Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création d'une KMS clé avec du matériel clé importé
Le matériel clé importé vous permet de protéger vos AWS ressources grâce aux clés cryptographiques que vous générez. Le contenu clé que vous importez est associé à une KMS clé particulière. Vous pouvez réimporter le même élément clé dans la même KMS clé, mais vous ne pouvez pas importer des éléments clés différents dans la KMS clé et vous ne pouvez pas convertir une KMS clé conçue pour du matériel clé importé en une KMS clé contenant du matériel AWS KMS clé.
La présentation suivante explique comment importer vos éléments de clé dans AWS KMS. Pour plus d'informations sur chaque étape du processus, consultez la rubrique correspondante.
-
Créez une KMS clé sans matériau clé — L'origine doit être
EXTERNAL
. Une origine de cléEXTERNAL
indique que la clé est conçue pour le matériel clé importé et AWS KMS empêche de générer du matériel clé pour la KMS clé. Dans une étape ultérieure, vous allez importer votre propre matériel clé dans cette KMS clé.Le matériel clé que vous importez doit être compatible avec les spécifications de la clé associée AWS KMS . Pour plus d'informations sur la compatibilité, veuillez consulter Exigences relatives aux éléments de clé importés.
-
Téléchargement de la clé publique d’encapsulation et du jeton d'importation – Une fois l'étape 1 terminée, téléchargez une clé publique d'encapsulage et un jeton d'importation. Ces éléments protègent vos éléments de clé lors de leur importation dans AWS KMS.
Au cours de cette étape, vous choisissez le type (« spécification clé ») de la clé RSA d'encapsulation et l'algorithme d'encapsulation que vous utiliserez pour chiffrer vos données en transit. AWS KMS Vous pouvez choisir une spécification de clé d'encapsulage et un algorithme de clé d'encapsulage différents chaque fois que vous importez ou réimportez le même élément de clé.
-
Chiffrement des éléments de clé – Utilisez la clé publique d’encapsulage que vous avez téléchargée à l'étape 2 pour chiffrer les éléments de clé que vous avez créés sur votre propre système.
-
Importation des éléments de clé – Téléchargez les éléments de clé chiffrés que vous avez créés à l'étape 3 et le jeton d'importation que vous avez téléchargé à l'étape 2.
À ce stade, vous pouvez définir un délai d'expiration facultatif. Lorsque le matériel clé importé expire, il AWS KMS est supprimé et la KMS clé devient inutilisable. Pour continuer à utiliser la KMS clé, vous devez réimporter le même matériel clé.
Lorsque l'opération d'importation est terminée avec succès, l'état clé de la KMS clé passe de
PendingImport
àEnabled
. Vous pouvez désormais utiliser la KMS clé dans des opérations cryptographiques.
AWS KMS enregistre une entrée dans votre AWS CloudTrail journal lorsque vous créez la KMS clé, que vous téléchargez la clé publique d'encapsulage et le jeton d'importation, et que vous importez le matériel clé. AWS KMS enregistre également une entrée lorsque vous supprimez du matériel clé importé ou lorsque vous AWS KMS supprimez du matériel clé expiré.
Autorisations d'importation des éléments de clé
Pour créer et gérer des KMS clés avec du matériel clé importé, l'utilisateur doit disposer d'une autorisation pour effectuer les opérations de ce processus. Vous pouvez fournir les kms:DeleteImportedKeyMaterial
autorisations kms:GetParametersForImport
kms:ImportKeyMaterial
, et dans la politique de clé lorsque vous créez la KMS clé. Dans la AWS KMS console, ces autorisations sont ajoutées automatiquement pour les administrateurs de clés lorsque vous créez une clé avec une origine matérielle de clé externe.
Pour créer des KMS clés avec du matériel clé importé, le principal doit disposer des autorisations suivantes.
-
kms : CreateKey (IAMpolitique)
-
Pour limiter cette autorisation aux KMS clés contenant du matériel clé importé, utilisez la condition de KeyOrigin politique kms : avec une valeur de
EXTERNAL
.{ "Sid": "CreateKMSKeysWithoutKeyMaterial", "Effect": "Allow", "Resource": "*", "Action": "kms:CreateKey", "Condition": { "StringEquals": { "kms:KeyOrigin": "EXTERNAL" } } }
-
-
kms : GetParametersForImport (Politique ou IAM politique clé)
-
Pour limiter cette autorisation aux demandes qui utilisent un algorithme d'encapsulage et une spécification de clé d'encapsulation particuliers, utilisez les conditions de WrappingKeySpec politique kms : WrappingAlgorithm et kms :.
-
-
kms : ImportKeyMaterial (Politique ou IAM politique clé)
-
Pour autoriser ou interdire le contenu clé qui expire et contrôler la date d'expiration, utilisez les conditions de ValidTo politique kms : ExpirationModel et kms :.
-
Pour réimporter du matériel clé importé, le principal a besoin des ImportKeyMaterial autorisations kms : GetParametersForImport et kms :.
Pour supprimer le matériel clé importé, le principal a besoin de l'DeleteImportedKeyMaterialautorisation kms :.
Par exemple, pour KMSAdminRole
autoriser l'exemple à gérer tous les aspects d'une KMS clé avec du matériel clé importé, incluez une déclaration de politique clé telle que la suivante dans la politique clé de la KMS clé.
{ "Sid": "Manage KMS keys with imported key material", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole" }, "Action": [ "kms:GetParametersForImport", "kms:ImportKeyMaterial", "kms:DeleteImportedKeyMaterial" ] }
Exigences relatives aux éléments de clé importés
Le matériel clé que vous importez doit être compatible avec les spécifications de la KMS clé associée. Pour les paires de clés asymétriques, importez uniquement la clé privée de la paire. AWS KMS dérive la clé publique de la clé privée.
AWS KMS prend en charge les spécifications clés suivantes pour KMS les clés dont le matériau clé est importé.