Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création d'une clé asymétrique KMS
Vous pouvez créer des KMSclés asymétriques dans la AWS KMS console en utilisant le CreateKeyAPImodèle : : : :Key ou en utilisant le AWSmodèle : KMS : :Key AWS CloudFormation. Une KMS clé asymétrique représente une paire de clés publique et privée qui peut être utilisée pour le chiffrement, la signature ou la dérivation de secrets partagés. La clé privée reste à l'intérieur AWS KMS. Pour télécharger la clé publique afin de l'utiliser en dehors de AWS KMS, consultezTélécharger la clé publique.
Lorsque vous créez une KMS clé asymétrique, vous devez sélectionner une spécification de clé. Souvent, la spécification de clé que vous sélectionnez est déterminée par des exigences réglementaires, de sécurité ou métier. Elle peut également être influencée par la taille des messages que vous devez chiffrer ou signer. En général, les clés de chiffrement plus longues résistent mieux aux attaques par force brute. Pour une description détaillée de toutes les spécifications clés prises en charge, voirRéférence de spécification clé.
AWS les services intégrés à ne prennent AWS KMS pas en charge les KMS clés asymétriques. Si vous souhaitez créer une KMS clé qui chiffre les données que vous stockez ou gérez dans un AWS service, créez une clé de chiffrement KMS symétrique.
Pour plus d'informations sur les autorisations requises pour créer des KMS clés, consultezAutorisations pour créer des KMS clés.
Vous pouvez utiliser le AWS Management Console pour créer des KMS touches asymétriques AWS KMS keys . Chaque KMS clé asymétrique représente une paire de clés publique et privée.
Important
N'incluez pas d'informations confidentielles ou sensibles dans l'alias, la description ou les balises. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
-
Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.
-
Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
-
Dans le volet de navigation, sélectionnez Clés gérées par le client.
-
Choisissez Create key.
-
Pour créer une KMS clé asymétrique, dans Type de clé, choisissez Asymétrique.
-
Pour créer une KMS clé asymétrique pour le chiffrement par clé publique, dans Utilisation des clés, choisissez Chiffrer et déchiffrer.
Pour créer une KMS clé asymétrique pour signer les messages et vérifier les signatures, dans Utilisation des clés, choisissez Signer et vérifier.
Pour créer une KMS clé asymétrique permettant de dériver des secrets partagés, dans Utilisation des clés, sélectionnez Key agreement.
Pour obtenir de l'aide sur le choix d'une valeur d'utilisation de clé, veuillez consulter Choix du type de KMS clé à créer.
-
Sélectionnez une spécification (spécification clé) pour votre clé asymétriqueKMS.
-
Choisissez Suivant.
-
Entrez un alias pour la KMS clé. Le nom d'alias ne peut pas commencer par
aws/
. Le préfixeaws/
est réservé par Amazon Web Services pour représenter Clés gérées par AWS dans votre compte.Un alias est un nom convivial que vous pouvez utiliser pour identifier la KMS clé dans la console et dans certaines autres AWS KMS APIs. Nous vous recommandons de choisir un alias qui indique le type de données que vous souhaitez protéger ou l'application que vous comptez utiliser avec la KMS clé.
Les alias sont obligatoires lorsque vous créez une KMS clé dans le AWS Management Console. Vous ne pouvez pas spécifier d'alias lorsque vous utilisez l'CreateKeyopération, mais vous pouvez utiliser la console ou l'CreateAliasopération pour créer un alias pour une KMS clé existante. Pour plus de détails, consultez Alias dans AWS KMS.
-
(Facultatif) Entrez une description pour la KMS clé.
Entrez une description qui explique le type de données que vous souhaitez protéger ou l'application que vous comptez utiliser avec la KMS clé.
Vous pouvez ajouter une description maintenant ou la mettre à jour à tout moment, sauf si l'état de la clé est
Pending Deletion
ouPending Replica Deletion
. Pour ajouter, modifier ou supprimer la description d'une clé gérée par le client existante, modifiez la description sur la page de détails de la KMS clé contenue dans l'opération AWS Management Console ou utilisez l'UpdateKeyDescriptionopération. -
(Facultatif) Saisissez une clé de balise et une valeur de balise facultative. Pour ajouter plusieurs balises à la KMS clé, choisissez Ajouter une étiquette.
Lorsque vous ajoutez des balises à vos AWS ressources, AWS génère un rapport de répartition des coûts avec l'utilisation et les coûts agrégés par balises. Les tags peuvent également être utilisés pour contrôler l'accès à une KMS clé. Pour plus d'informations sur le balisage des KMS clés, reportez-vous aux sections Tags dans AWS KMS etABACpour AWS KMS.
-
Choisissez Suivant.
-
Sélectionnez les IAM utilisateurs et les rôles qui peuvent administrer la KMS clé.
Remarques
Cette politique clé donne le contrôle Compte AWS total de cette KMS clé. Il permet aux administrateurs de compte d'utiliser des IAM politiques pour autoriser les autres principaux à gérer la KMS clé. Pour plus de détails, consultez politique de clé par défaut.
IAMles meilleures pratiques découragent l'utilisation d'IAMutilisateurs possédant des informations d'identification à long terme. Dans la mesure du possible, utilisez IAM des rôles qui fournissent des informations d'identification temporaires. Pour plus de détails, consultez la section Bonnes pratiques en matière de sécurité IAM dans le guide de IAM l'utilisateur.
La AWS KMS console ajoute des administrateurs clés à la politique clé sous l'identifiant de l'instruction
"Allow access for Key Administrators"
. La modification de cet identifiant d'instruction peut avoir un impact sur la façon dont la console affiche les mises à jour que vous apportez à l'instruction. -
(Facultatif) Pour empêcher les IAM utilisateurs et les rôles sélectionnés de supprimer cette KMS clé, dans la section Suppression de clé en bas de page, désactivez la case à cocher Autoriser les administrateurs des clés à supprimer cette clé.
-
Choisissez Suivant.
-
Sélectionnez les IAM utilisateurs et les rôles autorisés à utiliser la KMS clé pour les opérations cryptographiques.
Remarques
IAMles meilleures pratiques découragent l'utilisation d'IAMutilisateurs possédant des informations d'identification à long terme. Dans la mesure du possible, utilisez IAM des rôles qui fournissent des informations d'identification temporaires. Pour plus de détails, consultez la section Bonnes pratiques en matière de sécurité IAM dans le guide de IAM l'utilisateur.
La AWS KMS console ajoute des utilisateurs clés à la politique clé sous les identificateurs de déclaration
"Allow use of the key"
et"Allow attachment of persistent resources"
. La modification de ces identificateurs de déclaration peut avoir un impact sur la façon dont la console affiche les mises à jour que vous apportez à l'instruction. -
(Facultatif) Vous pouvez autoriser d'autres Comptes AWS utilisateurs à utiliser cette KMS clé pour des opérations cryptographiques. Pour cela, dans la section Autres Comptes AWS en bas de la page, sélectionnez Ajouter un autre Compte AWS et saisissez le numéro d'identification Compte AWS d'un compte externe. Pour ajouter plusieurs comptes externes, répétez cette étape.
Note
Pour permettre aux principaux des comptes externes d'utiliser la KMS clé, les administrateurs du compte externe doivent créer des IAM politiques fournissant ces autorisations. Pour de plus amples informations, veuillez consulter Autoriser les utilisateurs d'autres comptes à utiliser une KMS clé.
-
Choisissez Suivant.
-
Passez en revue les principales déclarations de politique pour la clé. Pour apporter des modifications à la politique clé, sélectionnez Modifier.
-
Choisissez Suivant.
-
Passez en revue les paramètres de clé que vous avez choisis. Vous pouvez toujours revenir en arrière et modifier tous les paramètres.
-
Choisissez Terminer pour créer la KMS clé.
Vous pouvez utiliser cette CreateKeyopération pour créer une asymétrique AWS KMS key. Ces exemples utilisent l'AWS Command Line Interface (AWS CLI)
Lorsque vous créez une KMS clé asymétrique, vous devez spécifier le KeySpec
paramètre qui détermine le type de clés que vous créez. Vous devez également spécifier une KeyUsage
valeur de ENCRYPT _ DECRYPTVERIFY, SIGN _ ou KEY _AGREEMENT. Vous ne pouvez pas modifier ces propriétés une fois la KMS clé créée.
L'CreateKey
opération ne vous permet pas de spécifier un alias, mais vous pouvez l'CreateAliasutiliser pour créer un alias pour votre nouvelle KMS clé.
Important
N'incluez pas d'informations confidentielles ou sensibles dans les champs Description
ou Tags
. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
Création d'une paire de KMS clés asymétrique pour le chiffrement public
L'exemple suivant utilise l'CreateKey
opération pour créer une clé asymétrique de KMS clés de 4 096 bits conçue pour le chiffrement par RSA clé publique.
$
aws kms create-key --key-spec RSA_4096 --key-usage ENCRYPT_DECRYPT
{ "KeyMetadata": { "KeyState": "Enabled", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyManager": "CUSTOMER", "Description": "", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1569973196.214, "MultiRegion": false, "KeySpec": "RSA_4096", "CustomerMasterKeySpec": "RSA_4096", "KeyUsage": "ENCRYPT_DECRYPT", "EncryptionAlgorithms": [ "RSAES_OAEP_SHA_1", "RSAES_OAEP_SHA_256" ], "AWSAccountId": "111122223333", "Origin": "AWS_KMS", "Enabled": true } }
Création d'une paire de KMS clés asymétrique pour la signature et la vérification
L'exemple de commande suivant crée une KMS clé asymétrique qui représente une paire de ECC clés utilisées pour la signature et la vérification. Vous ne pouvez pas créer une paire de clés de courbe elliptique pour le chiffrement et le déchiffrement.
$
aws kms create-key --key-spec ECC_NIST_P521 --key-usage SIGN_VERIFY
{ "KeyMetadata": { "KeyState": "Enabled", "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1570824817.837, "Origin": "AWS_KMS", "SigningAlgorithms": [ "ECDSA_SHA_512" ], "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "AWSAccountId": "111122223333", "KeySpec": "ECC_NIST_P521", "CustomerMasterKeySpec": "ECC_NIST_P521", "KeyManager": "CUSTOMER", "Description": "", "Enabled": true, "MultiRegion": false, "KeyUsage": "SIGN_VERIFY" } }
Créez une paire de KMS clés asymétrique pour obtenir des secrets partagés
L'exemple de commande suivant crée une KMS clé asymétrique qui représente une paire de ECDH clés utilisées pour dériver des secrets partagés. Vous ne pouvez pas créer une paire de clés de courbe elliptique pour le chiffrement et le déchiffrement.
$
aws kms create-key --key-spec ECC_NIST_P256 --key-usage KEY_AGREEMENT
{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": "2023-12-27T19:10:15.063000+00:00", "Enabled": true, "Description": "", "KeyUsage": "KEY_AGREEMENT", "KeyState": "Enabled", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "ECC_NIST_P256", "KeySpec": "ECC_NIST_P256", "KeyAgreementAlgorithms": [ "ECDH" ], "MultiRegion": false } }