Création d'une KMS clé dans des magasins de clés externes - AWS Key Management Service
Exigences relatives à une KMS clé dans un magasin de clés externeCréez une nouvelle KMS clé dans votre magasin de clés externe

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'une KMS clé dans des magasins de clés externes

Après avoir créé et connecté votre magasin de clés externe, vous pouvez le créer AWS KMS keys dans votre magasin de clés. Il doit s'agir de KMSclés de chiffrement symétriques dont la valeur d'origine est External key store (EXTERNAL_KEY_STORE). Vous ne pouvez pas créer de KMSclés asymétriques, de HMACKMSclés ou de KMS clés avec du matériel de clé importé dans un magasin de clés personnalisé. Vous ne pouvez pas non plus utiliser de KMS clés de chiffrement symétriques dans un magasin de clés personnalisé pour générer des paires de clés de données asymétriques.

Une KMS clé stockée dans un magasin de clés externe peut présenter une latence, une durabilité et une disponibilité inférieures à celles d'une KMS clé standard, car elle dépend de composants situés à l' AWS extérieur. Avant de créer ou d'utiliser une KMS clé dans un magasin de clés externe, vérifiez que vous avez besoin d'une clé dotée des propriétés du magasin de clés externe.

Note

Certains gestionnaires de clés externes proposent une méthode plus simple pour créer des KMS clés dans un magasin de clés externe. Pour en savoir plus, veuillez consulter la documentation de votre gestionnaire de clés externe.

Pour créer une KMS clé dans votre magasin de clés externe, vous devez spécifier les éléments suivants :

  • L'ID de votre magasin de clés externe.

  • Une origine des éléments de clé du magasin de clés externe (EXTERNAL_KEY_STORE).

  • L'ID d'une clé externe existante dans le gestionnaire de clés externe associé à votre magasin de clés externe. Cette clé externe sert de matériau clé pour la KMS clé. Vous ne pouvez pas modifier l'ID de la clé externe après avoir créé la KMS clé.

    AWS KMS fournit l'ID de clé externe à votre proxy de stockage de clés externe dans les demandes d'opérations de chiffrement et de déchiffrement. AWS KMS ne peut pas accéder directement à votre gestionnaire de clés externe ou à l'une de ses clés cryptographiques.

En plus de la clé externe, une KMS clé d'un magasin de clés externe contient également du matériel AWS KMS clé. Toutes les données chiffrées sous la KMS clé sont d'abord cryptées à AWS KMS l'aide du contenu de la AWS KMS clé, puis par votre gestionnaire de clés externe à l'aide de votre clé externe. Ce processus de double chiffrement garantit que le texte chiffré protégé par une KMS clé dans un magasin de clés externe est au moins aussi solide que le texte chiffré protégé uniquement par. AWS KMS Pour plus de détails, consultez Fonctionnement des magasins de clés externes.

Lorsque l'CreateKeyopération réussit, l'état clé de la nouvelle KMS clé estEnabled. Lorsque vous consultez une KMS clé dans un magasin de clés externe, vous pouvez voir ses propriétés typiques, telles que son identifiant de clé, ses spécifications, son utilisation, son état de clé et sa date de création. Mais vous pouvez également voir l'ID et l'état de connexion du magasin de clés externe ainsi que l'ID de la clé externe.

Si votre tentative de création d'une KMS clé dans votre banque de clés externe échoue, utilisez le message d'erreur pour en identifier la cause. Cela peut indiquer que le magasin de clés externe n'est pas connecté (CustomKeyStoreInvalidStateException), que votre proxy de magasin de clés externe ne trouve pas de clé externe avec l'ID de clé externe spécifié (XksKeyNotFoundException) ou que la clé externe est déjà associée à une KMS clé dans le même magasin de clés externeXksKeyAlreadyInUseException.

Pour un exemple du AWS CloudTrail journal de l'opération qui crée une KMS clé dans un magasin de clés externe, reportez-vous àCreateKey.

Exigences relatives à une KMS clé dans un magasin de clés externe

Pour créer une KMS clé dans un magasin de clés externe, les propriétés suivantes sont requises pour le magasin de clés externe, la KMS clé et la clé externe qui sert de matériau de clé cryptographique externe pour la KMS clé.

Exigences relatives au magasin de clés externe

KMSprincipales exigences

Vous ne pouvez pas modifier ces propriétés après avoir créé la KMS clé.

  • Spécification clé : _ SYMMETRIC DEFAULT

  • Utilisation de la clé : ENCRYPT _ DECRYPT

  • Origine du matériau clé : EXTERNAL _ KEY _ STORE

  • Multi-région : FALSE

Exigences relatives aux clés externes

  • Clé AES cryptographique de 256 bits (256 bits aléatoires). La propriété KeySpec de la clé externe doit être AES_256.

  • Activé et disponible pour utilisation. La propriété Status de la clé externe doit être ENABLED.

  • Configuré pour le chiffrement et le déchiffrement. La propriété KeyUsage de la clé externe doit inclure ENCRYPT et DECRYPT.

  • Utilisée uniquement avec cette KMS clé. Chaque KMS key d'un magasin de clés externe doit être associée à une clé externe différente.

    AWS KMS recommande également que la clé externe soit utilisée exclusivement pour le magasin de clés externe. Cette restriction facilite l'identification et la résolution des problèmes liés à la clé.

  • Accessible par le proxy de magasin de clés externe pour le magasin de clés externe.

    Si le proxy de magasin de clés externe ne trouve pas la clé à l'aide de l'ID de clé externe spécifié, l'opération CreateKey échoue.

  • Peut gérer le trafic prévu Services AWS généré par votre utilisation. AWS KMS recommande que les clés externes soient préparées pour traiter jusqu'à 1 800 demandes par seconde.

Créez une nouvelle KMS clé dans votre magasin de clés externe

Vous pouvez créer une nouvelle KMS clé dans votre magasin de clés externe dans la AWS KMS console ou en utilisant l'CreateKeyopération.

Il existe deux méthodes pour créer une KMS clé dans un magasin de clés externe.

  • Méthode 1 (recommandée) : Choisissez un magasin de clés externe, puis créez une KMS clé dans ce magasin de clés externe.

  • Méthode 2 : créez une KMS clé, puis indiquez qu'elle se trouve dans un magasin de clés externe.

Si vous utilisez la méthode 1, dans laquelle vous choisissez votre magasin de clés externe avant de créer votre clé, choisissez AWS KMS toutes les propriétés de KMS clé requises pour vous et renseignez l'ID de votre magasin de clés externe. Cette méthode permet d'éviter les erreurs que vous pourriez commettre lors de la création de votre KMS clé.

Note

N'incluez pas d'informations confidentielles ou sensibles dans l'alias, la description ou les balises. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.

Méthode 1  (recommandée) : démarrer dans votre magasin de clés externe

Pour utiliser cette méthode, choisissez votre magasin de clés externe, puis créez une KMS clé. La AWS KMS console choisit pour vous toutes les propriétés requises et renseigne l'ID de votre banque de clés externe. Cette méthode permet d'éviter de nombreuses erreurs que vous pourriez commettre lors de la création de votre KMS clé.

  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le panneau de navigation, sélectionnez Custom key stores (Magasins de clés personnalisés), External key stores (Magasins de clés externes).

  4. Choisissez le nom de votre magasin de clés externe.

  5. Dans le coin supérieur droit, choisissez Créer une KMS clé dans ce magasin de clés.

    Si le magasin de clés externe n'est pas connecté, vous serez invité à le connecter. Si la tentative de connexion échoue, vous devez résoudre le problème et connecter le magasin de clés externe avant de pouvoir y créer une nouvelle KMS clé.

    Si le magasin de clés externe est connecté, vous êtes redirigé vers la page Customer managed keys (Clés gérées par le client) pour créer une clé. Les valeurs de Key configuration (Configuration de clé) requises sont déjà choisies pour vous. En outre, l'ID du magasin de clés personnalisé de votre magasin de clés externe est renseigné, bien que vous puissiez le modifier.

  6. Saisissez l'ID de clé d'une clé externe dans votre gestionnaire de clés externe. Cette clé externe doit remplir les conditions requises pour être utilisée avec une KMS clé. Vous ne pouvez pas modifier cette valeur après la création de la clé.

    Si la clé externe en possède plusieursIDs, entrez l'ID de clé utilisé par le proxy de stockage de clés externe pour identifier la clé externe.

  7. Confirmez que vous avez l'intention de créer une KMS clé dans le magasin de clés externe spécifié.

  8. Choisissez Suivant.

    Le reste de cette procédure est identique à la création d'une KMS clé standard.

  9. Entrez un alias (obligatoire) et une description (facultatif) pour la KMS clé.

  10. (Facultatif). Sur la page Ajouter des balises, ajoutez des balises qui identifient ou catégorisent votre KMS clé.

    Lorsque vous ajoutez des balises à vos AWS ressources, AWS génère un rapport de répartition des coûts avec l'utilisation et les coûts agrégés par balises. Les tags peuvent également être utilisés pour contrôler l'accès à une KMS clé. Pour plus d'informations sur le balisage des KMS clés, reportez-vous aux sections Tags dans AWS KMS etABACpour AWS KMS.

  11. Choisissez Suivant.

  12. Dans la section Administrateurs clés, sélectionnez les IAM utilisateurs et les rôles autorisés à gérer la KMS clé. Pour plus d'informations, voir Autoriser les administrateurs de clés à administrer la KMS clé.

    Note

    IAMles politiques peuvent autoriser d'autres IAM utilisateurs et rôles à utiliser la KMS clé.

    IAMles meilleures pratiques découragent l'utilisation d'IAMutilisateurs possédant des informations d'identification à long terme. Dans la mesure du possible, utilisez IAM des rôles qui fournissent des informations d'identification temporaires. Pour plus de détails, consultez la section Bonnes pratiques en matière de sécurité IAM dans le guide de IAM l'utilisateur.

  13. (Facultatif) Pour empêcher ces administrateurs clés de supprimer cette KMS clé, désactivez la case à cocher Autoriser les administrateurs clés à supprimer cette clé.

    La suppression d'une KMS clé est une opération destructrice et irréversible qui peut rendre le texte chiffré irrécupérable. Vous ne pouvez pas recréer une KMS clé symétrique dans un magasin de clés externe, même si vous disposez du contenu de la clé externe. Cependant, la suppression d'une KMS clé n'a aucun effet sur la clé externe qui lui est associée. Pour plus d'informations sur la suppression d'une KMS clé d'un magasin de clés externe, consultez la section Considérations spéciales relatives à la suppression de clés.

  14. Choisissez Suivant.

  15. Dans la section Ce compte, sélectionnez les IAM utilisateurs et les rôles autorisés à utiliser la KMS clé dans le cadre d'opérations cryptographiques. Compte AWS Pour plus d'informations, voir Autoriser les utilisateurs clés à utiliser la KMS clé.

    Note

    IAMles politiques peuvent autoriser d'autres IAM utilisateurs et rôles à utiliser la KMS clé.

    IAMles meilleures pratiques découragent l'utilisation d'IAMutilisateurs possédant des informations d'identification à long terme. Dans la mesure du possible, utilisez IAM des rôles qui fournissent des informations d'identification temporaires. Pour plus de détails, consultez la section Bonnes pratiques en matière de sécurité IAM dans le guide de IAM l'utilisateur.

  16. (Facultatif) Vous pouvez autoriser d'autres Comptes AWS utilisateurs à utiliser cette KMS clé pour des opérations cryptographiques. Pour ce faire, dans la Comptes AWS section Autre au bas de la page, choisissez Ajouter un autre compte Compte AWS et entrez l' Compte AWS identifiant d'un compte externe. Pour ajouter plusieurs comptes externes, répétez cette étape.

    Note

    Les administrateurs de l'autre Comptes AWS doivent également autoriser l'accès à la KMS clé en créant des IAM politiques pour leurs utilisateurs. Pour de plus amples informations, veuillez consulter Autoriser les utilisateurs d'autres comptes à utiliser une KMS clé.

  17. Choisissez Suivant.

  18. Passez en revue les paramètres de clé que vous avez choisis. Vous pouvez toujours revenir en arrière et modifier tous les paramètres.

  19. Lorsque vous avez terminé, choisissez Finish (Terminer) pour créer la clé.

Afficher plusAfficher moins

Méthode 2 : démarrer avec les clés gérées par le client

Cette procédure est identique à la procédure de création d'une clé de chiffrement symétrique avec du matériel AWS KMS clé. Mais, dans le cadre de cette procédure, vous spécifiez l'ID du magasin de clés personnalisé du magasin de clés externe et l'ID de la clé externe. Vous devez également spécifier les valeurs de propriété requises pour une KMS clé dans un magasin de clés externe, telles que les spécifications et l'utilisation des clés.

  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le volet de navigation, sélectionnez Clés gérées par le client.

  4. Choisissez Create key.

  5. Choisissez Symmetric (Symétrique).

  6. Dans Key usage (Utilisation de la clé), l'option Encrypt and decrypt (Chiffrer et déchiffrer) est sélectionnée pour vous. Ne la modifiez pas.

  7. Choisissez Options avancées.

  8. Pour Key material origin (Origine des éléments de clé), choisissez External key store (Magasin de clés externe).

  9. Confirmez que vous avez l'intention de créer une KMS clé dans le magasin de clés externe spécifié.

  10. Choisissez Suivant.

  11. Choisissez la ligne qui représente le magasin de clés externe pour votre nouvelle KMS clé.

    Vous ne pouvez pas choisir un magasin de clés externe déconnecté. Pour connecter un magasin de clés déconnecté, choisissez le nom du magasin de clés, puis, dans Key store actions (Actions du magasin de clés), choisissez Connect (Connecter). Pour plus de détails, consultez Utilisation de la AWS KMS console.

  12. Saisissez l'ID de clé d'une clé externe dans votre gestionnaire de clés externe. Cette clé externe doit remplir les conditions requises pour être utilisée avec une KMS clé. Vous ne pouvez pas modifier cette valeur après la création de la clé.

    Si la clé externe en possède plusieursIDs, entrez l'ID de clé utilisé par le proxy de stockage de clés externe pour identifier la clé externe.

  13. Choisissez Suivant.

    Le reste de cette procédure est identique à la création d'une KMS clé standard.

  14. Entrez un alias et une description facultative pour la KMS clé.

  15. (Facultatif). Sur la page Ajouter des balises, ajoutez des balises qui identifient ou catégorisent votre KMS clé.

    Lorsque vous ajoutez des balises à vos AWS ressources, AWS génère un rapport de répartition des coûts avec l'utilisation et les coûts agrégés par balises. Les tags peuvent également être utilisés pour contrôler l'accès à une KMS clé. Pour plus d'informations sur le balisage des KMS clés, reportez-vous aux sections Tags dans AWS KMS etABACpour AWS KMS.

  16. Choisissez Suivant.

  17. Dans la section Administrateurs clés, sélectionnez les IAM utilisateurs et les rôles autorisés à gérer la KMS clé. Pour plus d'informations, voir Autoriser les administrateurs de clés à administrer la KMS clé.

    Note

    IAMles politiques peuvent autoriser d'autres IAM utilisateurs et rôles à utiliser la KMS clé.

  18. (Facultatif) Pour empêcher ces administrateurs clés de supprimer cette KMS clé, désactivez la case à cocher Autoriser les administrateurs clés à supprimer cette clé.

    La suppression d'une KMS clé est une opération destructrice et irréversible qui peut rendre le texte chiffré irrécupérable. Vous ne pouvez pas recréer une KMS clé symétrique dans un magasin de clés externe, même si vous disposez du contenu de la clé externe. Cependant, la suppression d'une KMS clé n'a aucun effet sur la clé externe qui lui est associée. Pour plus d'informations sur la suppression d'une KMS clé d'un magasin de clés externe, consultezSupprimer un AWS KMS keys.

  19. Choisissez Suivant.

  20. Dans la section Ce compte, sélectionnez les IAM utilisateurs et les rôles autorisés à utiliser la KMS clé dans le cadre d'opérations cryptographiques. Compte AWS Pour plus d'informations, voir Autoriser les utilisateurs clés à utiliser la KMS clé.

    Note

    IAMles politiques peuvent autoriser d'autres IAM utilisateurs et rôles à utiliser la KMS clé.

  21. (Facultatif) Vous pouvez autoriser d'autres Comptes AWS utilisateurs à utiliser cette KMS clé pour des opérations cryptographiques. Pour ce faire, dans la Comptes AWS section Autre au bas de la page, choisissez Ajouter un autre compte Compte AWS et entrez l' Compte AWS identifiant d'un compte externe. Pour ajouter plusieurs comptes externes, répétez cette étape.

    Note

    Les administrateurs de l'autre Comptes AWS doivent également autoriser l'accès à la KMS clé en créant des IAM politiques pour leurs utilisateurs. Pour de plus amples informations, veuillez consulter Autoriser les utilisateurs d'autres comptes à utiliser une KMS clé.

  22. Choisissez Suivant.

  23. Passez en revue les paramètres de clé que vous avez choisis. Vous pouvez toujours revenir en arrière et modifier tous les paramètres.

  24. Lorsque vous avez terminé, choisissez Finish (Terminer) pour créer la clé.

Afficher plusAfficher moins

Lorsque la procédure aboutit, l'écran affiche la nouvelle KMS clé dans le magasin de clés externe que vous avez choisi. Lorsque vous choisissez le nom ou l'alias de la nouvelle KMS clé, l'onglet Configuration cryptographique de sa page détaillée affiche l'origine de la KMS clé (banque de clés externe), le nom, l'ID et le type de la banque de clés personnalisée, ainsi que l'identifiant, l'utilisation de la clé et l'état de la clé externe. Si la procédure échoue, un message d'erreur s'affiche qui décrit l'échec. Pour , veuillez consulter la rubrique Résoudre les problèmes liés aux magasins de clés externes.

Astuce

Pour faciliter l'identification des KMS clés dans un magasin de clés personnalisé, sur la page des clés gérées par le client, ajoutez les colonnes Origin et Custom Key Store ID à l'écran. Pour modifier les champs du tableau, cliquez sur l'icône d'engrenage dans le coin supérieur droit de la page. Pour plus de détails, consultez Personnalisez l'affichage de votre console.

Pour créer une nouvelle KMS clé dans un magasin de clés externe, utilisez l'CreateKeyopération. Les paramètres suivants sont obligatoires :

  • La valeur Origin doit être EXTERNAL_KEY_STORE.

  • Le paramètre CustomKeyStoreId identifie votre magasin de clés externe. La valeur ConnectionState du magasin de clés externe spécifié doit être CONNECTED. Pour trouver les valeurs de CustomKeyStoreId et de ConnectionState, utilisez l'opération DescribeCustomKeyStores.

  • Le paramètre XksKeyId identifie la clé externe. Cette clé externe doit remplir les conditions requises pour être associée à une KMS clé.

Vous pouvez également utiliser n'importe lequel des paramètres facultatifs de l'opération CreateKey, tels que les paramètres Policy ou Balises.

Note

N'incluez pas d'informations confidentielles ou sensibles dans les champs Description ou Tags. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.

Les exemples de cette section utilisent la AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

Cet exemple de commande utilise l'CreateKeyopération pour créer une KMS clé dans un magasin de clés externe. La réponse inclut les propriétés des KMS clés, l'ID du magasin de clés externe, ainsi que l'ID, l'utilisation et l'état de la clé externe.

Avant d'exécuter cette commande, remplacez l'exemple d'ID de magasin de clés personnalisé par un ID valide.

$ aws kms create-key --origin EXTERNAL_KEY_STORE --custom-key-store-id cks-1234567890abcdef0 --xks-key-id bb8562717f809024
{
  "KeyMetadata": {
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "AWSAccountId": "111122223333",
    "CreationDate": "2022-12-02T07:48:55-07:00",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "CustomKeyStoreId": "cks-1234567890abcdef0",
    "Description": "",
    "Enabled": true,
    "EncryptionAlgorithms": [
      "SYMMETRIC_DEFAULT"
    ],
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeySpec": "SYMMETRIC_DEFAULT",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",
    "MultiRegion": false,
    "Origin": "EXTERNAL_KEY_STORE",
    "XksKeyConfiguration": {
      "Id": "bb8562717f809024"
    }
  }
}