Instructions relatives aux clés KMS - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Instructions relatives aux clés KMS

AWS Control Tower fonctionne avecAWSService de gestion des clés (KMS). Si vous souhaitez chiffrer et déchiffrer vos ressources AWS Control Tower à l'aide d'une clé de chiffrement que vous gérez, vous pouvez éventuellement générer et configurerAWS KMS keys. Vous pouvez ajouter ou modifier une clé KMS chaque fois que vous mettez à jour votre landing zone. En tant que bonne pratique, il est recommandé d'utiliser vos propres clés KMS et de les modifier de temps à autre.

Dans laAWSLe service de gestion des clés (KMS) vous permet de créer des clés KMS multirégionales et des clés asymétriques ; cependant, AWS Control Tower ne prend pas en charge les clés multirégions ni les clés asymétriques. AWS Control Tower effectue une vérification préalable de vos clés existantes. Un message d'erreur peut s'afficher si vous sélectionnez une clé multirégion ou une clé asymétrique. Dans ce cas, générez une autre clé à utiliser avec les ressources de la AWS Control Tower.

Pour les clients qui exploitent unAWSCluster CloudHSM : Créez un magasin de clés personnalisé associé à votre cluster CloudHSM. Vous pouvez ensuite créer une clé KMS, qui se trouve dans le magasin de clés personnalisé CloudHSM que vous avez créé. Vous pouvez ajouter cette clé KMS à AWS Control Tower.

Vous devez apporter une mise à jour spécifique à la politique d'autorisations d'une clé KMS pour qu'elle fonctionne avec AWS Control Tower. Pour plus d'informations, consultez la section intituléePour mettre à jour la politique de la clé.