Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Concepts de magasins de clés AWS CloudHSM
Cette rubrique explique certains des concepts utilisés dans les magasins de clés AWS CloudHSM.
Magasin de clés AWS CloudHSM
Un magasin de clés AWS CloudHSM est un magasin de clés personnalisé qui est associé à un cluster AWS CloudHSM que vous possédez et gérez. Les clusters AWS CloudHSM sont soutenus par des modules de sécurité matérielle (HSM) certifiés selon la norme FIPS 140-2 niveau 3.
Lorsque vous créez une clé KMS dans votre magasin de clés AWS CloudHSM, AWS KMS génère une clé symétrique Advanced Encryption Standard (AES) de 256 bits, persistante et non exportable dans le cluster AWS CloudHSM associé. Cette clé ne quitte jamais vos modules HSM non chiffrés. Lorsque vous utilisez une clé KMS dans un magasin de clés AWS CloudHSM, les opérations cryptographiques sont effectuées dans les modules HSM du cluster.
Les magasins de clés AWS CloudHSM combinent l'interface de gestion de clés pratique et complète d'AWS KMS avec les contrôles supplémentaires fournis par un cluster AWS CloudHSM de votre Compte AWS. Cette fonction intégrée vous permet de créer, gérer et utiliser des clés KMS dans AWS KMS tout en conservant une maîtrise totale des modules HSM qui stockent leurs éléments de clé, y compris la gestion des clusters, les modules HSM et les sauvegardes. Vous pouvez utiliser la console et les API AWS KMS pour gérer le magasin de clés AWS CloudHSM et ses clés KMS. Vous pouvez également utiliser la console AWS CloudHSM, les API, les logiciels client et les bibliothèques logicielles connexes pour gérer le cluster associé.
Vous pouvez afficher et gérer votre magasin de clés AWS CloudHSM, modifier ses propriétés et le connecter et le déconnecter de son cluster AWS CloudHSM associé. Si vous devez supprimer un magasin de clés AWS CloudHSM, vous devez d'abord supprimer les clés KMS dans le magasin de clés AWS CloudHSM en planifiant leur suppression et en attendant jusqu'à ce que la période de grâce expire. La suppression du magasin de clés AWS CloudHSM supprime la ressource d'AWS KMS, mais elle n'a pas d'incidence sur votre cluster AWS CloudHSM.
AWS CloudHSMCluster
Chaque magasin de clés AWS CloudHSM est associé à exactement un cluster AWS CloudHSM. Lorsque vous créez une AWS KMS key dans votre magasin de clés AWS CloudHSM, AWS KMS crée ses éléments de clé dans le cluster associé. Lorsque vous utilisez une clé KMS dans votre magasin de clés AWS CloudHSM, les opérations cryptographiques sont effectuées dans le cluster associé.
Chaque cluster AWS CloudHSM ne peut être associé qu'à un seul magasin de clés AWS CloudHSM. Le cluster que vous choisissez ne peut pas être associé à un autre magasin de clés AWS CloudHSM ou partager un historique de sauvegarde avec un cluster qui est associé à un autre magasin de clés AWS CloudHSM. Le cluster doit être initialisé et actif, et doit être dans les mêmes Compte AWS et région que le magasin de clés AWS CloudHSM. Vous pouvez créer un nouveau cluster ou en utiliser un existant. AWS KMS ne nécessite pas un accès exclusif au cluster. Pour créer des clés KMS dans le magasin de clés AWS CloudHSM, son cluster associé doit contenir au moins deux modules HSM actifs. Toutes les autres opérations nécessitent un seul HSM.
Vous spécifiez le cluster AWS CloudHSM lorsque vous créez le magasin de clés AWS CloudHSM et vous ne pouvez pas le modifier. Cependant, vous pouvez remplacer n'importe quel cluster qui partage un historique de sauvegardes avec le cluster d'origine. Cela vous permet de supprimer le cluster, si nécessaire, et de le remplacer-le par un cluster créé à partir de l'une de ses sauvegardes. Vous gardez une maîtrise totale du cluster AWS CloudHSM associé, ce qui vous permet de gérer des utilisateurs et des clés, de créer et de supprimer des modules HSM, et d'utiliser et de gérer les sauvegardes.
Lorsque vous êtes prêt à utiliser votre magasin de clés AWS CloudHSM, vous pouvez le connecter à son cluster AWS CloudHSM associé. Vous pouvez connecter et déconnecter votre magasin de clés personnalisé à tout moment. Lorsqu'un magasin de clés personnalisé est connecté, vous pouvez créer et utiliser ses clés KMS. Lorsqu'il est déconnecté, vous pouvez afficher et gérer le magasin de clés AWS CloudHSM et ses clés KMS. Toutefois, vous ne pouvez pas créer de nouvelles clés KMS ou utiliser les clés KMS du magasin de clés AWS CloudHSM pour les opérations cryptographiques.
Utilisateur de chiffrement kmsuser
Pour créer et gérer les éléments de clé dans le cluster AWS CloudHSM associé en votre nom, AWS KMS utilise un utilisateur de chiffrement (CU) AWS CloudHSM dédié dans le cluster nommé kmsuser. Le kmsuser CU est un compte CU standard qui est automatiquement synchronisé à tous les HSM du cluster et qui est enregistré dans les sauvegardes de clusters.
Avant de créer votre magasin de clés AWS CloudHSM, vous créez un compte CU kmsuser dans votre cluster AWS CloudHSM à l'aide de la commande createUser dans cloudhsm_mgmt_util. Ensuite, lorsque vous créez le magasin de clés AWS CloudHSM, vous fournissez le mot de passe du compte kmsuser à AWS KMS. Lorsque vous connectez le magasin de clés personnalisé, AWS KMS se connecte au cluster en tant qu'utilisateur de chiffrement (CU) kmsuser et effectue une rotation de ses mots de passe. AWS KMS chiffre votre mot de passe kmsuser avant de le stocker en sécurité. Lorsque le mot de passe a effectué une rotation, le nouveau mot de passe est chiffré et stocké de la même manière.
AWS KMS reste connecté en tant que kmsuser jusqu'à ce que le magasin de clés AWS CloudHSM soit connecté. Vous ne devez pas utiliser ce compte CU à d'autres fins. Toutefois, vous gardez le contrôle ultime du compte CU kmsuser. A tout moment, vous pouvez rechercher les descripteurs de clés des clés que kmsuser détient. Si nécessaire, vous pouvez déconnecter le magasin de clés personnalisé, modifier le mot de passe kmsuser, vous connecter au cluster en tant que kmsuser et afficher et gérer les clés que kmsuser détient.
Pour obtenir des instructions sur la création de votre compte CU kmsuser, consultez Créer l'utilisateur de chiffrement (CU) kmsuser.
Clés KMS dans un magasin de clés AWS CloudHSM
Vous pouvez utiliser AWS KMS ou l'API AWS KMS pour créer des AWS KMS keys dans un magasin de clés AWS CloudHSM. Vous utilisez la même technique que celle que vous utiliseriez sur n'importe quelle clé KMS. La seule différence est que vous devez identifier le magasin de clés AWS CloudHSM et spécifier que l'origine des éléments de clé est le cluster AWS CloudHSM.
Lorsque vous créez une clé KMS dans un magasin de clés AWS CloudHSM, AWS KMS crée la clé KMS dans AWS KMS et génère des éléments de clé symétriques Advanced Encryption Standard (AES) de 256 bits, persistants, non exportables dans leur cluster associé. Lorsque vous utilisez la clé AWS KMS dans une opération cryptographique, l'opération est effectuée dans leAWS CloudHSMcluster utilisant la clé AES basée sur un cluster. Bien que AWS CloudHSM prenne en charge les clés symétriques et asymétriques de différents types, les magasins de clés AWS CloudHSM ne prennent en charge que les clés de chiffrement AES symétriques.
Vous pouvez afficher les clés KMS d'un magasin de clés AWS CloudHSM dans la console AWS KMS et utiliser les options de la console pour afficher l'ID de magasin de clés personnalisé. Vous pouvez également utiliser cette DescribeKeyopération pour trouver l'ID du magasin de AWS CloudHSM clés et l'ID AWS CloudHSM du cluster.
Les clés KMS d'un magasin de clés AWS CloudHSM fonctionnent comme n'importe quelle clé KMS dans AWS KMS. Les utilisateurs autorisés ont besoin des mêmes autorisations pour utiliser et gérer les clés KMS. Vous utilisez les mêmes procédures et opérations d'API de la console pour afficher et gérer les clés KMS d'un magasin de clés AWS CloudHSM. Cela inclut l'activation et la désactivation de clés KMS, la création et l'utilisation de balises et d'alias, et la définition et la modification des politiques de clé et des politiques IAM. Vous pouvez utiliser les clés KMS dans un magasin de clés AWS CloudHSM pour les opérations cryptographiques, et les utiliser avec des services AWS intégrés qui prennent en charge l'utilisation de clés gérées par le client. Cependant, vous ne pouvez pas activer la rotation automatique des clés ou importer des éléments de clé vers une clé KMS dans un magasin de clés AWS CloudHSM.
Vous pouvez également utiliser la même procédure pour planifier la suppression d'une clé KMS dans un magasin de clés AWS CloudHSM. Lorsque la période d'attente a expiré, AWS KMS supprime la clé KMS depuis KMS. Ensuite, il met tout en œuvre pour supprimer les éléments de clé de la clé KMS du cluster AWS CloudHSM associé. Cependant, il se peut que vous ayez besoin de supprimer manuellement les éléments de clé orphelins du cluster et de ses sauvegardes.
