Création de AWS KMS ressources avec AWS CloudFormation - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création de AWS KMS ressources avec AWS CloudFormation

AWS Key Management Service est intégré à AWS CloudFormation un service qui vous aide à modéliser et à configurer vos AWS ressources afin que vous puissiez passer moins de temps à créer et à gérer vos ressources et votre infrastructure. Vous créez un modèle qui décrit les clés et les alias KMS, puis AWS CloudFormation alloue et configure ces ressources pour vous. Pour plus d'informations sur la AWS KMS prise en charge de CloudFormation, consultez la référence au type de ressource KMS dans le guide de AWS CloudFormation l'utilisateur.

Lorsque vous l'utilisez AWS CloudFormation, vous pouvez réutiliser votre modèle pour configurer vos AWS KMS ressources de manière cohérente et répétée. Décrivez vos ressources une seule fois, puis fournissez les mêmes ressources encore et encore dans plusieurs Comptes AWS régions.

Pour fournir et configurer des ressources pour AWS KMS d'autres AWS services, vous devez comprendre les AWS CloudFormation modèles. Les modèles sont des fichiers texte formatés en JSON ou YAML. Ces modèles décrivent les ressources que vous souhaitez mettre à disposition dans vos AWS CloudFormation piles. Si vous n'êtes pas familiarisé avec JSON ou YAML, vous pouvez utiliser AWS CloudFormation Designer pour vous aider à démarrer avec les AWS CloudFormation modèles. Pour plus d'informations, consultez Qu'est-ce que AWS CloudFormation Designer ? dans le AWS CloudFormation Guide de l'utilisateur.

Régions

AWS KMS CloudFormation les ressources sont prises en charge dans toutes les régions où elles AWS CloudFormation sont prises en charge.

AWS KMS ressources dans les AWS CloudFormation modèles

AWS KMS prend en charge les AWS CloudFormation ressources suivantes.

  • La AWS::KMS::Keyressource spécifie une clé KMS dans AWS Key Management Service. Vous pouvez utiliser cette ressource pour créer des clés KMS de chiffrement symétriques, des clés KMS de chiffrement asymétriques pour le chiffrement ou la signature, ainsi que des clés KMS HMAC symétriques. Vous pouvez les utiliser AWS::KMS::Key pour créer des clés primaires multirégionales de tous les types pris en charge. Pour créer une clé multi-régions, utilisez la ressource AWS::KMS::ReplicaKey.

  • AWS::KMS::Alias crée un alias et l'associe à une clé KMS. La clé KMS peut être définie dans le modèle ou créée par un autre mécanisme.

  • AWS::KMS::ReplicaKey crée une clé de réplica multi-région. Pour créer une clé principale multi-région, utilisez la ressource AWS::KMS::Key. Vous ne pouvez pas utiliser cette ressource pour répliquer des clés multi-régions avec des éléments de clé importés. Pour plus de détails sur les clés multi-région, veuillez consulter Clés multirégionales dans AWS KMS.

Important

Si vous modifiez la valeur d'une propriété KeyUsage, KeySpec ou MultiRegion, sur une KMS existante, la clé KMS existante est planifiée pour la suppression et une nouvelle clé KMS est créée avec la valeur spécifiée.

La clé KMS existante devient inutilisable si sa suppression est planifiée. Si vous n'annulez pas la suppression planifiée de la clé KMS existante en dehors de AWS CloudFormation, toutes les données chiffrées sous la clé KMS existante deviennent irrécupérables lorsque la clé KMS est supprimée.

Les clés KMS créées par le modèle sont des ressources réelles de votre Compte AWS. Les principaux autorisés peuvent utiliser et gérer les clés KMS créées par le modèle, soit à l'aide du modèle, de la AWS KMS console, soit des AWS KMS API. Lorsque vous supprimez une clé KMS de votre modèle, la suppression de la clé KMS est programmée en utilisant un délai d'attente que vous spécifiez à l'avance.

Par exemple, vous pouvez utiliser un AWS CloudFormation modèle pour créer une clé KMS de test avec une politique clé, une spécification de clé, une utilisation des clés, des alias et des balises que vous préférez. Vous pouvez l'exécuter dans votre suite de tests, examiner vos résultats, puis utiliser le modèle pour planifier la suppression de la clé de test. Plus tard, vous pouvez réexécuter le modèle pour créer une clé de test avec les mêmes propriétés.

Vous pouvez également utiliser un AWS CloudFormation modèle pour définir une configuration de clé KMS particulière conforme à vos règles commerciales et à vos normes de sécurité. Ensuite, vous pouvez utiliser ce modèle à chaque fois que vous avez besoin de créer une clé KMS. Vous n'avez pas à vous soucier des clés mal configurées. Si votre configuration préférée change, vous pouvez utiliser votre modèle pour mettre à jour vos clés KMS. Par exemple, le modèle facilite l'activation par programmation de la rotation automatique des clés sur toutes les clés KMS définies par le modèle.

Pour plus d'informations sur les AWS KMS ressources, y compris des exemples, consultez la référence au type de ressource KMS dans le guide de AWS CloudFormation l'utilisateur.

En savoir plus sur AWS CloudFormation

Pour en savoir plus AWS CloudFormation, consultez les ressources suivantes :