Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création de clés primaires multirégionales
Vous pouvez créer une clé primaire multirégionale dans la AWS KMS console ou à l'aide de l' AWS KMS API. Vous pouvez créer la clé primaire partout Région AWS où les clés multirégionales sont prises AWS KMS en charge.
Pour créer une clé primaire multirégionale, le principal a besoin des mêmes autorisations que celles dont il a besoin pour créer n'importe quelle clé KMS, y compris l'CreateKeyautorisation kms : dans une politique IAM. Le principal a également besoin de l'CreateServiceLinkedRoleautorisation iam :. Vous pouvez utiliser la clé de MultiRegionKeyType condition kms : pour autoriser ou refuser l'autorisation de créer des clés primaires multirégionales.
Note
Lorsque vous créez votre clé primaire multirégionale, prenez bien en compte les utilisateurs et les rôles IAM que vous sélectionnez pour administrer et utiliser la clé. Les politiques IAM peuvent accorder à d'autres utilisateurs et rôles l'autorisation de gérer la clé KMS.
Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez Security best practices in IAM (Bonnes pratiques de sécurité dans IAM) dans le Guide de l'utilisateur IAM.
Pour créer une clé primaire multirégionale dans la AWS KMS console, utilisez le même processus que celui que vous utiliseriez pour créer n'importe quelle clé KMS. Vous sélectionnez une clé multi-région dans Advanced options (Options avancées). Pour obtenir des instructions complètes, veuillez consulter Création d'une clé KMS.
Important
N'incluez pas d'informations confidentielles ou sensibles dans l'alias, la description ou les balises. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
-
Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.
-
Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
-
Dans le volet de navigation, sélectionnez Clés gérées par le client.
-
Choisissez Create key.
-
Sélectionnez un type de clé symétrique ou asymétrique. Les clés symétriques sont les valeurs par défaut.
Vous pouvez créer des clés symétriques et asymétriques multi-région, y compris des clés HMAC KMS multi-région, qui sont symétriques.
-
Sélectionnez l'utilisation de vos clés. Encrypt and decrypt (Chiffrer et déchiffrer) est la valeur par défaut.
Pour obtenir de l'aide, veuillez consulter Création d'une clé KMS, Créer une clé KMS asymétrique ou Créer une clé KMS HMAC.
-
(Facultatif) Développez Options avancées.
-
Sous Origine du matériau clé, pour avoir AWS KMS généré le matériel clé que vos clés principales et répliques partageront, choisissez KMS. Si vous importez des éléments de clé dans les clés principales et clés de réplica, sélectionnez External (Import key material) (Externe (Importation des éléments de clé)).
-
Sous Régionalité, choisissez la clé multirégionale.
Vous ne pouvez pas modifier ce paramètre une fois que vous créez la clé KMS.
-
Saisissez un alias pour la clé principale.
Les alias ne sont pas une propriété partagée de clés multi-région. Vous pouvez attribuer à votre clé primaire multirégionale et à ses répliques le même alias ou des alias différents. AWS KMS ne synchronise pas les alias des clés multirégionales.
Note
L'ajout, la suppression ou la mise à jour d'un alias peut permettre d'accorder ou de refuser l'autorisation d'utiliser la KMS. Pour plus de détails, veuillez consulter ABAC pour AWS KMS et Utiliser des alias pour contrôler l'accès aux clés KMS.
-
(Facultatif) Saisissez une description de la clé principale.
Les descriptions ne sont pas une propriété partagée des clés multi-région. Vous pouvez donner à votre clé primaire multirégionale et à ses répliques la même description ou des descriptions différentes. AWS KMS ne synchronise pas les descriptions des clés multirégionales.
-
(Facultatif) Saisissez une clé de balise et une valeur de balise facultative. Pour affecter plus d'une balise à la clé principale, sélectionnez Add tag (Ajouter une balise).
Les balises ne sont pas une propriété partagée des clés multi-région. Vous pouvez attribuer à votre clé principale multi-région et à ses réplicas les mêmes balises ou des balises différentes. AWS KMS ne synchronise pas les balises des clés multi-région. Vous pouvez modifier les balises des clés KMS à tout moment.
Note
L'ajout ou la suppression d'une balise sur une KMS permet d'accorder ou de refuser l'autorisation d'utilisation de cette clé KMS. Pour plus de détails, veuillez consulter ABAC pour AWS KMS et Utiliser des balises pour contrôler l'accès aux clés KMS.
-
Sélectionnez les utilisateurs et les rôles IAM qui peuvent administrer la clé principale.
Remarques
-
Cette étape démarre le processus de création d'une politique de clé pour la clé principale. Les politiques de clé ne sont pas une propriété partagée des clés multi-région. Vous pouvez attribuer à votre clé primaire multirégionale et à ses répliques la même politique clé ou des politiques clés différentes. AWS KMS ne synchronise pas les politiques clés des clés multirégionales. Vous pouvez modifier la politique de clé d'une clé KMS à tout moment.
-
Lorsque vous créez une clé primaire multirégionale, pensez à utiliser la politique de clé par défaut générée par la console. Si vous modifiez cette politique, la console ne fournira pas d'étapes pour sélectionner les administrateurs et les utilisateurs clés lors de la création de répliques de clés, et elle n'ajoutera pas non plus les déclarations de politique correspondantes. Par conséquent, vous devrez les ajouter manuellement.
La AWS KMS console ajoute des administrateurs clés à la politique clé sous l'identifiant de l'instruction
"Allow access for Key Administrators". La modification de cet identifiant d'instruction peut avoir un impact sur la façon dont la console affiche les mises à jour que vous apportez à l'instruction.
-
-
(Facultatif) Pour empêcher les utilisateurs et les rôles IAM sélectionnés de supprimer cette clé KMS, dans la section Key deletion (Suppression de la clé) en bas de la page, décochez la case Allow key administrators to delete this key (Autoriser les administrateurs de clé à supprimer cette clé).
-
Choisissez Suivant.
-
Sélectionnez les utilisateurs et les rôles IAM qui peuvent utiliser la clé KMS pour les opérations crytographiques.
Remarques
La AWS KMS console ajoute des utilisateurs clés à la politique clé sous les identificateurs de déclaration
"Allow use of the key"et"Allow attachment of persistent resources". La modification de ces identificateurs de déclaration peut avoir un impact sur la façon dont la console affiche les mises à jour que vous apportez à l'instruction. -
(Facultatif) Vous pouvez autoriser d'autres Comptes AWS utilisateurs à utiliser cette clé KMS pour des opérations cryptographiques. Pour cela, dans la section Autres Comptes AWS en bas de la page, sélectionnez Ajouter un autre Compte AWS et saisissez le numéro d'identification Compte AWS d'un compte externe. Pour ajouter plusieurs comptes externes, répétez cette étape.
Note
Pour autoriser les principaux des comptes externes à utiliser la clé KMS, les administrateurs du compte externe doivent créer des politiques IAM qui fournissent ces autorisations. Pour de plus amples informations, veuillez consulter Autoriser des utilisateurs d'autres comptes à utiliser une clé KMS.
-
Choisissez Suivant.
-
Passez en revue les principales déclarations de politique pour la clé. Pour apporter des modifications à la politique clé, sélectionnez Modifier.
-
Choisissez Suivant.
-
Passez en revue les paramètres de clé que vous avez choisis. Vous pouvez toujours revenir en arrière et modifier tous les paramètres.
-
Choisissez Terminer pour créer la clé primaire multirégionale.
Pour créer une clé primaire multirégionale, utilisez l'CreateKeyopération. Utilisez le paramètre MultiRegion avec la valeur True.
Par exemple, la commande suivante crée une clé primaire multirégionale dans celle de l'appelant ( Région AWS us-east-1). Elle accepte les valeurs par défaut pour toutes les autres propriétés, y compris la politique de clé. Les valeurs par défaut pour les clés principales multi-région sont les mêmes que les valeurs par défaut pour toutes les autres clés KMS, y compris la politique de clé par défaut. Cette procédure crée une clé de chiffrement symétrique, la clé KMS par défaut.
La réponse inclut l'élément MultiRegion et l'élément MultiRegionConfiguration avec des sous-éléments et des valeurs typiques pour une clé principale multi-région sans clés de réplica. L'ID de clé d'une clé multi-région commence toujours par mrk-.
Important
N'incluez pas d'informations confidentielles ou sensibles dans les champs Description ou Tags. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
aws kms create-key --multi-region${ "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "Enabled": true, "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1606329032.475, "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "AWSAccountId": "111122223333", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-east-1" }, "ReplicaKeys": [ ] } } }
