Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Considérations spéciales relatives au matériel clé importé

PDF
RSS
Mode de mise au point
Considérations spéciales relatives au matériel clé importé - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Avant de décider d'importer du matériel clé dans AWS KMS, vous devez comprendre les caractéristiques suivantes du matériel clé importé.

Vous générez les éléments de clé.

Vous êtes responsable de la génération des éléments de clé à l'aide d'une source aléatoire qui répond à vos exigences de sécurité.

Vous pouvez supprimer les éléments de clé.

Vous pouvez supprimer les éléments de clé importés d'une clé KMS, ce qui la rend immédiatement inutilisable. De plus, lorsque vous importez des éléments de clé dans une clé KMS, vous pouvez définir sa date d'expiration si vous souhaitez qu'elle en ait une. Lorsque le délai d'expiration arrive, AWS KMS supprime le matériel clé. Sans éléments de clé, la clé KMS ne peut pas être utilisée dans une opération de chiffrement. Pour restaurer la clé, vous devez y réimporter les mêmes éléments de clé.

Vous ne pouvez pas modifier les éléments de clé

Lorsque vous importez des éléments de clé dans une clé KMS, celle-ci est définitivement associée à ces éléments de clé. Vous pouvez réimporter les mêmes éléments de clé, mais vous ne pouvez pas en importer d'autres dans cette clé KMS. De plus, vous ne pouvez pas activer la rotation automatique des clés pour une clé KMS dont les éléments de clé sont importés. Toutefois, vous pouvez soumettre à une rotation manuelle une clé KMS avec les éléments de clé importés.

Vous ne pouvez pas modifier l’origine des éléments de clé

Les clés KMS conçues pour les éléments importés sont dotées d'une valeur origin (origine) non modifiable définie sur EXTERNAL. Vous ne pouvez pas convertir une clé KMS pour du matériel clé importé afin d'utiliser du matériel clé provenant d'une autre source, y compris AWS KMS. De même, vous ne pouvez pas convertir une clé KMS AWS KMS contenant du matériel clé en une clé conçue pour le matériel clé importé.

Vous ne pouvez pas exporter d’élément de clé

Vous ne pouvez pas exporter de matériel clé que vous avez importé. AWS KMS ne peut pas vous renvoyer le matériel clé importé sous quelque forme que ce soit. Vous devez conserver une copie du matériel clé importé à l'extérieur AWS, de préférence dans un gestionnaire de clés, tel qu'un module de sécurité matériel (HSM), afin de pouvoir réimporter le matériel clé si vous le supprimez ou s'il expire.

Vous pouvez créer des clés multi-région avec des éléments de clé importés

Les zones multirégionales avec un élément de clé importé ont les fonctionnalités des clés KMS avec un élément de clé importé et peuvent interagir entre Régions AWS. Pour créer une clé multi-région avec des éléments de clé importés, vous devez importer les mêmes éléments de clé dans la clé KMS principale et dans chaque clé de réplica.

Les clés asymétriques et les clés HMAC sont portables et interopérables

Vous pouvez utiliser votre matériau de clé asymétrique et le matériau de clé HMAC à l'extérieur AWS pour interagir avec des AWS KMS clés contenant le même matériau de clé importé.

Contrairement au texte chiffré AWS KMS symétrique, qui est inextricablement lié à la clé KMS utilisée dans l'algorithme, AWS KMS utilise des formats HMAC standard et asymétriques pour le chiffrement, la signature et la génération de MAC. Par conséquent, les clés sont portables et prennent en charge les scénarios de clé sous séquestre traditionnels.

Lorsque votre clé KMS contient du matériel clé importé, vous pouvez utiliser le matériel clé importé AWS à l'extérieur pour effectuer les opérations suivantes.

  • Clés HMAC – Vous pouvez vérifier une balise HMAC générée par la clé KMS HMAC avec un élément de clé importé. Vous pouvez également utiliser la clé HMAC KMS avec le matériel clé importé pour vérifier une étiquette HMAC qui a été générée par le matériel clé à l'extérieur de. AWS

  • Clés de chiffrement asymétriques — Vous pouvez utiliser votre clé de chiffrement asymétrique privée AWS à l'extérieur pour déchiffrer un texte chiffré par la clé KMS avec la clé publique correspondante. Vous pouvez également utiliser votre clé KMS asymétrique pour déchiffrer un texte chiffré asymétrique généré en dehors de. AWS

  • Clés de signature asymétriques — Vous pouvez utiliser votre clé KMS de signature asymétrique avec du matériel clé importé pour vérifier les signatures numériques générées par votre clé de signature privée en dehors de. AWS Vous pouvez également utiliser votre clé de signature publique asymétrique AWS à l'extérieur pour vérifier les signatures générées par votre clé KMS asymétrique.

  • Clés d'accord de clé asymétriques — Vous pouvez utiliser votre clé KMS d'accord de clé asymétrique avec du matériel clé importé pour obtenir des secrets partagés avec un homologue extérieur à. AWS

Si vous importez les mêmes éléments de clé dans différentes clés KMS du même Région AWS, ces clés sont également interopérables. Pour créer des clés KMS interopérables dans différentes régions Régions AWS, créez une clé multirégionale avec du matériel clé importé.

Les clés de chiffrement symétriques ne sont ni portables ni interopérables

Les textes chiffrés symétriques AWS KMS produits ne sont ni portables ni interopérables. AWS KMS ne publie pas le format de texte chiffré symétrique requis par la portabilité, et le format peut changer sans préavis.

  • AWS KMS ne peut pas déchiffrer les textes chiffrés symétriques que vous chiffrez en dehors de ceux-ci AWS, même si vous utilisez des éléments clés que vous avez importés.

  • AWS KMS ne prend pas en charge le déchiffrement d'un texte chiffré AWS KMS symétrique en dehors de AWS KMS, même si le texte chiffré a été chiffré sous une clé KMS avec du matériel clé importé.

  • Les clés KMS avec le même élément de clé importé ne sont pas interopérables. Le texte chiffré symétrique qui AWS KMS génère un texte chiffré spécifique à chaque clé KMS. Ce format de texte chiffré garantit que seule la clé KMS qui a chiffré des données peut les déchiffrer.

En outre, vous ne pouvez utiliser aucun AWS outil, tel que le AWS Encryption SDKchiffrement côté client Amazon S3, pour déchiffrer AWS KMS des textes chiffrés symétriques.

Par conséquent, vous ne pouvez pas utiliser de clés contenant du matériel clé importé pour soutenir des accords d'entiercement de clés dans le cadre desquels un tiers autorisé ayant un accès conditionnel au contenu clé peut déchiffrer certains textes chiffrés en dehors de. AWS KMS Pour prendre en charge le séquestre de clés, utilisez le kit AWS Encryption SDK pour chiffrer votre message sous une clé indépendante de AWS KMS.

Vous êtes responsable de la disponibilité et de la durabilité.

AWS KMS est conçu pour maintenir la haute disponibilité du matériel clé importé. Mais AWS KMS ne maintient pas la durabilité du matériau clé importé au même niveau que le matériau clé qui en AWS KMS génère. Pour plus de détails, consultez Suppression des éléments de clé importés.

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.