Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Importation des éléments de clé Étape 1 : créer une AWS KMS key sans élément de clé
Par défaut, AWS KMS crée des éléments de clé pour vous lorsque vous créez une clé KMS. Pour importer vos propres éléments de clé à la place, commencez par créer une clé KMS sans élément de clé. Procédez ensuite à l'importation. Pour créer une clé KMS sans élément clé, utilisez AWS KMS la console ou l'CreateKeyopération.
Pour créer une clé sans élément de clé, spécifiez l'origine de EXTERNAL. La propriété d'origine d'une clé KMS est immuable. Une fois créée, vous ne pouvez pas convertir une clé KMS conçue pour des éléments de clé importés en une clé pouvant recevoir des éléments provenant de AWS KMS ou toute autre source.
L'état d'une clé KMS avec une origine EXTERNAL et aucun élément de clé est PendingImport. Une clé KMS peut rester dans l'état PendingImport indéfiniment. Toutefois, vous ne pouvez pas utiliser une clé KMS dans l’état PendingImport dans le cadre des opérations cryptographiques. Lorsque vous importez l'élément de clé, l'état de la clé KMS passe à Enabled, et vous pouvez l’utiliser dans des opérations de chiffrement.
AWS KMSenregistre un événement dans votre AWS CloudTrail journal lorsque vous créez la clé KMS, que vous téléchargez la clé publique et le jeton d'importation, et que vous importez le contenu de la clé. AWS KMSenregistre également un CloudTrail événement lorsque vous supprimez du matériel clé importé ou lorsque vous AWS KMS supprimez du matériel clé expiré.
Pour plus d'informations sur la création de clés multi-région avec des éléments de clé importés, consultez Importation des éléments de clé dans des clés multi-régions.
Rubriques
Création d'une clé KMS sans élément de clé (console)
Vous devez créer uniquement une clé KMS pour les éléments de clé importés une seule fois. Vous pouvez importer et réimporter le même élément de clé sur la clé KMS existante aussi souvent que vous avez besoin, mais vous ne pouvez pas importer d’élément de clé différent dans une clé KMS. Pour plus de détails, consultez Étape 2 : Téléchargement de la clé publique d’encapsulage et du jeton d'importation.
Pour rechercher des clés KMS existantes contenant des éléments de clé importés dans votre tableau Customer managed keys (Clés gérées par le client), utilisez l'icône en forme d'engrenage dans le coin supérieur droit pour afficher la colonne Origin (Origine) de la liste des clés KMS. Les clés importées ont une valeur Origine égale à Externe (Importation des éléments de clé).
Pour créer une clé KMS avec un élément de clé importé, commencez par suivre les instructions de base pour créer une clé KMS du type de clé que vous préférez, à l'exception suivante.
Après avoir choisi l'utilisation de la clé, procédez comme suit :
-
(Facultatif) Développez Options avancées.
-
Dans le champ Key material origin (Origine des éléments de clé), sélectionnez External (Import key material) (Externe (Importation des éléments de clé)).
-
Cochez la case à côté de I understand the security, availability, and durability implications of using an imported key pour indiquer que vous comprenez les implications de l'utilisation d'éléments de clé importés. Pour de plus amples informations sur ces implications, veuillez consulter Suppression des éléments de clé importés.
-
Revenez aux instructions de base. Les étapes restantes de la procédure de base sont les mêmes pour toutes les clés KMS de ce type.
Lorsque vous choisissez Terminer, vous avez créé une clé KMS sans élément de clé et un statut (état de clé) En attente d'importation.
Cependant, au lieu de retourner au tableau des clés gérées par le client, la console affiche une page sur laquelle vous pouvez télécharger la clé publique et le jeton d'importation dont vous avez besoin pour importer l’élément de clé. Vous pouvez poursuivre l'étape de téléchargement dès maintenant ou choisir Annuler pour arrêter à ce stade. Vous pouvez revenir à cette étape de téléchargement à tout moment.
Suivant: Étape 2 : Téléchargement de la clé publique d’encapsulage et du jeton d'importation.
Création d'une clé KMS sans élément de clé (API AWS KMS)
Pour utiliser l'AWS KMSAPI afin de créer une clé KMS de chiffrement symétrique sans clé, envoyez une CreateKeydemande avec le Origin paramètre défini sur. EXTERNAL L'exemple suivant montre comment procéder avec l'AWS Command Line Interface (AWS CLI)
$aws kms create-key --origin EXTERNAL
Lorsque la commande s'exécute correctement, vous obtenez une sortie similaire à ce qui suit. L'AWS KMS de la clé Origin est EXTERNAL et son KeyState est PendingImport.
Astuce
Si la commande échoue, vous pouvez voir un KMSInvalidStateException ou un NotFoundException. Vous pouvez réessayer la demande.
{ "KeyMetadata": { "Origin": "EXTERNAL", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "Enabled": false, "MultiRegion": false, "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "PendingImport", "CreationDate": 1568289600.0, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }
Copiez la valeur KeyId dans la sortie de votre commande pour l'utiliser dans les étapes ultérieures, puis passez à l'Étape 2 : Téléchargement de la clé publique d’encapsulage et du jeton d'importation.
Note
Cette commande crée une clé KMS de chiffrement symétrique avec un KeySpec de SYMMETRIC_DEFAULT et KeyUsage deENCRYPT_DECRYPT. Vous pouvez utiliser les paramètres facultatifs --key-spec et --key-usage créer une clé asymétrique ou KMS HMAC. Pour plus d'informations, consultez l'CreateKeyopération.
