Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Générer des clés de données
<a name="data-keys"></a>

*Les clés de données* sont des clés symétriques que vous pouvez utiliser pour chiffrer des données, y compris de grandes quantités de données et d'autres clés de chiffrement des données. Contrairement aux clés KMS symétriques, qui ne peuvent pas être téléchargées, les clés de données vous sont renvoyées pour une utilisation en dehors de AWS KMS. 

Lorsqu'il AWS KMS génère des clés de données, il renvoie une clé de données en texte brut pour une utilisation immédiate (facultatif) et une copie cryptée de la clé de données que vous pouvez stocker en toute sécurité avec les données. Lorsque vous êtes prêt à déchiffrer les données, vous demandez AWS KMS d'abord de déchiffrer la clé de données cryptée. 

AWS KMS génère, chiffre et déchiffre les clés de données. Toutefois, il AWS KMS ne stocke, ne gère ni ne suit vos clés de données, et n'effectue pas d'opérations cryptographiques avec des clés de données. Vous devez utiliser et gérer les clés de données en dehors de AWS KMS. Pour obtenir de l'aide sur l'utilisation des clés de données en toute sécurité, consultez [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/).

**Topics**
+ [Création d'une clé de données](#data-keys-create)
+ [Comment fonctionnent les opérations cryptographiques avec des clés de données](#use-data-keys)
+ [Comment les clés KMS inutilisables affectent les clés de données](unusable-kms-keys.md)

## Création d'une clé de données
<a name="data-keys-create"></a>

Pour créer une clé de données, appelez l'[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)opération. AWS KMS génère la clé de données. Il chiffre ensuite une copie de la clé de données sous une [clé KMS de chiffrement symétrique](symm-asymm-choose-key-spec.md#symmetric-cmks) que vous spécifiez. Cette opération renvoie une copie en texte clair de la clé de données et la copie de la clé de données chiffrée sous la clé KMS. L'image suivante illustre cette opération.

![\[Générer une clé de données\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/generate-data-key.png)


AWS KMS prend également en charge l'[GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)opération, qui renvoie uniquement une clé de données cryptée. Lorsque vous devez utiliser la clé de données, demandez AWS KMS à la [déchiffrer](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html).

## Comment fonctionnent les opérations cryptographiques avec des clés de données
<a name="use-data-keys"></a>

Les rubriques suivantes expliquent le fonctionnement des clés de données générées par une [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)opération [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)OR.

### Chiffrement de données avec une clé de données
<a name="data-keys-encrypt"></a>

AWS KMS Impossible d'utiliser une clé de données pour chiffrer des données. Mais vous pouvez utiliser la clé de données en dehors de AWS KMS, par exemple en utilisant OpenSSL ou une bibliothèque cryptographique telle que. [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)

Après avoir utilisé la clé de données en texte brut pour chiffrer les données, supprimez-la de la mémoire dès que possible. Vous pouvez stocker en toute sécurité la clé de données chiffrée avec les données chiffrées pour qu'elle soit disponible pour déchiffrer les données.

![\[Chiffrez les données utilisateur en dehors de AWS KMS\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/encrypt-with-data-key.png)


### Déchiffrement des données avec une clé de données
<a name="data-keys-decrypt"></a>

Pour déchiffrer vos données, transmettez la clé de données cryptée à l'opération de [déchiffrement](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html). AWS KMS utilise votre clé KMS pour déchiffrer la clé de données, puis renvoie la clé de données en texte brut. Utilisez la clé de données en texte brut pour déchiffrer vos données, puis supprimez la clé de données en texte brut de la mémoire dès que possible.

Le schéma suivant montre comment utiliser l'opération `Decrypt` pour déchiffrer une clé de données chiffrée.

![\[Déchiffrement d'une clé de données\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/decrypt.png)


# Comment les clés KMS inutilisables affectent les clés de données
<a name="unusable-kms-keys"></a>

Lorsqu'une clé KMS devient inutilisable, l'effet est presque immédiat (sous réserve d'une éventuelle cohérence). L'[état de clé](key-state.md) de la clé KMS change pour refléter son nouvel état, et toutes les requêtes d'utilisation de la clé KMS dans des [opérations cryptographiques](kms-cryptography.md#cryptographic-operations) échouent.

Cependant, l'effet sur les clés de données chiffrées par la clé KMS, et sur les données chiffrées par la clé de données, est retardé jusqu'à ce que la clé KMS soit utilisée à nouveau, par exemple pour déchiffrer la clé de données.

Les clés KMS peuvent devenir inutilisables pour diverses raisons, notamment les actions suivantes que vous pourriez effectuer.
+ [Désactiver la clé KMS](enabling-keys.md)
+ [Planifier la suppression de la clé KMS](deleting-keys.md)
+ [Supprimer les éléments de clé](importing-keys-delete-key-material.md) d'une clé KMS avec des éléments de clé importés, ou laisser les éléments de clé importés expirer Si une clé KMS avec `EXTERNAL` origine est associée à plusieurs éléments clés, la suppression ou l'expiration de tout élément clé rendra la clé inutilisable.
+ [Déconnecter le magasin de AWS CloudHSM clés](disconnect-keystore.md) qui héberge la clé KMS ou [supprimer la clé du AWS CloudHSM cluster](fix-keystore.md#fix-cmk-failed) qui sert de matériau clé pour la clé KMS.
+ [Déconnecter le magasin de clés externe](about-xks-disconnecting.md) qui héberge la clé KMS, ou toute autre action qui interfère avec les requêtes de chiffrement et de déchiffrement adressées au proxy de magasin de clés externe, y compris la suppression de la clé externe de son gestionnaire de clés externe

Cet effet est particulièrement important pour les nombreuses personnes Services AWS qui utilisent des clés de données pour protéger les ressources gérées par le service. L'exemple suivant utilise Amazon Elastic Block Store (Amazon EBS) et Amazon Elastic Compute Cloud ( EC2Amazon). Les utilisateurs Services AWS utilisent les clés de données de différentes manières. Pour plus de détails, veuillez consulter la section Protection des données du chapitre Sécurité pour l' Service AWS.

Par exemple, envisagez le scénario suivant :

1. Vous [créez un volume EBS chiffré](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html) et spécifiez une clé KMS pour le protéger. Amazon EBS demande à AWS KMS d'utiliser votre clé KMS pour [générer une clé de données chiffrée](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) pour le volume. Amazon EBS stocke la clé de données chiffrée avec les métadonnées du volume.

1. Lorsque vous attachez le volume EBS à une EC2 instance, Amazon EC2 utilise votre clé KMS pour déchiffrer la clé de données chiffrée du volume EBS. Amazon EC2 utilise la clé de données du matériel Nitro, qui est chargé de chiffrer tous les disques sur I/O le volume EBS. La clé de données est conservée dans le matériel Nitro tant que le volume EBS est attaché à l' EC2 instance.

1. Vous effectuez une action qui rend la clé KMS inutilisable. Cela n'a aucun effet immédiat sur l' EC2 instance ou le volume EBS. Amazon EC2 utilise la clé de données, et non la clé KMS, pour chiffrer l'ensemble du disque I/O lorsque le volume est attaché à l'instance.

1. Toutefois, lorsque le volume EBS chiffré est détaché de l' EC2 instance, Amazon EBS supprime la clé de données du matériel Nitro. La prochaine fois que le volume EBS chiffré est attaché à une EC2 instance, la pièce jointe échoue, car Amazon EBS ne peut pas utiliser la clé KMS pour déchiffrer la clé de données chiffrée du volume. Pour utiliser le volume EBS à nouveau, vous devez rendre la clé KMS à nouveau utilisable.