Protection des données dans AWS Key Management Service - AWS Key Management Service
Protection des éléments de cléChiffrement des donnéesTrafic inter-réseaux

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données dans AWS Key Management Service

AWS Key Management Service stocke et protège vos clés de chiffrement afin de les rendre hautement disponibles tout en vous offrant un contrôle d'accès solide et flexible.

Protection des éléments de clé

Par défaut, AWS KMS génère et protège le contenu de la clé cryptographique pour les KMS clés. En outre, AWS KMS offre des options pour le matériel clé créé et protégé à l'extérieur de AWS KMS.

Protection du matériel clé généré dans AWS KMS

Lorsque vous créez une KMS clé, par défaut, le matériel cryptographique associé à la KMS clé est AWS KMS généré et protégé.

Pour protéger le contenu clé des KMS clés, AWS KMS s'appuie sur un parc distribué de FIPS140-2 modules de sécurité matériels validés au niveau 3 (). HSMs Chacune AWS KMS HSM est une appliance matérielle autonome dédiée conçue pour fournir des fonctions cryptographiques dédiées répondant aux exigences de sécurité et d'évolutivité de. AWS KMS(Les AWS KMS applications HSMs utilisées dans les régions chinoises sont certifiées OSCCAet conformes à toutes les réglementations chinoises pertinentes, mais ne sont pas validées dans le cadre du programme de validation des modules cryptographiques FIPS 140-2.)

Le contenu clé d'une KMS clé est crypté par défaut lorsqu'il est généré dans leHSM. Le matériel clé est déchiffré uniquement dans la mémoire HSM volatile et uniquement pendant les quelques millisecondes nécessaires pour l'utiliser dans une opération cryptographique. Chaque fois que le contenu clé n'est pas utilisé activement, il est crypté dans le HSM et transféré vers un stockage persistant hautement durable (99,999999999 %) et à faible latence, où il reste séparé et isolé du. HSMs Le contenu clé en texte clair ne quitte jamais la limite HSM de sécurité ; il n'est jamais écrit sur le disque ou conservé sur un support de stockage. (La seule exception est la clé publique d'une paire de clés asymétriques, qui n'est pas secrète.)

AWS affirme comme principe de sécurité fondamental qu'il n'y a aucune interaction humaine avec les clés cryptographiques en texte clair de quelque type que ce soit. Service AWS Il n'existe aucun mécanisme permettant à quiconque, y compris Service AWS aux opérateurs, de visualiser, d'accéder ou d'exporter du matériel clé en texte brut. Ce principe s'applique même lors de défaillances catastrophiques et d'événements de reprise après sinistre. Le contenu de la clé client en texte brut AWS KMS est utilisé pour les opérations cryptographiques AWS KMS FIPS validées HSMs uniquement en réponse aux demandes autorisées adressées au service par le client ou son délégué.

Pour les clés gérées par le client, la personne Compte AWS qui crée la clé est le propriétaire unique et non transférable de la clé. Le compte propriétaire a un contrôle complet et exclusif sur les politiques d'autorisation qui contrôlent l'accès à la clé. En Clés gérées par AWS effet, ils Compte AWS ont un contrôle total sur les IAM politiques qui autorisent les demandes adressées au Service AWS.

Protection de l’élément de clé généré à l’extérieur de AWS KMS

AWS KMS fournit des alternatives au matériel clé généré dans AWS KMS.

Les magasins de clés personnalisés, une AWS KMS fonctionnalité optionnelle, vous permettent de créer des KMS clés basées sur du matériel clé généré et utilisé en dehors de AWS KMS. KMSles AWS CloudHSM clés des magasins de clés sont soutenues par les clés des modules de sécurité AWS CloudHSM matériels que vous contrôlez. Ils HSMs sont certifiés au niveau de sécurité FIPS 140-2 3. KMSles clés des magasins de clés externes sont soutenues par des clés d'un gestionnaire de clés externe que vous contrôlez et gérez en dehors de AWS celui-ci, tel qu'un gestionnaire physique HSM de votre centre de données privé.

Une autre fonctionnalité optionnelle vous permet d'importer le matériau clé d'une KMS clé. Pour protéger le contenu clé importé pendant son transport AWS KMS, vous cryptez le contenu clé à l'aide d'une clé publique issue d'une paire de RSA clés générée dans un AWS KMS HSM. Le contenu clé importé est déchiffré dans un AWS KMS HSM et rechiffré sous une clé symétrique dans le. HSM Comme tous les documents AWS KMS clés, les éléments clés importés en texte brut ne quittent jamais les éléments HSMs non chiffrés. Cependant, le client qui a fourni les éléments de clé est responsable de l'utilisation en toute sécurité, de la durabilité et de la maintenance des éléments de clé en dehors de AWS KMS.

Chiffrement des données

Les données qu'elles contiennent sont AWS KMS AWS KMS keys constituées du matériel clé de chiffrement qu'elles représentent. Ce matériel clé n'existe en texte clair que dans les modules de sécurité AWS KMS matériels (HSMs) et uniquement lorsqu'il est utilisé. Sinon, les éléments de clé sont chiffrés et stockés dans un stockage permanent durable.

Le matériel clé AWS KMS généré pour les KMS clés ne quitte jamais la limite du AWS KMS HSMs non chiffré. Il n'est ni exporté ni transmis dans le AWS KMS API cadre d'aucune opération. L'exception concerne les clés multirégionales, qui AWS KMS utilisent un mécanisme de réplication entre régions pour copier le contenu clé d'une clé multirégionale d'un HSM dans un Région AWS vers un HSM dans un autre. Région AWS Pour plus de détails, voir Processus de réplication pour les clés multirégionales dans Détails AWS Key Management Service cryptographiques.

Chiffrement au repos

AWS KMS génère des informations clés pour les modules de sécurité matériels conformes AWS KMS keys à la norme FIPS140-2 Security Level 3 (). HSMs La seule exception concerne les régions chinoises, où les HSMs clés AWS KMS utilisées pour générer des KMS clés sont conformes à toutes les réglementations chinoises pertinentes, mais ne sont pas validées dans le cadre du programme de validation des modules cryptographiques FIPS 140-2. Lorsqu'ils ne sont pas utilisés, les éléments clés sont chiffrés par une HSM clé et enregistrés sur un support de stockage durable et persistant. Le matériel clé pour les KMS clés et les clés de chiffrement qui protègent le contenu clé ne le HSMs quittent jamais sous forme de texte clair.

Le chiffrement et la gestion du matériel clé pour KMS les clés sont entièrement gérés par AWS KMS.

Pour plus de détails, consultez la section Utilisation AWS KMS keys dans les détails AWS Key Management Service cryptographiques.

Chiffrement en transit

Le matériel clé AWS KMS généré pour les KMS clés n'est jamais exporté ni transmis lors AWS KMS API des opérations. AWS KMS utilise des identificateurs de clé pour représenter les KMS clés dans les API opérations. De même, le matériel clé pour les KMS clés dans les magasins de clés AWS KMS personnalisés n'est pas exportable et n'est jamais transmis lors AWS KMS d' AWS CloudHSM APIopérations.

Cependant, certaines AWS KMS API opérations renvoient des clés de données. Les clients peuvent également utiliser API des opérations pour importer du matériel clé pour les KMS clés sélectionnées.

Tous les AWS KMS API appels doivent être signés et transmis à l'aide de Transport Layer Security (TLS). AWS KMS requiert la TLS version 1.2 et recommande la TLS version 1.3 dans toutes les régions. AWS KMS prend également en charge le post-quantum hybride TLS pour les points AWS KMS de terminaison de service dans toutes les régions, à l'exception des régions chinoises. AWS KMS ne prend pas en charge le post-quantum hybride TLS pour les FIPS points de terminaison dans. AWS GovCloud (US) Les appels vers AWS KMS nécessitent également une suite de chiffrement moderne qui prend en charge une confidentialité persistante parfaite, ce qui signifie que toute violation de secret, telle qu'une clé privée, ne compromet pas également la clé de session.

Si vous avez besoin de FIPS 140 à 2 modules cryptographiques validés pour accéder AWS via une interface de ligne de commande ou unAPI, utilisez un point de terminaison. FIPS Pour utiliser des points de AWS KMS terminaison ou des points de AWS KMS FIPS terminaison standard, les clients doivent prendre en charge la version TLS 1.2 ou ultérieure. Pour plus d'informations sur les FIPS points de terminaison disponibles, voir Federal Information Processing Standard (FIPS) 140-2. Pour obtenir la liste des AWS KMS FIPS points de terminaison, consultez la section AWS Key Management Service Points de terminaison et quotas dans le. Références générales AWS

Les communications entre les hôtes de AWS KMS service HSMs sont protégées à l'aide de la cryptographie à courbe elliptique (ECC) et de l'Advanced Encryption Standard (AES) dans le cadre d'un schéma de chiffrement authentifié. Pour plus de détails, consultez la section Sécurité des communications internes dans Détails AWS Key Management Service cryptographiques.

Confidentialité du trafic inter-réseaux

AWS KMS prend en charge un AWS Management Console ensemble d'APIopérations qui vous permettent de les créer, de les gérer AWS KMS keys et de les utiliser dans des opérations cryptographiques.

AWS KMS prend en charge deux options de connectivité réseau allant de votre réseau privé à AWS.

  • Une IPSec VPN connexion via Internet

  • AWS Direct Connect, qui relie votre réseau interne à un AWS Direct Connect emplacement via un câble Ethernet à fibre optique standard.

Tous les AWS KMS API appels doivent être signés et transmis à l'aide de Transport Layer Security (TLS). Les appels nécessitent également une suite de chiffrement moderne qui prend en charge une confidentialité persistante et parfaite. Le trafic vers les modules de sécurité matériels (HSMs) qui stockent le matériel clé pour KMS les clés est autorisé uniquement en provenance d' AWS KMS APIhôtes connus sur le réseau AWS interne.

Pour vous connecter AWS KMS directement à votre cloud privé virtuel (VPC) sans envoyer de trafic via l'Internet public, utilisez des VPC points de terminaison alimentés par AWS PrivateLink. Pour de plus amples informations, veuillez consulter Se connecter AWS KMS via un VPC point de terminaison.

AWS KMS prend également en charge une option hybride d'échange de clés post-quantique pour le protocole de chiffrement réseau Transport Layer Security (TLS). Vous pouvez utiliser cette option TLS lorsque vous vous connectez à des AWS KMS API points de terminaison.