Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Étape 4 : Importation des éléments de clé
Après avoir chiffré vos éléments de clé, vous pouvez importer les éléments de clé à utiliser avec une AWS KMS key. Pour importer les éléments de clé, vous devez télécharger les éléments de clé chiffrés à partir de l'Étape 3 : Chiffrement des éléments de clé et le jeton d'importation que vous avez téléchargé à l'Étape 2 : Téléchargement de la clé publique d’encapsulage et du jeton d'importation. Vous devez importer le contenu clé dans la même KMS clé que celle que vous avez spécifiée lorsque vous avez téléchargé la clé publique et le jeton d'importation. Lorsque le matériel clé est importé avec succès, l'état de la KMS clé devientEnabled, et vous pouvez utiliser la KMS clé dans des opérations cryptographiques.
Lorsque vous importez les éléments de clé, vous pouvez éventuellement définir une date d'expiration pour ceux-ci. Lorsque le matériau clé expire, il AWS KMS est supprimé et la KMS clé devient inutilisable. Pour utiliser la KMS clé dans des opérations cryptographiques, vous devez réimporter le même contenu clé. Après avoir importé vos éléments de clé, vous ne pouvez pas définir, modifier ou annuler la date d'expiration de l'importation en cours. Pour modifier ces valeurs, vous devez supprimer et réimporter les mêmes éléments de clé.
Pour importer du matériel clé, vous pouvez utiliser la AWS KMS console ou le ImportKeyMaterialAPI. Vous pouvez l'utiliser API directement en faisant des HTTP demandes ou en utilisant un AWS SDKs
Lorsque vous importez le matériel clé, une ImportKeyMaterialentrée est ajoutée à votre AWS CloudTrail journal pour enregistrer l'ImportKeyMaterialopération. L' CloudTrail entrée est la même que vous utilisiez la AWS KMS console ou le AWS KMS API.
Définir un délai d'expiration (facultatif)
Lorsque vous importez le matériel clé de votre KMS clé, vous pouvez définir une date et une heure d'expiration facultatives pour le matériel clé, jusqu'à 365 jours à compter de la date d'importation. Lorsque le matériel clé importé expire, il est AWS KMS supprimé. Cette action modifie l'état de la KMS cléPendingImport, ce qui empêche son utilisation dans toute opération cryptographique. Pour utiliser la KMS clé, vous devez réimporter une copie du contenu original de la clé.
Le fait de s'assurer que le matériel clé importé expire fréquemment peut vous aider à satisfaire aux exigences réglementaires, mais cela ajoute un risque supplémentaire aux données chiffrées sous la KMS clé. Tant que vous ne réimportez pas une copie du contenu clé d'origine, une KMS clé dont le contenu est expiré est inutilisable et toutes les données chiffrées sous la KMS clé sont inaccessibles. Si vous ne réimportez pas le contenu clé pour quelque raison que ce soit, notamment en perdant votre copie du contenu clé original, la KMS clé est définitivement inutilisable et les données chiffrées sous la KMS clé sont irrécupérables.
Pour atténuer ce risque, assurez-vous que votre copie du matériel clé importé est accessible et concevez un système pour supprimer et réimporter le matériel clé avant qu'il n'expire et n'interrompe votre AWS charge de travail. Nous vous recommandons de programmer une alerte pour l'expiration de vos éléments de clé importés, afin de disposer de suffisamment de temps pour réimporter les éléments de clé avant leur expiration. Vous pouvez également utiliser vos CloudTrail journaux pour auditer les opérations d'importation (et de réimportation) de matériel clé et de suppression de matériel clé importé, ainsi que l' AWS KMS opération de suppression de matériel clé expiré.
Vous ne pouvez pas importer d'éléments KMS clés différents dans la clé, ni restaurer, récupérer ou reproduire les éléments clés supprimés. AWS KMS Au lieu de définir une date d'expiration, vous pouvez supprimer et réimporter périodiquement et par programmation les éléments de clé importés, mais les exigences relatives à la conservation d'une copie des éléments de clé originaux sont les mêmes.
Vous déterminez si et quand les éléments de clé importés expirent lorsque vous importez les éléments de clé importés. Mais vous pouvez activer et désactiver l'expiration, ou définir un nouveau délai d'expiration en supprimant et en réimportant les éléments de clé. Utilisez le ExpirationModel paramètre ImportKeyMaterialpour activer et désactiver l'expiration (KEY_MATERIAL_EXPIRESKEY_MATERIAL_DOES_NOT_EXPIRE) et le ValidTo paramètre pour définir le délai d'expiration. Le délai maximal est de 365 jours à compter de la date d'importation ; il n'y a pas de minimum, mais le délai doit être dans le futur.
Réimportez le matériel clé
Si vous gérez une KMS clé avec du matériel clé importé, vous devrez peut-être réimporter le matériel clé. Vous pouvez réimporter des éléments de clé pour remplacer des éléments de clé expirés ou supprimés, ou pour modifier le modèle ou la date d'expiration de ceux-ci.
Lorsque vous importez un élément clé dans une KMS clé, la KMS clé est associée de façon permanente à ce matériau clé. Vous pouvez réimporter le même élément clé, mais vous ne pouvez pas importer d'éléments clés différents dans cette KMS clé. Vous ne pouvez pas faire pivoter le matériau clé AWS KMS ni créer un matériau clé pour une KMS clé avec du matériel clé importé.
Vous pouvez réimporter des éléments de clé à tout moment, selon une planification qui répond à vos exigences de sécurité. Vous n'avez pas besoin d'attendre que les éléments de clé arrivent à leur date d'expiration ou en soient proches.
Les procédures de réimportation du matériel clé sont les mêmes que celles que vous utilisez pour importer le matériel clé la première fois, avec les exceptions suivantes.
-
Utilisez une KMS clé existante au lieu d'en créer une nouvelleKMS. Vous pouvez ignorer l'étape 1 de la procédure d'importation.
-
Lorsque vous réimportez des éléments de clé, vous pouvez modifier le modèle et la date d'expiration.
Chaque fois que vous importez du matériel clé dans une KMS clé, vous devez télécharger et utiliser une nouvelle clé d'encapsulation et un nouveau jeton d'importation pour la KMS clé. La procédure d'encapsulage n'affecte pas le contenu de l’élément de clé. Vous pouvez ainsi utiliser différentes clés d'encapsulage et algorithmes d’encapsulation différents pour importer le même élément de clé.
Importer les éléments de clé (console)
Vous pouvez utiliser le AWS Management Console pour importer du matériel clé.
-
Si vous êtes sur la page Téléchargez votre élément de clé encapsulé, passez à Étape 8.
-
Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.
-
Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
-
Dans le volet de navigation, sélectionnez Clés gérées par le client.
-
Choisissez l'ID de clé ou l'alias de la KMS clé pour laquelle vous avez téléchargé la clé publique et le jeton d'importation.
-
Choisissez l'onglet Cryptographic configuration (Configuration de chiffrement) et affichez ses valeurs. Les onglets se trouvent sur la page détaillée d'une KMS clé située sous la section Configuration générale.
Vous ne pouvez importer du matériel clé que dans des KMS clés ayant une origine externe (Importer du matériel clé). Pour plus d'informations sur la création de KMS clés avec du matériel clé importé, consultezImportation de matériel clé pour les AWS KMS clés.
-
Choisissez l'onglet Key material (Éléments de clé) puis choisissez Import key material (Importation des éléments de clé). L'onglet Matériau clé apparaît uniquement pour les KMS clés dont la valeur d'origine est Externe (Importer le matériau clé).
Si vous avez téléchargé l’élément de clé, le jeton d’importation et chiffré l’élément de clé, choisissez Next (Suivant).
-
Dans la section Éléments clés chiffrés et jeton d'importation, procédez comme suit.
-
Sous Élément de clé encapsulé, choisissez Choisir un fichier. Puis, chargez le fichier qui inclut vos clés encapsulées (chiffrées).
-
Sous Jeton d'importation, choisissez Charger un fichier. Chargez le fichier qui inclut le jeton d'importation que vous avez téléchargé.
-
-
Sous Expiration option (Option d'expiration), déterminez si l'élément de clé expire. Pour définir la date et l'heure d'expiration, choisissez Date d'expiration des clés, et utilisez le calendrier pour sélectionner une date et une heure. Vous pouvez spécifier une date jusqu'à 365 jours à compter de la date et de l'heure actuelles.
-
Choisissez Charger une clé.
Importation des éléments de clé (AWS KMS API)
Pour importer du matériel clé, utilisez l'ImportKeyMaterialopération. Les exemples suivants utilisent l'AWS CLI
Pour utiliser cet exemple :
-
1234abcd-12ab-34cd-56ef-1234567890ab -
Remplacez
EncryptedKeyMaterial.bin -
Remplacez
ImportToken.bin -
Si vous souhaitez que l'élément de clé importé expire, définissez la valeur du paramètre
expiration-modelsur sa valeur par défaut,KEY_MATERIAL_EXPIRES, ou omettez le paramètreexpiration-model. Procédez ensuite au remplacement de la valeur du paramètrevalid-topar la date et l'heure auxquelles vous souhaitez que l'élément de clé expire. La date et l'heure peuvent aller jusqu'à 365 jours à compter de la date de la requête.$aws kms import-key-material --key-id1234abcd-12ab-34cd-56ef-1234567890ab\ --encrypted-key-material fileb://EncryptedKeyMaterial.bin\ --import-token fileb://ImportToken.bin\ --expiration-modelKEY_MATERIAL_EXPIRES\ --valid-to2023-06-17T12:00:00-08:00Si vous souhaitez que l'élément de clé importé n'expire pas, définissez la valeur du paramètre
expiration-modelsurKEY_MATERIAL_DOES_NOT_EXPIRE, et omettez le paramètrevalid-tode la commande.$aws kms import-key-material --key-id1234abcd-12ab-34cd-56ef-1234567890ab\ --encrypted-key-material fileb://EncryptedKeyMaterial.bin\ --import-token fileb://ImportToken.bin\ --expiration-modelKEY_MATERIAL_DOES_NOT_EXPIRE
Astuce
Si la commande échoue, vous pouvez voir un KMSInvalidStateException ou un NotFoundException. Vous pouvez réessayer la demande.
