Utiliser des clés KMS dans un magasin de clés externe - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utiliser des clés KMS dans un magasin de clés externe

Après avoir créé une clé KMS de chiffrement symétrique dans un magasin de clés externe, vous pouvez l'utiliser pour les opérations cryptographiques suivantes :

Les opérations de chiffrement symétriques qui génèrent des paires de clés de données asymétriques GenerateDataKeyPairet GenerateDataKeyPairWithoutPlaintextne sont pas prises en charge dans les magasins de clés personnalisés.

Un contexte de chiffrement est pris en charge pour toutes les opérations cryptographiques utilisant des clés KMS dans un magasin de clés externe. Comme toujours, l'utilisation d'un contexte de chiffrement est une bonne pratique de sécurité recommandée par AWS KMS.

Lorsque vous utilisez votre clé KMS dans une requête, identifiez la clé KMS par son ID de clé, son ARN de clé, son alias ou son ARN d'alias. Vous n'avez pas besoin de spécifier le magasin de clés externe. La réponse inclut les mêmes champs qui sont renvoyés pour une clé KMS de chiffrement symétrique. Toutefois, lorsque vous utilisez une clé KMS dans un magasin de clés externe, les opérations de chiffrement et de déchiffrement sont effectuées par votre gestionnaire de clés externe au moyen de la clé externe associée à la clé KMS.

Pour garantir que le texte chiffré au moyen d'une clé KMS dans un magasin de clés externe est au moins aussi robuste que tout texte chiffré au moyen d'une clé KMS standard, AWS KMS utilise le double chiffrement. Les données sont d'abord chiffrées dans AWS KMS en utilisant les éléments de clé AWS KMS. Elles sont ensuite chiffrées par votre gestionnaire de clés externe à l'aide de la clé externe de la clé KMS. Pour déchiffrer un texte chiffré à double chiffrement, le texte chiffré est d'abord déchiffré par votre gestionnaire de clés externe à l'aide de la clé externe de la clé KMS. Ensuite, il est déchiffré dans AWS KMS en utilisant les éléments de clé AWS KMS de la clé KMS.

Pour que cela soit possible, les conditions suivantes sont requises.

  • L'état de la clé KMS doit être Enabled. Pour connaître l'état de la clé, consultez le champ État pour les clés gérées par le client, sur la AWS KMSconsole ou dans le KeyState champ de la DescribeKeyréponse.

  • Le magasin de clés externe qui héberge la clé KMS doit être connecté à son proxy de magasin de clés externe, c'est-à-dire que l'état de connexion du magasin de clés externe doit être CONNECTED.

    Vous pouvez consulter l'état de la connexion sur la page Stockages de clés externes de la AWS KMS console ou dans la DescribeCustomKeyStoresréponse. L'état de connexion du magasin de clés externe est également affiché sur la page de détails de la clé KMS sur la console AWS KMS. Sur la page de détails, choisissez l'onglet Cryptographic configuration (Configuration cryptographique) et consultez le champ Connection state (État de la connexion) dans la section Custom key store (Magasin de clés personnalisé).

    Si l'état de connexion est DISCONNECTED, vous devez d'abord le connecter. Si l'état de connexion est FAILED, vous devez résoudre le problème, déconnecter le magasin de clés externe, puis le connecter. Pour obtenir des instructions, veuillez consulter la rubrique Connecter et déconnecter un magasin de clés externe.

  • Le proxy de magasin de clés externe doit être en mesure de trouver la clé externe.

  • La clé externe doit être activée et elle doit effectuer le chiffrement et le déchiffrement.

    L'état de la clé externe est indépendant et n'est pas affecté par les modifications de l'état de clé de la clé KMS, y compris par l'activation et la désactivation de la clé KMS. De même, la désactivation ou la suppression de la clé externe ne modifie pas l'état de la clé KMS, mais les opérations cryptographiques utilisant la clé KMS associée échoueront.

Si ces conditions ne sont pas satisfaites, l'opération de chiffrement échoue, et AWS KMS renvoie une exception KMSInvalidStateException. Vous devrez peut-être reconnecter le magasin de clés externe ou utiliser les outils de votre gestionnaire de clés externe pour reconfigurer ou réparer votre clé externe. Pour obtenir de l'aide supplémentaire, consultez Résoudre les problèmes liés aux magasins de clés externes.

Lorsque vous utilisez les clés KMS dans un magasin de clés externe, sachez que les clés KMS de chaque magasin de clés externe partagent un quota de magasin de clés personnalisé sur les requêtes d'opérations cryptographiques. Si vous dépassez le quota, AWS KMS renvoie un ThrottlingException. Pour plus d'informations sur le quota de magasin de clés personnalisé, veuillez consulter la rubrique Quotas de demandes de magasin de clés personnalisé.