Planification pour importer des éléments de clé

Le matériel clé importé vous permet de protéger vos AWS ressources grâce aux clés cryptographiques que vous générez. L’élément de clé que vous importez est associé à une clé KMS particulière. Vous pouvez réimporter le même élément clé dans la même clé KMS, mais vous ne pouvez pas importer de contenu clé différent dans la clé KMS et vous ne pouvez pas convertir une clé KMS conçue pour le matériel clé importé en une clé KMS contenant du matériel AWS KMS clé.

En savoir plus :

• Sélectionnez une spécification de clé publique d'encapsulage

• Sélectionner un algorithme d'encapsulage

À propos des clés importées

Avant de décider d'importer du matériel clé dans AWS KMS, vous devez comprendre les caractéristiques suivantes du matériel clé importé.

Vous générez les éléments de clé.

Vous êtes responsable de la génération des éléments de clé à l'aide d'une source aléatoire qui répond à vos exigences de sécurité.

Vous pouvez supprimer les éléments de clé.

Vous pouvez supprimer les éléments de clé importés d'une clé KMS, ce qui la rend immédiatement inutilisable. De plus, lorsque vous importez des éléments de clé dans une clé KMS, vous pouvez définir sa date d'expiration si vous souhaitez qu'elle en ait une. Lorsque le délai d'expiration arrive, AWS KMS supprime le matériel clé. Sans éléments de clé, la clé KMS ne peut pas être utilisée dans une opération de chiffrement. Pour restaurer la clé, vous devez y réimporter les mêmes éléments de clé.

Vous ne pouvez pas modifier les éléments de clé

Lorsque vous importez des éléments de clé dans une clé KMS, celle-ci est définitivement associée à ces éléments de clé. Vous pouvez réimporter les mêmes éléments de clé, mais vous ne pouvez pas en importer d'autres dans cette clé KMS. De plus, vous ne pouvez pas activer la rotation automatique des clés pour une clé KMS dont les éléments de clé sont importés. Toutefois, vous pouvez soumettre à une rotation manuelle une clé KMS avec les éléments de clé importés.

Vous ne pouvez pas modifier l’origine des éléments de clé

Les clés KMS conçues pour les éléments importés sont dotées d'une valeur origin (origine) non modifiable définie sur EXTERNAL. Vous ne pouvez pas convertir une clé KMS pour du matériel clé importé afin d'utiliser du matériel clé provenant d'une autre source, y compris AWS KMS. De même, vous ne pouvez pas convertir une clé KMS AWS KMS contenant du matériel clé en une clé conçue pour le matériel clé importé.

Vous ne pouvez pas exporter d’élément de clé

Vous ne pouvez pas exporter de matériel clé que vous avez importé. AWS KMS ne peut pas vous renvoyer le matériel clé importé sous quelque forme que ce soit. Vous devez conserver une copie du matériel clé importé à l'extérieur AWS, de préférence dans un gestionnaire de clés, tel qu'un module de sécurité matériel (HSM), afin de pouvoir réimporter le matériel clé si vous le supprimez ou s'il expire.

Vous pouvez créer des clés multi-région avec des éléments de clé importés

Les zones multirégionales avec un élément de clé importé ont les fonctionnalités des clés KMS avec un élément de clé importé et peuvent interagir entre Régions AWS. Pour créer une clé multi-région avec des éléments de clé importés, vous devez importer les mêmes éléments de clé dans la clé KMS principale et dans chaque clé de réplica. Pour plus de détails, consultez Importation des éléments de clé dans des clés multi-régions.

Les clés asymétriques et les clés HMAC sont portables et interopérables

Vous pouvez utiliser votre matériau de clé asymétrique et le matériau de clé HMAC à l'extérieur AWS pour interagir avec des AWS KMS clés contenant le même matériau de clé importé.

Contrairement au texte chiffré AWS KMS symétrique, qui est inextricablement lié à la clé KMS utilisée dans l'algorithme, AWS KMS utilise des formats HMAC standard et asymétriques pour le chiffrement, la signature et la génération de MAC. Par conséquent, les clés sont portables et prennent en charge les scénarios de clé sous séquestre traditionnels.

Lorsque votre clé KMS contient du matériel clé importé, vous pouvez utiliser le matériel clé importé AWS à l'extérieur pour effectuer les opérations suivantes.

• Clés HMAC – Vous pouvez vérifier une balise HMAC générée par la clé KMS HMAC avec un élément de clé importé. Vous pouvez également utiliser la clé HMAC KMS avec le matériel clé importé pour vérifier une étiquette HMAC qui a été générée par le matériel clé à l'extérieur de. AWS

• Clés de chiffrement asymétriques — Vous pouvez utiliser votre clé de chiffrement asymétrique privée AWS à l'extérieur pour déchiffrer un texte chiffré par la clé KMS avec la clé publique correspondante. Vous pouvez également utiliser votre clé KMS asymétrique pour déchiffrer un texte chiffré asymétrique généré en dehors de. AWS

• Clés de signature asymétriques — Vous pouvez utiliser votre clé KMS de signature asymétrique avec du matériel clé importé pour vérifier les signatures numériques générées par votre clé de signature privée en dehors de. AWS Vous pouvez également utiliser votre clé de signature publique asymétrique AWS à l'extérieur pour vérifier les signatures générées par votre clé KMS asymétrique.

• Clés d'accord de clé asymétriques — Vous pouvez utiliser votre clé KMS d'accord de clé publique asymétrique avec du matériel clé importé pour obtenir des secrets partagés avec un homologue extérieur. AWS

Si vous importez les mêmes éléments de clé dans différentes clés KMS du même Région AWS, ces clés sont également interopérables. Pour créer des clés KMS interopérables dans différentes régions Régions AWS, créez une clé multirégionale avec du matériel clé importé.

Les clés de chiffrement symétriques ne sont ni portables ni interopérables

Les textes chiffrés symétriques AWS KMS produits ne sont ni portables ni interopérables. AWS KMS ne publie pas le format de texte chiffré symétrique requis par la portabilité, et le format peut changer sans préavis.

• AWS KMS ne peut pas déchiffrer les textes chiffrés symétriques que vous chiffrez en dehors de ceux-ci AWS, même si vous utilisez des éléments clés que vous avez importés.

• AWS KMS ne prend pas en charge le déchiffrement d'un texte chiffré AWS KMS symétrique en dehors de AWS KMS, même si le texte chiffré a été chiffré sous une clé KMS avec du matériel clé importé.

• Les clés KMS avec le même élément de clé importé ne sont pas interopérables. Le texte chiffré symétrique qui AWS KMS génère un texte chiffré spécifique à chaque clé KMS. Ce format de texte chiffré garantit que seule la clé KMS qui a chiffré des données peut les déchiffrer.

En outre, vous ne pouvez utiliser aucun AWS outil, tel que le AWS Encryption SDKchiffrement côté client Amazon S3, pour déchiffrer AWS KMS des textes chiffrés symétriques.

Par conséquent, vous ne pouvez pas utiliser de clés contenant du matériel clé importé pour soutenir des accords d'entiercement de clés dans le cadre desquels un tiers autorisé ayant un accès conditionnel au contenu clé peut déchiffrer certains textes chiffrés en dehors de. AWS KMS Pour prendre en charge le séquestre de clés, utilisez le kit AWS Encryption SDK pour chiffrer votre message sous une clé indépendante de AWS KMS.

Vous êtes responsable de la disponibilité et de la durabilité.

AWS KMS est conçu pour maintenir la haute disponibilité du matériel clé importé. Mais AWS KMS ne maintient pas la durabilité du matériau clé importé au même niveau que le matériau clé qui en AWS KMS génère. Pour plus de détails, consultez Suppression des éléments de clé importés.

Suppression des éléments de clé importés

Les éléments de clé que vous importez sont protégés pendant le transport et au repos. Avant d'importer le matériel clé, vous chiffrez (ou « enveloppez ») le contenu clé avec la clé publique d'une paire de clés RSA générée dans des modules de sécurité AWS KMS matériels (HSM) validés dans le cadre du programme de validation des modules cryptographiques FIPS 140-2. Vous pouvez chiffrer l’élément de clé directement avec la clé publique d’enveloppement, ou chiffrer l’élément de clé avec une clé symétrique AES, puis chiffrer la clé symétrique AES avec la clé publique RSA.

À réception, AWS KMS déchiffre le contenu de la clé avec la clé privée correspondante dans un AWS KMS HSM et le chiffre à nouveau sous une clé symétrique AES qui n'existe que dans la mémoire volatile du HSM. Votre élément de clé ne quitte jamais le HSM en texte brut. Il est déchiffré uniquement pendant son utilisation et uniquement dans les HSM. AWS KMS

L'utilisation de votre clé KMS avec l’élément de clé importé est déterminée uniquement par les politiques de contrôle d'accès que vous définissez sur la clé KMS. En outre, vous pouvez utiliser des alias et des balises pour identifier et contrôler l'accès à la clé KMS. Vous pouvez activer et désactiver la clé, afficher et modifier ses propriétés, et la surveiller à l'aide de services tels que AWS CloudTrail.

Cependant, vous conservez la seule copie sûre de votre élément de clé. En échange de cette mesure de contrôle supplémentaire, vous êtes responsable de la durabilité et de la disponibilité globale du matériau clé importé. AWS KMS est conçu pour maintenir la haute disponibilité du matériel clé importé. Mais AWS KMS ne maintient pas la durabilité du matériau clé importé au même niveau que le matériau clé qui en AWS KMS génère.

Cette différence en durabilité est significative dans les cas suivants :

• Lorsque vous définissez une date d'expiration pour votre matériel clé importé, AWS KMS celui-ci est supprimé après son expiration. AWS KMS ne supprime pas la clé KMS ni ses métadonnées. Vous pouvez créer une CloudWatch alarme Amazon qui vous avertit lorsque le matériel clé importé approche de sa date d'expiration.

  Vous ne pouvez pas supprimer le contenu clé AWS KMS généré pour une clé KMS et vous ne pouvez pas le définir AWS KMS comme expirant, bien que vous puissiez le faire pivoter.

• Lorsque vous supprimez manuellement le contenu clé importé, il AWS KMS supprime le contenu clé mais ne supprime pas la clé KMS ni ses métadonnées. En revanche, une planification de suppression de clé nécessite une période d'attente de 7 à 30 jours, après laquelle AWS KMS supprime définitivement la clé KMS, ses éléments de clé et ses métadonnées.

• Dans le cas peu probable de certaines défaillances régionales susceptibles de l'affecter AWS KMS (comme une perte totale de courant), vous AWS KMS ne pourrez pas restaurer automatiquement le matériel clé importé. Cependant, AWS KMS vous pouvez restaurer la clé KMS et ses métadonnées.

Vous devez conserver une copie du matériel clé importé à l'extérieur d' AWS un système que vous contrôlez. Nous vous recommandons de stocker une copie exportable des éléments de clé importés dans un système de gestion des clés, tel qu'un module de sécurité matérielle (HSM). Si l’élément de clé importé est supprimé ou expire, la clé KMS associée devient inutilisable tant que vous ne le réimportez pas. En cas de perte définitive des éléments de clé importés, tout texte chiffré au moyen de la clé KMS est irrécupérable.

Autorisations d'importation des éléments de clé

Pour créer et gérer des clés KMS avec des éléments de clé importés, l'utilisateur a besoin d'une autorisation pour les opérations de ce processus. Vous pouvez fournir les autorisations kms:GetParametersForImport, kms:ImportKeyMaterial et kms:DeleteImportedKeyMaterial dans la politique de clé lorsque vous créez la clé KMS. Dans la AWS KMS console, ces autorisations sont ajoutées automatiquement pour les administrateurs de clés lorsque vous créez une clé avec une origine matérielle de clé externe.

Pour créer des clés KMS avec des éléments de clé importés, le principal a besoin des autorisations suivantes.

• kms : CreateKey (politique IAM)

  • Pour limiter cette autorisation aux clés KMS contenant du matériel clé importé, utilisez la condition de KeyOrigin politique kms : avec une valeur deEXTERNAL.

    {
      "Sid": "CreateKMSKeysWithoutKeyMaterial",
      "Effect": "Allow",
      "Resource": "*",
      "Action": "kms:CreateKey",
      "Condition": {
        "StringEquals": {
          "kms:KeyOrigin": "EXTERNAL"
        }
      }
    }

• kms : GetParametersForImport (politique clé ou politique IAM)

  • Pour limiter cette autorisation aux demandes qui utilisent un algorithme d'encapsulage et une spécification de clé d'encapsulation particuliers, utilisez les conditions de WrappingKeySpec politique kms : WrappingAlgorithm et kms :.

• kms : ImportKeyMaterial (politique clé ou politique IAM)

  • Pour autoriser ou interdire le contenu clé qui expire et contrôler la date d'expiration, utilisez les conditions de ValidTo politique kms : ExpirationModel et kms :.

Pour réimporter du matériel clé importé, le principal a besoin des ImportKeyMaterial autorisations kms : GetParametersForImport et kms :.

Pour supprimer le matériel clé importé, le principal a besoin de l'DeleteImportedKeyMaterialautorisation kms :.

Par exemple, pour donner à l'exemple l'autorisation KMSAdminRole de gérer tous les aspects d'une clé KMS avec des éléments de clé importés, incluez une instruction de politique de clé telle que celle suivante dans la politique clé de la clé KMS.

{
  "Sid": "Manage KMS keys with imported key material",
  "Effect": "Allow",
  "Resource": "*",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole"
  },
  "Action": [
    "kms:GetParametersForImport",
    "kms:ImportKeyMaterial",
    "kms:DeleteImportedKeyMaterial"
  ]  
}

Exigences relatives aux éléments de clé importés

L’élément de clé que vous importez doit être compatible avec les spécifications de clés de la clé KMS associée. Pour les paires de clés asymétriques, importez uniquement la clé privée de la paire. AWS KMS dérive la clé publique de la clé privée.

AWS KMS prend en charge les spécifications clés suivantes pour les clés KMS avec du matériel clé importé.

Spécification de clé KMS	Exigences relatives aux éléments de clés
Clés de chiffrement symétrique SYMMETRIC_DEFAULT	256 bits (32 octets) de données binaires Dans les régions de Chine, il doit s'agir de 128 bits (16 octets) de données binaires.
Clés HMAC HMAC_224 HMAC_256 HMAC_384 HMAC_512	L’élément de clé HMAC doit être conforme à la norme RFC 2104. La longueur de la clé doit correspondre à la longueur spécifiée par la spécification de clés.
Clé privée asymétrique RSA RSA_2048 RSA_3072 RSA_4096	La clé privée asymétrique RSA que vous importez doit faire partie d'une paire de clés conforme à la norme RFC 3447. Module : 2 048 bits, 3 072 bits ou 4 096 bits Nombre de nombres premiers : 2 (les clés RSA à plusieurs nombres premiers ne sont pas prises en charge) Le matériel de clé asymétrique doit être codé en BER ou en DER au format PKCS (Public-Key Cryptography Standards) #8 conforme à la RFC 5208.
Clé privée asymétrique à courbe elliptique ECC_NIST_P256 (secp256r1) ECC_NIST_P384 (secp384r1) ECC_NIST_P521 (secp521r1) ECC_SECG_P256K1 (secp256k1)	La clé privée asymétrique ECC que vous importez doit faire partie d'une paire de clés conforme à la norme RFC 5915. Courbe : NIST P-256, NIST P-384, NIST P-521 ou Secp256k1 Paramètres : courbes nommées uniquement (les clés ECC avec des paramètres explicites sont rejetées) Coordonnées des points publics : peuvent être compressées, non compressées ou projectives Le matériel de clé asymétrique doit être codé en BER ou en DER au format PKCS (Public-Key Cryptography Standards) #8 conforme à la RFC 5208.
Clé privée asymétrique SM2 (régions chinoises uniquement)	La clé privée asymétrique SM2 que vous importez doit faire partie d'une paire de clés conforme à GM/T 0003. Courbe : SM2 Paramètres : courbe nommée uniquement (les clés SM2 avec des paramètres explicites sont rejetées) Coordonnées des points publics : peuvent être compressées, non compressées ou projectives Le matériel de clé asymétrique doit être codé en BER ou en DER au format PKCS (Public-Key Cryptography Standards) #8 conforme à la RFC 5208.