Magasins de clés personnalisés

Un magasin de clés est un emplacement sécurisé pour stocker les clés cryptographiques. Le magasin de clés par défaut de AWS KMS prend également en charge les méthodes pour générer et gérer les clés qu'il stocke. Par défaut, les éléments de clé cryptographiques pour l'AWS KMS keys que vous créez dans AWS KMS sont générés dans et protégés par des modules de sécurité matérielle (HSM) qui sont des modules cryptographiques validés FIPS 140-2. Les éléments de clé pour vos clés KMS ne laissent jamais les HSM non chiffrés.

Cependant, si vous avez besoin d'un contrôle encore plus poussé des modules HSM, vous pouvez créer un magasin de clés personnalisé.

Un magasin de clés personnalisé est un magasin de clés logique dans AWS KMS qui est soutenu par un gestionnaire de clés en dehors d'AWS KMS que vous possédez et gérez. Les magasins de clés personnalisés combinent l'interface de gestion des clés pratique et complète d'AWS KMS avec la possibilité de posséder et de contrôler les éléments de clé et les opérations cryptographiques. Lorsque vous utilisez une clé KMS dans un magasin de clés personnalisé, les opérations cryptographiques sont effectuées par votre gestionnaire de clés en utilisant vos clés cryptographiques. Par conséquent, vous endossez davantage de responsabilités en ce qui concerne la disponibilité et la durabilité des clés cryptographiques, ainsi que le fonctionnement des HSM.

AWS KMS prend en charge deux types de magasins de clés personnalisés.

Un magasin de clés AWS CloudHSM est un magasin de clés personnalisé AWS KMS soutenu par un cluster AWS CloudHSM. Lorsque vous créez une clé KMS dans votre magasin de clés AWS CloudHSM, AWS KMS génère une clé symétrique Advanced Encryption Standard (AES) de 256 bits, persistante et non exportable dans le cluster AWS CloudHSM associé. Ces éléments de clé ne quittent jamais vos clusters AWS CloudHSM sans être chiffrés. Lorsque vous utilisez une clé KMS dans le magasin de clés AWS CloudHSM, les opérations cryptographiques sont effectuées dans les modules HSM du cluster. Les clusters AWS CloudHSM sont soutenus par des modules de sécurité matérielle (HSM) certifiés FIPS 140-2 niveau 3.
Un magasin de clés externe est un magasin de clés personnalisé AWS KMS soutenu par un gestionnaire de clés externe en dehors d'AWS que vous possédez et contrôlez. Lorsque vous utilisez une clé KMS dans votre magasin de clés externe, toutes les opérations de chiffrement et de déchiffrement sont effectuées par votre gestionnaire de clés externe à l'aide de vos clés cryptographiques. Les magasins de clés externes sont conçus pour prendre en charge divers gestionnaires de clés externes provenant de différents fournisseurs.

AWS KMS ne voit, n'accède et n'interagit jamais directement avec votre gestionnaire de clés externe ou vos clés cryptographiques. Lorsque vous chiffrez ou déchiffrez à l'aide d'une clé KMS dans un magasin de clés externe, l'opération est effectuée par votre gestionnaire de clés externe à l'aide de vos clés externes. Vous conservez le contrôle total de vos clés cryptographiques, y compris la possibilité de refuser ou d'arrêter une opération cryptographique sans interagir avec AWS. Cependant, en raison de la distance et du traitement supplémentaire, les clés KMS dans un magasin de clés externe pourraient présenter une latence et des performances moindres, de même que des caractéristiques de disponibilité différentes de celles des clés KMS avec des éléments de clé dans AWS KMS. Pour plus d'informations sur les gestionnaires de clés compatibles avec la fonctionnalité de stockage de clés externes AWS KMS, consultez Quels fournisseurs externes prennent en charge la spécification XKS Proxy ? dans les AWS Key Management ServiceFAQ.

Ces deux types de magasins de clés personnalisés sont très différents du magasin de clés AWS KMS standard et l'un de l'autre. Leurs modèles de sécurité, leur lieu de responsabilité, leurs performances, leur prix et leurs cas d'utilisation sont également très différents. Avant de choisir un magasin de clés personnalisé, lisez la documentation associée et confirmez que les responsabilités supplémentaires en matière de configuration et de maintenance constituent un compromis judicieux pour le supplément de contrôle. Toutefois, si les règles et règlements dans le cadre desquels vous opérez exigent un contrôle direct des éléments de clé, un magasin de clés personnalisé pourrait constituer un bon choix pour vous.

Fonctions non prises en charge

AWS KMS ne prend pas en charge les fonctions suivantes dans les magasins de clés personnalisés.

Rubriques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Étape 4 : Importation des éléments de clé

AWS CloudHSM magasins clés