Création de clés KMS HMAC - AWS Key Management Service
Création de clés KMS HMAC (console)Création de clés KMS HMAC (API AWS KMS)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création de clés KMS HMAC

Vous pouvez créer des clés KMS HMAC dans la console AWS KMS, à l'aide de l'API CreateKey ou en utilisant un modèle AWS CloudFormation.

AWS KMS prend en charge plusieurs spécifications de la clé pour les clés KMS HMAC. La spécification de clé que vous sélectionnez pourrait être déterminée par des exigences réglementaires, de sécurité ou métier. En général, les clés plus longues résistent mieux aux attaques par force brute.

Important

N'incluez pas d'informations confidentielles ou sensibles dans l'alias, la description ou les balises. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.

Si vous créez une clé KMS pour chiffrer les données dans un service AWS, utilisez une clé KMS de chiffrement symétrique. Les services AWS qui s'intègrent à AWS KMS ne prennent pas en charge les clés KMS asymétriques ou les clés KMS HMAC. Pour obtenir de l'aide sur la création d'une clé KMS de chiffrement symétrique, veuillez consulter Création de clés.

En savoir plus

  • Pour déterminer le type de clé KMS à créer, veuillez consulter Choix d'un type de clé KMS.

  • Vous pouvez utiliser les procédures décrites dans cette rubrique pour créer une clé KMS HMAC principale multi-régions. Pour répliquer une clé HMAC multi-région, veuillez consulter Création de clés de réplica multi-région.

  • Pour obtenir plus d'informations sur les autorisations nécessaires pour créer des clés KMS, consultez Autorisations de création de clés KMS.

  • Pour plus d'informations sur l'utilisation d'un AWS CloudFormation modèle pour créer une clé HMAC KMS, consultez AWS::KMS::Keyle guide de l'AWS CloudFormationutilisateur.

Création de clés KMS HMAC (console)

Vous pouvez utiliser la AWS Management Console pour créer des clés KMS HMAC. Les clés KMS HMAC sont des clés symétriques avec une utilisation de clé de Generate and verify MAC (Générer et vérifier le MAC). Vous pouvez également créer des clés HMAC multi-région.

  1. Connectez-vous à AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms.

  2. Pour changer le paramètre Région AWS, utilisez le sélecteur de région dans l'angle supérieur droit de la page.

  3. Dans le volet de navigation, choisissez Clés gérées par le client.

  4. Choisissez Create key.

  5. Pour Type de clé, choisissez Symétrique.

    Les clés KMS HMAC sont symétriques. Vous utilisez la même clé pour générer et vérifier les balises HMAC.

  6. Pour Key usage (Utilisation de la clé), choisissez Generate and verify MAC (Générer et vérifier le MAC).

    Générer et vérifier le MAC est la seule utilisation valide de clés KMS HMAC.

    Note

    Key usage (Utilisation de la clé) est affiché pour les clés symétriques uniquement lorsque les clés KMS HMAC sont prises en charge dans votre région sélectionnée.

  7. Sélectionnez une spécification (Key spec [Spécifications de clé]) pour votre clé KMS HMAC.

    La spécification de clé que vous sélectionnez peut être déterminée par des exigences réglementaires, de sécurité ou métier. En général, les clés plus longues sont plus sécurisées.

  8. Pour créer une clé HMAC principale multi-région, dans Advanced options (Options avancées), choisissez Multi-Region key (Clé multi-région). Les propriétés partagées que vous définissez pour cette clé KMS, comme son type de clé et son utilisation de clé, seront partagés avec ses clés de réplica. Pour plus de détails, consultez Création de clés multi-régions.

    Vous ne pouvez pas utiliser cette procédure pour créer une clé de réplica. Pour créer une clé HMAC de réplica multi-région, suivez les instructions de création d'une clé de réplica.

  9. Choisissez Suivant.

  10. Saisissez un alias pour la clé KMS. Le nom d'alias ne peut pas commencer par aws/. Le préfixe aws/ est réservé par Amazon Web Services pour représenter Clés gérées par AWS dans votre compte.

    Nous vous recommandons d'utiliser un alias qui identifie la clé KMS en tant que clé HMAC, comme HMAC/test-key. Cela vous permettra d'identifier plus facilement vos clés HMAC dans la console AWS KMS où vous pouvez trier et filtrer les clés par balises et alias, mais pas par spécification de clé ou par utilisation de clé.

    Les alias sont requis lorsque vous créez une clé KMS dans la AWS Management Console. Vous ne pouvez pas spécifier d'alias lorsque vous utilisez l'CreateKeyopération, mais vous pouvez utiliser la console ou l'CreateAliasopération pour créer un alias pour une clé KMS existante. Pour plus de détails, consultez Utilisation des alias.

  11. (Facultatif) Saisissez une description pour la clé KMS.

    Saisissez une description qui explique le type de données que vous envisagez de protéger ou l'application que vous pensez utiliser avec la clé KMS.

    Vous pouvez ajouter une description maintenant ou la mettre à jour à tout moment, sauf si l'état de la clé est Pending Deletion ou Pending Replica Deletion. Pour ajouter, modifier ou supprimer la description d'une clé gérée par le client existante, modifiez la description dans l'opération AWS Management Console ou utilisez l'UpdateKeyDescriptionopération.

  12. (Facultatif) Saisissez une clé de balise et une valeur de balise facultative. Pour ajouter plus d'une balise à la clé KMS, sélectionnez Add tag (Ajouter une balise).

    Envisagez d'ajouter une balise qui identifie la clé en tant que clé HMAC, comme Type=HMAC. Cela vous permettra d'identifier plus facilement vos clés HMAC dans la console AWS KMS où vous pouvez trier et filtrer les clés par balises et alias, mais pas par spécification de clé ou par utilisation de clé.

    Lorsque vous ajoutez des balises à vos ressources AWS, AWS génère un rapport de répartition des coûts faisant apparaître la consommation et les coûts regroupés par balises. Les balises peuvent également être utilisées pour contrôler l'accès à une clé KMS. Pour de plus amples informations sur l'étiquetage des clés KMS, veuillez consulter Clés de balisage et ABAC pour AWS KMS.

  13. Choisissez Suivant.

  14. Sélectionnez les utilisateurs et les rôles IAM qui peuvent administrer la clé KMS.

    Note

    Cette politique de clé donne au Compte AWS le contrôle total de cette clé KMS. Il permet aux administrateurs de compte d'utiliser des politiques IAM pour autoriser d'autres principals à gérer la clé KMS. Pour plus de détails, consultez politique de clé par défaut.

    Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez Security best practices in IAM (Bonnes pratiques de sécurité dans IAM) dans le Guide de l'utilisateur IAM.

  15. (Facultatif) Pour empêcher les utilisateurs et les rôles IAM sélectionnés de supprimer cette clé KMS, dans la section Key deletion (Suppression de la clé) en bas de la page, décochez la case Allow key administrators to delete this key (Autoriser les administrateurs de clé à supprimer cette clé).

  16. Choisissez Suivant.

  17. Sélectionnez les utilisateurs et les rôles IAM qui peuvent utiliser la clé KMS pour les opérations crytographiques.

    Note

    Cette politique de clé donne au Compte AWS le contrôle total de cette clé KMS. Il permet aux administrateurs de compte d'utiliser des politiques IAM pour autoriser d'autres principals à utiliser la clé KMS dans les opérations de chiffrement. Pour plus de détails, consultez politique de clé par défaut.

    Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez Security best practices in IAM (Bonnes pratiques de sécurité dans IAM) dans le Guide de l'utilisateur IAM.

  18. (Facultatif) Vous pouvez autoriser d'autres Comptes AWS à utiliser cette clé KMS pour les opérations cryptographiques. Pour cela, dans la section Autres Comptes AWS en bas de la page, sélectionnez Ajouter un autre Compte AWS et saisissez le numéro d'identification Compte AWS d'un compte externe. Pour ajouter plusieurs comptes externes, répétez cette étape.

    Note

    Pour autoriser les principaux des comptes externes à utiliser la clé KMS, les administrateurs du compte externe doivent créer des politiques IAM qui fournissent ces autorisations. Pour plus d’informations, consultez Autoriser des utilisateurs d'autres comptes à utiliser une clé KMS.

  19. Choisissez Suivant.

  20. Passez en revue les paramètres de clé que vous avez choisis. Vous pouvez toujours revenir en arrière et modifier tous les paramètres.

  21. Choisissez Finish (Terminer) pour créer la clé KMS HMAC.

Création de clés KMS HMAC (API AWS KMS)

Vous pouvez utiliser cette CreateKeyopération pour créer une clé HMAC KMS. Ces exemples utilisent l'AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

Lorsque vous créez une clé KMS HMAC, vous devez spécifier le paramètre KeySpec, qui détermine le type de clé KMS. Vous devez également spécifier une valeur KeyUsage de GENERATE_VERIFY_MAC, même s'il s'agit de la seule valeur d'utilisation de clé valide pour les clés HMAC. Pour créer une clé multi-région KMS HMAC, ajoutez le paramètre MultiRegion avec la valeur true. Vous ne pouvez pas modifier ces propriétés après la création de la clé KMS.

L'CreateKeyopération ne vous permet pas de spécifier un alias, mais vous pouvez l'CreateAliasutiliser pour créer un alias pour votre nouvelle clé KMS. Nous vous recommandons d'utiliser un alias qui identifie la clé KMS en tant que clé HMAC, tel que HMAC/test-key. Cela vous permettra d'identifier plus facilement vos clés HMAC dans la console AWS KMS où vous pouvez trier et filtrer les clés par alias, mais pas par spécification de clé ou par utilisation de clé.

Si vous essayez de créer une clé KMS HMAC dans une Région AWS dans laquelle les clés HMAC ne sont pas prises en charge, l'opération CreateKey retourne une UnsupportedOperationException.

L'exemple suivant utilise l'opération CreateKey pour créer une clé KMS HMAC de 512 bits.

$ aws kms create-key --key-spec HMAC_512 --key-usage GENERATE_VERIFY_MAC
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": 1669973196.214,
        "MultiRegion": false,
        "KeySpec": "HMAC_512",
        "CustomerMasterKeySpec": "HMAC_512",
        "KeyUsage": "GENERATE_VERIFY_MAC",
        "MacAlgorithms": [
            "HMAC_SHA_512"
        ],
        "AWSAccountId": "111122223333",
        "Origin": "AWS_KMS",
        "Enabled": true
    }
}