Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Créer des clés KMS dans un magasin de clés AWS CloudHSM
Une fois que vous avez créé un magasin de clés AWS CloudHSM, vous pouvez créer des AWS KMS keys dans votre magasin de clés. Il doit s'agir de clés KMS de chiffrement symétriques avec des éléments de clé générés par AWS KMS. Vous ne pouvez pas créer de clés KMS asymétriques, de clés KMS HMAC ou de clés KMS avec des éléments de clé importés dans un magasin de clé personnalisé. De plus, vous ne pouvez pas utiliser de clés KMS de chiffrement symétriques dans un magasin de clés personnalisé pour générer des paires de clés de données asymétriques.
Pour créer une clé KMS dans un magasin de clés AWS CloudHSM, le magasin de clés AWS CloudHSM doit être connecté au cluster AWS CloudHSM associé et le cluster doit contenir au moins deux modules HSM actifs dans différentes zones de disponibilité. Pour obtenir l'état de connexion et le nombre de modules HSM, affichez la page des magasins de clés AWS CloudHSM dans la AWS Management Console. Lorsque vous utilisez les opérations d'API, utilisez l'DescribeCustomKeyStoresopération pour vérifier que le magasin de AWS CloudHSM clés est connecté. Pour vérifier le nombre de HSM actifs dans le cluster et leurs zones de disponibilité, utilisez l'AWS CloudHSMDescribeClustersopération.
Lorsque vous créez une clé KMS dans votre magasin de clés AWS CloudHSM, AWS KMS crée la clé KMS dans AWS KMS. Toutefois, il crée les éléments de clé pour la clé KMS dans le cluster AWS CloudHSM associé. Plus précisément, AWS KMS se connecte au cluster comme le CU kmsuser que vous avez créé. Ensuite, il crée une clé symétrique AES 256 bits persistante, non extractible dans le cluster. AWS KMS définit la valeur de l'attribut de l'étiquette de clé, qui est visible uniquement dans le cluster, sur l'Amazon Resource Name (ARN) de la clé KMS.
Lorsque la commande réussit, l'état de la clé de la nouvelle clé KMS est Enabled et son origine est AWS_CLOUDHSM. Vous ne pouvez pas modifier l'origine d'une clé KMS après l'avoir créée. Lorsque vous affichez une clé KMS dans un magasin de AWS CloudHSM clés de la AWS KMS console ou en utilisant l'DescribeKeyopération, vous pouvez voir des propriétés typiques, telles que son identifiant de clé, son état de clé et sa date de création. Mais vous pouvez également voir l'ID du magasin de clés personnalisé et l'ID du cluster AWS CloudHSM (facultatif). Pour plus de détails, consultez Afficher les clés KMS dans un magasin de clés AWS CloudHSM.
Si votre tentative de créer une clé KMS dans votre magasin de clés AWS CloudHSM échoue, référez-vous au message d'erreur pour vous aider à déterminer la cause. Il peut indiquer que le magasin de clés AWS CloudHSM n'est pas connecté (CustomKeyStoreInvalidStateException) ou que le cluster AWS CloudHSM associé ne possède pas les deux modules HSM actifs requis pour cette opération (CloudHsmClusterInvalidConfigurationException). Pour obtenir de l'aide, consultez Dépannage d'un magasin de clés personnalisé.
Pour un exemple de journal AWS CloudTrail de l'opération qui crée une clé KMS dans un magasin de clés AWS CloudHSM, veuillez consulter la rubrique CreateKey.
Rubriques
Créer une clé KMS dans un magasin de clés AWS CloudHSM (console)
Utilisez la procédure suivante pour créer une clé KMS de chiffrement symétrique dans un magasin de clés AWS CloudHSM.
Note
N'incluez pas d'informations confidentielles ou sensibles dans l'alias, la description ou les balises. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
-
Connectez-vous à AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms
. -
Pour changer le paramètre Région AWS, utilisez le sélecteur de région dans l'angle supérieur droit de la page.
-
Dans le volet de navigation, choisissez Clés gérées par le client.
-
Choisissez Create key.
-
Choisissez Symmetric (Symétrique).
-
Dans Key usage (Utilisation de la clé), l'option Encrypt and decrypt (Chiffrer et déchiffrer) est sélectionnée pour vous. Ne la modifiez pas.
-
Choisissez Options avancées.
-
Dans le champ Key material origin (Origine de la clé), sélectionnez AWS CloudHSM key store (Magasin de clés).
Vous ne pouvez pas créer de clés multi-régions dans un magasin de clés AWS CloudHSM.
-
Choisissez Suivant.
-
Sélectionnez un magasin de clés AWS CloudHSM pour votre nouvelle clé KMS. Pour créer un magasin de clés AWS CloudHSM, choisissez Create custom key store (Créer un magasin de clés personnalisé).
Le magasin de clés AWS CloudHSM que vous sélectionnez doit avoir l'état Connected (Connecté). Son cluster AWS CloudHSM associé doit être actif et contenir au moins deux modules HSM dans différentes zones de disponibilité.
Pour obtenir de l'aide concernant la connexion d'un magasin de clés AWS CloudHSM, veuillez consulter la rubrique Connecter et déconnecter un magasin de clés AWS CloudHSM. Pour obtenir de l'aide concernant l'ajout de modules HSM, veuillez consulter Ajout d'un module HSM dans le Guide de l'utilisateur AWS CloudHSM.
-
Choisissez Suivant.
-
Saisissez un alias et éventuellement une description pour la clé KMS.
-
(Facultatif). Sur la page Ajouter des identifications, ajoutez des identifications qui identifient ou catégorisent votre clé KMS.
Lorsque vous ajoutez des balises à vos ressources AWS, AWS génère un rapport de répartition des coûts faisant apparaître la consommation et les coûts regroupés par balises. Les balises peuvent également être utilisées pour contrôler l'accès à une clé KMS. Pour de plus amples informations sur l'étiquetage des clés KMS, veuillez consulter Clés de balisage et ABAC pour AWS KMS.
-
Choisissez Suivant.
-
Dans la section Administrateurs de clé, sélectionnez les utilisateurs et les rôles IAM qui peuvent gérer la clé KMS. Pour plus d'informations, veuillez consulter la rubrique Autorise les administrateurs de clé à administrer la clé KMS.
Note
Les politiques IAM peuvent accorder à d'autres utilisateurs et rôles IAM l'autorisation d'utiliser la clé KMS.
Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez Security best practices in IAM (Bonnes pratiques de sécurité dans IAM) dans le Guide de l'utilisateur IAM.
-
(Facultatif) Pour empêcher les administrateurs de clé de supprimer cette clé KMS, décochez la case en bas de la page pour Autoriser les administrateurs de clé à supprimer cette clé.
-
Choisissez Suivant.
-
Dans la section Ce compte, sélectionnez les utilisateurs et rôles IAM de ce Compte AWS qui peuvent utiliser la clé KMS dans les opérations de chiffrement. Pour plus d'informations, veuillez consulter la rubrique Allows key users to use the KMS key (Autorise les utilisateurs de clé à utiliser la clé KMS).
Note
Les politiques IAM peuvent accorder à d'autres utilisateurs et rôles IAM l'autorisation d'utiliser la clé KMS.
Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez Security best practices in IAM (Bonnes pratiques de sécurité dans IAM) dans le Guide de l'utilisateur IAM.
-
(Facultatif) Vous pouvez autoriser d'autres Comptes AWS à utiliser cette clé KMS pour les opérations de chiffrement. Pour cela, dans la section Autres Comptes AWS en bas de la page, sélectionnez Ajouter un autre Compte AWS et saisissez l'ID Compte AWS d'un compte externe. Pour ajouter plusieurs comptes externes, répétez cette étape.
Note
Les administrateurs des autres Comptes AWS doivent également autoriser l'accès à la clé KMS en créant les politiques IAM pour leurs utilisateurs. Pour plus d’informations, consultez Autoriser des utilisateurs d'autres comptes à utiliser une clé KMS.
-
Choisissez Suivant.
-
Passez en revue les paramètres de clé que vous avez choisis. Vous pouvez toujours revenir en arrière et modifier tous les paramètres.
Lorsque vous avez terminé, choisissez Finish (Terminer) pour créer la clé.
Lorsque la procédure réussit, l'affichage montre la nouvelle clé KMS dans le magasin de clés AWS CloudHSM que vous avez choisi. Lorsque vous choisissez le nom ou l'alias de la nouvelle clé KMS, l'onglet Cryptographic configuration (Configuration cryptographique) de sa page détaillée affiche l'origine de la clé KMS (AWS CloudHSM), le nom, l'ID et le type du magasin de clés personnalisé, ainsi que l'ID du cluster AWS CloudHSM. Si la procédure échoue, un message d'erreur s'affiche qui décrit l'échec.
Astuce
Pour faciliter l'identification des clés KMS dans un magasin de clés personnalisé, sur la page Clés gérées par le client, ajoutez la colonne Custom key store ID (ID du magasin de clés personnalisé) à l'affichage. Cliquez sur l'icône des paramètres en haut à droite et sélectionnez ID du magasin de clés personnalisé. Pour plus de détails, consultez Personnalisation de vos tables de clés KMS.
Créer une clé KMS dans un magasin de clés AWS CloudHSM (API)
Pour créer une nouvelle AWS KMS key(clé KMS) dans votre magasin de AWS CloudHSM clés, utilisez l'CreateKeyopération. Utilisez le paramètre CustomKeyStoreId pour identifier votre magasin de clés personnalisé et spécifier une valeur Origin égale à AWS_CLOUDHSM.
Vous pouvez également souhaiter utiliser le paramètre Policy pour spécifier une politique de clé. Vous pouvez modifier la politique clé (PutKeyPolicy) et ajouter des éléments facultatifs, tels qu'une description et des balises à tout moment.
Les exemples de cette section utilisent la AWS Command Line Interface (AWS CLI)
L'exemple suivant commence par un appel à l'DescribeCustomKeyStoresopération visant à vérifier que le magasin de AWS CloudHSM clés est connecté au AWS CloudHSM cluster associé. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Pour décrire uniquement un magasin de clés AWS CloudHSM spécifique, utilisez son paramètre CustomKeyStoreId ou CustomKeyStoreName (mais pas les deux).
Avant d'exécuter cette commande, remplacez l'exemple d'ID de magasin de clés personnalisé par un ID valide.
Note
N'incluez pas d'informations confidentielles ou sensibles dans les champs Description ou Tags. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
$aws kms describe-custom-key-stores --custom-key-store-idcks-1234567890abcdef0{ "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CustomKeyStoreType": "AWS CloudHSM key store", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "CONNECTED" ], }
L'exemple de commande suivant utilise l'DescribeClustersopération pour vérifier que le AWS CloudHSM cluster associé au ExampleKeyStore (cluster-1a23b4cdefg) possède au moins deux HSM actifs. Si le cluster a moins de deux HSM, l'opération CreateKey échoue.
$aws cloudhsmv2 describe-clusters{ "Clusters": [ { "SubnetMapping": { ... }, "CreateTimestamp": 1507133412.351, "ClusterId": "cluster-1a23b4cdefg", "SecurityGroup": "sg-865af2fb", "HsmType": "hsm1.medium", "VpcId": "vpc-1a2b3c4d", "BackupPolicy": "DEFAULT", "Certificates": { "ClusterCertificate": "-----BEGIN CERTIFICATE-----\...\n-----END CERTIFICATE-----\n" }, "Hsms": [ { "AvailabilityZone": "us-west-2a", "EniIp": "10.0.1.11", "ClusterId": "cluster-1a23b4cdefg", "EniId": "eni-ea8647e1", "StateMessage": "HSM created.", "SubnetId": "subnet-a6b10bd1", "HsmId": "hsm-abcdefghijk", "State": "ACTIVE" }, { "AvailabilityZone": "us-west-2b", "EniIp": "10.0.0.2", "ClusterId": "cluster-1a23b4cdefg", "EniId": "eni-ea8647e1", "StateMessage": "HSM created.", "SubnetId": "subnet-b6b10bd2", "HsmId": "hsm-zyxwvutsrqp", "State": "ACTIVE" }, ], "State": "ACTIVE" } ] }
Cet exemple de commande utilise l'CreateKeyopération pour créer une clé KMS dans un magasin de AWS CloudHSM clés. Pour créer une clé KMS dans un magasin de clés AWS CloudHSM, vous devez fournir l'ID du magasin de clés personnalisé AWS CloudHSM et spécifier une valeur Origin pour AWS_CLOUDHSM.
La réponse inclut les ID du magasin de clés personnalisé et le cluster AWS CloudHSM.
Avant d'exécuter cette commande, remplacez l'exemple d'ID de magasin de clés personnalisé par un ID valide.
$aws kms create-key --origin AWS_CLOUDHSM --custom-key-store-idcks-1234567890abcdef0{ "KeyMetadata": { "AWSAccountId": "111122223333", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1.499288695918E9, "Description": "Example key", "Enabled": true, "MultiRegion": false, "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyManager": "CUSTOMER", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_CLOUDHSM" "CloudHsmClusterId": "cluster-1a23b4cdefg", "CustomKeyStoreId": "cks-1234567890abcdef0" "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }
