Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Étape 1 : Création d'un matériau AWS KMS key sans clé
Par défaut, AWS KMS crée du matériel clé pour vous lorsque vous créez une KMS clé. Pour importer votre propre matériel clé, commencez par créer une KMS clé sans matériau clé. Procédez ensuite à l'importation. Pour créer une KMS clé sans élément clé, utilisez AWS KMS la console ou l'CreateKeyopération.
Pour créer une clé sans élément de clé, spécifiez l'origine de EXTERNAL. La propriété d'origine d'une KMS clé est immuable. Une fois que vous l'avez créée, vous ne pouvez pas convertir une KMS clé conçue pour le matériel clé importé en KMS clé contenant du matériel clé provenant d'une autre source AWS KMS ou d'une autre source.
L'état clé d'une KMS clé ayant une EXTERNAL origine et aucun matériau clé ne l'estPendingImport. Une KMS clé peut rester en PendingImport état indéfiniment. Toutefois, vous ne pouvez pas utiliser une KMS clé en PendingImport état dans le cadre d'opérations cryptographiques. Lorsque vous importez du matériel clé, l'état de la KMS clé devientEnabled, et vous pouvez l'utiliser dans des opérations cryptographiques.
AWS KMS enregistre un événement dans votre AWS CloudTrail journal lorsque vous créez la KMS clé, que vous téléchargez la clé publique et que vous importez le jeton, et que vous importez le matériel clé. AWS KMS enregistre également un CloudTrail événement lorsque vous supprimez du matériel clé importé ou lorsque vous AWS KMS supprimez du matériel clé expiré.
Rubriques
Création d'une KMS clé sans matériau clé (console)
Il vous suffit de créer une KMS clé pour le matériel clé importé une seule fois. Vous pouvez importer et réimporter le même élément clé dans la KMS clé existante aussi souvent que nécessaire, mais vous ne pouvez pas importer des éléments clés différents dans une KMS clé. Pour plus de détails, consultez Étape 2 : Téléchargement de la clé publique d’encapsulage et du jeton d'importation.
Pour trouver KMS les clés existantes contenant des éléments clés importés dans votre tableau des clés gérées par le client, utilisez l'icône en forme de roue dentée dans le coin supérieur droit pour afficher la colonne Origine dans la liste des KMS clés. Les clés importées ont une valeur Origine égale à Externe (Importation des éléments de clé).
Pour créer une KMS clé avec du matériel de clé importé, commencez par suivre les instructions de création d'une KMS clé du type de clé que vous préférez, à l'exception suivante.
Après avoir choisi l'utilisation de la clé, procédez comme suit :
-
(Facultatif) Développez Options avancées.
-
Dans le champ Key material origin (Origine des éléments de clé), sélectionnez External (Import key material) (Externe (Importation des éléments de clé)).
-
Cochez la case à côté de I understand the security, availability, and durability implications of using an imported key pour indiquer que vous comprenez les implications de l'utilisation d'éléments de clé importés. Pour de plus amples informations sur ces implications, veuillez consulter Suppression des éléments de clé importés.
-
Facultatif : pour créer une clé multirégionale avec du matériel KMS clé importé, sous Régionalité, sélectionnez Clé multirégionale.
-
Revenez aux instructions de base. Les étapes restantes de la procédure de base sont les mêmes pour toutes les KMS clés de ce type.
Lorsque vous choisissez Terminer, vous avez créé une KMS clé sans élément clé et dont le statut (état clé) est En attente d'importation.
Cependant, au lieu de retourner au tableau des clés gérées par le client, la console affiche une page sur laquelle vous pouvez télécharger la clé publique et le jeton d'importation dont vous avez besoin pour importer l’élément de clé. Vous pouvez poursuivre l'étape de téléchargement dès maintenant ou choisir Annuler pour arrêter à ce stade. Vous pouvez revenir à cette étape de téléchargement à tout moment.
Suivant: Étape 2 : Téléchargement de la clé publique d’encapsulage et du jeton d'importation.
Création d'une KMS clé sans matériau clé (AWS KMS API)
Pour utiliser le AWS KMS APIpour créer une KMS clé de chiffrement symétrique ne contenant aucun élément clé, envoyez une CreateKeydemande avec le Origin paramètre défini sur. EXTERNAL L'exemple suivant montre comment procéder avec l'AWS Command Line Interface (AWS CLI)
$aws kms create-key --origin EXTERNAL
Lorsque la commande s'exécute correctement, vous obtenez une sortie similaire à ce qui suit. La AWS KMS clé Origin est EXTERNAL et elle KeyState estPendingImport.
Astuce
Si la commande échoue, vous pouvez voir un KMSInvalidStateException ou un NotFoundException. Vous pouvez réessayer la demande.
{ "KeyMetadata": { "Origin": "EXTERNAL", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "Enabled": false, "MultiRegion": false, "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "PendingImport", "CreationDate": 1568289600.0, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }
Copiez la valeur KeyId dans la sortie de votre commande pour l'utiliser dans les étapes ultérieures, puis passez à l'Étape 2 : Téléchargement de la clé publique d’encapsulage et du jeton d'importation.
Note
Cette commande crée une KMS clé de chiffrement symétrique avec un ou un KeySpec SYMMETRIC_DEFAULT KeyUsage deENCRYPT_DECRYPT. Vous pouvez utiliser les paramètres facultatifs --key-spec et --key-usage créer une HMAC KMS clé asymétrique. Pour plus d'informations, consultez l'CreateKeyopération.
