AWS CloudHSM magasins clés - AWS Key Management Service
AWS CloudHSM concepts clés du magasin

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS CloudHSM magasins clés

Un magasin de AWS CloudHSM clés est un magasin de clés personnalisé soutenu par un AWS CloudHSM cluster. Lorsque vous créez un magasin AWS KMS key de clés personnalisé, vous AWS KMS générez et stockez du matériel clé non extractible pour la KMS clé dans un AWS CloudHSM cluster que vous possédez et gérez. Lorsque vous utilisez une KMS clé dans un magasin de clés personnalisé, les opérations cryptographiques sont effectuées HSMs dans le cluster. Cette fonctionnalité combine la commodité et AWS KMS l'intégration généralisée d'un AWS CloudHSM cluster dans votre Compte AWS.

AWS KMS fournit une console complète et un API support pour la création, l'utilisation et la gestion de vos magasins de clés personnalisés. Vous pouvez utiliser les KMS clés de votre magasin de clés personnalisé de la même manière que vous utilisez n'importe quelle KMS clé. Par exemple, vous pouvez utiliser les KMS clés pour générer des clés de données et chiffrer des données. Vous pouvez également utiliser les KMS clés de votre magasin de clés personnalisé avec des AWS services prenant en charge les clés gérées par le client.

Est-ce que j'ai besoin d'un magasin de clés personnalisé ?

Pour la plupart des utilisateurs, le magasin de AWS KMS clés par défaut, qui est protégé par FIPS140 à 2 modules cryptographiques validés, répond à leurs exigences de sécurité. Il n'est pas nécessaire d'ajouter une couche supplémentaire de responsabilité de maintenance ou une dépendance à l'égard d'un service supplémentaire.

Cependant, vous pouvez envisager la création d'un magasin de clés personnalisé si votre organisation possède l'une des exigences suivantes :

  • Vous avez des clés qui doivent explicitement être protégées chez un locataire unique HSM ou dans un client sur HSM lequel vous avez un contrôle direct.

  • Vous devez être en mesure de retirer immédiatement les éléments clés de AWS KMS.

  • Vous devez être en mesure d'auditer toute utilisation de vos clés indépendamment de AWS KMS ou AWS CloudTrail.

Comment fonctionnent les magasins de clés personnalisés ?

Chaque magasin de clés personnalisé est associé à un AWS CloudHSM cluster dans votre Compte AWS. Lorsque vous connectez le magasin de clés personnalisé à son cluster, il AWS KMS crée l'infrastructure réseau pour prendre en charge la connexion. Il se connecte ensuite au AWS CloudHSM client clé du cluster à l'aide des informations d'identification d'un utilisateur cryptographique dédié du cluster.

Vous créez et gérez vos magasins de clés personnalisés dans, AWS KMS et vous créez et gérez vos HSM clusters dans AWS CloudHSM. Lorsque vous créez AWS KMS keys dans un magasin de clés AWS KMS personnalisé, vous visualisez et gérez les KMS clés qu'il contient AWS KMS. Mais vous pouvez également afficher et gérer leurs clés dans AWS CloudHSM, tout comme vous le feriez pour d'autres clés du cluster.

Gestion des KMS clés dans un magasin de clés personnalisé

Vous pouvez créer des KMS clés de chiffrement symétriques à partir du contenu clé généré par AWS KMS votre magasin de clés personnalisé. Utilisez ensuite les mêmes techniques pour afficher et gérer les KMS clés de votre magasin de clés personnalisé que celles que vous utilisez pour KMS les clés du magasin de AWS KMS clés. Vous pouvez contrôler l'accès IAM et les politiques clés, créer des balises et des alias, activer et désactiver les KMS clés et planifier la suppression des clés. Vous pouvez utiliser les KMS clés pour des opérations cryptographiques et les utiliser avec AWS des services intégrés à AWS KMS.

En outre, vous avez le contrôle total du AWS CloudHSM cluster, y compris la création, la suppression HSMs et la gestion des sauvegardes. Vous pouvez utiliser le AWS CloudHSM client et les bibliothèques logicielles prises en charge pour visualiser, auditer et gérer le contenu clé de vos KMS clés. Lorsque le magasin de clés personnalisé est déconnecté, il AWS KMS ne peut pas y accéder et les utilisateurs ne peuvent pas utiliser les KMS clés du magasin de clés personnalisé pour des opérations cryptographiques. Cette nouvelle couche de contrôle fait du magasin de clés personnalisé une solution puissante pour les organisations qui en ont besoin.

Où commencer ?

Pour créer et gérer un magasin de AWS CloudHSM clés, vous utilisez les fonctionnalités de AWS KMS et AWS CloudHSM.

  1. Commencez par AWS CloudHSMCréez un cluster AWS CloudHSM actif ou sélectionnez un cluster existant. Le cluster doit en avoir au moins deux actifs HSMs dans différentes zones de disponibilité. Ensuite, créez un compte CU (utilisateur de chiffrement) dédié dans ce cluster pour AWS KMS.

  2. Dans AWS KMS, créez un magasin de clés personnalisé associé au AWS CloudHSM cluster sélectionné. AWS KMS fournit une interface de gestion complète qui vous permet de créer, d'afficher, de modifier et de supprimer vos banques de clés personnalisées.

  3. Lorsque vous êtes prêt à utiliser votre magasin de clés personnalisé, connectez-le au AWS CloudHSM cluster associé. AWS KMS crée l'infrastructure réseau dont elle a besoin pour prendre en charge la connexion. Ensuite, il se connecte au cluster à l'aide des informations d'identification du compte CU dédié afin de générer et de gérer les clés dans le cluster.

  4. Vous pouvez désormais créer des KMS clés de chiffrement symétriques dans votre magasin de clés personnalisé. Spécifiez simplement le magasin de clés personnalisé lorsque vous créez la KMS clé.

Si vous vous retrouvez bloqué à un moment, vous pouvez obtenir de l'aide dans la rubrique Dépannage d'un magasin de clés personnalisé. Si vous ne trouvez pas de réponse à votre question, utilisez le lien situé en bas de chaque page de ce guide ou publiez une question sur le AWS Key Management Service forum de discussion.

Quotas

AWS KMS autorise jusqu'à 10 magasins de clés personnalisés dans chaque Compte AWS région, y compris les magasins de AWS CloudHSM clés et les magasins de clés externes, quel que soit leur état de connexion. En outre, il existe des quotas de AWS KMS demandes concernant l'utilisation des KMS clés dans un magasin de AWS CloudHSM clés.

Tarification

Pour plus d'informations sur le coût des magasins de clés AWS KMS personnalisés et des clés gérées par le client dans un magasin de clés personnalisé, consultez AWS Key Management Service les tarifs. Pour plus d'informations sur le coût des AWS CloudHSM clustersHSMs, consultez la section AWS CloudHSM Tarification.

Régions

AWS KMS prend en charge les AWS CloudHSM principaux magasins dans Régions AWS tous AWS KMS les pays concernés, à l'exception de l'Asie-Pacifique (Melbourne), de la Chine (Pékin), de la Chine (Ningxia) et de l'Europe (Espagne).

Fonctions non prises en charge

AWS KMS ne prend pas en charge les fonctionnalités suivantes dans les magasins de clés personnalisés.

AWS CloudHSM concepts clés du magasin

Cette rubrique explique certains termes et concepts utilisés dans les AWS CloudHSM principaux magasins.

AWS CloudHSM magasin de clés

Un magasin de AWS CloudHSM clés est un magasin de clés personnalisé associé à un AWS CloudHSM cluster que vous possédez et gérez. AWS CloudHSM les clusters sont soutenus par des modules de sécurité matériels (HSMs) certifiés FIPS140-2 niveau 3.

Lorsque vous créez une KMS clé dans votre magasin de AWS CloudHSM clés, elle AWS KMS génère une clé symétrique Advanced Encryption Standard (AES) de 256 bits, persistante et non exportable dans le cluster associé. AWS CloudHSM Ce matériel clé ne vous laisse jamais HSMs déchiffré. Lorsque vous utilisez une KMS clé dans un magasin de AWS CloudHSM clés, les opérations cryptographiques sont effectuées HSMs dans le cluster.

AWS CloudHSM les magasins de clés associent l'interface de gestion des clés pratique et complète AWS KMS aux commandes supplémentaires fournies par un AWS CloudHSM cluster intégré à votre Compte AWS. Cette fonctionnalité intégrée vous permet de créer, de gérer et d'utiliser des KMS clés AWS KMS tout en gardant le contrôle total de ceux HSMs qui stockent leurs informations clés, y compris la gestion des clusters et des sauvegardes. HSMs Vous pouvez utiliser la AWS KMS console et APIs gérer le magasin de AWS CloudHSM clés et ses KMS clés. Vous pouvez également utiliser la AWS CloudHSM consoleAPIs, le logiciel client et les bibliothèques de logiciels associées pour gérer le cluster associé.

Vous pouvez afficher et gérer votre magasin de AWS CloudHSM clés, modifier ses propriétés, le connecter et le déconnecter du AWS CloudHSM cluster associé. Si vous devez supprimer un magasin de AWS CloudHSM clés, vous devez d'abord supprimer les KMS clés du magasin de clés en programmant leur suppression et en attendant l'expiration du délai de grâce. AWS CloudHSM La suppression du magasin de AWS CloudHSM clés entraîne la suppression de la ressource AWS KMS, mais cela n'affecte pas votre AWS CloudHSM cluster.

AWS CloudHSM grappe

Chaque magasin de AWS CloudHSM clés est associé à un AWS CloudHSM cluster. Lorsque vous créez un élément AWS KMS key dans votre magasin de AWS CloudHSM clés, il AWS KMS crée son contenu clé dans le cluster associé. Lorsque vous utilisez une KMS clé dans votre magasin de AWS CloudHSM clés, l'opération cryptographique est effectuée dans le cluster associé.

Chaque AWS CloudHSM cluster ne peut être associé qu'à un seul magasin de AWS CloudHSM clés. Le cluster que vous choisissez ne peut pas être associé à un autre magasin de AWS CloudHSM clés ni partager un historique de sauvegarde avec un cluster associé à un autre magasin de AWS CloudHSM clés. Le cluster doit être initialisé et actif, et il doit se trouver dans la même Compte AWS région que le magasin de AWS CloudHSM clés. Vous pouvez créer un nouveau cluster ou utiliser un cluster existant. AWS KMS ne nécessite pas l'utilisation exclusive du cluster. Pour créer des KMS clés dans le magasin de AWS CloudHSM clés, son cluster associé doit contenir au moins deux clés activesHSMs. Toutes les autres opérations n'en nécessitent qu'une seuleHSM.

Vous spécifiez le AWS CloudHSM cluster lorsque vous créez le magasin de AWS CloudHSM clés, et vous ne pouvez pas le modifier. Cependant, vous pouvez remplacer n'importe quel cluster qui partage un historique de sauvegardes avec le cluster d'origine. Cela vous permet de supprimer le cluster, si nécessaire, et de le remplacer-le par un cluster créé à partir de l'une de ses sauvegardes. Vous conservez le contrôle total du AWS CloudHSM cluster associé, ce qui vous permet de gérer les utilisateurs et les clés, de créer et de supprimerHSMs, ainsi que d'utiliser et de gérer des sauvegardes.

Lorsque vous êtes prêt à utiliser votre magasin de AWS CloudHSM clés, vous le connectez au AWS CloudHSM cluster associé. Vous pouvez connecter et déconnecter votre magasin de clés personnalisé à tout moment. Lorsqu'un magasin de clés personnalisé est connecté, vous pouvez créer et utiliser ses KMS clés. Lorsqu'il est déconnecté, vous pouvez consulter et gérer le magasin de AWS CloudHSM clés et ses KMS clés. Mais vous ne pouvez pas créer de nouvelles KMS clés ni utiliser les KMS clés du magasin de AWS CloudHSM clés pour des opérations cryptographiques.

Utilisateur de chiffrement kmsuser

Pour créer et gérer des éléments clés dans le AWS CloudHSM cluster associé en votre nom, AWS KMS utilisez un utilisateur AWS CloudHSM cryptographique (CU) dédié dans le cluster nommékmsuser. Le kmsuser CU est un compte CU standard qui est automatiquement synchronisé avec tous les membres HSMs du cluster et enregistré dans les sauvegardes du cluster.

Avant de créer votre magasin de AWS CloudHSM clés, vous devez créer un compte kmsuser CU dans votre AWS CloudHSM cluster à l'aide de la commande user create dans Cloud HSMCLI. Ensuite, lorsque vous créez le magasin de AWS CloudHSM clés, vous fournissez le mot de passe du kmsuser compte à AWS KMS. Lorsque vous connectez le magasin de clés personnalisé, vous AWS KMS vous connectez au cluster en tant que kmsuser CU et changez son mot de passe. AWS KMS chiffre votre kmsuser mot de passe avant de le stocker en toute sécurité. Lorsque le mot de passe a effectué une rotation, le nouveau mot de passe est chiffré et stocké de la même manière.

AWS KMS reste connecté kmsuser tant que le magasin de AWS CloudHSM clés est connecté. Vous ne devez pas utiliser ce compte CU à d'autres fins. Toutefois, vous gardez le contrôle ultime du compte CU kmsuser. À tout moment, vous pouvez retrouver les clés qui en sont kmsuser propriétaires. Si nécessaire, vous pouvez déconnecter le magasin de clés personnalisé, modifier le mot de passe kmsuser, vous connecter au cluster en tant que kmsuser et afficher et gérer les clés que kmsuser détient.

Pour obtenir des instructions sur la création de votre compte CU kmsuser, consultez Créer l'utilisateur de chiffrement (CU) kmsuser.

KMSclés dans un magasin de AWS CloudHSM clés

Vous pouvez utiliser le AWS KMS ou AWS KMS API pour créer un AWS KMS keys dans un magasin de AWS CloudHSM clés. Vous utilisez la même technique que celle que vous utiliseriez sur n'importe quelle KMS touche. La seule différence est que vous devez identifier le magasin de AWS CloudHSM clés et spécifier que l'origine du matériau clé est le AWS CloudHSM cluster.

Lorsque vous créez une KMS clé dans un magasin de AWS CloudHSM clés, AWS KMS créez la KMS clé dedans AWS KMS et une clé symétrique Advanced Encryption Standard (AES) de 256 bits, persistante et non exportable, est générée dans le cluster associé. Lorsque vous utilisez la AWS KMS clé dans une opération cryptographique, l'opération est effectuée dans le cluster à l'aide de la clé basée sur le AWS CloudHSM clusterAES. Bien que AWS CloudHSM les clés symétriques et asymétriques soient prises en charge de différents types, les magasins de AWS CloudHSM clés ne prennent en charge que les clés de chiffrement AES symétriques.

Vous pouvez afficher les KMS clés d'un magasin de AWS CloudHSM clés dans la AWS KMS console et utiliser les options de la console pour afficher l'ID de magasin de clés personnalisé. Vous pouvez également utiliser cette DescribeKeyopération pour trouver l'ID du magasin de AWS CloudHSM clés et l'ID AWS CloudHSM du cluster.

Les KMS clés d'un magasin de AWS CloudHSM clés fonctionnent comme n'importe quelle KMS clé AWS KMS. Les utilisateurs autorisés ont besoin des mêmes autorisations pour utiliser et gérer les KMS clés. Vous utilisez les mêmes procédures et API opérations de console pour afficher et gérer les KMS clés d'un magasin de AWS CloudHSM clés. Il s'agit notamment de l'activation et de la désactivation KMS des clés, de la création et de l'utilisation de balises et d'alias, ainsi que de la définition et de la modification de IAM politiques clés. Vous pouvez utiliser les KMS clés d'un magasin de AWS CloudHSM clés pour des opérations cryptographiques et les utiliser avec des AWS services intégrés qui prennent en charge l'utilisation de clés gérées par le client. Cependant, vous ne pouvez pas activer la rotation automatique des clés ni importer des éléments clés dans une KMS clé d'un magasin de AWS CloudHSM clés.

Vous utilisez également le même processus pour planifier la suppression d'une KMS clé dans un magasin de AWS CloudHSM clés. Une fois le délai d'attente expiré, AWS KMS supprime la KMS clé deKMS. Ensuite, il fait de son mieux pour supprimer le contenu clé de la KMS clé du AWS CloudHSM cluster associé. Cependant, il se peut que vous ayez besoin de supprimer manuellement les éléments de clé orphelins du cluster et de ses sauvegardes.