Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Après avoir créé un magasin de AWS CloudHSM clés, vous pouvez le créer AWS KMS keys dans votre magasin de clés. Il doit s'agir de clés KMS de chiffrement symétriques dont le contenu clé est AWS KMS généré. Vous ne pouvez pas créer de clés KMS asymétriques, de clés KMS HMAC ou de clés KMS avec des éléments de clé importés dans un magasin de clé personnalisé. De plus, vous ne pouvez pas utiliser de clés KMS de chiffrement symétriques dans un magasin de clés personnalisé pour générer des paires de clés de données asymétriques.
Pour créer une clé KMS dans un magasin de AWS CloudHSM clés, le magasin de AWS CloudHSM clés doit être connecté au AWS CloudHSM cluster associé et le cluster doit en contenir au moins deux actifs HSMs dans des zones de disponibilité différentes. Pour connaître l'état de la connexion et le nombre de HSMs, consultez la page des magasins de AWS CloudHSM clés dans le AWS Management Console. Lorsque vous utilisez les opérations d'API, DescribeCustomKeyStoresutilisez-les pour vérifier que le magasin de AWS CloudHSM clés est connecté. Pour vérifier le nombre de personnes actives HSMs dans le cluster et leurs zones de disponibilité, utilisez l' AWS CloudHSM DescribeClustersopération.
Lorsque vous créez une clé KMS dans votre magasin de AWS CloudHSM clés, AWS KMS crée la clé KMS dans AWS KMS. Mais il crée le matériau clé pour la clé KMS dans le AWS CloudHSM cluster associé. Plus précisément, se AWS KMS connecte au cluster en tant que kmsuserCU que vous avez créé. Ensuite, il crée une clé symétrique AES 256 bits persistante, non extractible dans le cluster. AWS KMS définit la valeur de l'attribut de l'étiquette de clé, qui est visible uniquement dans le cluster, sur l'Amazon Resource Name (ARN) de la clé KMS.
Lorsque la commande réussit, l'état de la clé de la nouvelle clé KMS est Enabled et son origine est AWS_CLOUDHSM. Vous ne pouvez pas modifier l'origine d'une clé KMS après l'avoir créée. Lorsque vous affichez une clé KMS dans un magasin de AWS CloudHSM clés de la AWS KMS console ou en utilisant l'DescribeKeyopération, vous pouvez voir des propriétés typiques, telles que son identifiant de clé, son état de clé et sa date de création. Mais vous pouvez également voir l'ID du magasin de clés personnalisé et l'ID du cluster AWS CloudHSM
(facultatif).
Si votre tentative de création d'une clé KMS dans votre banque de AWS CloudHSM clés échoue, utilisez le message d'erreur pour en déterminer la cause. Cela peut indiquer que le magasin de AWS CloudHSM clés n'est pas connecté (CustomKeyStoreInvalidStateException) ou HSMs que le AWS CloudHSM cluster associé ne possède pas les deux clés actives requises pour cette opération (CloudHsmClusterInvalidConfigurationException). Pour obtenir de l'aide, consultez Dépannage d'un magasin de clés personnalisé.
Pour un exemple du AWS CloudTrail journal de l'opération qui crée une clé KMS dans un magasin de AWS CloudHSM clés, consultezCreateKey.
Créez une nouvelle clé KMS dans votre magasin de clés CloudHSM
Vous pouvez créer une clé KMS de chiffrement symétrique dans votre magasin de AWS CloudHSM clés de la AWS KMS console ou en utilisant l'CreateKeyopération.
Utilisez la procédure suivante pour créer une clé KMS de chiffrement symétrique dans un magasin de AWS CloudHSM clés.
Note
N'incluez pas d'informations confidentielles ou sensibles dans l'alias, la description ou les balises. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
-
Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.
-
Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
-
Dans le volet de navigation, sélectionnez Clés gérées par le client.
-
Choisissez Create key.
-
Choisissez Symmetric (Symétrique).
-
Dans Key usage (Utilisation de la clé), l'option Encrypt and decrypt (Chiffrer et déchiffrer) est sélectionnée pour vous. Ne la modifiez pas.
-
Choisissez Options avancées.
-
Dans le champ Key material origin (Origine de la clé), sélectionnez AWS CloudHSM key store (Magasin de clés).
Vous ne pouvez pas créer de clé multirégionale dans un magasin de AWS CloudHSM clés.
-
Choisissez Suivant.
-
Sélectionnez un magasin de AWS CloudHSM clés pour votre nouvelle clé KMS. Pour créer un nouveau magasin de AWS CloudHSM clés, choisissez Créer un magasin de clés personnalisé.
Le magasin de AWS CloudHSM clés que vous sélectionnez doit avoir le statut Connecté. Son AWS CloudHSM cluster associé doit être actif et en contenir au moins deux actifs HSMs dans différentes zones de disponibilité.
Pour obtenir de l'aide sur la connexion d'un magasin de AWS CloudHSM clés, consultezDéconnecter un magasin de AWS CloudHSM clés. Pour obtenir de l'aide concernant l'ajout HSMs, consultez la section Ajout d'un HSM dans le guide de AWS CloudHSM l'utilisateur.
-
Choisissez Suivant.
-
Saisissez un alias et éventuellement une description pour la clé KMS.
-
(Facultatif). Sur la page Ajouter des identifications, ajoutez des identifications qui identifient ou catégorisent votre clé KMS.
Lorsque vous ajoutez des balises à vos AWS ressources, AWS génère un rapport de répartition des coûts avec l'utilisation et les coûts agrégés par balises. Les balises peuvent également être utilisées pour contrôler l'accès à une clé KMS. Pour de plus amples informations sur l'étiquetage des clés KMS, veuillez consulter Tags dans AWS KMS et ABAC pour AWS KMS.
-
Choisissez Suivant.
-
Dans la section Administrateurs de clé, sélectionnez les utilisateurs et les rôles IAM qui peuvent gérer la clé KMS. Pour plus d'informations, veuillez consulter la rubrique Autorise les administrateurs de clé à administrer la clé KMS.
Remarques
Les politiques IAM peuvent accorder à d'autres utilisateurs et rôles IAM l'autorisation d'utiliser la clé KMS.
Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez Security best practices in IAM (Bonnes pratiques de sécurité dans IAM) dans le Guide de l'utilisateur IAM.
La AWS KMS console ajoute des administrateurs clés à la politique clé sous l'identifiant de l'instruction
"Allow access for Key Administrators". La modification de cet identifiant d'instruction peut avoir un impact sur la façon dont la console affiche les mises à jour que vous apportez à l'instruction. -
(Facultatif) Pour empêcher les administrateurs de clé de supprimer cette clé KMS, décochez la case en bas de la page pour Autoriser les administrateurs de clé à supprimer cette clé.
-
Choisissez Suivant.
-
Dans la section Ce compte, sélectionnez les utilisateurs et les rôles IAM autorisés à utiliser la clé KMS dans le cadre d'opérations cryptographiques. Compte AWS Pour plus d'informations, veuillez consulter la rubrique Allows key users to use the KMS key (Autorise les utilisateurs de clé à utiliser la clé KMS).
Remarques
Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez Security best practices in IAM (Bonnes pratiques de sécurité dans IAM) dans le Guide de l'utilisateur IAM.
La AWS KMS console ajoute des utilisateurs clés à la politique clé sous les identificateurs de déclaration
"Allow use of the key"et"Allow attachment of persistent resources". La modification de ces identificateurs de déclaration peut avoir un impact sur la façon dont la console affiche les mises à jour que vous apportez à l'instruction. -
(Facultatif) Vous pouvez autoriser d'autres Comptes AWS utilisateurs à utiliser cette clé KMS pour des opérations cryptographiques. Pour ce faire, dans la Comptes AWS section Autre au bas de la page, choisissez Ajouter un autre compte Compte AWS et entrez l' Compte AWS identifiant d'un compte externe. Pour ajouter plusieurs comptes externes, répétez cette étape.
Note
Les administrateurs de l'autre Comptes AWS doivent également autoriser l'accès à la clé KMS en créant des politiques IAM pour leurs utilisateurs. Pour de plus amples informations, veuillez consulter Autoriser des utilisateurs d'autres comptes à utiliser une clé KMS.
-
Choisissez Suivant.
-
Passez en revue les principales déclarations de politique pour la clé. Pour modifier la politique clé, sélectionnez Modifier.
-
Choisissez Suivant.
-
Passez en revue les paramètres de clé que vous avez choisis. Vous pouvez toujours revenir en arrière et modifier tous les paramètres.
-
Lorsque vous avez terminé, choisissez Finish (Terminer) pour créer la clé.
Lorsque la procédure aboutit, l'écran affiche la nouvelle clé KMS dans le magasin de AWS CloudHSM clés que vous avez choisi. Lorsque vous choisissez le nom ou l'alias de la nouvelle clé KMS, l'onglet Configuration cryptographique de sa page détaillée affiche l'origine de la clé KMS (AWS CloudHSM), le nom, l'ID et le type du magasin de clés personnalisé, ainsi que l'ID du AWS CloudHSM cluster. Si la procédure échoue, un message d'erreur s'affiche qui décrit l'échec.
Astuce
Pour faciliter l'identification des clés KMS dans un magasin de clés personnalisé, sur la page Clés gérées par le client, ajoutez la colonne Custom key store ID (ID du magasin de clés personnalisé) à l'affichage. Cliquez sur l'icône des paramètres en haut à droite et sélectionnez ID du magasin de clés personnalisé. Pour plus de détails, consultez Personnalisez l'affichage de votre console.
Pour créer une nouvelle AWS KMS key (clé KMS) dans votre magasin de AWS CloudHSM
clés, utilisez l'CreateKeyopération. Utilisez le paramètre CustomKeyStoreId pour identifier votre magasin de clés personnalisé et spécifier une valeur Origin égale à AWS_CLOUDHSM.
Vous pouvez également souhaiter utiliser le paramètre Policy pour spécifier une politique de clé. Vous pouvez modifier la politique clé (PutKeyPolicy) et ajouter des éléments facultatifs, tels qu'une description et des balises à tout moment.
Les exemples de cette section utilisent la AWS Command Line Interface
(AWS CLI)
L'exemple suivant commence par un appel à l'DescribeCustomKeyStoresopération visant à vérifier que le magasin de AWS CloudHSM clés est connecté au AWS CloudHSM cluster associé. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Pour décrire uniquement un magasin de AWS CloudHSM clés en particulier, utilisez son CustomKeyStoreName paramètre CustomKeyStoreId or (mais pas les deux).
Avant d'exécuter cette commande, remplacez l'exemple d'ID de magasin de clés personnalisé par un ID valide.
Note
N'incluez pas d'informations confidentielles ou sensibles dans les champs Description ou Tags. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
"CustomKeyStores": [
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"CustomKeyStoreType": "AWS CloudHSM key store",
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"TrustAnchorCertificate": "<certificate string appears here>",
"CreationDate": "1.499288695918E9",
"ConnectionState": "CONNECTED"
],
}L'exemple de commande suivant utilise l'DescribeClustersopération pour vérifier que le AWS CloudHSM cluster associé au ExampleKeyStore (cluster-1a23b4cdefg) en possède au moins deux actifs. HSMs Si le cluster en compte moins de deux HSMs, l'CreateKeyopération échoue.
$ aws cloudhsmv2 describe-clusters
{
"Clusters": [
{
"SubnetMapping": {
...
},
"CreateTimestamp": 1507133412.351,
"ClusterId": "cluster-1a23b4cdefg",
"SecurityGroup": "sg-865af2fb",
"HsmType": "hsm1.medium",
"VpcId": "vpc-1a2b3c4d",
"BackupPolicy": "DEFAULT",
"Certificates": {
"ClusterCertificate": "-----BEGIN CERTIFICATE-----\...\n-----END CERTIFICATE-----\n"
},
"Hsms": [
{
"AvailabilityZone": "us-west-2a",
"EniIp": "10.0.1.11",
"ClusterId": "cluster-1a23b4cdefg",
"EniId": "eni-ea8647e1",
"StateMessage": "HSM created.",
"SubnetId": "subnet-a6b10bd1",
"HsmId": "hsm-abcdefghijk",
"State": "ACTIVE"
},
{
"AvailabilityZone": "us-west-2b",
"EniIp": "10.0.0.2",
"ClusterId": "cluster-1a23b4cdefg",
"EniId": "eni-ea8647e1",
"StateMessage": "HSM created.",
"SubnetId": "subnet-b6b10bd2",
"HsmId": "hsm-zyxwvutsrqp",
"State": "ACTIVE"
},
],
"State": "ACTIVE"
}
]
}Cet exemple de commande utilise l'CreateKeyopération pour créer une clé KMS dans un magasin de AWS CloudHSM clés. Pour créer une clé KMS dans un magasin de AWS CloudHSM clés, vous devez fournir l'ID de magasin de clés personnalisé du magasin de AWS CloudHSM clés et spécifier une Origin valeur deAWS_CLOUDHSM.
La réponse inclut le magasin IDs de clés personnalisé et le AWS CloudHSM cluster.
Avant d'exécuter cette commande, remplacez l'exemple d'ID de magasin de clés personnalisé par un ID valide.
$ aws kms create-key --origin AWS_CLOUDHSM --custom-key-store-id cks-1234567890abcdef0
{
"KeyMetadata": {
"AWSAccountId": "111122223333",
"Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"CreationDate": 1.499288695918E9,
"Description": "Example key",
"Enabled": true,
"MultiRegion": false,
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyManager": "CUSTOMER",
"KeyState": "Enabled",
"KeyUsage": "ENCRYPT_DECRYPT",
"Origin": "AWS_CLOUDHSM"
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"CustomKeyStoreId": "cks-1234567890abcdef0"
"KeySpec": "SYMMETRIC_DEFAULT",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
]
}
}