Générer des clés de données - AWS Key Management Service
Création d'une clé de donnéesComment fonctionnent les opérations cryptographiques avec des clés de données

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Générer des clés de données

Les clés de données sont des clés symétriques que vous pouvez utiliser pour chiffrer des données, y compris de grandes quantités de données et d'autres clés de chiffrement des données. Contrairement aux KMS clés symétriques, qui ne peuvent pas être téléchargées, les clés de données vous sont renvoyées pour une utilisation en dehors de AWS KMS.

Lorsqu'il AWS KMS génère des clés de données, il renvoie une clé de données en texte brut pour une utilisation immédiate (facultatif) et une copie cryptée de la clé de données que vous pouvez stocker en toute sécurité avec les données. Lorsque vous êtes prêt à déchiffrer les données, vous devez d'abord demander AWS KMS à déchiffrer la clé de données cryptée.

AWS KMS génère, chiffre et déchiffre les clés de données. Toutefois, il AWS KMS ne stocke, ne gère ni ne suit vos clés de données, et n'effectue pas d'opérations cryptographiques avec des clés de données. Vous devez utiliser et gérer les clés de données en dehors de AWS KMS. Pour obtenir de l'aide sur l'utilisation des clés de données en toute sécurité, consultez AWS Encryption SDK.

Rubriques

Création d'une clé de données

Pour créer une clé de données, appelez l'GenerateDataKeyopération. AWS KMS génère la clé de données. Il chiffre ensuite une copie de la clé de données sous une clé de chiffrement symétrique que vous KMS spécifiez. L'opération renvoie une copie en texte brut de la clé de données et la copie de la clé de données chiffrée sous la KMS clé. L'image suivante illustre cette opération.

Générer une clé de données

AWS KMS prend également en charge l'GenerateDataKeyWithoutPlaintextopération, qui renvoie uniquement une clé de données cryptée. Lorsque vous devez utiliser la clé de données, demandez AWS KMS à la déchiffrer.

Comment fonctionnent les opérations cryptographiques avec des clés de données

Les rubriques suivantes expliquent le fonctionnement des clés de données générées par une GenerateDataKeyWithoutPlaintextopération GenerateDataKeyOR.

Chiffrement de données avec une clé de données

AWS KMS Impossible d'utiliser une clé de données pour chiffrer des données. Mais vous pouvez utiliser la clé de données en dehors de AWS KMS, par exemple en utilisant Open SSL ou une bibliothèque cryptographique telle que. AWS Encryption SDK

Après avoir utilisé la clé de données en texte brut pour chiffrer les données, supprimez-la de la mémoire dès que possible. Vous pouvez stocker en toute sécurité la clé de données chiffrée avec les données chiffrées pour qu'elle soit disponible pour déchiffrer les données.

Chiffrez les données utilisateur en dehors de AWS KMS

Déchiffrement des données avec une clé de données

Pour déchiffrer vos données, transmettez la clé de données cryptée à l'opération de déchiffrement. AWS KMS utilise votre KMS clé pour déchiffrer la clé de données, puis renvoie la clé de données en texte brut. Utilisez la clé de données en texte brut pour déchiffrer vos données, puis supprimez la clé de données en texte brut de la mémoire dès que possible.

Le schéma suivant montre comment utiliser l'opération Decrypt pour déchiffrer une clé de données chiffrée.

Déchiffrement d'une clé de données