Appel CreateKey

Une AWS KMS key est générée à la suite d'un appel à un CreateKey Appel d'API.

Les éléments suivants sont un sous-ensemble de la CreateKey syntaxe de demande.


{
  "Description": "string",
  "KeySpec": "string",
  "KeyUsage": "string",
  "Origin": "string";
  "Policy": "string"
}

Cette demande accepte les données suivantes au format JSON.

Description: (Facultatif) Description de la clé. Nous vous recommandons de choisir une description qui vous aide à déterminer si la clé est appropriée pour une tâche donnée.
KeySpec: Spécifie le type de clé KMS à créer. La valeur par défaut, SYMMETRIC_DEFAULT, crée une clé KMS de chiffrement symétrique. Ce paramètre est facultatif pour les clés de chiffrement symétriques et obligatoire pour toutes les autres spécifications de clé.
KeyUsage: Spécifie l'utilisation de la clé. Les valeurs valides sont ENCRYPT_DECRYPT, SIGN_VERIFY ou GENERATE_VERIFY_MAC. La valeur par défaut est ENCRYPT_DECRYPT. Ce paramètre est facultatif pour les clés de chiffrement symétriques et obligatoire pour toutes les autres spécifications de clé.
Origin: (Facultatif) Spécifie la source du matériel de clé pour la clé KMS. La valeur par défaut est AWS_KMS, ce qui indique que AWS KMS génère et gère le matériel de clé pour la clé KMS. Les autres valeurs valides comprennent EXTERNAL, qui représente une clé KMS créée sans matériel de clé pour le matériel de clé importé, et AWS_CLOUDHSM qui crée une clé KMS dans un magasin de clés personnalisé soutenu par un cluster AWS CloudHSM que vous contrôlez.
Politique: (Facultatif) Politique à associer à la clé. Si la politique est omise, la clé sera créée avec la politique par défaut (suivante) qui autorise le compte racine et les principaux IAM disposant des AWS KMS autorisations pour la gérer.

Pour de plus amples informations sur la stratégie, consultez Stratégies de clé dans AWS KMS et Stratégie de clé par défaut dans le Guide du développeur AWS Key Management Service.

La demande CreateKey renvoie une réponse qui inclut un ARN de clé.


arn:<partition>:kms:<region>:<account-id>:key/<key-id>

Si l'Origin est AWS_KMS, après la création de l'ARN, une demande à une clé AWS KMS HSM sera effectuée sur une session authentifiée aux fins de provisionner une clé de sauvegarde (HBK) du module de sécurité matériel (HSM). La clé HBK est une clé de 256 bits associée à cet ID de clé de la clé KMS. Elle peut uniquement être générée sur une clé HSM et conçue pour ne jamais être exportée en dehors de la limite de la clé HSM en texte clair. La clé HBK est chiffrée sous la clé de domaine actuelle, DK₀. Ces clés HBK chiffrées sont appelées jetons de clé chiffrés (EKT). Bien qu'il soit possible de configurer les HSM pour utiliser une variété de méthodes d'enveloppement des clés, l'implémentation actuelle utilise AES-256 dans le Galois Counter Mode, un schéma de cryptage authentifié. Ce mode de chiffrement authentifié nous permet de protéger certaines métadonnées de jeton de clé exportées en texte clair.

Cette valeur est représentée comme :


EKT = Encrypt(DK₀, HBK)

Deux formes de protection fondamentales sont fournies à vos clés KMS et aux clés HBK ultérieures : les politiques d'autorisation définies sur vos clés KMS et les protections cryptographiques sur vos clés HBK associées. Les autres sections décrivent les protections cryptographiques et la sécurité des fonctions de gestion dans AWS KMS.

En plus de l'ARN, vous pouvez créer un nom convivial et l'associer à la clé KMS en créant un alias pour la clé. Après avoir associé un alias à une clé KMS, l'alias pourra être utilisé pour identifier la clé KMS dans les opérations cryptographiques. Pour plus d'informations, consultez la rubrique Utilisation d'alias dans le AWS Key Management Service Guide du développeur.

Plusieurs niveaux d'autorisations entourent l'utilisation des clés KMS. AWS KMS active des politiques d'autorisation distinctes entre le contenu chiffré et la clé KMS. Par exemple, un AWS KMS objet Amazon Simple Storage Service (Amazon S3) chiffré sous enveloppe hérite de la politique sur le compartiment Amazon S3. Toutefois, l'accès à la clé de chiffrement nécessaire est déterminé par la politique d'accès sur la clé KMS. Pour plus d'informations sur l'autorisation des clés KMS, consultez Authentification et contrôle d'accès pour AWS KMS dans le AWS Key Management ServiceGuide du développeur.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS KMS keys

Importation des éléments de clé