Créer des clés KMS dans un magasin de clés externe - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créer des clés KMS dans un magasin de clés externe

Une fois que vous avez créé et connecté votre magasin de clés externe, vous pouvez créer des AWS KMS keys dans votre magasin de clés. Il doit s'agir de clés KMS de chiffrement symétrique dont la valeur d'origine est External key store (Magasin de clés externe) (EXTERNAL_KEY_STORE). Vous ne pouvez pas créer de clés KMS asymétriques, de clés KMS HMAC ou de clés KMS avec des éléments de clé importés dans un magasin de clé personnalisé. De plus, vous ne pouvez pas utiliser de clés KMS de chiffrement symétriques dans un magasin de clés personnalisé pour générer des paires de clés de données asymétriques.

Une clé KMS dans un magasin de clés externe peut présenter une latence, une durabilité et une disponibilité inférieures à celles d'une clé KMS standard, car elle dépend de composants situés à l'extérieur d'AWS. Avant de créer ou d'utiliser une clé KMS dans un magasin de clés externe, vérifiez que vous avez besoin d'une clé dotée de propriétés de magasin de clés externe.

Note

Certains gestionnaires de clés externes proposent une méthode plus simple pour créer des clés KMS dans un magasin de clés externe. Pour en savoir plus, veuillez consulter la documentation de votre gestionnaire de clés externe.

Pour créer une clé KMS dans votre magasin de clés externe, vous devez spécifier les éléments suivants :

  • L'ID de votre magasin de clés externe.

  • Une origine des éléments de clé du magasin de clés externe (EXTERNAL_KEY_STORE).

  • L'ID d'une clé externe existante dans le gestionnaire de clés externe associé à votre magasin de clés externe. Cette clé externe fait office d'éléments de clé pour la clé KMS. Vous ne pouvez pas modifier l'ID de clé externe une fois que vous avez créé la clé KMS.

    AWS KMS fournit l'ID de clé externe à votre proxy de magasin de clés externe dans les requêtes d'opérations de chiffrement et de déchiffrement. AWS KMS ne peut pas accéder directement à votre gestionnaire de clés externe ni à aucune de ses clés cryptographiques.

Outre la clé externe, une clé KMS dans un magasin de clés externe contient également des éléments de clé AWS KMS. Toutes les données chiffrées au moyen de la clé KMS sont d'abord chiffrées dans AWS KMS à l'aide des éléments de clé AWS KMS de la clé, puis par votre gestionnaire de clés externe à l'aide de votre clé externe. Ce processus de double chiffrement garantit que le texte chiffré protégé par une clé KMS dans un magasin de clés externe est au moins aussi robuste que le texte chiffré protégé uniquement par AWS KMS. Pour plus de détails, consultez Fonctionnement des magasins de clés externes.

Lorsque l'opération CreateKey aboutit, l'état de clé de la nouvelle clé KMS est Enabled. Lorsque vous consultez une clé KMS dans un magasin de clés externe, vous pouvez afficher les propriétés classiques, comme son ID de clé, sa spécification de clé, son utilisation de clé, son état de clé et sa date de création. Mais vous pouvez également voir l'ID et l'état de connexion du magasin de clés externe ainsi que l'ID de la clé externe.

Si votre tentative de créer une clé KMS dans votre magasin de clés externe échoue, utilisez le message d'erreur pour identifier la cause. Il peut indiquer que le magasin de clés externe n'est pas connecté (CustomKeyStoreInvalidStateException), que le proxy de votre magasin de clés externe ne trouve pas de clé externe avec l'ID de clé externe spécifié (XksKeyNotFoundException) ou que la clé externe est déjà associée à une clé KMS dans le même magasin de clés externe XksKeyAlreadyInUseException.

.

Pour un exemple de journal AWS CloudTrail de l'opération qui crée une clé KMS dans un magasin de clés externe, veuillez consulter la rubrique CreateKey.

Exigences relatives à une clé KMS dans un magasin de clés externe

Pour créer une clé KMS dans un magasin de clés externe, les propriétés suivantes sont requises pour le magasin de clés externe, la clé KMS et la clé externe qui fait office d'éléments de clé cryptographique externe pour la clé KMS.

Exigences relatives au magasin de clés externe

Exigences relatives aux clés KMS

Vous ne pouvez pas modifier ces propriétés après la création de la clé KMS.

  • Spécification de clé : SYMMETRIC_DEFAULT

  • Utilisation de clé : ENCRYPT_DECRYPT

  • Origine des éléments de clé : EXTERNAL_KEY_STORE

  • Multi-région : FALSE

Exigences relatives aux clés externes

  • Clé cryptographique AES 256 bits (256 bits aléatoires). La propriété KeySpec de la clé externe doit être AES_256.

  • Activé et disponible pour utilisation. La propriété Status de la clé externe doit être ENABLED.

  • Configuré pour le chiffrement et le déchiffrement. La propriété KeyUsage de la clé externe doit inclure ENCRYPT et DECRYPT.

  • Utilisé uniquement avec cette clé KMS. Chaque KMS key d'un magasin de clés externe doit être associée à une clé externe différente.

    AWS KMS recommande également que la clé externe soit utilisée exclusivement pour le magasin de clés externe. Cette restriction facilite l'identification et la résolution des problèmes liés à la clé.

  • Accessible par le proxy de magasin de clés externe pour le magasin de clés externe.

    Si le proxy de magasin de clés externe ne trouve pas la clé à l'aide de l'ID de clé externe spécifié, l'opération CreateKey échoue.

  • Peut gérer le trafic anticipé généré par votre utilisation des Services AWS. AWS KMS recommande que les clés externes soient préparées à traiter jusqu'à 1 800 requêtes par seconde.

Créer une clé KMS dans un magasin de clés externe (console)

Il existe deux manières de créer une clé KMS dans un magasin de clés externe.

  • Méthode 1 (recommandée) : choisissez un magasin de clés externe, puis créez une clé KMS dans ce magasin de clés externe.

  • Méthode 2 : créez une clé KMS, puis indiquez qu'elle se trouve dans un magasin de clés externe.

Si vous utilisez la Méthode 1, lorsque vous choisissez votre magasin de clés externe avant de créer votre clé, AWS KMS choisit toutes les propriétés de clé KMS requises pour vous et remplit l'ID de votre magasin de clés externe. Cette méthode évite les erreurs que vous pourriez commettre lors de la création de votre clé KMS.

Note

N'incluez pas d'informations confidentielles ou sensibles dans l'alias, la description ou les balises. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.

Méthode 1  (recommandée) : démarrer dans votre magasin de clés externe

Pour utiliser cette méthode, choisissez votre magasin de clés externe, puis créez une clé KMS. La console AWS KMS choisit toutes les propriétés requises pour vous et saisit l'ID de votre magasin de clés externe. Cette méthode évite les nombreuses erreurs que vous pourriez commettre lors de la création de votre clé KMS.

  1. Connectez-vous à AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms.

  2. Pour changer le paramètre Région AWS, utilisez le sélecteur de région dans l'angle supérieur droit de la page.

  3. Dans le panneau de navigation, sélectionnez Custom key stores (Magasins de clés personnalisés), External key stores (Magasins de clés externes).

  4. Choisissez le nom de votre magasin de clés externe.

  5. Dans le coin supérieur droit, choisissez Create a KMS key in this key store (Créer une clé KMS dans ce magasin de clés).

    Si le magasin de clés externe n'est pas connecté, vous serez invité à le connecter. Si la tentative de connexion échoue, vous devez résoudre le problème et connecter le magasin de clés externe avant de pouvoir y créer une clé KMS.

    Si le magasin de clés externe est connecté, vous êtes redirigé vers la page Customer managed keys (Clés gérées par le client) pour créer une clé. Les valeurs de Key configuration (Configuration de clé) requises sont déjà choisies pour vous. En outre, l'ID du magasin de clés personnalisé de votre magasin de clés externe est renseigné, bien que vous puissiez le modifier.

  6. Saisissez l'ID de clé d'une clé externe dans votre gestionnaire de clés externe. Cette clé externe doit remplir les conditions requises pour être utilisée avec une clé KMS. Vous ne pouvez pas modifier cette valeur après la création de la clé.

    Si la clé externe possède plusieurs ID, entrez l'ID de clé que le proxy de magasin de clés externe utilise pour identifier la clé externe.

  7. Confirmez que vous avez l'intention de créer une clé KMS dans le magasin de clés externe spécifié.

  8. Choisissez Suivant.

    Le reste de cette procédure est identique à la création d'une clé KMS standard.

  9. Saisissez un alias (obligatoire) et une description (facultative) pour la clé KMS.

  10. (Facultatif) Sur la page Ajouter des identifications, ajoutez des identifications qui identifient ou catégorisent votre clé KMS.

    Lorsque vous ajoutez des balises à vos ressources AWS, AWS génère un rapport de répartition des coûts faisant apparaître la consommation et les coûts regroupés par balises. Les balises peuvent également être utilisées pour contrôler l'accès à une clé KMS. Pour de plus amples informations sur l'étiquetage des clés KMS, veuillez consulter Clés de balisage et ABAC pour AWS KMS.

  11. Choisissez Suivant.

  12. Dans la section Administrateurs de clé, sélectionnez les utilisateurs et les rôles IAM qui peuvent gérer la clé KMS. Pour plus d'informations, veuillez consulter la rubrique Autorise les administrateurs de clé à administrer la clé KMS.

    Note

    Les politiques IAM peuvent accorder à d'autres utilisateurs et rôles IAM l'autorisation d'utiliser la clé KMS.

    Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez Security best practices in IAM (Bonnes pratiques de sécurité dans IAM) dans le Guide de l'utilisateur IAM.

  13. (Facultatif) Pour empêcher les administrateurs de clé de supprimer cette clé KMS, décochez la case Allow key administrators to delete this key (Autoriser les administrateurs de clé à supprimer cette clé).

    La suppression d'une clé KMS est une opération destructrice et irréversible, qui peut rendre le texte chiffré irrécupérable. Vous ne pouvez pas recréer une clé KMS symétrique dans un magasin de clés externe, même si vous disposez des éléments de clé externe. Cependant, la suppression d'une clé KMS n'a aucun effet sur la clé externe qui lui est associée. Pour plus d'informations sur la suppression d'une clé KMS d'un magasin de clés externe, veuillez consulter la rubrique Planifier la suppression des clés KMS d'un magasin de clés externe.

  14. Choisissez Suivant.

  15. Dans la section Ce compte, sélectionnez les utilisateurs et rôles IAM de ce Compte AWS qui peuvent utiliser la clé KMS dans les opérations de chiffrement. Pour plus d'informations, veuillez consulter la rubrique Allows key users to use the KMS key (Autorise les utilisateurs de clé à utiliser la clé KMS).

    Note

    Les politiques IAM peuvent accorder à d'autres utilisateurs et rôles IAM l'autorisation d'utiliser la clé KMS.

    Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez Security best practices in IAM (Bonnes pratiques de sécurité dans IAM) dans le Guide de l'utilisateur IAM.

  16. (Facultatif) Vous pouvez autoriser d'autres Comptes AWS à utiliser cette clé KMS pour les opérations de chiffrement. Pour cela, dans la section Autres Comptes AWS en bas de la page, sélectionnez Ajouter un autre Compte AWS et saisissez l'ID Compte AWS d'un compte externe. Pour ajouter plusieurs comptes externes, répétez cette étape.

    Note

    Les administrateurs des autres Comptes AWS doivent également autoriser l'accès à la clé KMS en créant les politiques IAM pour leurs utilisateurs. Pour plus d’informations, consultez Autoriser des utilisateurs d'autres comptes à utiliser une clé KMS.

  17. Choisissez Suivant.

  18. Passez en revue les paramètres de clé que vous avez choisis. Vous pouvez toujours revenir en arrière et modifier tous les paramètres.

  19. Lorsque vous avez terminé, choisissez Finish (Terminer) pour créer la clé.

Méthode 2 : démarrer avec les clés gérées par le client

Cette procédure est identique à la procédure de création d'une clé de chiffrement symétrique avec des éléments de clé AWS KMS. Mais, dans le cadre de cette procédure, vous spécifiez l'ID du magasin de clés personnalisé du magasin de clés externe et l'ID de la clé externe. Vous devez également spécifier les valeurs de propriété requises pour une clé KMS dans un magasin de clés externe, telles que la spécification de clé et l'utilisation de la clé.

  1. Connectez-vous à AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms.

  2. Pour changer le paramètre Région AWS, utilisez le sélecteur de région dans l'angle supérieur droit de la page.

  3. Dans le volet de navigation, choisissez Clés gérées par le client.

  4. Choisissez Create key.

  5. Choisissez Symmetric (Symétrique).

  6. Dans Key usage (Utilisation de la clé), l'option Encrypt and decrypt (Chiffrer et déchiffrer) est sélectionnée pour vous. Ne la modifiez pas.

  7. Choisissez Options avancées.

  8. Pour Key material origin (Origine des éléments de clé), choisissez External key store (Magasin de clés externe).

  9. Confirmez que vous avez l'intention de créer une clé KMS dans le magasin de clés externe spécifié.

  10. Choisissez Suivant.

  11. Choisissez la ligne qui représente le magasin de clés externe pour votre nouvelle clé KMS.

    Vous ne pouvez pas choisir un magasin de clés externe déconnecté. Pour connecter un magasin de clés déconnecté, choisissez le nom du magasin de clés, puis, dans Key store actions (Actions du magasin de clés), choisissez Connect (Connecter). Pour plus de détails, consultez Connecter un magasin de clés externe (console).

  12. Saisissez l'ID de clé d'une clé externe dans votre gestionnaire de clés externe. Cette clé externe doit remplir les conditions requises pour être utilisée avec une clé KMS. Vous ne pouvez pas modifier cette valeur après la création de la clé.

    Si la clé externe possède plusieurs ID, entrez l'ID de clé que le proxy de magasin de clés externe utilise pour identifier la clé externe.

  13. Choisissez Suivant.

    Le reste de cette procédure est identique à la création d'une clé KMS standard.

  14. Saisissez un alias et éventuellement une description pour la clé KMS.

  15. (Facultatif). Sur la page Ajouter des identifications, ajoutez des identifications qui identifient ou catégorisent votre clé KMS.

    Lorsque vous ajoutez des balises à vos ressources AWS, AWS génère un rapport de répartition des coûts faisant apparaître la consommation et les coûts regroupés par balises. Les balises peuvent également être utilisées pour contrôler l'accès à une clé KMS. Pour de plus amples informations sur l'étiquetage des clés KMS, veuillez consulter Clés de balisage et ABAC pour AWS KMS.

  16. Choisissez Suivant.

  17. Dans la section Administrateurs de clé, sélectionnez les utilisateurs et les rôles IAM qui peuvent gérer la clé KMS. Pour plus d'informations, veuillez consulter la rubrique Autorise les administrateurs de clé à administrer la clé KMS.

    Note

    Les politiques IAM peuvent accorder à d'autres utilisateurs et rôles IAM l'autorisation d'utiliser la clé KMS.

  18. (Facultatif) Pour empêcher les administrateurs de clé de supprimer cette clé KMS, décochez la case Allow key administrators to delete this key (Autoriser les administrateurs de clé à supprimer cette clé).

    La suppression d'une clé KMS est une opération destructrice et irréversible, qui peut rendre le texte chiffré irrécupérable. Vous ne pouvez pas recréer une clé KMS symétrique dans un magasin de clés externe, même si vous disposez des éléments de clé externe. Cependant, la suppression d'une clé KMS n'a aucun effet sur la clé externe qui lui est associée. Pour plus d'informations sur la suppression d'une clé KMS d'un magasin de clés externe, veuillez consulter la rubrique Planifier la suppression des clés KMS d'un magasin de clés externe.

  19. Choisissez Suivant.

  20. Dans la section Ce compte, sélectionnez les utilisateurs et rôles IAM de ce Compte AWS qui peuvent utiliser la clé KMS dans les opérations de chiffrement. Pour plus d'informations, veuillez consulter la rubrique Allows key users to use the KMS key (Autorise les utilisateurs de clé à utiliser la clé KMS).

    Note

    Les politiques IAM peuvent accorder à d'autres utilisateurs et rôles IAM l'autorisation d'utiliser la clé KMS.

  21. (Facultatif) Vous pouvez autoriser d'autres Comptes AWS à utiliser cette clé KMS pour les opérations de chiffrement. Pour cela, dans la section Autres Comptes AWS en bas de la page, sélectionnez Ajouter un autre Compte AWS et saisissez l'ID Compte AWS d'un compte externe. Pour ajouter plusieurs comptes externes, répétez cette étape.

    Note

    Les administrateurs des autres Comptes AWS doivent également autoriser l'accès à la clé KMS en créant les politiques IAM pour leurs utilisateurs. Pour plus d’informations, consultez Autoriser des utilisateurs d'autres comptes à utiliser une clé KMS.

  22. Choisissez Suivant.

  23. Passez en revue les paramètres de clé que vous avez choisis. Vous pouvez toujours revenir en arrière et modifier tous les paramètres.

  24. Lorsque vous avez terminé, choisissez Finish (Terminer) pour créer la clé.

Lorsque la procédure réussit, l'écran affiche la nouvelle clé KMS dans le magasin de clés externe que vous avez choisi. Lorsque vous choisissez le nom ou l'alias de la nouvelle clé KMS, l'onglet Cryptographic configuration (Configuration cryptographique) de sa page de détails affiche l'origine de la clé KMS (External key store [Magasin de clés externe]), le nom, l'ID et le type du magasin de clés personnalisé, et l'ID, l'utilisation de clé et l'état de la clé externe. Si la procédure échoue, un message d'erreur s'affiche qui décrit l'échec. Pour , veuillez consulter la rubrique Résoudre les problèmes liés aux magasins de clés externes.

Astuce

Pour faciliter l'identification des clés KMS dans un magasin de clés personnalisé, sur la page Customer managed keys (Clés gérées par le client), ajoutez les colonnes Origin (Origine) et Custom key store ID (ID de magasin de clés personnalisé) à l'affichage. Pour modifier les champs du tableau, cliquez sur l'icône d'engrenage dans le coin supérieur droit de la page. Pour plus de détails, consultez Personnalisation de vos tables de clés KMS.

Créer une clé KMS dans un magasin de clés externe (API AWS KMS)

Pour créer une nouvelle clé KMS dans un magasin de clés externe, utilisez l'CreateKeyopération. Les paramètres suivants sont obligatoires :

  • La valeur Origin doit être EXTERNAL_KEY_STORE.

  • Le paramètre CustomKeyStoreId identifie votre magasin de clés externe. La valeur ConnectionState du magasin de clés externe spécifié doit être CONNECTED. Pour trouver les valeurs de CustomKeyStoreId et de ConnectionState, utilisez l'opération DescribeCustomKeyStores.

  • Le paramètre XksKeyId identifie la clé externe. Cette clé externe doit remplir les conditions requises pour être associée à une clé KMS.

Vous pouvez également utiliser n'importe lequel des paramètres facultatifs de l'opération CreateKey, tels que les paramètres Policy ou Balises.

Note

N'incluez pas d'informations confidentielles ou sensibles dans les champs Description ou Tags. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.

Les exemples de cette section utilisent la AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

Cet exemple de commande utilise l'CreateKeyopération pour créer une clé KMS dans un magasin de clés externe. La réponse contient les propriétés des clés KMS, l'ID du magasin de clés externe, ainsi que l'ID, l'utilisation et l'état de la clé externe. Pour obtenir des informations détaillées sur ces champs, veuillez consulter la rubrique Afficher des clés KMS dans un magasin de clés externe.

Avant d'exécuter cette commande, remplacez l'exemple d'ID de magasin de clés personnalisé par un ID valide.

$ aws kms create-key --origin EXTERNAL_KEY_STORE --custom-key-store-id cks-1234567890abcdef0 --xks-key-id bb8562717f809024 { "KeyMetadata": { "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "CreationDate": "2022-12-02T07:48:55-07:00", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "CustomKeyStoreId": "cks-1234567890abcdef0", "Description": "", "Enabled": true, "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "MultiRegion": false, "Origin": "EXTERNAL_KEY_STORE", "XksKeyConfiguration": { "Id": "bb8562717f809024" } } }