Ressources AWS KMS dans les modèles AWS CloudFormation En savoir plus sur AWS CloudFormation

Création de ressources AWS KMS avec AWS CloudFormation

AWS Key Management Service est intégré à AWS CloudFormation, un service qui vous aide à modéliser et à configurer vos ressources AWS afin que vous puissiez consacrer moins de temps à la création et à la gestion de vos ressources et de votre infrastructure. Vous créez un modèle qui décrit les clés et les alias KMS, puis AWS CloudFormation alloue et configure ces ressources pour vous. Pour de plus amples informations sur la prise en charge de CloudFormation par AWS KMS, veuillez consulter la référence du type de ressource KMS dans le Guide de l'utilisateur AWS CloudFormation.

Lorsque vous utilisez AWS CloudFormation, vous pouvez réutiliser votre modèle pour configurer vos ressources AWS KMS de manière cohérente et répétée. Décrivez vos ressources une seule fois, puis allouez-les autant de fois que vous le souhaitez dans plusieurs Comptes AWS et régions.

Pour allouer et configurer des ressources pour AWS KMS et d'autres services AWS, vous devez comprendre les modèles AWS CloudFormation. Les modèles sont des fichiers texte formatés en JSON ou YAML. Ces modèles décrivent les ressources que vous souhaitez allouer dans vos piles AWS CloudFormation. Si JSON ou YAML ne vous est pas familier, vous pouvez utiliser AWS CloudFormation Designer pour vous aider à démarrer avec des modèles AWS CloudFormation. Pour plus d'informations, consultez Qu'est-ce que AWS CloudFormation Designer ? dans le AWS CloudFormationGuide de l'utilisateur.

Régions

Les ressources AWS KMS CloudFormation sont prises en charge dans toutes les régions où AWS CloudFormation est pris en charge.

Ressources AWS KMS dans les modèles AWS CloudFormation

AWS KMS prend en charge les ressources AWS CloudFormation suivantes.

AWS::KMS::Key crée une clé KMS symétrique ou asymétrique. Vous pouvez utiliser cette ressource pour créer une clé KMS primaire multi-région symétrique ou asymétrique. Pour créer une clé de réplica multi-région, utilisez la ressource AWS::KMS::ReplicaKey. Vous ne pouvez pas utiliser cette ressource pour créer des clés KMS avec des éléments de clé importés ou des clés KMS dans un magasin de clés personnalisé.
AWS::KMS::Alias crée un alias et l'associe à une clé KMS. La clé KMS peut être définie dans le modèle ou créée par un autre mécanisme.
AWS::KMS::ReplicaKey crée une clé de réplica multi-région. Pour créer une clé principale multi-région, utilisez la ressource AWS::KMS::Key. Vous ne pouvez pas utiliser cette ressource pour répliquer des clés multi-régions avec des éléments de clé importés. Pour plus de détails sur les clés multi-région, veuillez consulter Clés multi-régions dans AWS KMS.

Important

Si vous modifiez la valeur d'une propriété KeyUsage, KeySpec ou MultiRegion, sur une KMS existante, la clé KMS existante est planifiée pour la suppression et une nouvelle clé KMS est créée avec la valeur spécifiée.

La clé KMS existante devient inutilisable si sa suppression est planifiée. Si vous n'annulez pas la suppression planifiée de la clé KMS existante en dehors de AWS CloudFormation, toutes les données chiffrées sous la clé KMS existante deviennent irrécupérables lorsque la clé KMS est supprimée.

Les clés KMS créées par le modèle sont des ressources réelles dans votre Compte AWS. Les entités autorisées peuvent utiliser et gérer les clés KMS créées par le modèle, soit à l'aide du modèle, de la console AWS KMS ou des API AWS KMS. Lorsque vous supprimez une clé KMS de votre modèle, la suppression de la clé KMS est programmée en utilisant un délai d'attente que vous spécifiez à l'avance.

Par exemple, vous pouvez utiliser un modèle AWS CloudFormation pour créer une clé KMS test avec une politique de clé, une spécification de clé, une utilisation de clé, des alias et des balises de votre choix. Vous pouvez l'exécuter dans votre suite de tests, examiner vos résultats, puis utiliser le modèle pour planifier la suppression de la clé de test. Plus tard, vous pouvez réexécuter le modèle pour créer une clé de test avec les mêmes propriétés.

Vous pouvez également utiliser un modèle AWS CloudFormation pour définir une configuration de clé KMS spécifique qui respecte vos règles métier et vos normes de sécurité. Ensuite, vous pouvez utiliser ce modèle à chaque fois que vous avez besoin de créer une clé KMS. Vous n'avez pas à vous soucier des clés mal configurées. Si votre configuration préférée change, vous pouvez utiliser votre modèle pour mettre à jour vos clés KMS. Par exemple, le modèle facilite l'activation par programmation de la rotation automatique des clés sur toutes les clés KMS définies par le modèle.

Pour obtenir plus d'informations sur les ressources AWS KMS, y compris des exemples, veuillez consulter la référence du type de ressource KMS dans le Guide de l'utilisateur AWS CloudFormation.

En savoir plus sur AWS CloudFormation

Pour en savoir plus sur AWS CloudFormation, consultez les ressources suivantes :

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Surveillance avec Amazon EventBridge

Suppression des clés