Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Clés HMAC entrées AWS KMS

Mode de mise au point
Clés HMAC entrées AWS KMS - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les clés KMS à code d'authentification des messages basé sur le hachage (HMAC) sont des clés symétriques que vous utilisez pour les générer et les vérifier. HMACs AWS KMS Les éléments de clé uniques associés à chaque clé KMS HMAC fournissent la clé secrète requise par les algorithmes HMAC. Vous pouvez utiliser une clé KMS HMAC avec les opérations GenerateMac et VerifyMac pour vérifier l'intégrité et l'authenticité des données dans AWS KMS.

Les algorithmes HMAC combinent une fonction de hachage cryptographique et une clé secrète partagée. Ils prennent un message et une clé secrète, comme les éléments de clé d'une clé KMS HMAC, et renvoient un code unique de taille fixe ou une balise. Si même un caractère du message change ou si la clé secrète n'est pas identique, la balise obtenue est entièrement différente. En exigeant une clé secrète, HMAC garantit également l'authenticité ; il est impossible de générer une étiquette HMAC identique sans la clé secrète. HMACs sont parfois appelées signatures symétriques, car elles fonctionnent comme des signatures numériques, mais utilisent une seule clé pour la signature et la vérification.

Les clés HMAC KMS et les algorithmes HMAC AWS KMS utilisés sont conformes aux normes industrielles définies dans la RFC 2104. L' AWS KMS GenerateMacopération génère des balises HMAC standard. Les clés HMAC KMS sont générées dans des modules de sécurité AWS KMS matériels certifiés dans le cadre du programme de validation des modules cryptographiques FIPS 140-3 (sauf dans les régions de Chine (Pékin) et de Chine (Ningxia)) et ne sont jamais non chiffrées. AWS KMS Pour utiliser une clé KMS HMAC, vous devez appeler AWS KMS.

Vous pouvez utiliser les clés KMS HMAC pour déterminer l'authenticité d'un message, comme un jeton Web JSON (JWT), des informations de carte de crédit tokenisée ou un mot de passe envoyé. Elles peuvent également être utilisées comme fonctions de dérivation de clés sécurisées (KDFs), en particulier dans les applications qui nécessitent des clés déterministes.

Les clés HMAC KMS offrent un avantage par rapport aux logiciels HMACs d'application, car le contenu clé est généré et utilisé entièrement dans le logiciel AWS KMS, sous réserve des contrôles d'accès que vous définissez sur la clé.

Astuce

Les bonnes pratiques recommandent de limiter la durée pendant laquelle tout mécanisme de signature, y compris un HMAC, est effectif. Cela dissuade une attaque où l'acteur utilise un message signé pour établir la validité à plusieurs reprises ou longtemps après le remplacement du message. Les balises HMAC n'incluent pas d'horodatage, mais vous pouvez inclure un horodatage dans le jeton ou le message pour vous aider à détecter le moment où il convient d'actualiser le HMAC.

Opérations cryptographiques prises en charge

Les clés HMAC KMS prennent uniquement en charge les opérations de chiffrement GenerateMac et VerifyMac. Vous ne pouvez pas utiliser de clés KMS HMAC pour chiffrer des données ou signer des messages, ni pour utiliser tout autre type de clé KMS dans les opérations HMAC. Lorsque vous utilisez l'opération GenerateMac, vous fournissez un message pouvant atteindre 4 096 octets, une clé KMS HMAC et l'algorithme MAC compatible avec la spécification de clé HMAC, tandis que GenerateMac calcule la balise HMAC. Pour vérifier une balise HMAC, vous devez fournir la balise HMAC, ainsi que le même message, la clé KMS HMAC et l'algorithme MAC que GenerateMac a utilisé pour calculer la balise HMAC d'origine. L'opération VerifyMac calcule la balise HMAC et vérifie qu'elle est identique à la balise HMAC fournie. Si les balises HMAC en entrée et calculées ne sont pas identiques, la vérification échoue.

Les clés KMS HMAC ne prennent pas en charge la rotation automatique des clés et vous ne pouvez pas créer de clé KMS HMAC dans un magasin de clés personnalisé.

Si vous créez une clé KMS pour chiffrer les données d'un AWS service, utilisez une clé de chiffrement symétrique. Vous ne pouvez pas utiliser de clé KMS HMAC.

Régions

Les clés HMAC KMS sont prises en charge dans tous Régions AWS les AWS KMS supports.

En savoir plus

Rubrique suivante :

Clés multi-région

Rubrique précédente :

Clés asymétriques
ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.