Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Protection des données dans AWS Key Management Service
AWS Key Management Service stocke et protège vos clés de chiffrement pour les rendre hautement disponibles tout en vous offrant un contrôle d'accès solide et flexible.
Rubriques
Protection des éléments de clé
Par défaut, AWS KMS génère et protège l’élément de clé cryptographique pour les clés KMS. En outre, AWS KMS offre des options pour l’élément de clé créé et protégé à l'extérieur de AWS KMS. Pour plus de détails techniques sur les clés KMS et les éléments de clé, veuillez consulter Détails de chiffrement AWS Key Management Service.
Protection de l’élément de clé généré dans AWS KMS
Lorsque vous créez une clé KMS, par défaut, AWS KMS génère et protège les éléments de chiffrement pour cette clé KMS.
Pour protéger les éléments de clé pour les clés KMS, AWS KMS s'appuie sur une flotte distribuée de modules de sécurité matériels (HSM) validés par la norme FIPS 140-2, niveau de sécurité 3
L’élément de clé d'une clé KMS est chiffré par défaut lorsqu'il est généré dans le HSM. L’élément de clé est déchiffré uniquement dans la mémoire volatile du HSM et uniquement pendant les quelques millisecondes nécessaires pour l'utiliser dans une opération cryptographique. Chaque fois que l’élément de clé n'est pas utilisé activement, il est chiffré dans le HSM et transféré vers un stockage persistant hautement durable (99,999999999 %) et à faible latence, où il reste séparé et isolé des HSM. Les éléments de clé en texte clair ne quittent jamais les limites de sécurité du HSM ; ils ne sont jamais écrits sur disque ou conservés sur un support de stockage. (La seule exception est la clé publique d'une paire de clés asymétriques, qui n'est pas secrète.)
AWS affirme comme principe de sécurité fondamental qu'il n'y a aucune interaction humaine avec les clés cryptographiques en texte clair de quelque type que ce soit dans un Service AWS. Il n'existe aucun mécanisme permettant à quiconque, y compris aux opérateurs Service AWS, de visualiser, d'accéder ou d'exporter un élément de clé en texte brut. Ce principe s'applique même lors de défaillances catastrophiques et d'événements de reprise après sinistre. L’élément de clé client en texte clair dans AWS KMS est utilisé pour les opérations cryptographiques dans les HSM validés par la norme FIPS AWS KMS uniquement en réponse aux demandes autorisées adressées au service par le client ou son délégué.
Pour les clés gérées par le client, le Compte AWS qui crée la clé est le propriétaire unique et non transférable de la clé. Le compte propriétaire a un contrôle complet et exclusif sur les politiques d'autorisation qui contrôlent l'accès à la clé. Pour Clés gérées par AWS, le Compte AWS a un contrôle total sur les politiques IAM qui autorisent les demandes adressées au Service AWS.
Protection de l’élément de clé généré à l’extérieur de AWS KMS
AWS KMS fournit des alternatives à l’élément de clé généré dans AWS KMS.
Les magasins de clés personnalisés, une fonction AWS KMS facultative, vous permettent de créer des clés KMS soutenues par des éléments de clé générés et utilisés en dehors deAWS KMS. Les clés KMS des magasins de clés AWS CloudHSM sont soutenues par des clés des modules de sécurité matériels AWS CloudHSM que vous contrôlez. Ces HSM sont certifiés selon la norme FIPS 140-2 de niveau de sécurité 3. Les clés KMS des magasins de clés externes sont soutenues par des clés d'un gestionnaire de clés externe que vous contrôlez et gérez en dehors de AWS, tel qu'un HSM physique dans votre centre de données privé.
Une autre fonction facultative vous permet d'importer des éléments de clé pour une clé KMS. Pour protéger l’élément de clé importé pendant son transport vers AWS KMS, vous devez le chiffrer à l'aide d'une clé publique issue d'une paire de clés RSA générée dans un HSM AWS KMS. Les éléments de clé importés sont déchiffrés sur un HSM AWS KMS puis rechiffrés sous des clés symétriques dans le HSM. Comme tous les éléments de clé AWS KMS, les éléments de clé importés en texte clair ne quittent jamais les HSM non chiffrés. Cependant, le client qui a fourni les éléments de clé est responsable de l'utilisation en toute sécurité, de la durabilité et de la maintenance des éléments de clé en dehors de AWS KMS.
Chiffrement des données
Les données dans AWS KMS comprennent : les AWS KMS keys et les éléments de clé de chiffrement qu'ils représentent. Ces éléments de clé existent en texte clair uniquement dans des modules de sécurité matérielle (HSM) AWS KMS et uniquement lors de l'utilisation. Sinon, les éléments de clé sont chiffrés et stockés dans un stockage permanent durable.
Les éléments de clé générés par AWS KMS pour les clés KMS ne quittent jamais les limites des HSM AWS KMS non chiffrés. Ils ne sont ni exportés, ni transmis dans des opérations d'API AWS KMS. L'exception concerne les clés multi-régions, où AWS KMS utilise un mécanisme de réplication entre régions pour copier l'élément de clé d'une clé multi-régions d'un HSM d'une Région AWS à un HSM d'une autre Région AWS. Pour plus d'informations, veuillez consulter la rubrique Replication process for multi-Region keys (Processus de réplication pour clés multi-régions) dans AWS Key Management Service Cryptographic Details (Détails de chiffrement).
Chiffrement au repos
AWS KMS génère des éléments de clé pour AWS KMS keys dans des modules de sécurité matérielle (HSM) conformes aux normes FIPS 140-2 niveau de sécurité 3
Le chiffrement et la gestion des éléments de clé pour les clés KMS sont entièrement gérés par AWS KMS.
Pour plus d'informations, veuillez consulter Utilisation des AWS KMS keys dans les Détails de chiffrement AWS Key Management Service.
Chiffrement en transit
Les éléments de clé générés par AWS KMS pour les clés KMS ne sont jamais exportés ou transmis vers des opérations d'API AWS KMS. AWS KMS utilise des identificateurs de clé pour représenter les clés KMS dans les opérations d'API. De même, les éléments de clé pour les clés KMS dans les magasins de clés personnalisés AWS KMS ne sont pas exportables et ne sont jamais transmis dans AWS KMS ou dans des opérations d'API AWS CloudHSM.
Cependant, certaines opérations d'API AWS KMS renvoient des clés de données. En outre, les clients peuvent utiliser les opérations d'API pourimporter des éléments de clé pour les clés KMS sélectionnées.
Tous les appels d’API AWS KMS doivent être signés et transmis à l'aide du protocole TLS (Transport Layer Security). AWS KMS nécessite TLS 1.2 et recommande TLS 1.3 dans toutes les régions. AWS KMS prend également en charge le protocole TLS post-quantique hybride pour les points de terminaison de service AWS KMS dans toutes les régions, à l'exception des régions chinoises. AWS KMS ne prend pas en charge le protocole TLS post-quantique hybride pour les points de terminaison FIPS dans AWS GovCloud (US). Les appels vers AWS KMS nécessitent également une suite de chiffrement moderne qui prend en charge une confidentialité persistante parfaite, ce qui signifie que toute violation de secret, telle qu'une clé privée, ne compromet pas également la clé de session.
Si vous avez besoin de modules cryptographiques validés FIPS (Federal Information Processing Standard) 140-2 lorsque vous accédez à AWS via une CLI (Interface de ligne de commande) ou une API (Interface de programmation), utilisez un point de terminaison FIPS (Federal Information Processing Standard). Pour utiliser les points de terminaison AWS KMS standard ou les points de terminaison FIPS AWS KMS, les clients doivent prendre en charge le protocole TLS 1.2 ou une version ultérieure. Pour en savoir plus sur les points de terminaison FIPS (Federal Information Processing Standard) disponibles, consultez Federal Information Processing Standard (FIPS) 140-2
Les communications entre les hôtes de service AWS KMS et les HSM sont protégées grâce au chiffrement de courbe elliptique (ECC) et à la norme de chiffrement avancée (AES) dans un dispositif de chiffrement authentifié. Pour plus d'informations, veuillez consulter Sécurité des communications internes dans Détails de chiffrement AWS Key Management Service.
Confidentialité du trafic inter-réseaux
AWS KMS prend en charge une AWS Management Console et un ensemble d'opérations d'API vous permettant de créer et de gérer des AWS KMS keys et de les utiliser dans des opérations de chiffrement.
AWS KMS prend en charge deux options de connectivité réseau depuis votre réseau privé vers AWS.
-
Une onnexion VPN IPsec via Internet
-
AWS Direct Connect
relie votre réseau interne à un emplacement AWS Direct Connect via un câble en fibres optiques Ethernet standard.
Tous les appels d'API AWS KMS doivent être signés et transmis à l'aide du protocole TLS (Transport Layer Security). Les appels nécessitent également une suite de chiffrement moderne qui prend en charge une confidentialité persistante et parfaite
Pour se connecter directement à AWS KMS depuis votre Virtual Private Cloud (VPC) sans envoyer de trafic sur le réseau Internet public, utilisez des points de terminaison d'un VPC, optimisés par AWS PrivateLink. Pour plus d’informations, consultez Connexion à AWS KMS via un point de terminaison d'un VPC.
AWS KMS prend également en charge une option d'échange de clés post-quantiques hybrides pour le protocole de chiffrement réseau TLS (Transport Layer Security). Vous pouvez utiliser cette option avec TLS lorsque vous vous connectez aux points de terminaison de l'API AWS KMS.
