Créer une clé KMS de chiffrement symétrique - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créer une clé KMS de chiffrement symétrique

Cette rubrique explique comment créer la clé KMS de base, une clé KMS de chiffrement symétrique pour une seule région dont le contenu clé provient de AWS KMS. Vous pouvez utiliser cette clé KMS pour protéger vos ressources dans un Service AWS.

Vous pouvez créer des clés KMS de chiffrement symétriques dans la AWS KMS console, à l'aide de l'CreateKeyAPI ou du AWS::KMS::Key AWS CloudFormation modèle.

La spécification de clé par défaut, SYMMETRIC_DEFAULT, est la spécification de clé pour les clés KMS de chiffrement symétriques. Lorsque vous sélectionnez le type de clé symétrique et l'utilisation de la clé de chiffrement et de déchiffrement dans la AWS KMS console, la spécification de la SYMMETRIC_DEFAULT clé est sélectionnée. Dans l'CreateKeyopération, si vous ne spécifiez aucune KeySpec valeur, SYMMETRIC_DEFAULT est sélectionné. Si vous n'avez pas de raison d'utiliser une spécification de clé différente, SYMMETRIC_DEFAULT est un bon choix.

Pour de plus amples informations sur les quotas qui s'appliquent aux clés KMS, veuillez consulter Quotas.

Vous pouvez utiliser le AWS Management Console pour créer AWS KMS keys (clés KMS).

Important

N'incluez pas d'informations confidentielles ou sensibles dans l'alias, la description ou les balises. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.

  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le volet de navigation, sélectionnez Clés gérées par le client.

  4. Choisissez Create key.

  5. Pour créer une clé KMS de chiffrement symétrique, pour Key type (Type de clé), choisissez Symmetric (Symétrique).

  6. Dans Key usage (Utilisation de la clé), l'option Encrypt and decrypt (Chiffrer et déchiffrer) est sélectionnée pour vous.

  7. Choisissez Suivant.

  8. Saisissez un alias pour la clé KMS. Le nom d'alias ne peut pas commencer par aws/. Le aws/ préfixe est réservé par Amazon Web Services pour être représenté Clés gérées par AWS dans votre compte.

    Note

    L'ajout, la suppression ou la mise à jour d'un alias peut permettre d'accorder ou de refuser l'autorisation d'utiliser la KMS. Pour plus de détails, veuillez consulter ABAC pour AWS KMS et Utiliser des alias pour contrôler l'accès aux clés KMS.

    Un alias est un nom d'affichage que vous pouvez utiliser pour identifier facilement la clé KMS. Nous vous conseillons de choisir un alias qui indique le type de données que vous envisagez de protéger ou l'application que vous pensez utiliser avec la clé KMS.

    Les alias sont requis lorsque vous créez une clé KMS dans la AWS Management Console. Ils sont facultatifs lorsque vous utilisez l'CreateKeyopération.

  9. (Facultatif) Saisissez une description pour la clé KMS.

    Vous pouvez ajouter une description maintenant ou la mettre à jour à tout moment, sauf si l'état de la clé est Pending Deletion ou Pending Replica Deletion. Pour ajouter, modifier ou supprimer la description d'une clé gérée par le client existante, modifiez la description sur la page de détails de la clé KMS dans l'opération AWS Management Console ou utilisez l'UpdateKeyDescriptionopération.

  10. (Facultatif) Saisissez une clé de balise et une valeur de balise facultative. Pour ajouter plus d'une balise à la clé KMS, sélectionnez Add tag (Ajouter une balise).

    Note

    L'étiquetage ou le désétiquetage d'une clé KMS permet d'accorder ou refuser l'autorisation d'utilisation de cette clé KMS. Pour plus de détails, veuillez consulter ABAC pour AWS KMS et Utiliser des balises pour contrôler l'accès aux clés KMS.

    Lorsque vous ajoutez des balises à vos AWS ressources, AWS génère un rapport de répartition des coûts avec l'utilisation et les coûts agrégés par balises. Les balises peuvent également être utilisées pour contrôler l'accès à une clé KMS. Pour de plus amples informations sur l'étiquetage des clés KMS, veuillez consulter Tags dans AWS KMS et ABAC pour AWS KMS.

  11. Choisissez Suivant.

  12. Sélectionnez les utilisateurs et les rôles IAM qui peuvent administrer la clé KMS.

    Remarques

    Cette politique clé donne le contrôle Compte AWS total de cette clé KMS. Il permet aux administrateurs de compte d'utiliser des politiques IAM pour autoriser d'autres principals à gérer la clé KMS. Pour plus de détails, consultez politique de clé par défaut.

    Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez Security best practices in IAM (Bonnes pratiques de sécurité dans IAM) dans le Guide de l'utilisateur IAM.

    La AWS KMS console ajoute des administrateurs clés à la politique clé sous l'identifiant de l'instruction"Allow access for Key Administrators". La modification de cet identifiant d'instruction peut avoir un impact sur la façon dont la console affiche les mises à jour que vous apportez à l'instruction.

  13. (Facultatif) Pour empêcher les utilisateurs et les rôles IAM sélectionnés de supprimer cette clé KMS, dans la section Key deletion (Suppression de la clé) en bas de la page, décochez la case Allow key administrators to delete this key (Autoriser les administrateurs de clé à supprimer cette clé).

  14. Choisissez Suivant.

  15. Sélectionnez les utilisateurs et les rôles IAM qui peuvent utiliser la clé dans les opérations de chiffrement.

    Remarques

    Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez Security best practices in IAM (Bonnes pratiques de sécurité dans IAM) dans le Guide de l'utilisateur IAM.

    La AWS KMS console ajoute des utilisateurs clés à la politique clé sous les identificateurs de déclaration "Allow use of the key" et"Allow attachment of persistent resources". La modification de ces identificateurs de déclaration peut avoir un impact sur la façon dont la console affiche les mises à jour que vous apportez à l'instruction.

  16. (Facultatif) Vous pouvez autoriser d'autres Comptes AWS utilisateurs à utiliser cette clé KMS pour des opérations cryptographiques. Pour ce faire, dans la Comptes AWS section Autre au bas de la page, choisissez Ajouter un autre compte Compte AWS et entrez le numéro Compte AWS d'identification d'un compte externe. Pour ajouter plusieurs comptes externes, répétez cette étape.

    Note

    Pour autoriser les principaux des comptes externes à utiliser la clé KMS, les administrateurs du compte externe doivent créer des politiques IAM qui fournissent ces autorisations. Pour de plus amples informations, veuillez consulter Autoriser des utilisateurs d'autres comptes à utiliser une clé KMS.

  17. Choisissez Suivant.

  18. Passez en revue les principales déclarations de politique pour trouver la clé. Pour apporter des modifications à la politique clé, sélectionnez Modifier.

  19. Choisissez Suivant.

  20. Passez en revue les paramètres de clé que vous avez choisis. Vous pouvez toujours revenir en arrière et modifier tous les paramètres.

  21. Choisissez Finish (Terminer) pour créer la clé KMS.

Vous pouvez utiliser cette CreateKeyopération pour créer des AWS KMS keys objets de tous types. Ces exemples utilisent le AWS Command Line Interface (AWS CLI). Pour obtenir des exemples dans plusieurs langages de programmation, veuillez consulter Utilisation CreateKey avec un AWS SDK ou une CLI.

Important

N'incluez pas d'informations confidentielles ou sensibles dans les champs Description ou Tags. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.

L'opération suivante crée une clé de chiffrement symétrique dans une seule région basée sur le matériel clé généré par AWS KMS. Cette opération n'a aucun paramètre obligatoire. Vous pouvez également souhaiter utiliser le paramètre Policy pour spécifier une politique de clé. Vous pouvez modifier la politique clé (PutKeyPolicy) et ajouter des éléments facultatifs, tels qu'une description et des balises à tout moment. Vous pouvez également créer des clés asymétriques, des clés multi-régions, des clés avec des éléments de clé importés et des clés dans des magasins de clés personnalisés. Pour créer des clés de données pour le chiffrement côté client, utilisez l'GenerateDataKeyopération.

L'CreateKeyopération ne vous permet pas de spécifier un alias, mais vous pouvez l'CreateAliasutiliser pour créer un alias pour votre nouvelle clé KMS.

Voici un exemple d'appel à l'opération CreateKey sans paramètre. Cette commande utilise toutes les valeurs par défaut. Elle crée une clé KMS de chiffrement symétrique avec les éléments de clé générés par AWS KMS.

$ aws kms create-key
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1502910355.475,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "MultiRegion": false
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
    }
}

Si vous ne spécifiez pas de politique de clé pour votre nouvelle clé KMS, la politique de clé par défaut appliquée par CreateKey est différente de celle appliquée par la console lorsque vous utilisez cette dernière pour créer une nouvelle clé KMS.

Par exemple, cet appel à l'GetKeyPolicyopération renvoie la politique clé qui CreateKey s'applique. Il donne Compte AWS accès à la clé KMS et lui permet de créer des politiques AWS Identity and Access Management (IAM) pour la clé KMS. Pour plus d'informations sur les politiques IAM et les politiques de clé pour les clés KMS, veuillez consulter Accès aux clés KMS et autorisations

$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text
{
  "Version" : "2012-10-17",
  "Id" : "key-default-1",
  "Statement" : [ {
    "Sid" : "Enable IAM User Permissions",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : "kms:*",
    "Resource" : "*"
  } ]
}