Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurité de AWS Key Management Service
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit ceci comme la sécurité du cloud et la sécurité dans le cloud :
+ **Sécurité *du* cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans le cadre des programmes de [AWS conformité Programmes](https://aws.amazon.com/compliance/programs/) de de conformité. Pour en savoir plus sur les programmes de conformité qui s'appliquent à AWS Key Management Service (AWS KMS), voir [AWS Services concernés par programme de conformitéAWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sécurité *dans* le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez. En plus de votre configuration et de votre utilisation de AWS KMS keys, vous êtes responsable d'autres facteurs, notamment la sensibilité de vos données, les exigences de votre entreprise et les lois et réglementations applicables AWS KMS
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de son utilisation AWS Key Management Service. Il vous explique comment procéder à la configuration AWS KMS pour atteindre vos objectifs de sécurité et de conformité.
**Topics**
+ [Protection des données](data-protection.md)
+ [Gestion des identités et des accès](security-iam.md)
+ [Journalisation et surveillance](security-logging-monitoring.md)
+ [Validation de conformité](kms-compliance.md)
+ [Résilience](disaster-recovery-resiliency.md)
+ [Sécurité de l’infrastructure](infrastructure-security.md)
# Protection des données dans AWS Key Management Service
AWS Key Management Service stocke et protège vos clés de chiffrement afin de les rendre hautement disponibles tout en vous offrant un contrôle d'accès solide et flexible.
**Topics**
+ [Protection des éléments de clé](#encryption-key-mgmt)
+ [Chiffrement des données](#data-encryption)
+ [Confidentialité du trafic inter-réseaux](#inter-network-privacy)
## Protection des éléments de clé
Par défaut, AWS KMS génère et protège le matériel de clé cryptographique pour les clés KMS. En outre, AWS KMS offre des options pour le matériel clé créé et protégé à l'extérieur de AWS KMS.
### Protection du matériel clé généré dans AWS KMS
Lorsque vous créez une clé KMS, par défaut, le matériel cryptographique correspondant à la clé KMS est AWS KMS généré et protégé.
Pour protéger les éléments clés des clés KMS, il AWS KMS s'appuie sur un parc distribué de modules de [sécurité matériels validés par la norme FIPS 140-3 de niveau](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884) 3 (). HSMs Chaque AWS KMS HSM est une appliance matérielle autonome dédiée conçue pour fournir des fonctions cryptographiques dédiées répondant aux exigences de sécurité et d'évolutivité de. AWS KMS(Les AWS KMS applications HSMs utilisées dans les régions chinoises sont certifiées par l'[OSCCA](https://www.oscca.gov.cn/) et sont conformes à toutes les réglementations chinoises pertinentes, mais ne sont pas validées dans le cadre du programme de validation des modules cryptographiques FIPS 140-3.)
L’élément de clé d'une clé KMS est chiffré par défaut lorsqu'il est généré dans le HSM. L’élément de clé est déchiffré uniquement dans la mémoire volatile du HSM et uniquement pendant les quelques millisecondes nécessaires pour l'utiliser dans une opération cryptographique. Chaque fois que le matériel clé n'est pas utilisé activement, il est crypté dans le HSM et transféré vers un stockage persistant [hautement durable](https://docs.aws.amazon.com/kms/latest/cryptographic-details/durability-protection.html) (99,999999999 %) et à faible latence, où il reste séparé et isolé du. HSMs Les éléments de clé en texte clair ne quittent jamais les [limites de sécurité](https://docs.aws.amazon.com/kms/latest/cryptographic-details/internal-communication-security.html#hsm-security-boundary) du HSM ; ils ne sont jamais écrits sur disque ou conservés sur un support de stockage. (La seule exception est la clé publique d'une paire de clés asymétriques, qui n'est pas secrète.)
AWS affirme comme principe de sécurité fondamental qu'il n'y a aucune interaction humaine avec les clés cryptographiques en texte clair de quelque type que ce soit. Service AWS Il n'existe aucun mécanisme permettant à quiconque, y compris Service AWS aux opérateurs, de visualiser, d'accéder ou d'exporter du matériel clé en texte brut. Ce principe s'applique même lors de défaillances catastrophiques et d'événements de reprise après sinistre. Le contenu de la clé client en texte brut AWS KMS est utilisé pour les opérations cryptographiques dans le cadre de la AWS KMS norme FIPS 140-3 validée HSMs uniquement en réponse à des demandes autorisées adressées au service par le client ou son délégué.
Pour les [clés gérées par le client](concepts.md#customer-mgn-key), la personne Compte AWS qui crée la clé est le propriétaire unique et non transférable de la clé. Le compte propriétaire a un contrôle complet et exclusif sur les politiques d'autorisation qui contrôlent l'accès à la clé. En Clés gérées par AWS effet, ils Compte AWS ont un contrôle total sur les politiques IAM qui autorisent les demandes adressées au Service AWS.
### Protection du matériel clé généré en dehors de AWS KMS
AWS KMS fournit des alternatives au matériel clé généré dans AWS KMS.
[Les magasins de clés personnalisés](key-store-overview.md#custom-key-store-overview), une AWS KMS fonctionnalité optionnelle, vous permettent de créer des clés KMS basées sur du matériel clé généré et utilisé en dehors de AWS KMS. Les clés KMS [des magasins de AWS CloudHSM clés](keystore-cloudhsm.md) sont soutenues par des clés des modules de sécurité AWS CloudHSM matériels que vous contrôlez. Ils HSMs sont certifiés au niveau de sécurité 3 de la [norme FIPS 140-2 ou au niveau de sécurité 3 de la norme 140-3](https://docs.aws.amazon.com/cloudhsm/latest/userguide/compliance.html). Les clés KMS des [magasins de clés externes](keystore-external.md) sont soutenues par des clés d'un gestionnaire de clés externe que vous contrôlez et gérez en dehors de AWS celui-ci, tel qu'un HSM physique dans votre centre de données privé.
Une autre fonction facultative vous permet d'[importer des éléments de clé](importing-keys.md) pour une clé KMS. Pour protéger le contenu clé importé pendant son transport AWS KMS, vous devez le chiffrer à l'aide d'une clé publique issue d'une paire de clés RSA générée dans un AWS KMS HSM. Le matériel clé importé est déchiffré dans un AWS KMS HSM et rechiffré sous une clé symétrique dans le HSM. Comme tous les documents AWS KMS clés, les éléments clés importés en texte brut ne quittent jamais les éléments HSMs non chiffrés. Cependant, le client qui a fourni les éléments de clé est responsable de l'utilisation en toute sécurité, de la durabilité et de la maintenance des éléments de clé en dehors de AWS KMS.
## Chiffrement des données
Les données qu'elles contiennent sont AWS KMS AWS KMS keys constituées du matériel clé de chiffrement qu'elles représentent. Ce matériel clé n'existe en texte clair que dans les modules de sécurité AWS KMS matériels (HSMs) et uniquement lorsqu'il est utilisé. Sinon, les éléments de clé sont chiffrés et stockés dans un stockage permanent durable.
Le matériel clé AWS KMS généré pour les clés KMS ne quitte jamais la limite du AWS KMS HSMs non chiffré. Il n'est ni exporté ni transmis dans le cadre d'aucune opération AWS KMS d'API. L'exception concerne les [clés multirégionales](multi-region-keys-overview.md), qui AWS KMS utilisent un mécanisme de réplication entre régions pour copier le contenu clé d'une clé multirégionale d'un HSM d'un HSM Région AWS vers un HSM d'un autre. Région AWS Pour plus de détails, voir [Processus de réplication pour les clés multirégionales](https://docs.aws.amazon.com/kms/latest/cryptographic-details/replicate-key-details.html) dans Détails AWS Key Management Service cryptographiques.
**Topics**
+ [Chiffrement au repos](#encryption-at-rest)
+ [Chiffrement en transit](#encryption-in-transit)
### Chiffrement au repos
AWS KMS génère des informations clés pour les AWS KMS keys modules de sécurité matériels conformes à la norme [FIPS 140-3 Security Level 3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884) (). HSMs La seule exception concerne les régions chinoises, où les clés KMS sont HSMs AWS KMS utilisées pour générer des clés KMS sont conformes à toutes les réglementations chinoises pertinentes, mais ne sont pas validées dans le cadre du programme de validation des modules cryptographiques FIPS 140-3. Lorsqu'ils ne sont pas utilisés, les éléments de clé sont chiffrés par une clé HSM et écrits dans un stockage permanent et persistant. Le matériel clé pour les clés KMS et les clés de chiffrement qui protègent le contenu clé ne le HSMs quittent jamais sous forme de texte clair.
Le chiffrement et la gestion des éléments de clé pour les clés KMS sont entièrement gérés par AWS KMS.
Pour plus de détails, consultez la section [Utilisation AWS KMS keys dans les](https://docs.aws.amazon.com/kms/latest/cryptographic-details/kms-keys.html) détails AWS Key Management Service cryptographiques.
### Chiffrement en transit
Le matériel clé AWS KMS généré pour les clés KMS n'est jamais exporté ni transmis dans le cadre des opérations AWS KMS d'API. AWS KMS utilise des [identificateurs de clé](concepts.md#key-id) pour représenter les clés KMS dans les opérations d'API. De même, le contenu clé des clés KMS dans les [magasins de clés AWS KMS personnalisés](key-store-overview.md#custom-key-store-overview) n'est pas exportable et n'est jamais transmis dans le cadre d'opérations AWS KMS d' AWS CloudHSM API.
Cependant, certaines opérations AWS KMS d'API renvoient [des clés de données](data-keys.md). En outre, les clients peuvent utiliser les opérations d'API pour[importer des éléments de clé](importing-keys.md) pour les clés KMS sélectionnées.
Tous les appels AWS KMS d'API doivent être signés et transmis à l'aide du protocole TLS (Transport Layer Security). AWS KMS nécessite le protocole TLS 1.2 et recommande le protocole TLS 1.3 dans toutes les régions. AWS KMS prend également en charge le protocole TLS post-quantique hybride pour les points de terminaison AWS KMS de service dans toutes les régions, à l'exception des régions de Chine. AWS KMS ne prend pas en charge le protocole TLS post-quantique hybride pour les points de terminaison FIPS dans. AWS GovCloud (US) Les appels vers AWS KMS nécessitent également une suite de chiffrement moderne qui prend en charge *une confidentialité persistante parfaite*, ce qui signifie que toute violation de secret, telle qu'une clé privée, ne compromet pas également la clé de session.
Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour utiliser des points de AWS KMS terminaison standard ou des points de terminaison AWS KMS FIPS, les clients doivent prendre en charge le protocole TLS 1.2 ou version ultérieure. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/). Pour obtenir la liste des points de terminaison AWS KMS FIPS, consultez la section Points de [AWS Key Management Service terminaison et quotas](https://docs.aws.amazon.com/general/latest/gr/kms.html) dans le. Références générales AWS
Les communications entre les hôtes du AWS KMS service HSMs sont protégées à l'aide de la cryptographie à courbe elliptique (ECC) et de la norme de chiffrement avancée (AES) dans le cadre d'un schéma de chiffrement authentifié. Pour plus de détails, consultez la section [Sécurité des communications internes](https://docs.aws.amazon.com/kms/latest/cryptographic-details/internal-communication-security.html) dans Détails AWS Key Management Service cryptographiques.
## Confidentialité du trafic inter-réseaux
AWS KMS prend en charge un AWS Management Console ensemble d'opérations d'API qui vous permettent de les créer, de les gérer AWS KMS keys et de les utiliser dans des opérations cryptographiques.
AWS KMS prend en charge deux options de connectivité réseau allant de votre réseau privé à AWS.
+ Une connexion IPSec VPN sur Internet
+ [AWS Direct Connect](https://aws.amazon.com/directconnect/), qui relie votre réseau interne à un Direct Connect emplacement via un câble Ethernet à fibre optique standard.
Tous les appels AWS KMS d'API doivent être signés et transmis à l'aide du protocole TLS (Transport Layer Security). Les appels nécessitent également une suite de chiffrement moderne qui prend en charge [une confidentialité persistante et parfaite](https://en.wikipedia.org/wiki/Forward_secrecy). Le trafic vers les modules de sécurité matériels (HSMs) qui stockent le matériel clé pour les clés KMS est autorisé uniquement à partir d'hôtes d' AWS KMS API connus sur le réseau AWS interne.
Pour vous connecter directement à AWS KMS votre cloud privé virtuel (VPC) sans envoyer de trafic via l'Internet public, utilisez des points de terminaison VPC, alimentés par. [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/) Pour de plus amples informations, veuillez consulter [Connectez-vous AWS KMS via un point de terminaison VPC](kms-vpc-endpoint.md).
AWS KMS prend également en charge une option [hybride d'échange de clés post-quantique](pqtls.md) pour le protocole de chiffrement réseau TLS (Transport Layer Security). Vous pouvez utiliser cette option avec le protocole TLS lorsque vous vous connectez aux points de terminaison de AWS KMS l'API.
# Gestion des identités et des accès pour AWS Key Management Service
Gestion des identités et des accès AWS (IAM) vous aide à contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser les AWS KMS ressources. Pour de plus amples informations, veuillez consulter [Utilisation des politiques IAM avec AWS KMS](iam-policies.md).
Les [politiques clés](key-policies.md) constituent le principal mécanisme de contrôle de l'accès aux clés KMS dans AWS KMS. Chaque clé KMS doit avoir une politique de clé. Vous pouvez également utiliser des [stratégies IAM](iam-policies.md) et des [octrois](grants.md), ainsi que des stratégies de clé pour contrôler l'accès à vos clés KMS. Pour de plus amples informations, veuillez consulter [Accès aux clés KMS et autorisations](control-access.md).
Si vous utilisez un Amazon Virtual Private Cloud (Amazon VPC), vous pouvez [créer un point de terminaison VPC](kms-vpc-endpoint.md) d'interface à utiliser. AWS KMS [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/) Vous pouvez également utiliser les politiques de point de terminaison VPC pour déterminer quels principaux peuvent accéder à votre AWS KMS point de terminaison, quels appels d'API ils peuvent effectuer et à quelle clé KMS ils peuvent accéder.
**Topics**
+ [AWS politiques gérées pour AWS Key Management Service](security-iam-awsmanpol.md)
+ [Utilisation de rôles liés à un service pour AWS KMS](using-service-linked-roles.md)
# AWS politiques gérées pour AWS Key Management Service
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle politique Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
## AWS politique gérée : AWSKey ManagementServicePowerUser
Vous pouvez associer la politique `AWSKeyManagementServicePowerUser` à vos identités IAM.
Vous pouvez utiliser une politique gérée par `AWSKeyManagementServicePowerUser` pour accorder aux principaux IAM de votre compte, les autorisations d'un utilisateur avec pouvoir. Les utilisateurs expérimentés peuvent créer des clés KMS, utiliser et gérer les clés KMS qu'ils créent et afficher toutes les clés KMS et les identités IAM. Les principals qui ont la politique gérée `AWSKeyManagementServicePowerUser` peuvent également obtenir des autorisations d'autres sources, notamment des politiques de clé, d'autres politiques IAM et des octrois.
`AWSKeyManagementServicePowerUser`est une politique IAM AWS gérée. Pour plus d'informations sur les politiques AWS gérées, voir les [politiques AWS gérées](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *guide de l'utilisateur IAM*.
**Note**
Les autorisations de cette politique qui sont spécifiques à une clé KMS, telles que `kms:TagResource` et `kms:GetKeyRotationStatus`, ne sont effectives que lorsque la politique de clé pour cette clé KMS [autorise explicitement le Compte AWS à utiliser des politiques IAM](key-policy-default.md#key-policy-default-allow-root-enable-iam) pour contrôler l'accès à la clé. Pour déterminer si une autorisation est spécifique à une clé KMS, consultez [AWS KMS autorisations](kms-api-permissions-reference.md) et recherchez une valeur de **Clé KMS** dans la colonne **Ressources**.
Cette politique accorde à l'utilisateur expérimenté les autorisations sur n'importe quelle clé KMS avec une politique de clé qui permet l'opération. Pour les autorisations entre comptes, telles que `kms:DescribeKey` et `kms:ListGrants`, cela peut inclure des clés KMS dans des Comptes AWS non approuvés. Pour plus d'informations, consultez [Bonnes pratiques pour les politiques IAM](iam-policies-best-practices.md) et [Autoriser des utilisateurs d'autres comptes à utiliser une clé KMS](key-policy-modifying-external-accounts.md). Pour déterminer si une autorisation est valide sur les clés KMS dans d'autres comptes, consultez [AWS KMS autorisations](kms-api-permissions-reference.md) et recherchez la valeur **Oui** dans la colonne **Utilisation inter-comptes**.
Pour permettre aux principaux d'accéder à la AWS KMS console sans erreur, ils ont besoin de la [balise : GetResources](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html) permission, qui n'est pas incluse dans la `AWSKeyManagementServicePowerUser` politique. Vous pouvez accorder cette autorisation dans une politique IAM distincte.
La stratégie IAM gérée par [AWSKeyManagementServicePowerUser](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSKeyManagementServicePowerUser) doit inclure les autorisations suivantes.
+ Autorise les principals à créer des clés KMS. Étant donné que ce processus inclut la définition de la politique de clé, les utilisateurs expérimentés peuvent se donner l'autorisation d'utiliser et de gérer les clés KMS qu'ils créent.
+ Autorise les principals à créer et supprimer des [alias](kms-alias.md) et des [balises](tagging-keys.md) sur toutes les clés KMS. La modification d'une balise ou d'un alias peut autoriser ou interdire l'utilisation et la gestion de la clé KMS. Pour en savoir plus, consultez [ABAC pour AWS KMS](abac.md).
+ Permet aux principals d'obtenir des informations détaillées sur toutes les clés KMS, y compris leur ARN de clé, leur configuration de chiffrement, leur politique de clé, leurs alias, leurs balises et leur [statut de rotation](rotate-keys.md).
+ Permet aux principals de répertorier les utilisateurs, les groupes et les rôles IAM.
+ Cette politique n'autorise pas les principals à utiliser ou à gérer des clés KMS qu'ils n'ont pas créées. Cependant, ils peuvent modifier les alias et les balises sur toutes les clés KMS, ce qui peut leur autoriser ou leur refuser l'autorisation d'utiliser ou de gérer une clé KMS.
Pour consulter les autorisations associées à cette politique, reportez-vous [AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)à la référence des politiques AWS gérées.
## AWS politique gérée : AWSService RoleForKeyManagementServiceCustomKeyStores
Vous ne pouvez pas joindre de `AWSServiceRoleForKeyManagementServiceCustomKeyStores` à vos entités IAM. Cette politique est associée à un rôle lié à un service qui donne AWS KMS l'autorisation d'afficher les AWS CloudHSM clusters associés à votre magasin de AWS CloudHSM clés et de créer le réseau permettant une connexion entre votre magasin de clés personnalisé et son AWS CloudHSM cluster. Pour de plus amples informations, veuillez consulter [Autorisation AWS KMS de gestion AWS CloudHSM et ressources Amazon EC2](authorize-kms.md).
## AWS politique gérée : AWSService RoleForKeyManagementServiceMultiRegionKeys
Vous ne pouvez pas joindre de `AWSServiceRoleForKeyManagementServiceMultiRegionKeys` à vos entités IAM. Cette politique est associée à un rôle lié à un service qui AWS KMS autorise la synchronisation de toute modification apportée au contenu clé d'une clé primaire multirégionale avec ses clés répliques. Pour de plus amples informations, veuillez consulter [Autorisation de synchronisation AWS KMS des clés multirégionales](multi-region-auth-slr.md).
## AWS KMS mises à jour des politiques AWS gérées
Consultez les détails des mises à jour des politiques AWS gérées AWS KMS depuis que ce service a commencé à suivre ces modifications. Pour obtenir des alertes automatiques sur les modifications apportées à cette page, abonnez-vous au flux RSS de la page AWS KMS [Historique du document](dochistory.md).
| Modifier | Description | Date |
| --- | --- | --- |
| [AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy](multi-region-auth-slr.md) : mise à jour de la politique existante | AWS KMS a ajouté un champ Statement ID (`Sid`) à la politique gérée dans la version v2 de la politique. | 21 novembre 2024 |
| [AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy](authorize-kms.md) : mise à jour de la politique existante | AWS KMS a ajouté les `ec2:DescribeNetworkInterfaces` autorisations `ec2:DescribeVpcs``ec2:DescribeNetworkAcls`, et pour surveiller les modifications apportées au VPC qui contient votre AWS CloudHSM cluster afin de AWS KMS pouvoir fournir des messages d'erreur clairs en cas de défaillance. | 10 novembre 2023 |
| AWS KMS a commencé à suivre les modifications | AWS KMS a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 10 novembre 2023 |
# Utilisation de rôles liés à un service pour AWS KMS
AWS Key Management Service utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. AWS KMS Les rôles liés au service sont définis par AWS KMS et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration AWS KMS car il n'est pas nécessaire d'ajouter manuellement les autorisations nécessaires. AWS KMS définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul AWS KMS peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable des ressources connexes. Cela protège vos AWS KMS ressources car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
Pour plus d’informations sur les autres services qui prennent en charge les rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services avec un **Oui ** dans la colonne **Rôle lié à un service**. Choisissez un **Oui** ayant un lien permettant de consulter les détails du rôle pour ce service.
Pour en savoir plus sur les mises à jour des rôles liés aux services abordés dans cette rubrique, consultez. [AWS KMS mises à jour des politiques AWS gérées](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)
**Topics**
+ [Autorisation AWS KMS de gestion AWS CloudHSM et ressources Amazon EC2](authorize-kms.md)
+ [Autorisation de synchronisation AWS KMS des clés multirégionales](multi-region-auth-slr.md)
# Autorisation AWS KMS de gestion AWS CloudHSM et ressources Amazon EC2
Pour prendre en charge vos AWS CloudHSM principaux magasins, vous AWS KMS devez disposer d'une autorisation pour obtenir des informations sur vos AWS CloudHSM clusters. Il a également besoin d'une autorisation pour créer l'infrastructure réseau qui connecte votre magasin de AWS CloudHSM clés à son AWS CloudHSM cluster. Pour obtenir ces autorisations, AWS KMS crée le rôle **AWSServiceRoleForKeyManagementServiceCustomKeyStores**lié au service dans votre. Compte AWS Les utilisateurs qui créent des magasins de AWS CloudHSM clés doivent disposer de l'`iam:CreateServiceLinkedRole`autorisation qui leur permet de créer des rôles liés à un service.
Pour obtenir des informations détaillées sur les mises à jour de la politique **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**gérée, consultez[AWS KMS mises à jour des politiques AWS gérées](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
**Topics**
+ [À propos du rôle lié à AWS KMS un service](#about-key-store-slr)
+ [Création du rôle lié à un service](#create-key-store-slr)
+ [Modifier la description du rôle lié à un service](#edit-key-store-slr)
+ [Supprimer le rôle lié à un service](#delete-key-store-slr)
## À propos du rôle lié à AWS KMS un service
Un [rôle lié à un service est un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) IAM qui autorise un AWS service à appeler d'autres AWS services en votre nom. Il est conçu pour vous permettre d'utiliser plus facilement les fonctionnalités de plusieurs AWS services intégrés sans avoir à créer et à gérer des politiques IAM complexes. Pour de plus amples informations, veuillez consulter [Utilisation de rôles liés à un service pour AWS KMS](using-service-linked-roles.md).
Pour les magasins de AWS CloudHSM clés, AWS KMS crée le rôle **AWSServiceRoleForKeyManagementServiceCustomKeyStores**lié au service avec la politique **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**gérée. Cette politique accorde au rôle les autorisations suivantes :
+ [cloudHSM:Describe\$1](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) — détecte les modifications dans le AWS CloudHSM cluster attaché à votre magasin de clés personnalisé.
+ [ec2 : CreateSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSecurityGroup.html) — utilisé lorsque vous [connectez un magasin de AWS CloudHSM clés](connect-keystore.md) pour créer le groupe de sécurité qui permet le flux de trafic réseau entre AWS KMS et votre AWS CloudHSM cluster.
+ [ec2 : AuthorizeSecurityGroupIngress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AuthorizeSecurityGroupIngress.html) — utilisé lorsque vous [connectez un magasin de AWS CloudHSM clés](connect-keystore.md) pour autoriser l'accès au réseau depuis AWS KMS le VPC qui contient AWS CloudHSM votre cluster.
+ [ec2 : CreateNetworkInterface](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNetworkInterface.html) — utilisé lorsque vous [connectez un magasin de AWS CloudHSM clés](connect-keystore.md) pour créer l'interface réseau utilisée pour la communication entre AWS KMS et le AWS CloudHSM cluster.
+ [ec2 : RevokeSecurityGroupEgress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RevokeSecurityGroupEgress.html) — utilisé lorsque vous [connectez un magasin de AWS CloudHSM clés](connect-keystore.md) pour supprimer toutes les règles sortantes du groupe de sécurité créé. AWS KMS
+ [ec2 : DeleteSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteSecurityGroup.html) — utilisé lorsque vous [déconnectez un magasin de AWS CloudHSM clés](disconnect-keystore.md) pour supprimer les groupes de sécurité créés lors de la connexion du magasin de AWS CloudHSM clés.
+ [ec2 : DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html) — utilisé pour surveiller les modifications apportées au groupe de sécurité AWS KMS créé dans le VPC contenant AWS CloudHSM votre cluster afin AWS KMS de fournir des messages d'erreur clairs en cas de défaillance.
+ [ec2 : DescribeVpcs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcs.html) — utilisé pour surveiller les modifications apportées au VPC qui contient AWS CloudHSM votre cluster afin AWS KMS de pouvoir fournir des messages d'erreur clairs en cas de défaillance.
+ [ec2 : DescribeNetworkAcls](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkAcls.html) — utilisé pour surveiller les modifications du réseau ACLs pour le VPC qui contient AWS CloudHSM votre cluster afin AWS KMS de pouvoir fournir des messages d'erreur clairs en cas de panne.
+ [ec2 : DescribeNetworkInterfaces](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html) — utilisé pour surveiller les modifications des interfaces réseau AWS KMS créées dans le VPC qui contient AWS CloudHSM votre cluster afin AWS KMS de fournir des messages d'erreur clairs en cas de défaillance.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudhsm:Describe*",
"ec2:CreateNetworkInterface",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:DescribeVpcs",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces"
],
"Resource": "*"
}
]
}
```
------
Étant donné que le rôle **AWSServiceRoleForKeyManagementServiceCustomKeyStores**lié au service n'est fiable que`cks.kms.amazonaws.com`, seul le rôle lié au service AWS KMS peut assumer ce rôle lié au service. Ce rôle est limité aux opérations qui AWS KMS nécessitent de visualiser vos AWS CloudHSM clusters et de connecter un magasin de AWS CloudHSM clés au AWS CloudHSM cluster associé. Il ne donne AWS KMS aucune autorisation supplémentaire. Par exemple, AWS KMS n'est pas autorisé à créer, gérer ou supprimer vos AWS CloudHSM clusters ou vos sauvegardes. HSMs
**Régions**
À l'instar de la fonctionnalité AWS CloudHSM Key Stores, le **AWSServiceRoleForKeyManagementServiceCustomKeyStores**rôle est pris en charge partout Régions AWS où il AWS KMS est disponible. AWS CloudHSM Pour obtenir la liste des points Régions AWS pris en charge par chaque service, voir [AWS Key Management Service Points de terminaison et quotas et AWS CloudHSM](https://docs.aws.amazon.com/general/latest/gr/kms.html) [points de terminaison et quotas](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) dans le. *Référence générale d'Amazon Web Services*
Pour plus d'informations sur la manière dont les AWS services utilisent les rôles liés aux services, consultez la section [Utilisation des rôles liés aux services](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) dans le Guide de l'utilisateur IAM.
## Création du rôle lié à un service
AWS KMS crée automatiquement le rôle **AWSServiceRoleForKeyManagementServiceCustomKeyStores**lié au service dans votre magasin de clés Compte AWS lorsque vous créez un magasin de AWS CloudHSM clés, si le rôle n'existe pas déjà. Vous ne pouvez pas créer ou recréer directement ce rôle lié à un service.
## Modifier la description du rôle lié à un service
Vous ne pouvez pas modifier le nom du rôle ou les déclarations de stratégie du rôle lié à un service **AWSServiceRoleForKeyManagementServiceCustomKeyStores**, mais vous pouvez modifier la description du rôle. Pour obtenir des instructions, veuillez consulter la rubrique [Modification d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l'utilisateur IAM*.
## Supprimer le rôle lié à un service
AWS KMS ne supprime pas le rôle **AWSServiceRoleForKeyManagementServiceCustomKeyStores**lié au service, Compte AWS même si vous avez [supprimé tous vos AWS CloudHSM principaux magasins](delete-keystore.md). Bien qu'il n'existe actuellement aucune procédure permettant de supprimer le rôle **AWSServiceRoleForKeyManagementServiceCustomKeyStores**lié à un service, AWS KMS elle n'assume pas ce rôle et n'utilise pas ses autorisations sauf si vous disposez de banques de AWS CloudHSM clés actives.
# Autorisation de synchronisation AWS KMS des clés multirégionales
Pour prendre en charge [les clés multirégionales](multi-region-keys-auth.md), AWS KMS vous devez être autorisé à synchroniser les [propriétés partagées](multi-region-keys-overview.md#mrk-sync-properties) d'une clé primaire multirégionale avec ses clés répliquées. Pour obtenir ces autorisations, AWS KMS crée le rôle **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**lié au service dans votre. Compte AWS Les utilisateurs qui créent des clés multirégionales doivent disposer de l'`iam:CreateServiceLinkedRole`autorisation qui leur permet de créer des rôles liés à un service.
Vous pouvez consulter l'[SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) CloudTrail événement qui enregistre la AWS KMS synchronisation des propriétés partagées dans vos AWS CloudTrail journaux.
Pour obtenir des informations détaillées sur les mises à jour de la politique **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy**gérée, consultez[AWS KMS mises à jour des politiques AWS gérées](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
**Topics**
+ [À propos du rôle lié à un service pour les clés multi-région](#about-multi-region-slr)
+ [Création du rôle lié à un service](#create-mrk-slr)
+ [Modifier la description du rôle lié à un service](#edit-mrk-slr)
+ [Supprimer le rôle lié à un service](#delete-mrk-slr)
## À propos du rôle lié à un service pour les clés multi-région
Un [rôle lié à un service est un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) IAM qui autorise un AWS service à appeler d'autres AWS services en votre nom. Il est conçu pour vous permettre d'utiliser plus facilement les fonctionnalités de plusieurs AWS services intégrés sans avoir à créer et à gérer des politiques IAM complexes.
Pour les clés multirégionales, AWS KMS crée le rôle **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**lié au service avec la **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy**politique gérée. Cette politique donne au rôle l'autorisation `kms:SynchronizeMultiRegionKey`, qui lui permet de synchroniser les propriétés partagées des clés multi-région.
Étant donné que le rôle **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**lié au service n'est fiable que`mrk.kms.amazonaws.com`, seul le rôle lié au service AWS KMS peut assumer ce rôle lié au service. Ce rôle est limité aux opérations qui AWS KMS doivent synchroniser les propriétés partagées multirégionales. Il ne donne AWS KMS aucune autorisation supplémentaire. Par exemple, AWS KMS n'est pas autorisé à créer, répliquer ou supprimer des clés KMS.
Pour plus d'informations sur la manière dont les AWS services utilisent les rôles liés aux services, consultez la section [Utilisation des rôles liés aux services](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) dans le guide de l'utilisateur IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "KMSSynchronizeMultiRegionKey",
"Effect" : "Allow",
"Action" : [
"kms:SynchronizeMultiRegionKey"
],
"Resource" : "*"
}
]
}
```
------
## Création du rôle lié à un service
AWS KMS crée automatiquement le rôle **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**lié au service dans votre Compte AWS lorsque vous créez une clé multirégionale, si le rôle n'existe pas déjà. Vous ne pouvez pas créer ou recréer directement ce rôle lié à un service.
## Modifier la description du rôle lié à un service
Vous ne pouvez pas modifier le nom du rôle ni les déclarations de politique du rôle **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**lié à un service, mais vous pouvez modifier la description du rôle. Pour de plus amples informations, veuillez consulter [Modification d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l'utilisateur IAM*.
## Supprimer le rôle lié à un service
AWS KMS ne supprime pas le rôle **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**lié au service de votre compte Compte AWS et vous ne pouvez pas le supprimer. Cependant, AWS KMS n'assume pas le **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**rôle et n'utilise aucune de ses autorisations, sauf si vous avez des clés multirégionales dans votre région Compte AWS et.
# Connexion et surveillance AWS Key Management Service
La surveillance est un élément important permettant de comprendre la disponibilité, l'état et l'utilisation de vos AWS KMS keys dans AWS KMS. La surveillance permet de maintenir la sécurité, la fiabilité, la disponibilité et les performances de vos AWS solutions. AWS fournit plusieurs outils pour surveiller vos clés KMS.
**AWS CloudTrail Journaux**
Chaque appel à une opération d' AWS KMS API est enregistré sous forme d'événement dans un AWS CloudTrail journal. Ces journaux enregistrent tous les appels d'API depuis la AWS KMS console, ainsi que les appels effectués par AWS KMS d'autres AWS services. Les appels d'API entre comptes, tels qu'un appel à utiliser une clé KMS dans un autre compte Compte AWS, sont enregistrés dans les CloudTrail journaux des deux comptes.
Lors du dépannage ou de l'audit, vous pouvez utiliser le journal pour reconstruire le cycle de vie d'une clé KMS. Vous pouvez également afficher sa gestion et son utilisation de la clé KMS dans les opérations de chiffrement. Pour de plus amples informations, veuillez consulter [Journalisation des appels d' AWS KMS API avec AWS CloudTrail](logging-using-cloudtrail.md).
**Amazon CloudWatch Logs**
Surveillez, stockez et accédez à vos fichiers journaux à partir AWS CloudTrail d'autres sources. Pour plus d'informations, consultez le [guide de CloudWatch l'utilisateur Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
Car AWS KMS, CloudWatch stocke des informations utiles qui vous aident à éviter les problèmes liés à vos clés KMS et aux ressources qu'elles protègent. Pour de plus amples informations, veuillez consulter [Surveillez les clés KMS avec Amazon CloudWatch](monitoring-cloudwatch.md).
**Amazon EventBridge**
AWS KMS génère EventBridge des événements lorsque votre clé KMS est [pivotée](rotate-keys.md) ou [supprimée](deleting-keys.md) ou lorsque le [contenu clé importé](importing-keys.md) de votre clé KMS expire. Recherchez AWS KMS des événements (opérations d'API) et acheminez-les vers une ou plusieurs fonctions ou flux cibles pour capturer des informations d'état. Pour plus d'informations, consultez [Surveillez les clés KMS avec Amazon EventBridge](kms-events.md) le [guide de EventBridge l'utilisateur Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
** CloudWatch Métriques Amazon**
Vous pouvez surveiller vos clés KMS à l'aide de CloudWatch métriques, qui collectent et traitent les données brutes pour AWS KMS en faire des indicateurs de performance. Les données sont enregistrées à intervalles de deux semaines afin que vous puissiez visualiser les tendances des informations actuelles et historiques. Cela vous aide à comprendre comment vos clés KMS sont utilisées et comment leur utilisation évolue au fil du temps. Pour plus d'informations sur l'utilisation de CloudWatch métriques pour surveiller les clés KMS, consultez[AWS KMS métriques et dimensions](monitoring-cloudwatch.md#kms-metrics).
** CloudWatch Alarmes Amazon**
Surveillez les évolutions d'une seule métrique pendant la période que vous spécifiez. Ensuite, prenez des mesures en fonction de la valeur de la métrique par rapport à un seuil sur un certain nombre de périodes. Par exemple, vous pouvez créer une CloudWatch alarme qui se déclenche lorsque quelqu'un essaie d'utiliser une clé KMS dont la suppression est programmée dans le cadre d'une opération cryptographique. Cela indique que la clé KMS est toujours utilisée et ne devrait probablement pas être supprimée. Pour de plus amples informations, veuillez consulter [Créez une alarme qui détecte l'utilisation d'une clé KMS en attente de suppression](deleting-keys-creating-cloudwatch-alarm.md).
**AWS Security Hub CSPM**
Vous pouvez surveiller votre AWS KMS utilisation conformément aux normes du secteur de la sécurité et aux meilleures pratiques en utilisant AWS Security Hub CSPM. Security Hub CSPM utilise des contrôles de sécurité pour évaluer les configurations des ressources et les normes de sécurité afin de vous aider à vous conformer aux différents cadres de conformité. Pour plus d'informations, consultez [Concepts AWS Key Management Service](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html) dans le *Guide de l'utilisateur AWS Security Hub *.
# Validation de conformité pour AWS Key Management Service
Des auditeurs tiers évaluent la sécurité et AWS Key Management Service la conformité de plusieurs programmes de AWS conformité. Il s’agit notamment des certifications SOC, PCI, FedRAMP, HIPAA et d’autres.
**Topics**
+ [Documents de conformité et de sécurité](#compliance-documents)
+ [En savoir plus](#compliance-more)
## Documents de conformité et de sécurité
Les documents de conformité et de sécurité suivants couvrent AWS KMS. Pour ce faire, utilisez [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html).
+ Cloud Computing Compliance Controls Catalogue (C5)
+ ISO 27001 : Déclaration d'applicabilité 2013 (DdA)
+ ISO 27001 : Certification 2013
+ ISO 27017 : Déclaration d'applicabilité 2015 (DdA)
+ ISO 27017 : Certification 2015
+ ISO 27018 : Déclaration d'applicabilité 2015 (DdA)
+ ISO 27018 : Certification 2014
+ ISO 9001: Certification 2015
+ Attestation de conformité (AOC) et récapitulatif des responsabilités PCI DSS
+ Rapport SOC 1 (Service Organization Controls)
+ Rapport SOC 2 (Service Organization Controls)
+ Rapport SOC 2 (Service Organization Controls) relatif à la confidentialité
+ FedRAMP-High
Pour obtenir de l'aide sur l'utilisation AWS Artifact, consultez la section [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
## En savoir plus
Votre responsabilité en matière de conformité lors de l'utilisation AWS KMS est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise et les lois et réglementations applicables. Si votre utilisation de AWS KMS est soumise à la conformité à une norme publiée, AWS fournit des ressources pour vous aider à :
+ [AWS Services concernés par programme de conformité](https://aws.amazon.com/compliance/services-in-scope/) — Cette page répertorie les AWS services concernés par des programmes de conformité spécifiques. Pour obtenir des informations générales, consultez [Programmes de conformitéAWS](https://aws.amazon.com/compliance/programs/).
+ [Guides de démarrage rapide sur la sécurité et la conformité](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) : ces guides de déploiement abordent les considérations architecturales et indiquent les étapes à suivre pour déployer des environnements de base axés sur la sécurité et la conformité sur. AWS
+ [AWS Ressources relatives à la conformité](https://aws.amazon.com/compliance/resources/) — Cette collection de classeurs et de guides peut s'appliquer à votre secteur d'activité et à votre région.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)— Ce AWS service évalue dans quelle mesure les configurations de vos ressources sont conformes aux pratiques internes, aux directives du secteur et aux réglementations.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Ce AWS service fournit une vue complète de votre état de sécurité interne AWS. Security Hub CSPM utilise des contrôles de sécurité pour évaluer vos AWS ressources et vérifier votre conformité aux normes et aux meilleures pratiques du secteur de la sécurité. Pour obtenir la liste des services et des contrôles pris en charge, consultez [la référence des contrôles Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-controls-reference.html).
# Résilience dans AWS Key Management Service
L'infrastructure AWS mondiale est construite autour Régions AWS de zones de disponibilité. Régions AWS fournissent plusieurs zones de disponibilité physiquement séparées et isolées, connectées par un réseau à faible latence, à haut débit et hautement redondant. Avec les zones de disponibilité, vous pouvez concevoir et exploiter des applications et des bases de données qui basculent automatiquement d’une zone de disponibilité à l’autre sans interruption. Les zones de disponibilité sont plus hautement disponibles, tolérantes aux pannes et évolutives que les infrastructures traditionnelles à un ou plusieurs centres de données.
Outre l'infrastructure AWS mondiale, AWS KMS propose plusieurs fonctionnalités pour répondre à vos besoins en matière de résilience et de sauvegarde des données. Pour plus d'informations sur les zones de disponibilité Régions AWS et les zones de disponibilité, consultez la section [Infrastructure AWS globale](https://aws.amazon.com/about-aws/global-infrastructure/).
## Isolement régional
AWS Key Management Service (AWS KMS) est un service régional autonome qui est disponible partout Régions AWS. La conception isolée au niveau régional de AWS KMS garantit qu'un problème de disponibilité dans une région Région AWS ne peut affecter le AWS KMS fonctionnement dans aucune autre région. AWS KMS est conçu pour garantir l'absence *d'interruption planifiée*, toutes les mises à jour logicielles et les opérations de dimensionnement étant effectuées de manière fluide et imperceptible.
Le [contrat AWS KMS de niveau de service](https://aws.amazon.com/kms/sla/) (SLA) inclut un engagement de service de 99,999 % pour tous les KMS. APIs Pour remplir cet engagement, AWS KMS garantit que toutes les données et informations d'autorisation nécessaires à l'exécution d'une requête d'API sont disponibles sur tous les hôtes régionaux qui reçoivent la requête.
L' AWS KMS infrastructure est répliquée dans au moins trois zones de disponibilité (AZs) dans chaque région. Afin de garantir que les défaillances de plusieurs hôtes n'affectent pas les AWS KMS performances, AWS KMS il est conçu pour gérer le trafic client AZs en provenance de n'importe quelle région.
Les modifications que vous apportez aux propriétés ou aux autorisations d'une clé KMS sont répliquées pour tous les hôtes de la région afin de garantir que la requête ultérieure peut être traitée correctement par n'importe quel hôte de la région. Les demandes d'[opérations cryptographiques](kms-cryptography.md#cryptographic-operations) utilisant votre clé KMS sont transmises à un parc de modules de sécurité AWS KMS matériels (HSMs), chacun d'entre eux pouvant effectuer l'opération avec la clé KMS.
## Conception à locataires multiples
La conception multi-locataires de AWS KMS lui permet de respecter le SLA de disponibilité de 99,999 % et de maintenir des taux de demandes élevés, tout en protégeant la confidentialité de vos clés et de vos données.
Plusieurs mécanismes renforçant l'intégrité sont déployés pour garantir que la clé KMS que vous avez spécifiée pour l'opération cryptographique est toujours celle utilisée.
Les éléments de clé en texte clair de vos clés KMS sont protégés de manière stricte. Les éléments de clé sont chiffrés dans le HSM dès sa création, et les éléments de clé chiffrés sont immédiatement déplacés vers un stockage sécurisé à faible latence. La clé chiffrée est récupérée et déchiffrée dans le HSM juste à temps pour être utilisée. La clé en texte clair reste dans la mémoire HSM uniquement pendant le temps nécessaire à la réalisation de l'opération cryptographique. Il est ensuite rechiffré dans le HSM et la clé chiffrée est renvoyée au stockage. Le contenu clé en texte brut ne quitte jamais le HSMs ; il n'est jamais écrit dans un stockage permanent.
## Meilleures pratiques en matière de résilience dans AWS KMS
Pour optimiser la résilience de vos AWS KMS ressources, envisagez les stratégies suivantes.
+ Pour prendre en charge votre stratégie de sauvegarde et de reprise après sinistre, prenez en compte les *Clés multi-régions*, qui sont des clés KMS créées dans une Région AWS et répliquées uniquement pour les régions que vous spécifiez. Avec les clés multirégionales, vous pouvez déplacer des ressources chiffrées entre Régions AWS (au sein d'une même partition) sans jamais exposer le texte en clair, et déchiffrer la ressource, si nécessaire, dans l'une de ses régions de destination. Les clés multi-régions associées sont interopérables car elles partagent les mêmes éléments de clé et le même ID de clé, mais elles disposent de stratégies clé indépendantes pour le contrôle d'accès haute résolution. Pour plus de détails, veuillez consulter [Clés multi-régions dans AWS KMS](multi-region-keys-overview.md).
+ Pour protéger vos clés dans un service mutualisé tel que AWS KMS, veillez à utiliser des contrôles d'accès, notamment des [politiques clés et des politiques](key-policies.md) [IAM](iam-policies.md). En outre, vous pouvez envoyer vos demandes à AWS KMS l'aide d'un point de *terminaison d'interface VPC* alimenté par. AWS PrivateLink Lorsque vous le faites, toutes les communications entre votre Amazon VPC et Amazon AWS KMS sont entièrement effectuées au sein du AWS réseau à l'aide d'un point de AWS KMS terminaison dédié limité à votre VPC. Vous pouvez sécuriser davantage ces requêtes en créant une couche d'autorisation supplémentaire à l'aide des [Stratégies de point de terminaison d'un VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#edit-vpc-endpoint-policy). Pour en savoir plus, consultez la section [Connexion à AWS KMS via un point de terminaison d'un VPC](kms-vpc-endpoint.md).
# Sécurité de l'infrastructure dans AWS Key Management Service
En tant que service géré, AWS Key Management Service (AWS KMS) est protégé par les procédures de sécurité du réseau AWS mondial décrites dans [Amazon Web Services : présentation des processus de sécurité](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Pour accéder AWS KMS via le réseau, vous pouvez appeler les opérations d' AWS KMS API décrites dans la [référence AWS Key Management Service d'API](https://docs.aws.amazon.com/kms/latest/APIReference/). AWS KMS nécessite le protocole TLS 1.2 et recommande le protocole TLS 1.3 dans toutes les régions. AWS KMS prend également en charge le protocole TLS post-quantique hybride pour les points de terminaison AWS KMS de service dans toutes les régions, à l'exception des régions de Chine. AWS KMS ne prend pas en charge le protocole TLS post-quantique hybride pour les points de terminaison FIPS dans. AWS GovCloud (US) Pour utiliser les [points de terminaison AWS KMS standard](https://docs.aws.amazon.com/general/latest/gr/kms.html) ou les [points de terminaison FIPS AWS KMS](https://docs.aws.amazon.com/general/latest/gr/kms.html), les clients doivent prendre en charge le protocole TLS 1.2 ou une version ultérieure. Les clients doivent aussi prendre en charge les suites de chiffrement PFS (Perfect Forward Secrecy) comme Ephemeral Diffie-Hellman (DHE) ou Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La plupart des systèmes modernes telles que Java 7 et versions ultérieures prennent en charge ces modes.
En outre, les demandes doivent être signées à l’aide d’un ID de clé d’accès et d’une clé d’accès secrète associée à un principal IAM. Vous pouvez également utiliser [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) pour générer des informations d’identification de sécurité temporaires et signer les demandes.
Vous pouvez appeler ces opérations d'API depuis n'importe quel emplacement réseau, mais AWS KMS les conditions de politique globale vous permettent de contrôler l'accès à une clé KMS en fonction de l'adresse IP source, du VPC et du point de terminaison du VPC. Vous pouvez utiliser ces clés de condition dans les stratégies de clé et les stratégies IAM. Toutefois, ces conditions peuvent AWS empêcher l'utilisation de la clé KMS en votre nom. Pour en savoir plus, consultez [AWS clés de condition globales](conditions-aws.md).
Par exemple, la déclaration de politique clé suivante permet aux utilisateurs qui peuvent assumer le `KMSTestRole` rôle de l'utiliser AWS KMS key pour les [opérations cryptographiques](kms-cryptography.md#cryptographic-operations) spécifiées, sauf si l'adresse IP source est l'une des adresses IP spécifiées dans la stratégie.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {"AWS":
"arn:aws:iam::111122223333:role/KMSTestRole"},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
}
```
------
## Isolation des hôtes physiques
La sécurité de l'infrastructure physique AWS KMS utilisée est soumise aux contrôles décrits dans la section **Sécurité physique et environnementale** d'[Amazon Web Services : présentation des processus de sécurité](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf). Vous trouverez plus de détails dans les rapports de conformité et les résultats d'audit tiers répertoriés dans la section précédente.
AWS KMS est pris en charge par des modules de sécurité matériels renforcés dédiés (HSMs) conçus avec des contrôles spécifiques pour résister aux attaques physiques. HSMs Il s'agit de périphériques physiques *dépourvus* de couche de virtualisation, telle qu'un hyperviseur, qui partage le périphérique physique entre plusieurs locataires logiques. Le matériel clé pour AWS KMS keys est stocké uniquement dans la mémoire volatile du HSMs, et uniquement pendant l'utilisation de la clé KMS. Cette mémoire est effacée lorsque le HSM sort de l'état opérationnel, y compris lors des arrêts et des réinitialisations prévus et involontaires. Pour des informations détaillées sur le fonctionnement de AWS KMS HSMs, voir [Détails AWS Key Management Service cryptographiques](https://docs.aws.amazon.com/kms/latest/cryptographic-details/).