Gestion des éléments de clé importés - AWS Key Management Service
Vue d'ensemble de l'importation des éléments de clé Réimportation des éléments de cléIdentification des clés KMS avec des éléments de clé importésComment créer une alarme d'expirationComment supprimer les éléments de clé importésSuppression d'une clé KMS avec des éléments de clé importés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des éléments de clé importés

Ces rubriques expliquent comment importer et réimporter des éléments clés dans une clé KMS et comment créer des éléments de clés importés qui expirent automatiquement.

Vue d'ensemble de l'importation des éléments de clé

La présentation suivante explique comment importer vos éléments de clé dans AWS KMS. Pour plus d'informations sur chaque étape du processus, consultez la rubrique correspondante.

  1. Créer une clé KMS sans élément de clé – L'origine doit être EXTERNAL. Une origine de clé EXTERNAL indique que la clé est conçue pour le matériel clé importé et AWS KMS empêche de générer du matériel clé pour la clé KMS. Dans une étape ultérieure, vous importerez vos propres éléments de clé dans cette clé KMS.

    Le matériel clé que vous importez doit être compatible avec les spécifications de la clé associée AWS KMS . Pour plus d'informations sur la compatibilité, veuillez consulter Exigences relatives aux éléments de clé importés.

  2. Téléchargement de la clé publique d’encapsulation et du jeton d'importation – Une fois l'étape 1 terminée, téléchargez une clé publique d'encapsulage et un jeton d'importation. Ces articles protègent votre matériel clé lorsqu'il est importé AWS KMS.

    Au cours de cette étape, vous choisissez le type (« spécification de clé ») de la clé d'encapsulation RSA et l'algorithme d'encapsulage que vous utiliserez pour chiffrer vos données en transit vers AWS KMS. Vous pouvez choisir une spécification de clé d'encapsulage et un algorithme de clé d'encapsulage différents chaque fois que vous importez ou réimportez le même élément de clé.

  3. Chiffrement des éléments de clé – Utilisez la clé publique d’encapsulage que vous avez téléchargée à l'étape 2 pour chiffrer les éléments de clé que vous avez créés sur votre propre système.

  4. Importation des éléments de clé – Téléchargez les éléments de clé chiffrés que vous avez créés à l'étape 3 et le jeton d'importation que vous avez téléchargé à l'étape 2.

    À ce stade, vous pouvez définir un délai d'expiration facultatif. Lorsque le contenu clé importé expire, il est AWS KMS supprimé et la clé KMS devient inutilisable. Pour continuer à utiliser la clé KMS, vous devez réimporter les mêmes éléments de clé.

    Lorsque l'opération d'importation est terminée, l'état de la clé KMS passe de PendingImport à Enabled. Vous pouvez désormais utiliser la clé KMS dans des opérations de chiffrement.

AWS KMS enregistre une entrée dans votre AWS CloudTrail journal lorsque vous créez la clé KMS, que vous téléchargez la clé publique d'encapsulage et le jeton d'importation, et que vous importez le matériel clé. AWS KMS enregistre également une entrée lorsque vous supprimez du matériel clé importé ou lorsque vous AWS KMS supprimez du matériel clé expiré.

Réimportation des éléments de clé

Si vous gérez une clé KMS avec des éléments de clé importés, vous pouvez avoir besoin de les réimporter. Vous pouvez réimporter des éléments de clé pour remplacer des éléments de clé expirés ou supprimés, ou pour modifier le modèle ou la date d'expiration de ceux-ci.

Lorsque vous importez des éléments de clé dans une clé KMS, celle-ci est définitivement associée à ces éléments de clé. Vous pouvez réimporter les mêmes éléments de clé, mais vous ne pouvez pas en importer d'autres dans cette clé KMS. Vous ne pouvez pas faire pivoter les éléments de clé et AWS KMS ne peut pas créer d'éléments de clé pour une clé KMS avec des éléments de clé importés.

Vous pouvez réimporter des éléments de clé à tout moment, selon une planification qui répond à vos exigences de sécurité. Vous n'avez pas besoin d'attendre que les éléments de clé arrivent à leur date d'expiration ou en soient proches.

Pour réimporter des éléments de clé, utilisez la même procédure que pour importer les éléments de clé la première fois, avec les exceptions suivantes.

  • Utilisez une clé KMS existante au lieu de créer une nouvelle clé KMS. Vous pouvez ignorer l'étape 1 de la procédure d'importation.

  • Lorsque vous réimportez des éléments de clé, vous pouvez modifier le modèle et la date d'expiration.

Chaque fois que vous importez des éléments de clé pour une clé KMS, vous devez télécharger et utiliser une nouvelle clé d'encapsulage et un nouveau jeton d'importation pour la clé KMS. La procédure d'encapsulage n'affecte pas le contenu de l’élément de clé. Vous pouvez ainsi utiliser différentes clés d'encapsulage et algorithmes d’encapsulation différents pour importer le même élément de clé.

Identification des clés KMS avec des éléments de clé importés

Lorsque vous créez une clé KMS sans éléments de clé, la valeur de la propriété Origin de la clé KMS est EXTERNAL et ne peut pas être modifiée. Contrairement à l'état de la clé, la valeur Origin ne dépend pas de la présence ou non d'éléments de clé.

Vous pouvez utiliser la valeur d'origine EXTERNAL pour identifier les clés KMS conçues pour les éléments clé importés. Vous pouvez trouver l'origine de la clé dans la AWS KMS console ou en utilisant l'DescribeKeyopération. Vous pouvez également afficher les propriétés des éléments de clé, par exemple leur date d'expiration éventuelle, à l'aide de la console ou des API.

Pour identifier les clés KMS avec des éléments de clé importés (console)

  1. Ouvrez la AWS KMS console à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Utilisez l'une des techniques suivantes pour afficher la propriété Origin de vos clés KMS.

    • Pour ajouter une colonne d'origine à votre table de clé KMS. Dans le coin supérieur droit, choisissez l'icône Settings (Paramètres). Choisissez Origine, puis Confirmer. La colonne Origine permet d'identifier facilement les clés KMS avec une valeur de propriété d'origine Externe (Importation d’éléments de clé).

    • Pour rechercher la valeur de la propriété Origin d'une clé KMS particulière, choisissez l'ID de clé ou l'alias de la clé KMS. Choisissez ensuite l'onglet Cryptographic configuration (Configuration du chiffrement). Les onglets se trouvent sous la section General configuration (Configuration générale).

  4. Pour consulter des informations détaillées sur les éléments de clé, sélectionnez l'onglet Key material (Éléments de clé). Cet onglet apparaît sur la page détaillée uniquement pour les clés KMS dont les éléments de clé sont importés.

Pour identifier les clés KMS avec du matériel clé importé (AWS KMS API)

Utilisez l'DescribeKeyopération. La réponse inclut la propriété Origin de la clé KMS, le modèle d'expiration et la date d'expiration, comme illustré dans l'exemple suivant.

$  aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyMetadata": {
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Origin": "EXTERNAL",
        "ExpirationModel": "KEY_MATERIAL_EXPIRES"
        "ValidTo": 2023-06-05T12:00:00+00:00,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "CreationDate": 2018-06-09T00:06:50.831000+00:00,
        "Enabled": false,
        "MultiRegion": false,
        "Description": "",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "PendingImport",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}

Création d'une CloudWatch alarme en cas d'expiration du matériel clé importé

Vous pouvez créer une CloudWatch alarme qui vous avertit lorsque le contenu clé importé d'une clé KMS approche de son expiration. Par exemple, l'alarme peut vous notifier lorsque le délai d'expiration est inférieur à 30 jours.

Lorsque vous importez des éléments de clé dans une clé KMS, vous pouvez éventuellement spécifier une date et heure à laquelle les éléments de clé doivent expirer. Lorsque le contenu clé expire, il est AWS KMS supprimé et la clé KMS devient inutilisable. Pour utiliser la clé KMS à nouveau, vous devez réimporter les éléments de clé. Toutefois, si vous réimportez les éléments de clé avant qu'ils n'expirent, vous pouvez éviter de perturber les processus qui utilisent cette clé KMS.

Cette alarme utilise la SecondsUntilKeyMaterialExpiresmétrique AWS KMS publiée sur CloudWatch pour les clés KMS dont le contenu clé importé expire. Chaque alarme utilise cette métrique pour surveiller les éléments de clé importés pour une clé KMS particulière. Vous ne pouvez pas créer une alarme unique pour toutes les clés KMS dont les éléments de clé expire ou une alarme pour les clés KMS que vous pourriez créer ultérieurement.

Prérequis

Les ressources suivantes sont requises pour une CloudWatch alarme qui surveille l'expiration du matériel clé importé.

Créez l'alarme

Suivez les instructions de la section Création CloudWatch d'une alarme basée sur un seuil statique en utilisant les valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.

Champ Valeur
Sélectionner une métrique

Choisissez KMS, puis choisissez Per-Key Metrics.

Choisissez la ligne contenant la clé KMS et la métrique SecondsUntilKeyMaterialExpires. Ensuite, choisissez Select metric (Sélectionner une métrique).

La liste Métriques affiche les métriques SecondsUntilKeyMaterialExpires uniquement pour les clés KMS dont les éléments de clé importés expirent. Si vous ne disposez pas de clés KMS avec ces propriétés dans le compte et la région, cette liste est vide.
Statistique Minimum
Période 1 minute
Type de seuil Statique
Chaque fois que … Chaque fois que le nom de la métrique est supérieur à 1

Suppression des éléments de clé importés

Vous pouvez supprimer des éléments de clé importés d'une clé KMS à tout moment. De même, lorsque le matériel clé importé avec une date d'expiration expire, le AWS KMS matériel clé est supprimé. Dans les deux cas, lorsque l’élément de clé est supprimé, l’état de la clé de la clé KMS passe à en attente d’importation et celle-ci ne peut pas être utilisée dans le cadre des opérations de chiffrement avant de réimporter le même élément de clé. (Vous ne pouvez pas importer d’autres éléments de clé dans la clé KMS.)

Outre la désactivation de la clé KMS et le retrait des autorisations, la suppression des éléments de clé peut être utilisée comme stratégie pour arrêter rapidement, mais temporairement, l'utilisation de la clé KMS. En revanche, la planification de la suppression d'une clé KMS avec un élément de clé importé arrête également rapidement l'utilisation de la clé KMS. Toutefois, si la suppression n'est pas annulée pendant la période d'attente, la clé KMS, l’élément de clé et toutes les métadonnées de clés sont définitivement supprimés. Pour plus de détails, consultez Suppression d'une clé KMS avec des éléments de clé importés.

Pour supprimer des éléments clés, vous pouvez utiliser la AWS KMS console ou l'opération DeleteImportedKeyMaterialAPI. AWS KMS enregistre une entrée dans votre AWS CloudTrail journal lorsque vous supprimez du matériel clé importé et lorsque vous AWS KMS supprimez du matériel clé expiré.

Comment la suppression de documents clés affecte les AWS services

Lorsque vous supprimez des éléments de clé, la clé KMS sans éléments de clé devient immédiatement inutilisable (sous réserve d'une éventuelle cohérence). Toutefois, les ressources chiffrées à l'aide de clés de données protégées par la clé KMS ne sont pas affectées tant que la clé KMS n'est pas réutilisée, par exemple pour déchiffrer la clé de données. Ce problème concerne la Services AWS plupart d'entre eux qui utilisent des clés de données pour protéger vos ressources. Pour plus de détails, consultez Comment les clés inutilisables affectent KMS les clés de données.

Supprimer les éléments de clé (console)

Vous pouvez utiliser le AWS Management Console pour supprimer des éléments clés.

  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le volet de navigation, sélectionnez Clés gérées par le client.

  4. Effectuez l’une des actions suivantes :

    • Cochez la case correspondant à une clé KMS avec les éléments de clé importés. Choisissez Key actions, Delete key material.

    • Choisissez l'alias ou l'ID de clé d'une clé KMS avec les éléments de clé importés. Cliquez sur l'onglet Key material (Éléments de clé), puis choisissez Delete key material (Suppression des éléments de clé).

  5. Confirmez que vous souhaitez supprimer les éléments de clé, puis choisissez Delete key material. Le statut de la clé KMS, qui correspond à son état de clé, passe à Pending import (En attente d'importation).

Supprimer le matériel clé (AWS KMS API)

Pour utiliser l'AWS KMS API afin de supprimer du contenu clé, envoyez une DeleteImportedKeyMaterialdemande. L'exemple suivant montre comment procéder avec l'interface AWS CLI.

Remplacez 1234abcd-12ab-34cd-56ef-1234567890ab par l'ID de clé de la clé KMS dont vous souhaitez supprimer les éléments de clé. Vous pouvez utiliser l'ID de clé ou le nom ARN de la clé KMS, mais vous ne pouvez pas utiliser un alias pour cette opération.

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

Suppression d'une clé KMS avec des éléments de clé importés

La suppression des éléments de clé d'une clé KMS avec des éléments de clé importés est temporaire et réversible. Pour restaurer la clé, réimportez son élément de clé.

En revanche, la suppression d'une clé KMS est irréversible. Si vous planifiez la suppression de la clé et que le délai d'attente requis expire, supprime AWS KMS définitivement et irréversiblement la clé KMS, son contenu clé et toutes les métadonnées associées à la clé KMS.

Cependant, les risques et les conséquences liés à la suppression d'une clé KMS contenant un élément de clé importé dépendent du type (« spécification de clé ») de la clé KMS.

  • Clés de chiffrement symétriques – Si vous supprimez une clé KMS de chiffrement symétrique, tous les textes chiffrés restants chiffrés par cette clé sont irrécupérables. Vous ne pouvez pas créer une nouvelle clé KMS de chiffrement symétrique capable de déchiffrer les textes chiffrés d'une clé KMS de chiffrement symétrique supprimée, même si vous disposez du même élément de clé. Les métadonnées propres à chaque clé KMS sont liées par cryptographie à chaque texte chiffré symétrique. Cette fonctionnalité de sécurité garantit que seule la clé KMS qui a chiffré le texte chiffré symétrique peut le déchiffrer, mais elle vous empêche de recréer une clé KMS équivalente.

  • Clés asymétriques et HMAC : si vous disposez du contenu de la clé d'origine, vous pouvez créer une nouvelle clé KMS avec les mêmes propriétés cryptographiques qu'une clé asymétrique ou HMAC KMS supprimée. AWS KMS génère des textes chiffrés et des signatures RSA standard, des signatures ECC et des balises HMAC, qui n'incluent aucune fonctionnalité de sécurité unique. Vous pouvez également utiliser une clé HMAC ou la clé privée d'une paire de clés asymétriques à l'extérieur de AWS.

    Une nouvelle clé KMS que vous créez avec le même élément de clé asymétrique ou HMAC aura un identifiant de clé différent. Vous devrez créer une nouvelle stratégie de clé, recréer tous les alias et mettre à jour les politiques et autorisations IAM existantes pour faire référence à la nouvelle clé.