Considérations spéciales relatives au matériel clé importé - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Considérations spéciales relatives au matériel clé importé

Avant de décider d'importer du matériel clé dans AWS KMS, vous devez comprendre les caractéristiques suivantes du matériel clé importé.

Vous générez les éléments de clé.

Vous êtes responsable de la génération des éléments de clé à l'aide d'une source aléatoire qui répond à vos exigences de sécurité.

Vous pouvez supprimer les éléments de clé.

Vous pouvez supprimer le contenu clé importé d'une KMS clé, la KMS rendant immédiatement inutilisable. En outre, lorsque vous importez des éléments clés dans une KMS clé, vous pouvez déterminer si la clé expire et définir son heure d'expiration. Lorsque le délai d'expiration arrive, AWS KMS supprime le matériel clé. Sans matériel clé, la KMS clé ne peut être utilisée dans aucune opération cryptographique. Pour restaurer la clé, vous devez y réimporter les mêmes éléments de clé.

Vous ne pouvez pas modifier les éléments de clé

Lorsque vous importez un élément clé dans une KMS clé, la KMS clé est associée de façon permanente à ce matériau clé. Vous pouvez réimporter le même élément clé, mais vous ne pouvez pas importer d'éléments clés différents dans cette KMS clé. Vous ne pouvez pas non plus activer la rotation automatique des touches pour une KMS clé dont le matériau clé est importé. Cependant, vous pouvez faire pivoter manuellement une KMS clé avec du matériel clé importé.

Vous ne pouvez pas modifier l’origine des éléments de clé

KMSles clés conçues pour le matériel clé importé ont une valeur d'origine EXTERNAL qui ne peut pas être modifiée. Vous ne pouvez pas convertir une KMS clé pour du matériel clé importé afin d'utiliser du matériel clé provenant d'une autre source, y compris AWS KMS. De même, vous ne pouvez pas convertir une KMS AWS KMS clé contenant du matériel clé en une clé conçue pour le matériel clé importé.

Vous ne pouvez pas exporter d’élément de clé

Vous ne pouvez pas exporter de matériel clé que vous avez importé. AWS KMS ne peut pas vous renvoyer le matériel clé importé sous quelque forme que ce soit. Vous devez conserver une copie du matériel clé importé à l'extérieur AWS, de préférence dans un gestionnaire de clés, tel qu'un module de sécurité matériel (HSM), afin de pouvoir réimporter le contenu clé si vous le supprimez ou s'il expire.

Vous pouvez créer des clés multi-région avec des éléments de clé importés

Les régions multiples avec du matériel clé importé ont les caractéristiques des KMS clés avec du matériel clé importé et peuvent interagir entre elles. Régions AWS Pour créer une clé multirégionale avec du matériel clé importé, vous devez importer le même matériau clé dans la clé primaire et dans chaque KMS clé répliquée.

Les clés asymétriques et les HMAC clés sont portables et interopérables

Vous pouvez utiliser le matériau de votre clé asymétrique et le matériau de votre HMAC clé AWS à l'extérieur pour interagir avec des AWS KMS clés contenant le même matériau de clé importé.

Contrairement au texte chiffré AWS KMS symétrique, qui est inextricablement lié à la KMS clé utilisée dans l'algorithme, AWS KMS utilise des formats standard HMAC et asymétriques pour le chiffrement, la signature et la génération. MAC Par conséquent, les clés sont portables et prennent en charge les scénarios de clé sous séquestre traditionnels.

Lorsque votre KMS clé contient du matériel clé importé, vous pouvez utiliser le matériau clé importé AWS à l'extérieur pour effectuer les opérations suivantes.

  • HMACclés — Vous pouvez vérifier une HMAC étiquette générée par la HMAC KMS clé avec du matériel clé importé. Vous pouvez également utiliser la HMAC KMS clé avec le matériau clé importé pour vérifier une HMAC étiquette qui a été générée par le matériau clé en dehors de AWS.

  • Clés de chiffrement asymétriques — Vous pouvez utiliser votre clé de chiffrement asymétrique privée AWS à l'extérieur pour déchiffrer un texte chiffré par la KMS clé avec la clé publique correspondante. Vous pouvez également utiliser votre KMS clé asymétrique pour déchiffrer un texte chiffré asymétrique généré en dehors de. AWS

  • Clés de signature asymétriques — Vous pouvez utiliser votre KMS clé de signature asymétrique avec du matériel clé importé pour vérifier les signatures numériques générées par votre clé de signature privée en dehors de. AWS Vous pouvez également utiliser votre clé de signature publique asymétrique AWS à l'extérieur pour vérifier les signatures générées par votre clé asymétriqueKMS.

  • Clés d'accord de clé asymétriques — Vous pouvez utiliser votre clé d'accord KMS de clé asymétrique avec du matériel clé importé pour obtenir des secrets partagés avec un pair extérieur. AWS

Si vous importez le même matériel clé dans différentes KMS clés identiques Région AWS, ces clés sont également interopérables. Pour créer des KMS clés interopérables dans différentes régions Régions AWS, créez une clé multirégionale avec du matériel clé importé.

Les clés de chiffrement symétriques ne sont ni portables ni interopérables

Les textes chiffrés symétriques AWS KMS produits ne sont ni portables ni interopérables. AWS KMS ne publie pas le format de texte chiffré symétrique requis par la portabilité, et le format peut changer sans préavis.

  • AWS KMS ne peut pas déchiffrer les textes chiffrés symétriques que vous chiffrez en dehors de ceux-ci AWS, même si vous utilisez des éléments clés que vous avez importés.

  • AWS KMS ne prend pas en charge le déchiffrement d'un texte chiffré AWS KMS symétrique en dehors de AWS KMS, même si le texte chiffré a été chiffré sous une clé avec du matériel clé importé. KMS

  • KMSles clés contenant le même matériel clé importé ne sont pas interopérables. Le texte chiffré symétrique qui AWS KMS génère un texte chiffré spécifique à chaque clé. KMS Ce format de texte chiffré garantit que seule la KMS clé contenant les données chiffrées peut les déchiffrer.

En outre, vous ne pouvez utiliser aucun AWS outil, tel que le AWS Encryption SDKchiffrement côté client Amazon S3, pour déchiffrer AWS KMS des textes chiffrés symétriques.

Par conséquent, vous ne pouvez pas utiliser de clés contenant du matériel clé importé pour soutenir des accords d'entiercement de clés dans le cadre desquels un tiers autorisé ayant un accès conditionnel au contenu clé peut déchiffrer certains textes chiffrés en dehors de. AWS KMS Pour prendre en charge le séquestre de clés, utilisez le kit AWS Encryption SDK pour chiffrer votre message sous une clé indépendante de AWS KMS.

Vous êtes responsable de la disponibilité et de la durabilité.

AWS KMS est conçu pour maintenir la haute disponibilité du matériel clé importé. Mais AWS KMS ne maintient pas la durabilité du matériau clé importé au même niveau que le matériau clé qui en AWS KMS génère. Pour plus de détails, consultez Suppression des éléments de clé importés.