Gestion de clés CMK dans un magasin de clés personnalisé - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion de clés CMK dans un magasin de clés personnalisé

Une fois que vous avez créé un magasin de clés personnalisé, vous pouvez créer des clés principales clients (clés CMK) dans votre magasin de clés. Ils doivent êtreClés CMK symétriquesavec les éléments clés générés par AWS KMS. Vous ne pouvez pas créer de clé CMK asymétrique ou de clé CMK avec des éléments de clé importés, et vous ne pouvez pas utiliser des CMK symétriques dans un magasin de clés personnalisé pour générer des paires de clés de données asymétriques.

Utilisez et gérez les clés CMK de votre magasin de clés personnalisé de la même manière que vous utilisez et gérez n'importe quelle CMK dans AWS KMS. Par exemple, vous pouvez effectuer l'une des opérations suivantes :

  • Utiliser les clés CMK pour les opérations de chiffrement.

  • Définir les stratégies IAM et les stratégies de clé sur les clés CMK.

  • Les alias de création sont associés aux CMK.

  • Joindre des balises aux CMK.

  • Activer et désactiver les clés CMK.

  • Planifier les suppressions des clés CMK.

Pour créer une clé CMK dans un magasin de clés personnalisé, le magasin de clés personnalisé doit êtreconnecté à son cluster AWS CloudHSM associéet le cluster doit contenir au moins deux modules HSM actifs dans différentes zones de disponibilité. Pour obtenir l'état de connexion et le nombre de modules HSM, affichez lamagasin de clés personnaliséDans AWS Management Console. Lorsque vous utilisez les opérations d'API, utilisez l'opération DescribeCustomKeyStores pour vérifier que le magasin de clés personnalisé est connecté. Utiliser AWS CloudHSMDescribeClustersPour obtenir le nombre de modules HSM actifs du cluster et leurs zones de disponibilité.

Lorsque vous créez une clé CMK dans votre magasin de clés personnalisé, AWS KMS crée la clé CMK dans AWS KMS. Toutefois, il crée les éléments de clé pour la clé CMK dans le cluster AWS CloudHSM associé. Plus précisément, AWS KMS se connecte au cluster en tant quekmsuserCU que vous avez créé. Ensuite, il crée une clé symétrique AES (Advanced Encryption Standard) 256 bits, permanente et non extractible dans le cluster. AWS KMS définit la valeur duattribut d'étiquette de clé, qui est uniquement visible dans le cluster, sur l'Amazon Resource Name (ARN) de la clé CMK.

Lorsque la commande réussit, l'état de la clé de la nouvelle clé CMK est Enabled et son origine est AWS_CLOUDHSM. Vous ne pouvez pas modifier l'origine d'une clé CMK après l'avoir créée. Lorsque vous affichez une clé CMK dans un magasin de clé personnalisé de la console ou à l'aide de l'opération DescribeKey, vous pouvez afficher les propriétés classiques, comme son ID de clé, son état de clé et sa date de création. Toutefois, vous pouvez également voir l'ID du magasin de clés personnalisé et l'ID de cluster AWS CloudHSM (facultatif). Pour de plus amples informations, veuillez consulter Affichage des clés CMK dans un magasin de clés personnalisé.

Si vous essayez de créer une clé CMK dans votre magasin de clés personnalisé, utilisez le message d'erreur pour vous aider à déterminer la cause. Cela peut indiquer que le magasin de clés personnalisé n'est pas connecté (CustomKeyStoreInvalidStateException) ou le cluster associé ne possède pas les deux modules HSM qui sont requis pour cette opération (CloudHsmClusterInvalidConfigurationException). Pour obtenir de l'aide, consultez Dépannage d'un magasin de clés personnalisé.

Créer une clé CMK dans un magasin de clés personnalisé (console)

Utilisez la procédure suivante pour créer une clé principale client (clé CMK) dans un magasin de clés personnalisé.

  1. Connectez-vous à AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms.

  2. Pour changer de région AWS, utilisez le Sélecteur de région dans l’angle supérieur droit de la page.

  3. Dans le volet de navigation, sélectionnez Clés gérées par le client.

  4. Choisissez Create key.

  5. Choisissez Symmetric (Symétrique).

    Vous ne pouvez pas créer de clé CMK asymétrique dans un magasin de clés personnalisé.

  6. Choisissez Options avancées.

  7. Pour Origine de la clé, choisissez Magasin de clés personnalisé (CloudHSM).

  8. Choisissez Suivant.

  9. Sélectionnez un magasin de clés personnalisé pour votre nouvelle clé CMK. Pour créer un magasin de clés personnalisé, choisissez Créer un magasin de clés personnalisé.

    Le magasin de clés personnalisé que vous sélectionnez doit avoir l'état CONNECTÉ. Son cluster AWS CloudHSM associé doit être actif et contenir au moins deux modules HSM dans différentes zones de disponibilité.

    Pour obtenir de l'aide concernant la connexion d'un magasin de clés personnalisé, consultez Connexion et déconnexion d'un magasin de clés personnalisé. Pour obtenir de l'aide avec l'ajout de modules HSM, consultezAjout d'un HSMdans le .Guide de l'utilisateur AWS CloudHSM.

  10. Choisissez Suivant.

  11. Tapez un alias et (éventuellement) une description pour la clé CMK.

  12. (Facultatif). Sur la page Ajouter des balises, ajoutez des balises qui identifient ou catégorisent votre clé CMK.

    Lorsque vous ajoutez des balises à vos ressources AWS, AWS génère un rapport de répartition des coûts faisant apparaître la consommation et les coûts regroupés par balises. Les balises peuvent également être utilisées pour contrôler l'accès à une clé CMK. Pour plus d'informations sur le balisage des clés CMK, consultezClés de balisageandUtilisation d'ABAC pour AWS KMS.

  13. Choisissez Suivant.

  14. Dans la section Administrateurs de clé, sélectionnez les utilisateurs et les rôles IAM qui peuvent gérer la clé CMK. Pour plus d'informations, consultez Autorise les administrateurs de clé à administrer la clé CMK.

    Note

    Les stratégies IAM peuvent accorder à d'autres utilisateurs et rôles IAM l'autorisation d'utiliser la clé CMK.

  15. (Facultatif) Pour empêcher les administrateurs de clé de supprimer cette clé CMK, décochez la case en bas de la page pour Autoriser les administrateurs de clé à supprimer cette clé.

  16. Choisissez Suivant.

  17. DansCe compte, sélectionnez les utilisateurs et rôles IAM de ce compte AWS qui peuvent utiliser la clé CMK dansopérations cryptographiques. Pour plus d'informations, consultez Autorise les administrateurs de clé à utiliser la clé CMK.

    Note

    Les stratégies IAM peuvent accorder à d'autres utilisateurs et rôles IAM l'autorisation d'utiliser la clé CMK.

  18. (Facultatif) Vous pouvez autoriser d'autres comptes AWS à utiliser cette clé CMK pour les opérations de chiffrement. Pour cela, la section Autres comptes AWS en bas de la page, choisissez Ajouter un autre compte AWS et saisissez le numéro d'identification de compte AWS d'un compte externe. Pour ajouter plusieurs comptes externes, répétez cette étape.

    Note

    Les administrateurs des autres comptes AWS doivent également autoriser l'accès à la clé CMK en créant les stratégies IAM pour leurs utilisateurs. Pour plus d'informations, consultez Autorisation des utilisateurs d'autres comptes à utiliser une clé CMK.

  19. Choisissez Suivant.

  20. Passez en revue les paramètres clés que vous avez choisis. Vous pouvez toujours revenir en arrière et modifier tous les paramètres.

  21. Lorsque vous avez terminé, sélectionnezTerminerPour créer la clé.

Lorsque la procédure réussit, l'affichage montre la nouvelle clé CMK dans le magasin de clés personnalisé que vous avez choisi. Lorsque vous choisissez le nom ou l'alias de la nouvelle clé CMK, sa page de détails affiche l'origine de la clé CMK (CloudHSM), le nom et l'ID du magasin de clés personnalisé, et l'ID du cluster AWS CloudHSM. Si la procédure échoue, un message d'erreur s'affiche qui décrit l'échec.

Astuce

Pour faciliter l'identification des clés CMK dans un magasin de clés personnalisé, sur la page Clés gérées par le client, ajoutez la colonne ID du magasin de clés personnalisé à l'affichage. Cliquez sur l'icône des paramètres en haut à droite et sélectionnez D du magasin de clés personnalisé.

Créer une clé CMK dans un magasin de clés personnalisé (API)

Pour créer une clé CMK dans votre magasin de clés personnalisé, utilisez l'opération CreateKey. Utilisez le paramètre CustomKeyStoreId pour identifier votre magasin de clés personnalisé et spécifier une valeur Origin égale à AWS_CLOUDHSM.

Vous pouvez également souhaiter utiliser le paramètre Policy pour spécifier une stratégie de clé. Vous pouvez modifier la stratégie de clé (PutKeyPolicy) et ajouter des éléments facultatifs, comme une description et des balises, à tout moment.

Les exemples présentés dans cette section utilisent l'outilInterface de ligne de commande AWS (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

L'exemple suivant commence par un appel à la méthodeDescribeCustomKeyStoresPour vérifier que le magasin de clés personnalisé est connecté à son cluster AWS CloudHSM associé. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Pour décrire uniquement un magasin de clés personnalisé, utilisez le paramètre CustomKeyStoreId ou CustomKeyStoreName (mais pas les deux).

Avant d'exécuter cette commande, remplacez l'exemple d'ID de magasin de clés personnalisé par un ID valide.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0 { "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "CONNECTED" ], }

L'exemple de commande suivant utilise la cléDescribeClusterspour vérifier que le cluster AWS CloudHSM qui est associé auExampleKeyStore(cluster-1a23b4cdefg) a au moins deux HSM actifs. Si le cluster a moins de deux HSM, l'opération CreateKey échoue.

$ aws cloudhsmv2 describe-clusters { "Clusters": [ { "SubnetMapping": { ... }, "CreateTimestamp": 1507133412.351, "ClusterId": "cluster-1a23b4cdefg", "SecurityGroup": "sg-865af2fb", "HsmType": "hsm1.medium", "VpcId": "vpc-1a2b3c4d", "BackupPolicy": "DEFAULT", "Certificates": { "ClusterCertificate": "-----BEGIN CERTIFICATE-----\...\n-----END CERTIFICATE-----\n" }, "Hsms": [ { "AvailabilityZone": "us-west-2a", "EniIp": "10.0.1.11", "ClusterId": "cluster-1a23b4cdefg", "EniId": "eni-ea8647e1", "StateMessage": "HSM created.", "SubnetId": "subnet-a6b10bd1", "HsmId": "hsm-abcdefghijk", "State": "ACTIVE" }, { "AvailabilityZone": "us-west-2b", "EniIp": "10.0.0.2", "ClusterId": "cluster-1a23b4cdefg", "EniId": "eni-ea8647e1", "StateMessage": "HSM created.", "SubnetId": "subnet-b6b10bd2", "HsmId": "hsm-zyxwvutsrqp", "State": "ACTIVE" }, ], "State": "ACTIVE" } ] }

Cet exemple de commande utilise l'opération https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html pour créer une clé CMK dans le magasin de clés personnalisé. Pour créer une clé CMK dans un magasin de clé personnalisé, vous devez fournir l'ID du magasin de clés personnalisé et spécifiez une valeur Origin pour AWS_CLOUDHSM.

La réponse inclut les ID du magasin de clés personnalisé et le cluster AWS CloudHSM.

Avant d'exécuter cette commande, remplacez l'exemple d'ID de magasin de clés personnalisé par un ID valide.

$ aws kms create-key --origin AWS_CLOUDHSM --custom-key-store-id cks-1234567890abcdef0 { "KeyMetadata": { "AWSAccountId": "111122223333", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1.499288695918E9, "Description": "Example key", "Enabled": true, "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyManager": "CUSTOMER", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_CLOUDHSM" "CloudHsmClusterId": "cluster-1a23b4cdefg", "CustomKeyStoreId": "cks-1234567890abcdef0" "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }