Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création de clés principales multi-région
Vous pouvez créer une clé principale multi-région dans la console AWS KMS ou à l'aide de l'API AWS KMS. Vous pouvez créer la clé principale dans n'importe quelle Région AWS où AWS KMS prend en charge les clés multi-région.
Pour créer une clé primaire multirégionale, le principal a besoin des mêmes autorisations que celles dont il a besoin pour créer n'importe quelle clé KMS, y compris l'CreateKeyautorisation kms : dans une politique IAM. Le principal a également besoin de l'CreateServiceLinkedRoleautorisation iam :. Vous pouvez utiliser la clé de MultiRegionKeyType condition kms : pour autoriser ou refuser l'autorisation de créer des clés primaires multirégionales.
Ces instructions créent une clé principale multi-région avec des éléments de clé générés par AWS KMS. Pour créer une clé principale multi-région avec des éléments de clé importés, veuillez consulter Création d'une clé principale avec des éléments de clé importés.
Rubriques
Création d'une clé principale multi-région (console)
Pour créer une clé principale multi-région dans la console AWS KMS, utilisez le même processus que vous utiliseriez pour créer n'importe quelle clé KMS. Vous sélectionnez une clé multi-région dans Advanced options (Options avancées). Pour obtenir des instructions complètes, veuillez consulter Création de clés.
Important
N'incluez pas d'informations confidentielles ou sensibles dans l'alias, la description ou les balises. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
-
Connectez-vous à AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms
. -
Pour changer le paramètre Région AWS, utilisez le sélecteur de région dans l'angle supérieur droit de la page.
-
Dans le volet de navigation, choisissez Clés gérées par le client.
-
Choisissez Create key.
-
Sélectionnez un type de clé symétrique ou asymétrique. Les clés symétriques sont les valeurs par défaut.
Vous pouvez créer des clés symétriques et asymétriques multi-région, y compris des clés HMAC KMS multi-région, qui sont symétriques.
-
Sélectionnez l'utilisation de vos clés. Encrypt and decrypt (Chiffrer et déchiffrer) est la valeur par défaut.
Pour obtenir de l'aide, veuillez consulter Création de clés, Création de clés KMS asymétriques ou Création de clés KMS HMAC.
-
(Facultatif) Développez Options avancées.
-
Pour que AWS KMS génère les éléments de clé que vos clés principales et de réplica partageront, sélectionnez KMS sous Key material origin (Origine des éléments de clé). Si vous importez des éléments de clé dans les clés principales et clés de réplica, sélectionnez External (Import key material) (Externe (Importation des éléments de clé)).
-
Sous Multi-Region replication (Réplication multi-région), choisissez Allow this key to be replicated into other Regions (Autoriser cette clé à être répliquée dans d'autres régions).
Vous ne pouvez pas modifier ce paramètre une fois que vous créez la clé KMS.
-
Saisissez un alias pour la clé principale.
Les alias ne sont pas une propriété partagée de clés multi-région. Vous pouvez attribuer à votre clé principale multi-région et à ses réplicas le même alias ou des alias différents. AWS KMS ne synchronise pas les alias des clés multi-région.
Note
L'ajout, la suppression ou la mise à jour d'un alias peut permettre d'accorder ou de refuser l'autorisation d'utiliser la KMS. Pour plus de détails, veuillez consulter ABAC pour AWS KMS et Utilisation d'alias pour contrôler l'accès aux clés KMS.
-
(Facultatif) Saisissez une description de la clé principale.
Les descriptions ne sont pas une propriété partagée des clés multi-région. Vous pouvez donner à votre clé principale multi-région et à ses réplicas la même description ou des descriptions différentes. AWS KMS ne synchronise pas les descriptions de clé des clés multi-région.
-
(Facultatif) Saisissez une clé de balise et une valeur de balise facultative. Pour affecter plus d'une balise à la clé principale, sélectionnez Add tag (Ajouter une balise).
Les balises ne sont pas une propriété partagée des clés multi-région. Vous pouvez attribuer à votre clé principale multi-région et à ses réplicas les mêmes balises ou des balises différentes. AWS KMS ne synchronise pas les balises des clés multi-région. Vous pouvez modifier les balises des clés KMS à tout moment.
Note
L'ajout ou la suppression d'une balise sur une KMS permet d'accorder ou de refuser l'autorisation d'utilisation de cette clé KMS. Pour plus de détails, veuillez consulter ABAC pour AWS KMS et Utilisation de balises pour contrôler l'accès aux clés KMS.
-
Sélectionnez les utilisateurs et les rôles IAM qui peuvent administrer la clé principale.
Note
Les politiques IAM peuvent accorder à d'autres utilisateurs et rôles l'autorisation de gérer la clé KMS.
Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez Security best practices in IAM (Bonnes pratiques de sécurité dans IAM) dans le Guide de l'utilisateur IAM.
Cette étape démarre le processus de création d'une politique de clé pour la clé principale. Les politiques de clé ne sont pas une propriété partagée des clés multi-région. Vous pouvez attribuer à votre clé principale multi-région et à ses réplicas la même politique de clé ou des politiques de clé différentes. AWS KMS ne synchronise pas les politiques de clé des clés multi-région. Vous pouvez modifier la politique de clé d'une clé KMS à tout moment.
-
Suivez les étapes de création de la politique de clé, y compris sur la sélection des utilisateurs de clés. Après avoir passé en revue la politique de clé, choisissez Finish (Terminer) pour créer la clé KMS.
Création d'une clé principale multi-région (API AWS KMS)
Pour créer une clé primaire multirégionale, utilisez l'CreateKeyopération. Utilisez le paramètre MultiRegion avec la valeur True.
Par exemple, la commande suivante crée une clé principale multi-région dans la Région AWS (us-east-1) de l'appelant. Elle accepte les valeurs par défaut pour toutes les autres propriétés, y compris la politique de clé. Les valeurs par défaut pour les clés principales multi-région sont les mêmes que les valeurs par défaut pour toutes les autres clés KMS, y compris la politique de clé par défaut. Cette procédure crée une clé de chiffrement symétrique, la clé KMS par défaut.
La réponse inclut l'élément MultiRegion et l'élément MultiRegionConfiguration avec des sous-éléments et des valeurs typiques pour une clé principale multi-région sans clés de réplica. L'ID de clé d'une clé multi-région commence toujours par mrk-.
Important
N'incluez pas d'informations confidentielles ou sensibles dans les champs Description ou Tags. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
aws kms create-key --multi-region${ "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "Enabled": true, "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1606329032.475, "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "AWSAccountId": "111122223333", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-east-1" }, "ReplicaKeys": [ ] } } }
