Création d'une KMS clé avec du matériel clé importé - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'une KMS clé avec du matériel clé importé

Le matériel clé importé vous permet de protéger vos AWS ressources grâce aux clés cryptographiques que vous générez. Le contenu clé que vous importez est associé à une KMS clé particulière. Vous pouvez réimporter le même élément clé dans la même KMS clé, mais vous ne pouvez pas importer des éléments clés différents dans la KMS clé et vous ne pouvez pas convertir une KMS clé conçue pour du matériel clé importé en une KMS clé contenant du matériel AWS KMS clé.

La présentation suivante explique comment importer vos éléments de clé dans AWS KMS. Pour plus d'informations sur chaque étape du processus, consultez la rubrique correspondante.

  1. Créez une KMS clé sans matériau clé — L'origine doit êtreEXTERNAL. Une origine de clé EXTERNAL indique que la clé est conçue pour le matériel clé importé et AWS KMS empêche de générer du matériel clé pour la KMS clé. Dans une étape ultérieure, vous allez importer votre propre matériel clé dans cette KMS clé.

    Le matériel clé que vous importez doit être compatible avec les spécifications de la clé associée AWS KMS . Pour plus d'informations sur la compatibilité, veuillez consulter Exigences relatives aux éléments de clé importés.

  2. Téléchargement de la clé publique d’encapsulation et du jeton d'importation – Une fois l'étape 1 terminée, téléchargez une clé publique d'encapsulage et un jeton d'importation. Ces éléments protègent vos éléments de clé lors de leur importation dans AWS KMS.

    Au cours de cette étape, vous choisissez le type (« spécification clé ») de la clé RSA d'encapsulation et l'algorithme d'encapsulation que vous utiliserez pour chiffrer vos données en transit. AWS KMS Vous pouvez choisir une spécification de clé d'encapsulage et un algorithme de clé d'encapsulage différents chaque fois que vous importez ou réimportez le même élément de clé.

  3. Chiffrement des éléments de clé – Utilisez la clé publique d’encapsulage que vous avez téléchargée à l'étape 2 pour chiffrer les éléments de clé que vous avez créés sur votre propre système.

  4. Importation des éléments de clé – Téléchargez les éléments de clé chiffrés que vous avez créés à l'étape 3 et le jeton d'importation que vous avez téléchargé à l'étape 2.

    À ce stade, vous pouvez définir un délai d'expiration facultatif. Lorsque le matériel clé importé expire, il AWS KMS est supprimé et la KMS clé devient inutilisable. Pour continuer à utiliser la KMS clé, vous devez réimporter le même matériel clé.

    Lorsque l'opération d'importation est terminée avec succès, l'état clé de la KMS clé passe de PendingImport àEnabled. Vous pouvez désormais utiliser la KMS clé dans des opérations cryptographiques.

AWS KMS enregistre une entrée dans votre AWS CloudTrail journal lorsque vous créez la KMS clé, que vous téléchargez la clé publique d'encapsulage et le jeton d'importation, et que vous importez le matériel clé. AWS KMS enregistre également une entrée lorsque vous supprimez du matériel clé importé ou lorsque vous AWS KMS supprimez du matériel clé expiré.

Autorisations d'importation des éléments de clé

Pour créer et gérer des KMS clés avec du matériel clé importé, l'utilisateur doit disposer d'une autorisation pour effectuer les opérations de ce processus. Vous pouvez fournir les kms:DeleteImportedKeyMaterial autorisations kms:GetParametersForImportkms:ImportKeyMaterial, et dans la politique de clé lorsque vous créez la KMS clé. Dans la AWS KMS console, ces autorisations sont ajoutées automatiquement pour les administrateurs de clés lorsque vous créez une clé avec une origine matérielle de clé externe.

Pour créer des KMS clés avec du matériel clé importé, le principal doit disposer des autorisations suivantes.

  • kms : CreateKey (IAMpolitique)

    • Pour limiter cette autorisation aux KMS clés contenant du matériel clé importé, utilisez la condition de KeyOrigin politique kms : avec une valeur deEXTERNAL.

      { "Sid": "CreateKMSKeysWithoutKeyMaterial", "Effect": "Allow", "Resource": "*", "Action": "kms:CreateKey", "Condition": { "StringEquals": { "kms:KeyOrigin": "EXTERNAL" } } }
  • kms : GetParametersForImport (Politique ou IAM politique clé)

    • Pour limiter cette autorisation aux demandes qui utilisent un algorithme d'encapsulage et une spécification de clé d'encapsulation particuliers, utilisez les conditions de WrappingKeySpec politique kms : WrappingAlgorithm et kms :.

  • kms : ImportKeyMaterial (Politique ou IAM politique clé)

    • Pour autoriser ou interdire le contenu clé qui expire et contrôler la date d'expiration, utilisez les conditions de ValidTo politique kms : ExpirationModel et kms :.

Pour réimporter du matériel clé importé, le principal a besoin des ImportKeyMaterial autorisations kms : GetParametersForImport et kms :.

Pour supprimer le matériel clé importé, le principal a besoin de l'DeleteImportedKeyMaterialautorisation kms :.

Par exemple, pour KMSAdminRole autoriser l'exemple à gérer tous les aspects d'une KMS clé avec du matériel clé importé, incluez une déclaration de politique clé telle que la suivante dans la politique clé de la KMS clé.

{ "Sid": "Manage KMS keys with imported key material", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole" }, "Action": [ "kms:GetParametersForImport", "kms:ImportKeyMaterial", "kms:DeleteImportedKeyMaterial" ] }

Exigences relatives aux éléments de clé importés

Le matériel clé que vous importez doit être compatible avec les spécifications de la KMS clé associée. Pour les paires de clés asymétriques, importez uniquement la clé privée de la paire. AWS KMS dérive la clé publique de la clé privée.

AWS KMS prend en charge les spécifications clés suivantes pour KMS les clés dont le matériau clé est importé.

KMSspécification clé Exigences relatives aux éléments de clés

Clés de chiffrement symétrique

SYMMETRIC_DEFAULT

256 bits (32 octets) de données binaires

Dans les régions de Chine, il doit s'agir de 128 bits (16 octets) de données binaires.

HMACclés

HMAC_224

HMAC_256

HMAC_384

HMAC_512

HMACle matériel clé doit être conforme à la norme RFC2104.

La longueur de la clé doit correspondre à la longueur spécifiée par la spécification de clés.

RSAclé privée asymétrique

RSA_2048

RSA_3072

RSA_4096

La clé privée RSA asymétrique que vous importez doit faire partie d'une paire de clés conforme à RFC la norme 3447.

Module : 2 048 bits, 3 072 bits ou 4 096 bits

Nombre de nombres premiers : 2 (les RSA clés multiprimes ne sont pas prises en charge)

Le matériel de clé asymétrique doit être BER codé ou DER codé au format Public-Key Cryptography Standards (PKCS) #8 conforme à la norme 5208. RFC

Clé privée asymétrique à courbe elliptique

ECC_ NIST _P256 (secp256r1)

ECC_ NIST _P384 (secp384r1)

ECC_ NIST _P521 (secp521r1)

ECC_ SECG _P256K1 (secp256k1)

La clé privée ECC asymétrique que vous importez doit faire partie d'une paire de clés conforme à RFC la norme 5915.

Courbe : NIST P-256, NIST P-384, NIST P-521 ou SECP256K1

Paramètres : courbes nommées uniquement (ECCles clés avec des paramètres explicites sont rejetées)

Coordonnées des points publics : peuvent être compressées, non compressées ou projectives

Le matériel de clé asymétrique doit être BER codé ou DER codé au format Public-Key Cryptography Standards (PKCS) #8 conforme à la norme 5208. RFC

SM2clé privée asymétrique (régions chinoises uniquement)

La clé privée SM2 asymétrique que vous importez doit faire partie d'une paire de clés conforme à GM/T 0003.

Courbe : SM2

Paramètres : courbe nommée uniquement (SM2les clés avec des paramètres explicites sont rejetées)

Coordonnées des points publics : peuvent être compressées, non compressées ou projectives

Le matériel de clé asymétrique doit être BER codé ou DER codé au format Public-Key Cryptography Standards (PKCS) #8 conforme à la norme 5208. RFC