Magasins de clés personnalisés - AWS Key Management Service

Magasins de clés personnalisés

AWS KMS prend en charge les magasins de clés personnalisées soutenus par des clusters AWS CloudHSM. Lorsque vous créez une AWS KMS key dans un magasin de clés personnalisé, AWS KMS génère et stocke des éléments de clé non extractibles pour la clé KMS dans un cluster AWS CloudHSM que vous détenez et gérez. Lorsque vous utilisez une clé KMS dans un magasin de clés personnalisé, les opérations de chiffrement sont effectuées dans les modules HSM du cluster. Cette fonction combine la dimension pratique et l'intégration étendue de AWS KMS avec le contrôle supplémentaire d'un cluster AWS CloudHSM dans votre Compte AWS.

AWS KMS fournit une console complète et un support d'API pour la création, l'utilisation et la gestion de vos magasins de clés personnalisés. Vous pouvez utiliser les clés KMS dans votre magasin de clés personnalisé de la même manière que vous utilisez n'importe quelle clé KMS. Par exemple, vous pouvez utiliser les clés KMS pour générer des clés de données et chiffrer des données. Vous pouvez également utiliser les clés KMS de votre magasin de clés personnalisé avec les services AWS qui prennent en charge les clés gérées par le client.

Est-ce que j'ai besoin d'un magasin de clés personnalisé ?

Pour la plupart des utilisateurs, le magasin de clés AWS KMS par défaut, qui est protégé par les modules de chiffrement validés FIPS 140-2, répond à leurs exigences en matière de sécurité. Il n'est pas nécessaire d'ajouter une couche supplémentaire de responsabilité de maintenance ou une dépendance à l'égard d'un service supplémentaire.

Cependant, vous pouvez envisager la création d'un magasin de clés personnalisé si votre organisation possède l'une des exigences suivantes :

  • Les clés ne peuvent pas être stockées dans un environnement partagé.

  • Les clés doivent être soumises à un chemin d'audit indépendant secondaire.

  • Les modules HSM qui génèrent et stockent les clés doivent être certifiés au niveau FIPS 140-2 Level 3.

Comment fonctionnent les magasins de clés personnalisés ?

Chaque magasin de clés personnalisé est associé à un cluster AWS CloudHSM de votre Compte AWS. Lorsque vous vous connectez le magasin de clés personnalisé à son cluster, AWS KMS crée l'infrastructure réseau pour prendre en charge la connexion. Ensuite, il se connecte au client AWS CloudHSM de la clé du cluster à l'aide des informations d'identification d'un utilisateur de chiffrement dédié du cluster.

Vous pouvez créer et gérer vos magasins de clés personnalisés dans AWS KMS, et créer et gérer des clusters HSM dans AWS CloudHSM. Lorsque vous créez des AWS KMS keys dans un magasin de clé personnalisé AWS KMS, vous affichez et gérez les clés KMS dans AWS KMS. Mais vous pouvez également afficher et gérer leurs clés dans AWS CloudHSM, tout comme vous le feriez pour d'autres clés du cluster.


      Gestion des clés KMS dans un magasin de clés personnalisé

Vous pouvez créer des clés KMS de chiffrement symétriques avec l'élément de clé généré par AWS KMS dans votre magasin de clés personnalisé. Utilisez ensuite les mêmes techniques pour afficher et gérer les clés KMS dans votre magasin de clés personnalisé que vous utilisez pour les clés KMS dans le magasin de clés AWS KMS. Vous pouvez contrôler l'accès aux politiques IAM et aux politiques de clé, créer des balises et des alias, activer et désactiver les clés KMS, et planifier la suppression de clés. Vous pouvez utiliser les clés KMS pour les opérations de chiffrement et les utiliser avec les services AWS qui s'intègrent à AWS KMS.

En outre, vous disposez d'un contrôle total sur le cluster AWS CloudHSM, y compris la création et la suppression de modules HSM, et la gestion des sauvegardes. Vous pouvez utiliser le client AWS CloudHSM et les bibliothèques logicielles prises en charge afin d'afficher, auditer et gérer les éléments de clés de vos clés KMS. Lorsque le magasin de clés personnalisé est déconnecté, AWS KMS ne peut pas y accéder, et les utilisateurs ne peuvent pas utiliser les clés KMS du magasin de clés personnalisé pour les opérations de chiffrement. Cette nouvelle couche de contrôle fait du magasin de clés personnalisé une solution puissante pour les organisations qui en ont besoin.

Où commencer ?

Pour créer et gérer un magasin de clés personnalisé, vous utilisez les fonctions de AWS KMS et AWS CloudHSM.

  1. Démarrez dans AWS CloudHSM. Créez un cluster AWS CloudHSM actif ou sélectionnez un cluster existant. Le cluster doit avoir au moins deux modules HSM actifs de différentes zones de disponibilité. Ensuite, créez un compte CU (utilisateur de chiffrement) dédié dans ce cluster pour AWS KMS.

  2. Dans AWS KMS, créez un magasin de clés personnalisé associé à votre cluster AWS CloudHSM sélectionné. AWS KMS fournit une interface de gestion complète qui vous permet de créer, d'afficher, de modifier et de supprimer vos magasins de clés personnalisés.

  3. Lorsque vous êtes prêt à utiliser votre magasin de clés personnalisé, connectez-le à son cluster AWS CloudHSM associé. AWS KMS crée l'infrastructure réseau dont il a besoin pour prendre en charge la connexion. Ensuite, il se connecte au cluster à l'aide des informations d'identification du compte CU dédié afin de générer et de gérer les clés dans le cluster.

  4. Vous pouvez désormais créer des clés KMS de chiffrement symétriques dans votre magasin de clés personnalisé. Il vous suffit de spécifier le magasin de clés personnalisé lorsque vous créez la clé KMS.

Si vous vous retrouvez bloqué à un moment, vous pouvez obtenir de l'aide dans la rubrique Dépannage d'un magasin de clés personnalisé. Si vous ne trouvez pas de réponse à votre question, utilisez le lien situé en bas de chaque page de ce guide ou publiez une question sur le AWS Key Management Service forum de discussion.

Quotas

Il n'y a pas de quotas de ressources pour le nombre de magasins de clés personnalisés d'un Compte AWS ou d'une région. Cependant, il existe des quotas AWS CloudHSM, tels que les quotas limitant le nombre de clusters AWS CloudHSM dans chaque Compte AWS et région, et les quotas AWS KMS limitant l'utilisation des clés KMS dans un magasin de clés personnalisé.

Régions

AWS KMS prend en charge les magasins de clés personnalisés dans toutes les Régions AWS où AWS KMS et AWS CloudHSM sont disponibles. Pour obtenir une liste des Régions AWS prises en charge par chaque service, veuillez consulter AWS Key Management Service Endpoints and Quotas et AWS CloudHSM Endpoints and Quotas dans la Référence générale d'Amazon Web Services.

Fonctions non prises en charge

AWS KMS ne prend pas en charge les fonctions suivantes dans les magasins de clés personnalisés.