Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Importation de matériel clé pour les AWS KMS clés
Vous pouvez créer une AWS KMS keys (clé KMS) avec le matériel clé que vous fournissez.
Une clé KMS est une représentation logique d'une clé de données. Les métadonnées d'une clé KMS incluent l'identifiant du matériel clé utilisé pour effectuer des opérations cryptographiques. Lorsque vous créez une clé KMS, par défaut, le matériel clé pour cette clé KMS est AWS KMS généré. Mais vous pouvez créer une clé KMS sans éléments de clé, puis importer vos propres éléments de clé dans cette clé KMS, une fonction souvent appelée « Bring Your Own Key » (BYOK).
Note
AWS KMS ne prend pas en charge le déchiffrement d'un AWS KMS texte chiffré par une clé KMS de chiffrement symétrique en dehors de AWS KMS, même si le texte chiffré a été chiffré sous une clé KMS avec du matériel clé importé. AWS KMS ne publie pas le format de texte chiffré requis par cette tâche, et le format peut changer sans préavis.
Lorsque vous utilisez du matériel clé importé, vous restez responsable du matériel clé tout en autorisant l'utilisation AWS KMS d'une copie de celui-ci. Vous pouvez choisir de le faire pour une ou plusieurs des raisons suivantes :
-
Pour prouver que l’élément de clé a été généré en utilisant une source d'entropie correspondant à vos besoins.
-
Pour utiliser le matériel clé de votre propre infrastructure avec AWS des services, et AWS KMS pour gérer le cycle de vie du matériel clé qu'il contient AWS.
-
Pour utiliser des clés existantes et bien établies AWS KMS, telles que les clés pour la signature de code, la signature de certificats PKI et les applications associées à des certificats
-
Pour définir une date d'expiration pour le contenu clé AWS et le supprimer manuellement, mais aussi pour le rendre à nouveau disponible à l'avenir. En revanche, une planification de suppression de clé nécessite une période d'attente de 7 à 30 jours, après laquelle vous ne pouvez pas récupérer la clé KMS supprimée.
-
Posséder la copie originale du matériel clé et la conserver à l'extérieur AWS pour une durabilité accrue et une reprise après sinistre pendant tout le cycle de vie du matériau clé.
-
Pour les clés asymétriques et les clés HMAC, l'importation crée des clés compatibles et interopérables qui fonctionnent à l'intérieur et à l'extérieur de. AWS
Types de clés KMS non pris en charge
AWS KMS prend en charge le matériel clé importé pour les types de clés KMS suivants. Vous ne pouvez pas importer des éléments de clé dans des clés KMS d’un magasin de clés personnalisé.
-
Clés multi-région de tous les types pris en charge.
Régions
Le matériel clé importé est pris en charge dans tous Régions AWS les AWS KMS supports.
Dans les régions de Chine, les principales exigences matérielles pour les clés KMS de chiffrement symétriques diffèrent de celles des autres régions. Pour plus de détails, consultez Étape 3 : Chiffrement des éléments de clé.
En savoir plus
-
Pour créer des clés KMS avec du matériel clé importé, voirCréation d'une clé KMS avec du matériel clé importé.
-
Pour créer une alarme qui vous avertit lorsque le contenu clé importé d'une clé KMS approche de son expiration, voirCréer une CloudWatch alarme en cas d'expiration du matériel clé importé.
-
Pour réimporter du contenu clé dans une clé KMS, consultezRéimportez le matériel clé.
-
Pour identifier et afficher les clés KMS contenant du matériel clé importé, voirIdentifiez les clés KMS avec du matériel clé importé.
-
Pour en savoir plus sur les considérations particulières relatives à la suppression de clés KMS contenant du matériel clé importé, voirDeleting KMS keys with imported key material.
