Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Importation de matériel clé pour les AWS KMS clés
Vous pouvez créer une AWS KMS keys (KMSclé) avec le matériel clé que vous fournissez.
Une KMS clé est une représentation logique d'une clé de données. Les métadonnées d'une KMS clé incluent l'identifiant du matériel clé utilisé pour effectuer des opérations cryptographiques. Lorsque vous créez une KMS clé, par défaut, le matériau clé pour cette KMS clé est AWS KMS généré. Mais vous pouvez créer une KMS clé sans clé, puis importer votre propre clé dans cette KMS clé, une fonctionnalité souvent connue sous le nom de « apportez votre propre clé » (BYOK).
Note
AWS KMS ne prend pas en charge le déchiffrement d'un AWS KMS texte chiffré par une clé de chiffrement symétrique extérieure à AWS KMS, même si le texte chiffré a été chiffré sous une KMS clé contenant du matériel clé importé. KMS AWS KMS ne publie pas le format de texte chiffré requis par cette tâche, et le format peut changer sans préavis.
Lorsque vous utilisez du matériel clé importé, vous restez responsable du matériel clé tout en autorisant l'utilisation AWS KMS d'une copie de celui-ci. Vous pouvez choisir de le faire pour une ou plusieurs des raisons suivantes :
-
Pour prouver que l’élément de clé a été généré en utilisant une source d'entropie correspondant à vos besoins.
-
Pour utiliser le matériel clé de votre propre infrastructure avec AWS des services, et AWS KMS pour gérer le cycle de vie du matériel clé qu'il contient AWS.
-
Pour utiliser des clés existantes et bien établies AWS KMS, telles que les clés pour la signature de code, la signature de PKI certificats et les applications associées à des certificats
-
Pour définir une date d'expiration pour le contenu clé AWS et le supprimer manuellement, mais aussi pour le rendre à nouveau disponible à l'avenir. En revanche, la planification de la suppression des clés nécessite une période d'attente de 7 à 30 jours, après laquelle vous ne pourrez pas récupérer la KMS clé supprimée.
-
Posséder la copie originale du matériel clé et la conserver à l'extérieur AWS pour une durabilité accrue et une reprise après sinistre pendant tout le cycle de vie du matériau clé.
-
Pour les clés asymétriques et les HMAC clés, l'importation crée des clés compatibles et interopérables qui fonctionnent à l'intérieur et à l'extérieur de. AWS
Types de KMS clés pris en charge
AWS KMS prend en charge le matériel clé importé pour les types de KMS clés suivants. Vous ne pouvez pas importer de matériel clé dans KMS des clés dans des magasins de clés personnalisés.
-
Clés multi-région de tous les types pris en charge.
Régions
Le matériel clé importé est pris en charge dans tous Régions AWS les AWS KMS supports.
Dans les régions chinoises, les principales exigences matérielles pour les clés de chiffrement KMS symétriques sont différentes de celles des autres régions. Pour plus de détails, consultez Étape 3 : Chiffrement des éléments de clé.
En savoir plus
-
Pour créer des KMS clés avec du matériel clé importé, voirCréation d'une KMS clé avec du matériel clé importé.
-
Pour créer une alarme qui vous avertit lorsque le contenu clé importé d'une KMS clé approche de sa date d'expiration, voirCréer une CloudWatch alarme en cas d'expiration du matériel clé importé.
-
Pour réimporter du contenu clé dans une KMS clé, voirRéimportez le matériel clé.
-
Pour identifier et afficher KMS les clés contenant du matériel clé importé, voirIdentifier les KMS clés avec du matériel clé importé.
-
Pour en savoir plus sur les considérations particulières relatives à la suppression de KMS clés contenant du matériel clé importé, voirDeleting KMS keys with imported key material.
