Concepts de base

L'apprentissage de quelques termes et concepts de base vous aidera à tirer le meilleur parti de l'utilisation de AWS Key Management Service.

AWS KMS key

Note

AWS KMS remplace le terme clé principale client (CMK) par AWS KMS key et clé KMS. Le concept n'a pas changé. Pour éviter les changements de rupture, AWS KMS conserve quelques variations de ce terme.

Une clé logique qui représente le haut de votre hiérarchie de clés. Une clé KMS reçoit un ARN (Amazon Resource Name) qui inclut un identificateur de clé unique ou un ID de clé. AWS KMS keys ont trois types :

Clé gérée par le client – Les clients créent et contrôlent le cycle de vie et les politiques de clé des clés gérées par le client. Toutes les demandes effectuées à l'aide de ces clés sont enregistrées en tant qu' CloudTrail événements.
Clés gérées par AWS – AWScrée et contrôle le cycle de vie et les politiques de clé de Clés gérées par AWS, qui sont des ressources dans le Compte AWS d'un client. Les clients peuvent consulter les politiques d'accès et les CloudTrail événements relatifs à ces clésClés gérées par AWS, mais ne peuvent gérer aucun aspect de ces clés. Toutes les demandes effectuées à l'aide de ces clés sont enregistrées en tant qu' CloudTrail événements.
Clés détenues par AWS – Ces clés sont créées et utilisées exclusivement par AWS pour des opérations de chiffrement interne dans différents AWS services. Les clients n'ont aucune visibilité sur les principales politiques ou sur Clé détenue par AWS l'utilisation de CloudTrail.

Alias

Nom convivial associé à une clé KMS. L'alias peut être utilisé de façon interchangeable avec l'ID de clé dans la plupart des AWS KMS opérations d'API

Autorisations

Politique associée à une clé KMS qui définit les autorisations sur la clé. La politique par défaut autorise toutes les entités que vous définissez, et autorise également Compte AWS à ajouter des politiques IAM qui font référence à la clé.

Octrois

L'autorisation déléguée d'utiliser une clé KMS lorsque les principales IAM prévues ou la durée d'utilisation est inconnue au début et ne peut donc pas être ajoutée à une clé ou à une politique IAM. L'une des utilisations des octrois consiste à déﬁnir les autorisations descendantes pour la façon dont un AWS service peut utiliser une clé KMS. Le service peut avoir besoin d'utiliser votre clé pour effectuer un travail asynchrone en votre nom sur des données chiffrées en l'absence d'un appel d'API signé directement de votre part.

Clés de données

Clés cryptographiques générées sur les clés HSM, protégées par une clé KMS. AWS KMS permet aux entités autorisées d'obtenir des clés de données protégées par une clé KMS. Elles peuvent être retournées à la fois sous forme de clés de données en texte brut (non chiffrées) et sous forme de clés de données chiffrées. Les clés de données peuvent être symétriques ou asymétriques (avec les parties publiques et privées renvoyées).

Textes chiffrés

La sortie cryptée deAWS KMS, parfois appelé « texte chiffré du client » pour éviter toute confusion. Le texte chiffré contient des données chiffrées avec des informations supplémentaires qui identifient la clé KMS à utiliser dans le processus de déchiffrement. Les clés de données chiffrées sont un exemple courant de texte chiffré produit lors de l'utilisation d'une clé KMS, mais toutes les données de moins de 4 Ko peuvent être chiffrées sous une clé KMS pour générer un texte chiffré.

Contexte de chiffrement

Une carte de paires clé-valeur d'informations supplémentaires associées aux AWS KMS – informations protégées. AWS KMS utilise un chiffrement authentifié pour protéger les clés de données. Le contexte de chiffrement est incorporé dans l'AAD du chiffrement authentifié dans AWS KMS – textes chiffrés. Ces informations de contexte sont facultatives et ne sont pas renvoyées lors de la demande d'une clé (ou d'une opération de chiffrement). Mais si elles sont utilisées, cette valeur de contexte est nécessaire pour terminer avec succès une opération de déchiffrement. Une utilisation prévue du contexte de chiffrement est de fournir des informations authentifiées supplémentaires. Ces informations peuvent vous aider à appliquer les politiques et à être incluses dans les AWS CloudTrail journaux. Par exemple, vous pouvez utiliser une paire clé-valeur de {"key name":"satellite uplink key"} pour nommer la clé de données. L'utilisation ultérieure de la clé créera une AWS CloudTrail entrée qui comportera “key name”: “satellite uplink key.” Ces informations supplémentaires peuvent fournir un contexte utile pour comprendre pourquoi une clé KMS donnée a été utilisée.

Clé publique

Lors de l'utilisation de chiffrements asymétriques (RSA ou courbe elliptique), la clé publique est la « composante publique » d'une paire de clés publique-privée. La clé publique peut être partagée et distribuée aux entités qui ont besoin de chiffrer les données pour le propriétaire de la paire de clés publique-privée. Pour les opérations de signature numérique, la clé publique est utilisée pour vérifier la signature.

Clé privée

Lors de l'utilisation de chiffrements asymétriques (RSA ou courbe elliptique), la clé privée est la « composante privée » d'une paire de clés publique-privée. La clé privée est utilisée pour déchiffrer des données ou créer des signatures numériques. Similaire aux clés KMS symétriques, les clés privées sont chiffrées dans des clés HSM. Elles sont uniquement déchiffrées dans la mémoire volatile de la clé HSM et seulement pour le temps nécessaire au traitement de votre demande cryptographique.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Introduction

Objectifs de conception