives à une clé KMS dans un magasin de clés externe
Pour créer une clé KMS dans un magasin de clés externe, les propriétés suivantes sont requises pour le magasin de clés externe, la clé KMS et la clé externe qui fait office d'éléments de clé cryptographique externe pour la clé KMS.
**Exigences relatives au magasin de clés externe**
+ Doit être connecté à son proxy de magasin de clés externe.
Pour consulter l'[état de connexion](xks-connect-disconnect.md#xks-connection-state) de votre magasin de clés externe, veuillez consulter la rubrique [Afficher les magasins de clés externes](view-xks-keystore.md). Pour connecter votre magasin de clés externe, veuillez consulter la rubrique [Connecter et déconnecter les magasins de clés externes](xks-connect-disconnect.md).
**Exigences relatives aux clés KMS**
Vous ne pouvez pas modifier ces propriétés après la création de la clé KMS.
+ Spécification de clé : SYMMETRIC\$1DEFAULT
+ Utilisation de clé : ENCRYPT\$1DECRYPT
+ Origine des éléments de clé : EXTERNAL\$1KEY\$1STORE
+ Multi-région : FALSE
**Exigences relatives aux clés externes**
+ Clé cryptographique AES 256 bits (256 bits aléatoires). La propriété `KeySpec` de la clé externe doit être `AES_256`.
+ Activé et disponible pour utilisation. La propriété `Status` de la clé externe doit être `ENABLED`.
+ Configuré pour le chiffrement et le déchiffrement. La propriété `KeyUsage` de la clé externe doit inclure `ENCRYPT` et `DECRYPT`.
+ Utilisé uniquement avec cette clé KMS. Chaque `KMS key` d'un magasin de clés externe doit être associée à une clé externe différente.
AWS KMS recommande également que la clé externe soit utilisée exclusivement pour le magasin de clés externe. Cette restriction facilite l'identification et la résolution des problèmes liés à la clé.
+ Accessible par le [proxy de magasin de clés externe](keystore-external.md#concept-xks-proxy) pour le magasin de clés externe.
Si le proxy de magasin de clés externe ne trouve pas la clé à l'aide de l'ID de clé externe spécifié, l'opération `CreateKey` échoue.
+ Peut gérer le trafic prévu Services AWS généré par votre utilisation. AWS KMS recommande que les clés externes soient préparées pour traiter jusqu'à 1 800 demandes par seconde.
## Créez une nouvelle clé KMS dans votre magasin de clés externe
Vous pouvez créer une nouvelle clé KMS dans votre magasin de clés externe dans la AWS KMS console ou en utilisant l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération.
### Utilisation de la AWS KMS console
Il existe deux manières de créer une clé KMS dans un magasin de clés externe.
+ Méthode 1 (recommandée) : choisissez un magasin de clés externe, puis créez une clé KMS dans ce magasin de clés externe.
+ Méthode 2 : créez une clé KMS, puis indiquez qu'elle se trouve dans un magasin de clés externe.
Si vous utilisez la méthode 1, dans laquelle vous choisissez votre magasin de clés externe avant de créer votre clé, choisissez AWS KMS toutes les propriétés de clé KMS requises pour vous et renseignez l'ID de votre magasin de clés externe. Cette méthode évite les erreurs que vous pourriez commettre lors de la création de votre clé KMS.
**Note**
N'incluez pas d'informations confidentielles ou sensibles dans l'alias, la description ou les balises. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
**Méthode 1 (recommandée) : démarrer dans votre magasin de clés externe**
Pour utiliser cette méthode, choisissez votre magasin de clés externe, puis créez une clé KMS. La AWS KMS console choisit pour vous toutes les propriétés requises et renseigne l'ID de votre banque de clés externe. Cette méthode évite les nombreuses erreurs que vous pourriez commettre lors de la création de votre clé KMS.
1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
1. Dans le panneau de navigation, sélectionnez **Custom key stores** (Magasins de clés personnalisés), **External key stores** (Magasins de clés externes).
1. Choisissez le nom de votre magasin de clés externe.
1. Dans le coin supérieur droit, choisissez **Create a KMS key in this key store** (Créer une clé KMS dans ce magasin de clés).
Si le magasin de clés externe *n'est pas* connecté, vous serez invité à le connecter. Si la tentative de connexion échoue, vous devez résoudre le problème et connecter le magasin de clés externe avant de pouvoir y créer une clé KMS.
Si le magasin de clés externe est connecté, vous êtes redirigé vers la page **Customer managed keys** (Clés gérées par le client) pour créer une clé. Les valeurs de **Key configuration** (Configuration de clé) requises sont déjà choisies pour vous. En outre, l'ID du magasin de clés personnalisé de votre magasin de clés externe est renseigné, bien que vous puissiez le modifier.
1. Saisissez l'ID de clé d'une [clé externe](keystore-external.md#concept-external-key) dans votre [gestionnaire de clés externe](keystore-external.md#concept-ekm). Cette clé externe doit [remplir les conditions requises](#xks-key-requirements) pour être utilisée avec une clé KMS. Vous ne pouvez pas modifier cette valeur après la création de la clé.
Si la clé externe en possède plusieurs IDs, entrez l'ID de clé utilisé par le proxy de stockage de clés externe pour identifier la clé externe.
1. Confirmez que vous avez l'intention de créer une clé KMS dans le magasin de clés externe spécifié.
1. Choisissez **Suivant**.
Le reste de cette procédure est identique à la [création d'une clé KMS standard](create-keys.md).
1. Saisissez un alias (obligatoire) et une description (facultative) pour la clé KMS.
1. (Facultatif) Sur la page **Ajouter des identifications**, ajoutez des identifications qui identifient ou catégorisent votre clé KMS.
Lorsque vous ajoutez des balises à vos AWS ressources, AWS génère un rapport de répartition des coûts avec l'utilisation et les coûts agrégés par balises. Les balises peuvent également être utilisées pour contrôler l'accès à une clé KMS. Pour de plus amples informations sur l'étiquetage des clés KMS, veuillez consulter [Tags dans AWS KMS](tagging-keys.md) et [ABAC pour AWS KMS](abac.md).
1. Choisissez **Suivant**.
1. Dans la section **Administrateurs de clé**, sélectionnez les utilisateurs et les rôles IAM qui peuvent gérer la clé KMS. Pour plus d'informations, veuillez consulter la rubrique [Autorise les administrateurs de clé à administrer la clé KMS](key-policy-default.md#key-policy-default-allow-administrators).
**Note**
Les politiques IAM peuvent accorder à d'autres utilisateurs et rôles IAM l'autorisation d'utiliser la clé KMS.
Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez [Security best practices in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) (Bonnes pratiques de sécurité dans IAM) dans le *Guide de l'utilisateur IAM*.
1. (Facultatif) Pour empêcher les administrateurs de clé de supprimer cette clé KMS, décochez la case **Allow key administrators to delete this key** (Autoriser les administrateurs de clé à supprimer cette clé).
La suppression d'une clé KMS est une opération destructrice et irréversible, qui peut rendre le texte chiffré irrécupérable. Vous ne pouvez pas recréer une clé KMS symétrique dans un magasin de clés externe, même si vous disposez des éléments de clé externe. Cependant, la suppression d'une clé KMS n'a aucun effet sur la clé externe qui lui est associée. Pour plus d'informations sur la suppression d'une clé KMS d'un magasin de clés externe, consultez la section [Considérations spéciales relatives à la suppression de clés](deleting-keys.md#special-considerations-delete).
1. Choisissez **Suivant**.
1. Dans la section **Ce compte**, sélectionnez les utilisateurs et les rôles IAM autorisés à utiliser la clé KMS dans le cadre d'opérations [cryptographiques](kms-cryptography.md#cryptographic-operations). Compte AWS Pour plus d'informations, veuillez consulter la rubrique [Allows key users to use the KMS key](key-policy-default.md#key-policy-default-allow-users) (Autorise les utilisateurs de clé à utiliser la clé KMS).
**Note**
Les politiques IAM peuvent accorder à d'autres utilisateurs et rôles IAM l'autorisation d'utiliser la clé KMS.
Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez [Security best practices in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) (Bonnes pratiques de sécurité dans IAM) dans le *Guide de l'utilisateur IAM*.
1. (Facultatif) Vous pouvez autoriser d'autres Comptes AWS utilisateurs à utiliser cette clé KMS pour des opérations cryptographiques. Pour ce faire, dans la Comptes AWS section **Autre** au bas de la page, choisissez **Ajouter un autre** compte Compte AWS et entrez l' Compte AWS identifiant d'un compte externe. Pour ajouter plusieurs comptes externes, répétez cette étape.
**Note**
Les administrateurs de l'autre Comptes AWS doivent également autoriser l'accès à la clé KMS en créant des politiques IAM pour leurs utilisateurs. Pour de plus amples informations, veuillez consulter [Autoriser des utilisateurs d'autres comptes à utiliser une clé KMS](key-policy-modifying-external-accounts.md).
1. Choisissez **Suivant**.
1. Passez en revue les paramètres de clé que vous avez choisis. Vous pouvez toujours revenir en arrière et modifier tous les paramètres.
1. Lorsque vous avez terminé, choisissez **Finish (Terminer)** pour créer la clé.
**Méthode 2 : démarrer avec les clés gérées par le client**
Cette procédure est identique à la procédure de création d'une clé de chiffrement symétrique avec du matériel AWS KMS clé. Mais, dans le cadre de cette procédure, vous spécifiez l'ID du magasin de clés personnalisé du magasin de clés externe et l'ID de la clé externe. Vous devez également spécifier les [valeurs de propriété requises](#xks-key-requirements) pour une clé KMS dans un magasin de clés externe, telles que la spécification de clé et l'utilisation de la clé.
1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
1. Dans le panneau de navigation, choisissez **Clés gérées par le client**.
1. Choisissez **Create key**.
1. Choisissez **Symmetric (Symétrique)**.
1. Dans **Key usage** (Utilisation de la clé), l'option **Encrypt and decrypt** (Chiffrer et déchiffrer) est sélectionnée pour vous. Ne la modifiez pas.
1. Choisissez **Options avancées**.
1. Pour **Key material origin** (Origine des éléments de clé), choisissez **External key store** (Magasin de clés externe).
1. Confirmez que vous avez l'intention de créer une clé KMS dans le magasin de clés externe spécifié.
1. Choisissez **Suivant**.
1. Choisissez la ligne qui représente le magasin de clés externe pour votre nouvelle clé KMS.
Vous ne pouvez pas choisir un magasin de clés externe déconnecté. Pour connecter un magasin de clés déconnecté, choisissez le nom du magasin de clés, puis, dans **Key store actions** (Actions du magasin de clés), choisissez **Connect** (Connecter). Pour en savoir plus, consultez [Utilisation de la AWS KMS console](about-xks-connecting.md#connect-xks-console).
1. Saisissez l'ID de clé d'une [clé externe](keystore-external.md#concept-external-key) dans votre [gestionnaire de clés externe](keystore-external.md#concept-ekm). Cette clé externe doit [remplir les conditions requises](#xks-key-requirements) pour être utilisée avec une clé KMS. Vous ne pouvez pas modifier cette valeur après la création de la clé.
Si la clé externe en possède plusieurs IDs, entrez l'ID de clé utilisé par le proxy de stockage de clés externe pour identifier la clé externe.
1. Choisissez **Suivant**.
Le reste de cette procédure est identique à la [création d'une clé KMS standard](create-keys.md).
1. Saisissez un alias et éventuellement une description pour la clé KMS.
1. (Facultatif). Sur la page **Ajouter des identifications**, ajoutez des identifications qui identifient ou catégorisent votre clé KMS.
Lorsque vous ajoutez des balises à vos AWS ressources, AWS génère un rapport de répartition des coûts avec l'utilisation et les coûts agrégés par balises. Les balises peuvent également être utilisées pour contrôler l'accès à une clé KMS. Pour de plus amples informations sur l'étiquetage des clés KMS, veuillez consulter [Tags dans AWS KMS](tagging-keys.md) et [ABAC pour AWS KMS](abac.md).
1. Choisissez **Suivant**.
1. Dans la section **Administrateurs de clé**, sélectionnez les utilisateurs et les rôles IAM qui peuvent gérer la clé KMS. Pour plus d'informations, veuillez consulter la rubrique [Autorise les administrateurs de clé à administrer la clé KMS](key-policy-default.md#key-policy-default-allow-administrators).
**Note**
Les politiques IAM peuvent accorder à d'autres utilisateurs et rôles IAM l'autorisation d'utiliser la clé KMS.
1. (Facultatif) Pour empêcher les administrateurs de clé de supprimer cette clé KMS, décochez la case **Allow key administrators to delete this key** (Autoriser les administrateurs de clé à supprimer cette clé).
La suppression d'une clé KMS est une opération destructrice et irréversible, qui peut rendre le texte chiffré irrécupérable. Vous ne pouvez pas recréer une clé KMS symétrique dans un magasin de clés externe, même si vous disposez des éléments de clé externe. Cependant, la suppression d'une clé KMS n'a aucun effet sur la clé externe qui lui est associée. Pour plus d'informations sur la suppression d'une clé KMS d'un magasin de clés externe, veuillez consulter la rubrique [Supprimer un AWS KMS key](deleting-keys.md).
1. Choisissez **Suivant**.
1. Dans la section **Ce compte**, sélectionnez les utilisateurs et les rôles IAM autorisés à utiliser la clé KMS dans le cadre d'opérations [cryptographiques](kms-cryptography.md#cryptographic-operations). Compte AWS Pour plus d'informations, veuillez consulter la rubrique [Allows key users to use the KMS key](key-policy-default.md#key-policy-default-allow-users) (Autorise les utilisateurs de clé à utiliser la clé KMS).
**Note**
Les politiques IAM peuvent accorder à d'autres utilisateurs et rôles IAM l'autorisation d'utiliser la clé KMS.
1. (Facultatif) Vous pouvez autoriser d'autres Comptes AWS utilisateurs à utiliser cette clé KMS pour des opérations cryptographiques. Pour ce faire, dans la Comptes AWS section **Autre** au bas de la page, choisissez **Ajouter un autre** compte Compte AWS et entrez l' Compte AWS identifiant d'un compte externe. Pour ajouter plusieurs comptes externes, répétez cette étape.
**Note**
Les administrateurs de l'autre Comptes AWS doivent également autoriser l'accès à la clé KMS en créant des politiques IAM pour leurs utilisateurs. Pour de plus amples informations, veuillez consulter [Autoriser des utilisateurs d'autres comptes à utiliser une clé KMS](key-policy-modifying-external-accounts.md).
1. Choisissez **Suivant**.
1. Passez en revue les paramètres de clé que vous avez choisis. Vous pouvez toujours revenir en arrière et modifier tous les paramètres.
1. Lorsque vous avez terminé, choisissez **Finish (Terminer)** pour créer la clé.
Lorsque la procédure réussit, l'écran affiche la nouvelle clé KMS dans le magasin de clés externe que vous avez choisi. Lorsque vous choisissez le nom ou l'alias de la nouvelle clé KMS, l'onglet **Cryptographic configuration** (Configuration cryptographique) de sa page de détails affiche l'origine de la clé KMS (**External key store** [Magasin de clés externe]), le nom, l'ID et le type du magasin de clés personnalisé, et l'ID, l'utilisation de clé et l'état de la clé externe. Si la procédure échoue, un message d'erreur s'affiche qui décrit l'échec. Pour , veuillez consulter la rubrique [Résoudre les problèmes liés aux magasins de clés externes](xks-troubleshooting.md).
**Astuce**
Pour faciliter l'identification des clés KMS dans un magasin de clés personnalisé, sur la page **Customer managed keys** (Clés gérées par le client), ajoutez les colonnes **Origin** (Origine) et **Custom key store ID** (ID de magasin de clés personnalisé) à l'affichage. Pour modifier les champs du tableau, cliquez sur l'icône d'engrenage dans le coin supérieur droit de la page. Pour en savoir plus, consultez [Personnalisez l'affichage de votre console](viewing-console-customize.md).
### Utilisation de l' AWS KMS API
Pour créer une nouvelle clé KMS dans un magasin de clés externe, utilisez l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération. Les paramètres suivants sont obligatoires :
+ La valeur `Origin` doit être `EXTERNAL_KEY_STORE`.
+ Le paramètre `CustomKeyStoreId` identifie votre magasin de clés externe. La valeur [`ConnectionState`](xks-connect-disconnect.md#xks-connection-state) du magasin de clés externe spécifié doit être `CONNECTED`. Pour trouver les valeurs de `CustomKeyStoreId` et de `ConnectionState`, utilisez l'opération `DescribeCustomKeyStores`.
+ Le paramètre `XksKeyId` identifie la clé externe. Cette clé externe doit [remplir les conditions requises](#xks-key-requirements) pour être associée à une clé KMS.
Vous pouvez également utiliser n'importe lequel des paramètres facultatifs de l'opération `CreateKey`, tels que les paramètres `Policy` ou [Balises](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html).
**Note**
N'incluez pas d'informations confidentielles ou sensibles dans les champs `Description` ou `Tags`. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
Les exemples de cette section utilisent la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.
Cet exemple de commande utilise l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération pour créer une clé KMS dans un magasin de clés externe. La réponse contient les propriétés des clés KMS, l'ID du magasin de clés externe, ainsi que l'ID, l'utilisation et l'état de la clé externe.
Avant d'exécuter cette commande, remplacez l'exemple d'ID de magasin de clés personnalisé par un ID valide.
```
$ aws kms create-key --origin EXTERNAL_KEY_STORE --custom-key-store-id cks-1234567890abcdef0 --xks-key-id bb8562717f809024
{
"KeyMetadata": {
"Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"AWSAccountId": "111122223333",
"CreationDate": "2022-12-02T07:48:55-07:00",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"CustomKeyStoreId": "cks-1234567890abcdef0",
"Description": "",
"Enabled": true,
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyManager": "CUSTOMER",
"KeySpec": "SYMMETRIC_DEFAULT",
"KeyState": "Enabled",
"KeyUsage": "ENCRYPT_DECRYPT",
"MultiRegion": false,
"Origin": "EXTERNAL_KEY_STORE",
"XksKeyConfiguration": {
"Id": "bb8562717f809024"
}
}
}
```