Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Principaux magasins
Un magasin de clés est un emplacement sécurisé pour le stockage et l'utilisation de clés cryptographiques. Le magasin de clés par défaut prend AWS KMS également en charge les méthodes de génération et de gestion des clés qu'il stocke. Par défaut, le contenu de la AWS KMS keys clé cryptographique dans lequel vous créez AWS KMS est généré et protégé par des modules de sécurité matériels (HSMs) qui sont des normes NIST fédérales de traitement de l'information () 140 Programme de validation des modules cryptographiques (FIPSFIPS) 140-2 modules cryptographiques validés de niveau 3
AWS KMS prend en charge plusieurs types de magasins de clés AWS KMS pour protéger vos clés. Toutes les options de stockage de clés proposées par AWS KMS sont continuellement validées sous FIPS 140 au niveau de sécurité 3 et sont conçues pour empêcher quiconque, y compris AWS les opérateurs, d'accéder à vos clés en texte brut ou de les utiliser sans votre autorisation.
AWS KMS magasin de clés standard
Par défaut, une KMS clé est créée à l'aide de la norme AWS KMS HSM. Ce HSM type peut être considéré comme un parc multi-locataires HSMs qui permet de créer le magasin clé le plus évolutif, le moins coûteux et le plus simple à gérer de votre point de vue. Si vous souhaitez créer une KMS clé à utiliser dans un ou plusieurs services Services AWS afin que le service puisse chiffrer vos données en votre nom, vous allez créer une clé symétrique. Si vous utilisez une KMS clé pour la conception de votre propre application, vous pouvez choisir de créer une clé de chiffrement symétrique, une clé asymétrique ou HMAC une clé.
Dans l'option de stockage de clés standard, AWS KMS crée votre clé, puis la chiffre sous des clés gérées en interne par le service. Plusieurs copies des versions cryptées de vos clés sont ensuite stockées dans des systèmes conçus pour durer. La génération et la protection de votre matériel clé dans le type de magasin de clés standard vous permettent de tirer pleinement parti de l'évolutivité, de la disponibilité et de la durabilité des magasins AWS clés AWS KMS avec les charges opérationnelles et les coûts les plus faibles.
AWS KMS magasin de clés standard avec matériel de clé importé
Au lieu de demander AWS KMS à la fois de générer et de stocker les seules copies d'une clé donnée, vous pouvez choisir d'importer le contenu de la clé AWS KMS, ce qui vous permet de générer votre propre clé de chiffrement symétrique de 256 bits, une clé à courbe elliptique (ECC) RSA ou une clé à code d'authentification par message basé sur le hachage (HMAC), et de l'appliquer à un KMS identifiant de clé (). keyId C'est ce que l'on appelle parfois « apportez votre propre clé » (BYOK). Les éléments clés importés depuis votre système de gestion de clés local doivent être protégés à l'aide d'une clé publique émise par AWS KMS, d'un algorithme d'encapsulage cryptographique pris en charge et d'un jeton d'importation basé sur le temps fourni par. AWS KMS Ce processus vérifie que votre clé cryptée et importée ne peut être déchiffrée par un utilisateur qu'une AWS KMS HSM fois qu'elle a quitté votre environnement.
Le matériel clé importé peut être utile si vous avez des exigences spécifiques concernant le système qui génère les clés, ou si vous souhaitez une copie de votre clé à l'extérieur AWS comme sauvegarde. Notez que vous êtes responsable de la disponibilité et de la durabilité globales d'un matériau clé importé. Bien AWS KMS que vous disposiez d'une copie de votre clé importée et qu'elle restera hautement disponible lorsque vous en aurez besoin, les clés importées offrent une option spéciale API pour la suppression — DeleteImportedKeyMaterial. Cela API supprimera immédiatement toutes les copies du matériel clé importé qui en AWS KMS possède, sans possibilité AWS de récupérer la clé. En outre, vous pouvez définir une date d'expiration pour une clé importée, après laquelle la clé sera inutilisable. Pour que la clé soit à nouveau utile dans AWS KMS, vous devrez réimporter le matériel clé et l'assigner à celui-ci. keyId Cette action de suppression pour les clés importées est différente de celle des clés standard qui sont AWS KMS générées et stockées pour vous en votre nom. Dans le cas standard, le processus de suppression des clés comporte une période d'attente obligatoire au cours de laquelle l'utilisation d'une clé dont la suppression est prévue est d'abord bloquée. Cette action vous permet de voir les erreurs de refus d'accès dans les journaux de toute application ou AWS service susceptible d'avoir besoin de cette clé pour accéder aux données. Si vous recevez de telles demandes d'accès, vous pouvez choisir d'annuler la suppression planifiée et de réactiver la clé. Après une période d'attente configurable (entre 7 et 30 jours), ce n'est qu'alors que le matériel clé, le KeyID et toutes les métadonnées associées à la clé seront KMS réellement supprimés. Pour plus d'informations sur la disponibilité et la durabilité, consultez la section Protection du matériel clé importé dans le Guide du AWS KMS développeur.
Il convient de prendre en compte certaines limites supplémentaires liées au matériel clé importé. Comme il est AWS KMS impossible de générer de nouveaux éléments clés, il n'existe aucun moyen de configurer la rotation automatique des clés importées. Vous devrez créer une nouvelle KMS clé avec une nouvelle clékeyId, puis importer un nouveau matériau clé pour obtenir une rotation efficace. De plus, les textes chiffrés créés AWS KMS sous une clé symétrique importée ne peuvent pas être facilement déchiffrés à l'aide de votre copie locale de la clé extérieure à. AWS Cela est dû au fait que le format de chiffrement authentifié utilisé par AWS KMS ajoute des métadonnées supplémentaires au texte chiffré pour garantir lors de l'opération de déchiffrement que le texte chiffré a été créé par la clé attendue KMS lors d'une opération de chiffrement précédente. La plupart des systèmes cryptographiques externes ne comprendront pas comment analyser ces métadonnées pour accéder au texte chiffré brut afin de pouvoir utiliser leur copie d'une clé symétrique. Les textes chiffrés créés AWS KMS avec des clés asymétriques importées (par exemple RSA ouECC) peuvent être utilisés en dehors de la partie correspondante (publique ou privée) de la clé car aucune métadonnée supplémentaire n'est ajoutée AWS KMS au texte chiffré.
AWS KMS magasins de clés personnalisés
Toutefois, si vous avez besoin d'un contrôle encore plus pousséHSMs, vous pouvez créer un magasin de clés personnalisé.
Un magasin de clés personnalisé est un magasin de clés AWS KMS intégré qui est soutenu par un gestionnaire de clés extérieur AWS KMS, que vous possédez et gérez. Les magasins de clés personnalisés combinent l'interface de gestion des clés pratique et complète AWS KMS avec la capacité de posséder et de contrôler le matériel clé et les opérations cryptographiques. Lorsque vous utilisez une KMS clé dans un magasin de clés personnalisé, les opérations cryptographiques sont effectuées par votre gestionnaire de clés à l'aide de vos clés cryptographiques. Par conséquent, vous assumez une plus grande responsabilité quant à la disponibilité et à la durabilité des clés cryptographiques, ainsi qu'au fonctionnement desHSMs.
Posséder le vôtre HSMs peut être utile pour répondre à certaines exigences réglementaires qui n'autorisent pas encore les services Web à locataires multiples, tels que le magasin de KMS clés standard, à détenir vos clés cryptographiques. Les magasins de clés personnalisés ne sont pas plus sûrs que les magasins de KMS clés AWS gérés par -managedHSMs, mais ils ont des implications différentes (et plus importantes) en termes de gestion et de coûts. Par conséquent, vous assumez une plus grande responsabilité quant à la disponibilité et à la durabilité des clés cryptographiques ainsi qu'au fonctionnement desHSMs. Que vous utilisiez le magasin de clés standard AWS KMS HSMs ou un magasin de clés personnalisé, le service est conçu de telle sorte que personne, y compris les AWS employés, ne puisse récupérer vos clés en texte clair ou les utiliser sans votre autorisation. AWS KMS prend en charge deux types de magasins de clés personnalisés :
Fonctions non prises en charge
AWS KMS ne prend pas en charge les fonctionnalités suivantes dans les magasins de clés personnalisés.
AWS CloudHSM magasin de clés
Vous pouvez créer une KMS clé dans un magasin de AWS CloudHSM
Magasin de clés externe
Vous pouvez configurer AWS KMS pour utiliser un magasin de clés externe (XKS), dans lequel les clés de l'utilisateur root sont générées, stockées et utilisées dans un système de gestion des clés extérieur au AWS Cloud. Les demandes AWS KMS d'utilisation d'une clé pour une opération cryptographique sont transmises à votre système hébergé en externe pour effectuer l'opération. Plus précisément, les demandes sont transmises à un XKS proxy de votre réseau, qui les transmet ensuite au système cryptographique que vous utilisez. Le XKS proxy est une spécification open source à laquelle tout le monde peut s'intégrer. De nombreux fournisseurs commerciaux de gestion de clés prennent en charge la spécification XKS Proxy. Étant donné qu'un magasin de clés externe est hébergé par vous ou par un tiers, vous êtes responsable de la disponibilité, de la durabilité et des performances des clés du système. Pour savoir si un magasin de clés externe répond à vos besoins, lisez Announding AWS KMS External Key Store (XKS)
Rubriques
