Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Importation de matériel clé pour les AWS KMS clés
Vous pouvez créer une AWS KMS keys (clé KMS) avec le matériel clé que vous fournissez.
Une clé KMS est une représentation logique d'une clé de données. Les métadonnées d'une clé KMS incluent l'identifiant du matériel clé utilisé pour effectuer des opérations cryptographiques. Lorsque vous [créez une clé KMS](create-keys.md), par défaut, le matériel clé pour cette clé KMS est AWS KMS généré. Mais vous pouvez créer une clé KMS sans éléments de clé, puis importer vos propres éléments de clé dans cette clé KMS, une fonction souvent appelée « Bring Your Own Key » (BYOK).
![\[Icône clé qui met en évidence le matériau clé qu'elle représente.\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/import-key.png)
**Note**
AWS KMS ne prend pas en charge le déchiffrement d'un AWS KMS texte chiffré par une clé KMS de chiffrement symétrique en dehors de AWS KMS, même si le texte chiffré a été chiffré sous une clé KMS avec du matériel clé importé. AWS KMS ne publie pas le format de texte chiffré requis par cette tâche, et le format peut changer sans préavis.
Lorsque vous utilisez du matériel clé importé, vous restez responsable du matériel clé tout en autorisant l'utilisation AWS KMS d'une copie de celui-ci. Vous pouvez choisir de le faire pour une ou plusieurs des raisons suivantes :
+ Pour prouver que l’élément de clé a été généré en utilisant une source d'entropie correspondant à vos besoins.
+ Pour utiliser le matériel clé de votre propre infrastructure avec AWS des services, et AWS KMS pour gérer le cycle de vie du matériel clé qu'il contient AWS.
+ Pour utiliser des clés existantes et bien établies AWS KMS, telles que les clés pour la signature de code, la signature de certificats PKI et les applications associées à des certificats
+ Pour définir une date d'expiration pour le contenu clé AWS et le [supprimer manuellement](importing-keys-delete-key-material.md), mais aussi pour le rendre à nouveau disponible à l'avenir. En revanche, une [planification de suppression de clé](deleting-keys.md#deleting-keys-how-it-works) nécessite une période d'attente de 7 à 30 jours, après laquelle vous ne pouvez pas récupérer la clé KMS supprimée.
+ Posséder la copie originale du matériel clé et la conserver à l'extérieur AWS pour une durabilité accrue et une reprise après sinistre pendant tout le cycle de vie du matériau clé.
+ Pour les clés asymétriques et les clés HMAC, l'importation crée des clés compatibles et interopérables qui fonctionnent à l'intérieur et à l'extérieur de. AWS
**Types de clés KMS non pris en charge**
AWS KMS prend en charge le matériel clé importé pour les types de clés KMS suivants. Vous ne pouvez pas importer des éléments de clé dans des clés KMS d’un [magasin de clés personnalisé](key-store-overview.md#custom-key-store-overview).
+ [Clés KMS de chiffrement symétrique](symm-asymm-choose-key-spec.md#symmetric-cmks)
+ [Clés KMS asymétriques (sauf les clés ML-DSA)](symmetric-asymmetric.md)
+ [Clés KMS HMAC](hmac.md)
+ [Clés multi-région](multi-region-keys-overview.md) de tous les types pris en charge.
**Régions**
Le matériel clé importé est pris en charge dans tous Régions AWS les AWS KMS supports.
Dans les régions de Chine, les principales exigences matérielles pour les clés KMS de chiffrement symétriques diffèrent de celles des autres régions. Pour en savoir plus, consultez [Étape 3 : Chiffrement des éléments de clé](importing-keys-encrypt-key-material.md).
**En savoir plus**
+ Pour créer des clés KMS avec du matériel clé importé, voir[Création d'une clé KMS avec du matériel clé importé](importing-keys-conceptual.md).
+ Pour créer une alarme qui vous avertit lorsque le contenu clé importé d'une clé KMS approche de sa date d'expiration, voir[Créer une CloudWatch alarme en cas d'expiration du matériel clé importé](imported-key-material-expiration-alarm.md).
+ Pour réimporter du contenu clé dans une clé KMS, consultez[Réimportez le matériel clé](importing-keys-import-key-material.md#reimport-key-material).
+ Pour importer de nouveaux éléments clés dans une clé KMS en vue d'une rotation à la demande, reportez-vous [Importation d’un nouvel élément de clé](importing-keys-import-key-material.md#import-new-key-material) aux sections et[Effectuez une rotation des touches à la demande](rotating-keys-on-demand.md).
+ Pour identifier et afficher les clés KMS contenant du matériel clé importé, voir[Identifiez les clés KMS avec du matériel clé importé](identify-key-types.md#identify-imported-keys).
+ Pour en savoir plus sur les considérations particulières relatives à la suppression de clés KMS contenant du matériel clé importé, voir[Deleting KMS keys with imported key material](deleting-keys.md#import-delete-key).
# Considérations spéciales relatives au matériel clé importé
Avant de décider d'importer du matériel clé dans AWS KMS, vous devez comprendre les caractéristiques suivantes du matériel clé importé.
**Vous générez les éléments de clé.**
Vous êtes responsable de la génération des éléments de clé à l'aide d'une source aléatoire qui répond à vos exigences de sécurité.
**Vous êtes responsable de la disponibilité et de la durabilité.**
AWS KMS est conçu pour maintenir la haute disponibilité du matériel clé importé. Mais AWS KMS ne maintient pas la durabilité du matériau clé importé au même niveau que le matériau clé qui en AWS KMS génère. Pour en savoir plus, consultez [Suppression des éléments de clé importés](import-keys-protect.md).
**Vous pouvez supprimer les éléments de clé.**
Vous pouvez [supprimer les éléments de clé importés](importing-keys-delete-key-material.md) d'une clé KMS, ce qui la rend immédiatement inutilisable. De plus, lorsque vous importez des éléments de clé dans une clé KMS, vous pouvez [définir sa date d'expiration](importing-keys-import-key-material.md#importing-keys-expiration) si vous souhaitez qu'elle en ait une. Lorsque le délai d'expiration arrive, AWS KMS [supprime le matériel clé.](importing-keys-delete-key-material.md) Sans éléments de clé, la clé KMS ne peut pas être utilisée dans une opération de chiffrement. Pour restaurer la clé, vous devez y réimporter les mêmes éléments de clé.
**Vous ne pouvez pas modifier le matériau de la clé pour les touches asymétriques et les touches HMAC**
Lorsque vous importez des éléments de clé dans une clé KMS, celle-ci est définitivement associée à ces éléments de clé. Vous pouvez [réimporter les mêmes éléments de clé](importing-keys-import-key-material.md#reimport-key-material), mais vous ne pouvez pas en importer d'autres dans cette clé KMS. De plus, vous ne pouvez pas [activer la rotation automatique des clés](rotate-keys.md) pour une clé KMS dont les éléments de clé sont importés. Toutefois, vous pouvez [soumettre à une rotation manuelle une clé KMS](rotate-keys-manually.md) avec les éléments de clé importés.
**Vous pouvez effectuer une rotation à la demande sur des clés de chiffrement symétriques**
Les clés de chiffrement symétriques avec du matériel clé importé prennent en charge la rotation à la demande. Vous pouvez [importer plusieurs éléments clés](importing-keys-import-key-material.md#import-new-key-material) dans ces clés et utiliser [la rotation à la demande](rotating-keys-on-demand.md) pour mettre à jour le contenu clé actuel. Le matériel clé actuel est utilisé à la fois pour le chiffrement et le déchiffrement, mais les autres matériaux clés (non courants) ne peuvent être utilisés que pour le déchiffrement.
**Vous ne pouvez pas modifier l’origine des éléments de clé**
Les clés KMS conçues pour les éléments importés sont dotées d'une valeur [origin](create-keys.md#key-origin) (origine) non modifiable définie sur `EXTERNAL`. Vous ne pouvez pas convertir une clé KMS pour du matériel clé importé afin d'utiliser du matériel clé provenant d'une autre source, y compris AWS KMS. De même, vous ne pouvez pas convertir une clé KMS AWS KMS contenant du matériel clé en une clé conçue pour le matériel clé importé.
**Vous ne pouvez pas exporter d’élément de clé**
Vous ne pouvez pas exporter de matériel clé que vous avez importé. AWS KMS ne peut pas vous renvoyer le matériel clé importé sous quelque forme que ce soit. Vous devez conserver une copie du matériel clé importé à l'extérieur AWS, de préférence dans un gestionnaire de clés, tel qu'un module de sécurité matériel (HSM), afin de pouvoir réimporter le matériel clé si vous le supprimez ou s'il expire.
**Vous pouvez créer des clés multi-région avec des éléments de clé importés**
Les zones multirégionales avec un élément de clé importé ont les fonctionnalités des clés KMS avec un élément de clé importé et peuvent interagir entre Régions AWS. Pour créer une clé multi-région avec des éléments de clé importés, vous devez importer les mêmes éléments de clé dans la clé KMS principale et dans chaque clé de réplica. Pour plus de détails sur l'importation de matériaux clés pour les clés multirégionales, consultez[Importation d’un nouvel élément de clé](importing-keys-import-key-material.md#import-new-key-material).
**Les clés asymétriques et les clés HMAC sont portables et interopérables**
Vous pouvez utiliser votre matériau de clé asymétrique et le matériau de clé HMAC à l'extérieur AWS pour interagir avec des AWS KMS clés contenant le même matériau de clé importé.
Contrairement au texte chiffré AWS KMS symétrique, qui est inextricablement lié à la clé KMS utilisée dans l'algorithme, AWS KMS utilise des formats HMAC standard et asymétriques pour le chiffrement, la signature et la génération de MAC. Par conséquent, les clés sont portables et prennent en charge les scénarios de clé sous séquestre traditionnels.
Lorsque votre clé KMS contient du matériel clé importé, vous pouvez utiliser le matériel clé importé AWS à l'extérieur pour effectuer les opérations suivantes.
+ Clés HMAC – Vous pouvez vérifier une balise HMAC générée par la clé KMS HMAC avec un élément de clé importé. Vous pouvez également utiliser la clé HMAC KMS avec le matériel clé importé pour vérifier une étiquette HMAC qui a été générée par le matériel clé à l'extérieur de. AWS
+ Clés de chiffrement asymétriques — Vous pouvez utiliser votre clé de chiffrement asymétrique privée AWS à l'extérieur pour déchiffrer un texte chiffré par la clé KMS avec la clé publique correspondante. Vous pouvez également utiliser votre clé KMS asymétrique pour déchiffrer un texte chiffré asymétrique généré en dehors de. AWS
+ Clés de signature asymétriques — Vous pouvez utiliser votre clé KMS de signature asymétrique avec du matériel clé importé pour vérifier les signatures numériques générées par votre clé de signature privée en dehors de. AWS Vous pouvez également utiliser votre clé de signature publique asymétrique AWS à l'extérieur pour vérifier les signatures générées par votre clé KMS asymétrique.
+ Clés d'accord de clé asymétriques — Vous pouvez utiliser votre clé KMS d'accord de clé asymétrique avec du matériel clé importé pour obtenir des secrets partagés avec un homologue extérieur à. AWS
Si vous importez les mêmes éléments de clé dans différentes clés KMS du même Région AWS, ces clés sont également interopérables. Pour créer des clés KMS interopérables dans différentes régions Régions AWS, créez une clé multirégionale avec du matériel clé importé.
**Clés privées RSA**
+ AWS KMS exige que les clés privées RSA importées aient des facteurs premiers conformes au test décrit dans la section A. 1.3 de la norme [FIPS 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf). D'autres logiciels ou appareils peuvent utiliser des algorithmes différents pour valider ces facteurs premiers des clés privées RSA. Dans de rares cas, les clés validées à l'aide d'autres algorithmes peuvent ne pas être acceptées par AWS KMS.
**Les clés de chiffrement symétriques ne sont ni portables ni interopérables**
Les textes chiffrés symétriques AWS KMS produits ne sont ni portables ni interopérables. AWS KMS ne publie pas le format de texte chiffré symétrique requis par la portabilité, et le format peut changer sans préavis.
+ AWS KMS ne peut pas déchiffrer les textes chiffrés symétriques que vous chiffrez en dehors de ceux-ci AWS, même si vous utilisez des éléments clés que vous avez importés.
+ AWS KMS ne prend pas en charge le déchiffrement d'un texte chiffré AWS KMS symétrique en dehors de AWS KMS, même si le texte chiffré a été chiffré sous une clé KMS avec du matériel clé importé.
+ Les clés KMS avec le même élément de clé importé ne sont pas interopérables. Le texte chiffré symétrique qui AWS KMS génère un texte chiffré spécifique à chaque clé KMS. Ce format de texte chiffré garantit que seule la clé KMS qui a chiffré des données peut les déchiffrer.
En outre, vous ne pouvez utiliser aucun AWS outil, tel que le [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)[chiffrement côté client Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html), pour déchiffrer AWS KMS des textes chiffrés symétriques.
Par conséquent, vous ne pouvez pas utiliser de clés contenant du matériel clé importé pour soutenir des accords d'entiercement de clés dans le cadre desquels un tiers autorisé ayant un accès conditionnel au contenu clé peut déchiffrer certains textes chiffrés en dehors de. AWS KMS Pour prendre en charge le séquestre de clés, utilisez le kit [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/java-example-code.html#java-example-multiple-providers) pour chiffrer votre message sous une clé indépendante de AWS KMS.
# Suppression des éléments de clé importés
Les éléments de clé que vous importez sont protégés pendant le transport et au repos. Avant d'importer le matériel clé, vous chiffrez (ou « enveloppez ») le contenu clé avec la clé publique d'une paire de clés RSA générée dans des modules de sécurité AWS KMS matériels (HSMs) validés dans le cadre du programme de validation des modules [cryptographiques FIPS 140-3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884). Vous pouvez chiffrer l’élément de clé directement avec la clé publique d’enveloppement, ou chiffrer l’élément de clé avec une clé symétrique AES, puis chiffrer la clé symétrique AES avec la clé publique RSA.
À réception, AWS KMS déchiffre le contenu de la clé avec la clé privée correspondante dans un AWS KMS HSM et le chiffre à nouveau sous une clé symétrique AES qui n'existe que dans la mémoire volatile du HSM. Votre élément de clé ne quitte jamais le HSM en texte brut. Il est déchiffré uniquement lorsqu'il est utilisé et uniquement en cours d'utilisation. AWS KMS HSMs
L'utilisation de votre clé KMS avec l’élément de clé importé est déterminée uniquement par les [politiques de contrôle d'accès](control-access.md) que vous définissez sur la clé KMS. En outre, vous pouvez utiliser des [alias](kms-alias.md) et des [balises](tagging-keys.md) pour identifier et [contrôler l'accès](abac.md) à la clé KMS. Vous pouvez [activer et désactiver](enabling-keys.md) la clé, la [visualiser](viewing-keys.md) et la [surveiller](monitoring-overview.md) à l'aide de services tels que AWS CloudTrail.
Cependant, vous conservez la seule copie sûre de votre élément de clé. En échange de cette mesure de contrôle supplémentaire, vous êtes responsable de la durabilité et de la disponibilité globale du matériau clé importé. AWS KMS est conçu pour maintenir la haute disponibilité du matériel clé importé. Mais AWS KMS ne maintient pas la durabilité du matériau clé importé au même niveau que le matériau clé qui en AWS KMS génère.
Cette différence en durabilité est significative dans les cas suivants :
+ Lorsque vous [définissez une date d'expiration](importing-keys-import-key-material.md#importing-keys-expiration) pour votre matériel clé importé, le AWS KMS matériel clé est supprimé après son expiration. AWS KMS ne supprime pas la clé KMS ni ses métadonnées. Vous pouvez [créer une CloudWatch alarme Amazon](imported-key-material-expiration-alarm.md) qui vous avertit lorsque le matériel clé importé approche de sa date d'expiration.
Vous ne pouvez pas supprimer le contenu clé AWS KMS généré pour une clé KMS et vous ne pouvez pas configurer le contenu AWS KMS clé pour qu'il expire.
+ Lorsque vous [supprimez manuellement le contenu clé importé](importing-keys-delete-key-material.md), il AWS KMS supprime le contenu clé mais ne supprime pas la clé KMS ni ses métadonnées. En revanche, la [planification de la suppression des clés](deleting-keys.md#deleting-keys-how-it-works) nécessite une période d'attente de 7 à 30 jours, après quoi la clé KMS, ses métadonnées et son contenu clé sont AWS KMS définitivement supprimés.
+ Dans le cas peu probable de certaines défaillances régionales susceptibles de l'affecter AWS KMS (comme une perte totale de courant), vous AWS KMS ne pourrez pas restaurer automatiquement le matériel clé importé. Cependant, AWS KMS vous pouvez restaurer la clé KMS et ses métadonnées.
Vous *devez* conserver une copie du matériel clé importé à l'extérieur d' AWS un système que vous contrôlez. Nous vous recommandons de stocker une copie exportable des éléments de clé importés dans un système de gestion des clés, tel qu'un module de sécurité matérielle (HSM). Il est recommandé de stocker une référence à l'ARN de la clé KMS et à l'ID du matériau clé généré par le AWS KMS biais de la copie exportable du contenu clé. Si l’élément de clé importé est supprimé ou expire, la clé KMS associée devient inutilisable tant que vous ne le réimportez pas. En cas de perte définitive des éléments de clé importés, tout texte chiffré au moyen de la clé KMS est irrécupérable.
**Important**
Les clés de chiffrement symétriques peuvent être associées à plusieurs éléments clés. La clé KMS dans son intégralité devient inutilisable dès que vous supprimez l'un de ces éléments clés ou si l'un de ces éléments clés expire (sauf si le contenu clé supprimé ou expirant est `PENDING_ROTATION` ou`PENDING_MULTI_REGION_IMPORT_AND_ROTATION`). Vous devez réimporter tous les éléments clés expirés ou supprimés associés à une telle clé avant que celle-ci ne soit utilisable pour des opérations cryptographiques.