Téléchargement de clés publiques - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Téléchargement de clés publiques

Vous pouvez afficher, copier et télécharger la clé publique à partir d'une paire de clés KMS asymétriques à l'aide de AWS Management Console ou de l'API.AWS KMS Vous devez disposer de l'autorisation kms:GetPublicKey sur la clé KMS asymétrique.

Chaque paire de clés KMS asymétriques se compose d'une clé privée qui ne quitte jamais AWS KMS non chiffrée et d'une clé publique que vous pouvez télécharger et partager.

Vous pouvez partager une clé publique pour permettre à d'autres utilisateurs de chiffrer des données en dehors de AWS KMS que vous ne pouvez déchiffrer qu'avec votre clé privée. Ou pour permettre à d'autres personnes de vérifier une signature numérique en dehors de AWS KMS que vous avez générée avec votre clé privée.

Lorsque vous utilisez la clé publique dans votre clé KMS asymétrique dans AWS KMS, vous bénéficiez de l'authentification, de l'autorisation et de la journalisation qui font partie de chaque opération.AWS KMS Vous réduisez également le risque de chiffrement des données qui ne peuvent pas être déchiffrées. Ces fonctionnalités ne sont pas efficaces en dehors de.AWS KMS Pour plus d'informations, consultez.Considérations particulières pour le téléchargement de clés publiques

Astuce

Vous recherchez des clés de données ou des clés SSH ? Cette rubrique explique comment gérer les clés asymétriques dans AWS Key Management Service, où la clé privée n'est pas exportable. Pour les paires de clés de données exportables dans lesquelles la clé privée est protégée par une clé KMS de chiffrement symétrique, voir. GenerateDataKeyPair Pour obtenir de l'aide sur le téléchargement de la clé publique associée à une instance Amazon EC2, veuillez consulter Récupération de la clé publique dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux et le Guide de l'utilisateur Amazon EC2 pour les instances Windows.

Considérations particulières pour le téléchargement de clés publiques

Pour protéger vos clés KMS, AWS KMS fournit des contrôles d'accès, un chiffrement authentifié et des journaux détaillés de chaque opération. AWS KMS vous permet également d'empêcher l'utilisation des clés KMS, temporairement ou définitivement. Enfin, les opérations AWS KMS sont conçues pour minimiser le risque de chiffrement des données qui ne peuvent pas être déchiffrées. Ces fonctionnalités ne sont pas disponibles lorsque vous utilisez des clés publiques téléchargées en dehors deAWS KMS.

Autorisation

Les politiques de clés et les politiques IAM qui contrôlent l'accès à la clé KMS dans AWS KMS n'ont aucun effet sur les opérations effectuées en dehors de AWS. Tout utilisateur qui peut obtenir la clé publique peut l'utiliser en dehors de AWS KMS, même s'il n'a pas l'autorisation de chiffrer des données ou de vérifier les signatures avec la clé KMS.

Restrictions liées à l'utilisation de la clé

Les restrictions d'utilisation de la clé ne sont pas applicables en dehors de AWS KMS. Si vous appelez l'opération Encrypt avec une clé KMS ayant une KeyUsage de SIGN_VERIFY, l'opération AWS KMS échoue. Mais si vous chiffrez des données en dehors de AWS KMS avec une clé publique d'une clé KMS avec une KeyUsage de SIGN_VERIFY, les données ne peuvent pas être déchiffrées.

Restrictions de l'algorithme

Les restrictions sur les algorithmes de chiffrement et de signature que AWS KMS prend en charge ne sont pas efficaces en dehors de AWS KMS. Si vous chiffrez des données avec la clé publique à partir d'une clé KMS en dehors de AWS KMS et utilisez un algorithme de chiffrement que AWS KMS ne prend pas en charge, les données ne peuvent pas être déchiffrées.

Désactivation et suppression des clés KMS

Les actions que vous pouvez effectuer pour empêcher l'utilisation d'une clé KMS dans une opération de chiffrement dans AWS KMS n'empêchent personne d'utiliser la clé publique en dehors de AWS KMS. Par exemple, la désactivation d'une clé KMS, la planification de la suppression d'une clé KMS, la suppression d'une clé KMS ou la suppression des éléments d'une clé KMS n'ont aucun effet sur une clé publique en dehors de AWS KMS. Si vous supprimez une clé KMS asymétrique ou supprimez ou perdez ses éléments de clé, les données que vous chiffrez avec une clé publique en dehors de AWS KMS sont irrécupérables.

Journalisation

Les journaux AWS CloudTrail qui consignent chaque opération AWS KMS, y compris la requête, la réponse, la date, l'heure et l'utilisateur autorisé, n'enregistrent pas l'utilisation de la clé publique en dehors de AWS KMS.

Vérification hors ligne avec des paires de clés SM2 (régions de Chine uniquement)

Pour vérifier une signature en dehors de AWS KMS avec une clé publique SM2, vous devez spécifier l'ID distinctif. Par défaut, AWS KMS les usages 1234567812345678 comme ID distinctif. Pour de plus amples informations, veuillez consulter Vérification hors ligne avec des paires de clés SM2 (régions de Chine uniquement).

Téléchargement d'une clé publique (console)

Vous pouvez utiliser la AWS Management Console pour afficher, copier et télécharger la clé publique à partir d'une clé KMS asymétrique de votre Compte AWS. Pour télécharger la clé publique à partir d'une clé KMS asymétrique dans un Compte AWS différent, utilisez l'API AWS KMS.

  1. Connectez-vous à la AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms.

  2. Pour changer le paramètre Région AWS, utilisez le sélecteur de région dans l'angle supérieur droit de la page.

  3. Dans le volet de navigation, choisissez Clés gérées par le client.

  4. Choisissez l'alias ou l'ID de clé d'une clé KMS asymétrique.

  5. Choisissez l'onglet Cryptographic configuration (Configuration de chiffrement). Enregistrez les valeurs des champs Spécifications de la clé, Utilisation de la clé et Algorithmes de chiffrement ou Algorithmes de signature. Vous devrez utiliser ces valeurs pour utiliser la clé publique en dehors de AWS KMS. Assurez-vous de partager ces informations lorsque vous partagez la clé publique.

  6. Choisissez l'onglet Clé publique.

  7. Pour copier la clé publique dans le presse-papiers, choisissez Copier. Pour télécharger la clé publique dans un fichier, choisissez Télécharger.

Téléchargement d'une clé publique (AWS KMS API)

L'GetPublicKeyopération renvoie la clé publique sous forme de clé KMS asymétrique. Elle renvoie également des informations critiques dont vous avez besoin pour utiliser correctement la clé publique en dehors de AWS KMS, y compris l'utilisation de la clé et les algorithmes de chiffrement. Veillez à enregistrer ces valeurs et à les partager chaque fois que vous partagez la clé publique.

Les exemples de cette section utilisent la AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

Pour identifier une clé KMS, utilisez son ID de clé, son ARN de clé, son nom d'alias ou son ARN d'alias. Lorsque vous utilisez un nom d'alias, préfixez-le avec alias/. Pour spécifier une clé KMS dans un autre Compte AWS, vous devez utiliser son ARN de clé ou son ARN d'alias.

Avant d'exécuter cette commande, remplacez l'exemple de nom d'alias par un identifiant valide pour la clé KMS. Pour exécuter cette commande, vous devez disposer kms:GetPublicKey d'autorisations sur la clé KMS.

$ aws kms get-public-key --key-id alias/example_RSA_3072 { "KeySpec": "RSA_3072", "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "KeyUsage": "ENCRYPT_DECRYPT", "EncryptionAlgorithms": [ "RSAES_OAEP_SHA_1", "RSAES_OAEP_SHA_256" ], "PublicKey": "MIIBojANBgkqhkiG..." }