À propos des clés importées Autorisations d'importation des éléments de clé Définir un délai d'expiration (facultatif)Comment importer des éléments de clé Comment réimporter des éléments de clé Comment identifier les clés KMS avec des éléments de clé importés Comment créer une alarme d'expiration Comment supprimer les éléments de clé importés

Importation des éléments de clé dans les clés AWS KMS

Vous pouvez créer une AWS KMS keys (clé KMS) avec les éléments de clé que vous fournissez.

Une clé KMS est une représentation logique d'une clé de chiffrement. Les métadonnées d'une clé KMS incluent l'ID des éléments de clé utilisés pour chiffrer et déchiffrer des données. Lorsque vous créez une clé KMS, par défaut, AWS KMS génère les éléments de clé pour cette clé KMS. Mais vous pouvez créer une clé KMS sans éléments de clé, puis importer vos propres éléments de clé dans cette clé KMS, une fonction souvent appelée « Bring Your Own Key » (BYOK).

Note

AWS KMS ne prend pas en charge le déchiffrement de texte chiffré AWS KMS en dehors de AWS KMS, même si le texte chiffré a été chiffré sous une clé KMS avec des éléments de clé importés. AWS KMS ne publie pas le format de texte chiffré requis par cette tâche, et le format peut changer sans préavis.

Les éléments de clé importés sont pris en charge uniquement pour les clés KMS de chiffrement symétriques dans les magasins de clés AWS KMS, y compris les clés KMS de chiffrement symétriques multi-région. Ils ne sont pas pris en charge sur les clés KMS asymétriques, les clés KMS HMAC ou les clés KMS dans les magasins de clés personnalisés.

Lorsque vous utilisez des éléments de clé importés, vous restez responsable des éléments de clé tout en autorisant AWS KMS à en utiliser une copie. Vous pouvez choisir de le faire pour une ou plusieurs des raisons suivantes :

Pour prouver que vous avez généré les éléments de clé en utilisant une source d'entropie correspondant à vos besoins.
Pour utiliser des éléments de clé de votre propre infrastructure avec des services AWS et pour utiliser AWS KMS pour gérer le cycle de vie de ces éléments de clé au sein d'AWS.
Pour définir un délai d'expiration pour les éléments de clé dans AWS et pour les supprimer manuellement, mais également pour les rendre disponibles à nouveau ultérieurement. En revanche, une planification de suppression de clé nécessite une période d'attente de 7 à 30 jours, après laquelle vous ne pouvez pas récupérer la clé KMS supprimée.
Pour posséder la copie originale des éléments de clé et la conserver en dehors d'AWS pour bénéficier de plus de durabilité et d'une reprise après sinistre au cours du cycle de vie des éléments de clé.

Vous pouvez surveiller l'utilisation et la gestion d'une clé KMS avec des éléments de clé importés. AWS KMS enregistre une entrée dans votre journal AWS CloudTrail lorsque vous créez la clé KMS, téléchargez la clé publique et le jeton d'importation et importez les éléments de clé. AWS KMS enregistre également une entrée lorsque vous supprimez manuellement des éléments de clé importés ou lorsque AWS KMS supprime des éléments de clé expirés.

Pour obtenir des informations sur les différences importantes entre les clés KMS avec des éléments de clé importés et celles avec des éléments de clé générés par AWS KMS, veuillez consulter À propos des clés importées.

Régions

L'élément de clé importé est pris en charge dans toutes les Régions AWS que AWS KMS prend en charge. Les exigences relatives à l'élément de clé importé sont différentes dans les régions de Chine. Pour plus d'informations, veuillez consulter la rubrique Importation des éléments de clé – Étape 3 : Chiffrement des éléments de clé

Rubriques

À propos des clés importées
Autorisations d'importation des éléments de clé
Comment importer des éléments de clé
Comment réimporter des éléments de clé
Comment identifier les clés KMS avec des éléments de clé importés
Comment créer une alarme d'expiration
Comment supprimer les éléments de clé importés

À propos des clés importées

Avant de décider d'importer des éléments de clé dans AWS KMS, vous devez comprendre les caractéristiques suivantes propres aux éléments de clé importés.

Vous générez les éléments de clé.

Vous êtes responsable de la génération des éléments de clé à l'aide d'une source aléatoire qui répond à vos exigences de sécurité. Les éléments de clé que vous importez doivent être une clé de chiffrement symétrique de 256 bits, sauf dans les régions de Chine, où il doit s'agir d'une clé de chiffrement symétrique de 128 bits.

Vous pouvez supprimer les éléments de clé.

Vous pouvez supprimer les éléments de clé importés d'une clé KMS, ce qui la rend immédiatement inutilisable. De plus, lorsque vous importez des éléments de clé dans une clé KMS, vous pouvez définir sa date d'expiration si vous souhaitez qu'elle en ait une. À la date d'expiration, AWS KMS supprime les éléments de clé. Sans éléments de clé, la clé KMS ne peut pas être utilisée dans une opération de chiffrement. Pour restaurer la clé, vous devez y réimporter les mêmes éléments de clé.

Impossible de modifier les éléments de clé

Lorsque vous importez des éléments de clé dans une clé KMS, celle-ci est définitivement associée à ces éléments de clé. Vous pouvez réimporter les mêmes éléments de clé, mais vous ne pouvez pas en importer d'autres dans cette clé KMS. De plus, vous ne pouvez pas activer la rotation automatique des clés pour une clé KMS dont les éléments de clé sont importés. Toutefois, vous pouvez soumettre à une rotation manuelle une clé KMS avec les éléments de clé importés.

Impossible de modifier l'origine des éléments de clé

Les clés KMS conçues pour les éléments importés sont dotées d'une valeur origin (origine) non modifiable définie sur EXTERNAL. Vous ne pouvez pas convertir une clé KMS conçue pour utiliser des éléments importés pour utiliser des éléments de clé provenant d'une autre source, y compris AWS KMS.

Impossible de déchiffrer avec une autre clé KMS

Lorsque vous chiffrez des données sous une clé KMS, le texte chiffré est associé de façon permanente à la clé et à ses éléments. Il ne peut pas être déchiffré à l'aide d'une autre clé KMS, y compris une clé différente avec les mêmes éléments. Il s'agit d'une fonction de sécurité des clés KMS.

La seule exception est les clés multi-région, qui sont conçues pour être interopérables. Pour plus de détails, veuillez consulter Pourquoi toutes les clés KMS avec des éléments de clé importés ne sont-elles pas interopérables ?.

Pas de fonctions de portabilité ou de mise sous séquestre

Les textes chiffrés symétriques produits par AWS KMS ne sont pas portables. AWS KMS ne publie pas le format de texte chiffré symétrique requis par la portabilité, et le format peut changer sans préavis.

AWS KMS ne peut pas déchiffrer les textes chiffrés symétriques que vous chiffrez en dehors d'AWS, même si vous utilisez des éléments de clé que vous avez importés.
AWS KMS ne prend pas en charge le déchiffrement de texte chiffré AWS KMS symétrique en dehors d'AWS KMS, même si le texte chiffré a été chiffré à l'aide d'une clé KMS avec des éléments de clé importés.

En outre, vous ne pouvez pas utiliser d'outils AWS, tels que le AWS Encryption SDK ou le chiffrement côté client Amazon S3 pour déchiffrer les textes chiffrés AWS KMS symétriques.

Par conséquent, vous ne pouvez pas utiliser de clés avec les éléments de clé importés pour prendre en charge les dispositifs de séquestre pour lesquels un tiers autorisé doté d'un accès conditionnel aux éléments de clé, peut déchiffrer certains textes chiffrés en dehors de AWS KMS. Pour prendre en charge le séquestre de clés, utilisez le kit AWS Encryption SDK pour chiffrer votre message sous une clé indépendante de AWS KMS.

Vous êtes responsable de la disponibilité et de la durabilité.

Vous êtes responsable de la disponibilité et de la durabilité globales des clés. AWS KMS est conçu pour maintenir la haute disponibilité des clés importées. En revanche, AWS KMS ne gère pas la durabilité des éléments de clé importés au même niveau que les éléments générés par AWS KMS. Pour restaurer les éléments de clé importés qui ont été supprimés d'une clé KMS, vous devez conserver une copie des éléments de clé dans un système que vous contrôlez. Nous vous recommandons de stocker une copie exportable des éléments de clé importés dans un système de gestion des clés, tel qu'un module de sécurité matérielle (HSM).

Cette différence est significative dans les cas suivants :

Lorsque vous définissez un délai d'expiration de vos éléments de clé importés, AWS KMS supprime les éléments après leur expiration. AWS KMS ne supprime pas la clé KMS ni ses métadonnées. Vous pouvez créer une alarme Amazon CloudWatch qui vous avertit lorsque les éléments de clé importés approchent de leur date d'expiration.

Vous ne pouvez pas supprimer des éléments de clé que AWS KMS génère pour une clé KMS et vous ne pouvez pas définir de délai d'expiration pour les éléments de clé AWS KMS, bien que vous puissiez les faire pivoter.
Lorsque vous supprimez manuellement des éléments de clé importés, AWS KMS supprime les éléments de clé, mais ne supprime pas la clé KMS ni ses métadonnées. En revanche, une planification de suppression de clé nécessite une période d'attente de 7 à 30 jours, après laquelle AWS KMS supprime définitivement la clé KMS, ses éléments de clé et ses métadonnées.
Dans l'éventualité improbable d'une panne régionale affectant AWS KMS (telles qu'une panne électrique généralisée), AWS KMS ne peut pas restaurer automatiquement vos éléments de clé importés. Toutefois, AWS KMS peut restaurer la clé KMS et ses métadonnées.

Autorisations d'importation des éléments de clé

Pour créer et gérer des clés KMS avec des éléments de clé importés, l'utilisateur a besoin d'une autorisation pour les opérations de ce processus. Vous pouvez fournir les autorisations kms:GetParametersForImport, kms:ImportKeyMaterial et kms:DeleteImportedKeyMaterial dans la politique de clé lorsque vous créez la clé KMS. Dans la console AWS KMS, ces autorisations sont ajoutées automatiquement pour les administrateurs de clé lorsque vous créez une clé ayant une origine des éléments de clé externe.

Pour créer des clés KMS avec des éléments de clé importés, le principal a besoin des autorisations suivantes.

kms:CreateKey (politique IAM)

Pour limiter cette autorisation aux clés KMS avec des éléments de clé importés, utilisez la condition de politique kms:KeyOrigin avec une valeur de EXTERNAL.


{
  "Sid": "CreateKMSKeysWithoutKeyMaterial",
  "Effect": "Allow",
  "Resource": "*",
  "Action": "kms:CreateKey",
  "Condition": {
    "StringEquals": {
      "kms:KeyOrigin": "EXTERNAL"
    }
  }
}

kms:GetParametersForImport (politique de clé ou politique IAM)
- Pour limiter cette autorisation aux demandes qui utilisent un algorithme d'encapsulage particulier et une spécification de clé d'encapsulage, utilisez les conditions de politique kms:WrappingAlgorithm et kms:WrappingKeySpec.
kms:ImportKeyMaterial (politique de clé ou politique IAM)
- Pour autoriser ou interdire les éléments de clé qui expirent et contrôler la date d'expiration, utilisez les conditions de politique kms:ExpirationModel et kms:ValidTo.

Pour réimporter les éléments de clé importés, le principal a besoin des autorisations kms:GetParametersForImport et kms:ImportKeyMaterial.

Pour supprimer des éléments de clé importés, le principal a besoin de l'autorisation kms:DeleteImportedKeyMaterial.

Par exemple, pour donner à l'exemple l'autorisation KMSAdminRole de gérer tous les aspects d'une clé KMS avec des éléments de clé importés, incluez une instruction de politique de clé telle que celle suivante dans la politique clé de la clé KMS.


{
  "Sid": "Manage KMS keys with imported key material",
  "Effect": "Allow",
  "Resource": "*",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole"
  },
  "Action": [
    "kms:GetParametersForImport",
    "kms:ImportKeyMaterial",
    "kms:DeleteImportedKeyMaterial"
  ]  
}

Définir un délai d'expiration (facultatif)

Lorsque vous importez les éléments de clé de votre clé KMS, vous pouvez définir une date et une heure d'expiration facultatives pour les éléments de clé pouvant aller jusqu'à 365 jours à compter de la date d'importation. Lorsque les éléments de clé importés expirent, AWS KMS les supprime. Cette action change l'état de la clé KMS en PendingImport, ce qui l'empêche d'être utilisée dans toute opération cryptographique. Pour utiliser la clé KMS, vous devez réimporter une copie des éléments de clé originaux.

S'assurer que les éléments de clé importés expirent fréquemment peut vous aider à satisfaire aux exigences réglementaires, mais cela introduit un risque supplémentaire pour les données chiffrées au moyen de la clé KMS. Tant que vous n'avez pas réimporté une copie des éléments de clé originaux, une clé KMS dont les éléments de clé ont expiré est inutilisable, et toutes les données chiffrées au moyen de la clé KMS sont inaccessibles. Si vous ne parvenez pas à réimporter les éléments de clé pour quelque raison que ce soit, y compris la perte de votre copie des éléments de clé originaux, la clé KMS est définitivement inutilisable et les données chiffrées au moyen de la clé KMS sont irrécupérables.

Pour atténuer ce risque, assurez-vous que votre copie des éléments de clé importés est accessible et concevez un système pour supprimer et réimporter les éléments de clé avant qu'ils n'expirent et n'interrompent votre charge de travail AWS. Nous vous recommandons de programmer une alerte pour l'expiration de vos éléments de clé importés, afin de disposer de suffisamment de temps pour réimporter les éléments de clé avant leur expiration. Vous pouvez également utiliser vos journaux CloudTrail pour auditer les opérations d'importation (et de réimportation) d'éléments de clé et de suppression d'éléments de clé importés, ainsi que l'opération AWS KMS de suppression des éléments de clé expirés.

Vous ne pouvez pas importer des éléments de clé différents dans la clé KMS, et AWS KMS ne peut pas restaurer, récupérer ou reproduire les éléments de clé supprimés. Au lieu de définir une date d'expiration, vous pouvez supprimer et réimporter périodiquement et par programmation les éléments de clé importés, mais les exigences relatives à la conservation d'une copie des éléments de clé originaux sont les mêmes.

Vous déterminez si et quand les éléments de clé importés expirent lorsque vous importez les éléments de clé importés. Mais vous pouvez activer et désactiver l'expiration, ou définir un nouveau délai d'expiration en supprimant et en réimportant les éléments de clé. Utilisez le paramètre ExpirationModel de ImportKeyMaterial pour activer (KEY_MATERIAL_EXPIRES) et désactiver (KEY_MATERIAL_DOES_NOT_EXPIRE) l'expiration et le paramètre ValidTo pour définir le délai d'expiration. Le délai maximal est de 365 jours à compter de la date d'importation ; il n'y a pas de minimum, mais le délai doit être dans le futur.

Comment importer des éléments de clé

La présentation suivante explique comment importer vos éléments de clé dans AWS KMS. Pour plus d'informations sur chaque étape du processus, consultez la rubrique correspondante.

Création d'une clé KMS de chiffrement symétrique sans élément de clé – La spécification de clé doit être SYMMETRIC_DEFAULT et l'origine doit être EXTERNAL. Une origine de clé EXTERNAL indique que la clé est conçue pour les éléments de clé importés et empêche AWS KMS de générer des éléments de clé pour la clé KMS. Dans une étape ultérieure, vous importerez vos propres éléments de clé dans cette clé KMS.
Téléchargement de la clé publique et du jeton d'importation – Une fois l'étape 1 terminée, téléchargez une clé publique et un jeton d'importation. Ces éléments protègent vos éléments de clé lors de leur importation dans AWS KMS.
Chiffrement des éléments de clé – Utilisez la clé publique que vous avez téléchargée à l'étape 2 pour chiffrer les éléments de clé que vous avez créés sur votre propre système.
Importation des éléments de clé – Téléchargez les éléments de clé chiffrés que vous avez créés à l'étape 3 et le jeton d'importation que vous avez téléchargé à l'étape 2.

À ce stade, vous pouvez définir un délai d'expiration facultatif. Lorsque les éléments de clé importés expirent, AWS KMS les supprime et la clé KMS devient inutilisable. Pour continuer à utiliser la clé KMS, vous devez réimporter les éléments de clé same.

Lorsque l'opération d'importation est terminée, l'état de la clé KMS passe de PendingImport à Enabled. Vous pouvez désormais utiliser la clé KMS dans des opérations de chiffrement.

AWS KMS enregistre une entrée dans votre journal AWS CloudTrail lorsque vous créez la clé KMS, téléchargez la clé publique et importez le jeton, et importez les éléments de clé. AWS KMS enregistre également une entrée lorsque vous supprimez des éléments de clé importés ou lorsque AWS KMS supprime des éléments de clé expirés.

Comment réimporter des éléments de clé

Si vous gérez une clé KMS avec des éléments de clé importés, vous pouvez avoir besoin de les réimporter. Vous pouvez réimporter des éléments de clé pour remplacer des éléments de clé expirés ou supprimés, ou pour modifier le modèle ou la date d'expiration de ceux-ci.

Vous devez réimporter les mêmes éléments de clé initialement importés dans la clé KMS. Vous ne pouvez pas importer d'autres éléments de clé dans une clé KMS. De plus, AWS KMS ne peut pas créer d'éléments de clé pour une clé KMS avec des éléments de clé importés.

Vous pouvez réimporter des éléments de clé à tout moment, selon une planification qui répond à vos exigences de sécurité. Vous n'avez pas besoin d'attendre que les éléments de clé arrivent à leur date d'expiration ou en soient proches.

Pour réimporter des éléments de clé, utilisez la même procédure que pour importer les éléments de clé la première fois, avec les exceptions suivantes.

Utilisez une clé KMS existante au lieu de créer une nouvelle clé KMS. Vous pouvez ignorer l'étape 1 de la procédure d'importation.
Si la clé KMS a importé le matériel clé, vous devez supprimer les éléments de clé existants avant de réimporter les éléments de clé.
Lorsque vous réimportez des éléments de clé, vous pouvez modifier le modèle et la date d'expiration.

Chaque fois que vous importez des éléments de clé pour une clé KMS, vous devez télécharger et utiliser une nouvelle clé d'encapsulage et un nouveau jeton d'importation pour la clé KMS. La procédure d'encapsulage n'affecte pas le contenu des clés. Vous pouvez donc utiliser différentes clés d'encapsulage (et différents jetons d'importation) pour importer les mêmes clés.

Comment identifier les clés KMS avec des éléments de clé importés

Lorsque vous créez une clé KMS sans éléments de clé, la valeur de la propriété Origin de la clé KMS est EXTERNAL et ne peut pas être modifiée. Contrairement à l'état de la clé, la valeur Origin ne dépend pas de la présence ou non d'éléments de clé.

Vous pouvez utiliser la valeur d'origine EXTERNAL pour identifier les clés KMS conçues pour les éléments clé importés. Vous pouvez trouver l'origine de la clé dans la console AWS KMS ou à l'aide de l'opération DescribeKey. Vous pouvez également afficher les propriétés des éléments de clé, par exemple leur date d'expiration éventuelle, à l'aide de la console ou des API.

Pour identifier les clés KMS avec des éléments de clé importés (console)

Ouvrez la console AWS KMS à l'adresse https://console.aws.amazon.com/kms.
Pour changer de Région AWS, utilisez le sélecteur de région dans l'angle supérieur droit de la page.
Utilisez l'une des techniques suivantes pour afficher la propriété Origin de vos clés KMS.
- Pour ajouter une colonne d'origine à votre table de clé KMS. Dans le coin supérieur droit, choisissez l'icône Settings (Paramètres). Choisissez Origine, puis Confirmer. La colonne Origin (Origine) permet d'identifier facilement les clés KMS avec une valeur de propriété d'origine EXTERNAL.
- Pour rechercher la valeur de la propriété Origin d'une clé KMS particulière, choisissez l'ID de clé ou l'alias de la clé KMS. Choisissez ensuite l'onglet Cryptographic configuration (Configuration du chiffrement). Les onglets se trouvent sous la section General configuration (Configuration générale).
Pour consulter des informations détaillées sur les éléments de clé, sélectionnez l'onglet Key material (Éléments de clé). Cet onglet apparaît sur la page détaillée uniquement pour les clés KMS dont les éléments de clé sont importés.

Pour identifier les clés KMS avec des éléments de clé importés (API AWS KMS)

Utilisez l'opération DescribeKey. La réponse inclut la propriété Origin de la clé KMS, le modèle d'expiration et la date d'expiration, comme illustré dans l'exemple suivant.


$  aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyMetadata": {
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Origin": "EXTERNAL",
        "ExpirationModel": "KEY_MATERIAL_EXPIRES"
        "ValidTo": 2023-03-08T12:00:00+00:00,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "CreationDate": 2018-06-09T00:06:50.831000+00:00,
        "Enabled": false,
        "MultiRegion": false,
        "Description": "",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "PendingImport",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}

Création d'une alarme CloudWatch pour l'expiration d'éléments de clé importés

Vous pouvez créer une alarme CloudWatch qui vous avertit lorsque les éléments de clé importés dans une clé KMS approchent de leur date d'expiration. Par exemple, l'alarme peut vous notifier lorsque le délai d'expiration est inférieur à 30 jours.

Lorsque vous importez des éléments de clé dans une clé KMS, vous pouvez éventuellement spécifier une date et heure à laquelle les éléments de clé doivent expirer. Lorsque les éléments de clé expirent, AWS KMS supprime les éléments de clé et la clé KMS devient inutilisable. Pour utiliser la clé KMS à nouveau, vous devez réimporter les éléments de clé. Toutefois, si vous réimportez les éléments de clé avant qu'ils n'expirent, vous pouvez éviter de perturber les processus qui utilisent cette clé KMS.

Cette alarme utilise la métrique SecondsUntilKeyMaterialExpires que AWS KMS publie sur CloudWatch pour les clés KMS dont les éléments de clé importés arrivent à expiration. Chaque alarme utilise cette métrique pour surveiller les éléments de clé importés pour une clé KMS particulière. Vous ne pouvez pas créer une alarme unique pour toutes les clés KMS dont les éléments de clé expire ou une alarme pour les clés KMS que vous pourriez créer ultérieurement.

Prérequis

Les ressources suivantes sont nécessaires pour une alarme CloudWatch qui surveille l'expiration des éléments de clé importés.

Une clé KMS dont les éléments de clé importés expirent. Pour obtenir de l'aide, veuillez consulter Comment identifier les clés KMS avec des éléments de clé importés.
Une rubrique Amazon SNS Pour plus de détails, consultez la section Création d'une rubrique Amazon SNS dans le Guide de l'utilisateur Amazon CloudWatch.

Créez l'alarme

Suivez les instructions de la section Création d'une alerte CloudWatch basée sur un seuil statique à l'aide des valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.

Champ	Valeur
Sélectionner une métrique	Choisissez KMS, puis choisissez Per-Key Metrics. Choisissez la ligne contenant la clé KMS et la métrique `SecondsUntilKeyMaterialExpires`. Ensuite, choisissez Select metric (Sélectionner une métrique). La liste Métriques affiche les métriques `SecondsUntilKeyMaterialExpires` uniquement pour les clés KMS dont les éléments de clé importés expirent. Si vous ne disposez pas de clés KMS avec ces propriétés dans le compte et la région, cette liste est vide.
Statistique	Minimum
Période	1 minute
Type de seuil	Statique
Chaque fois que …	Chaque fois que le `nom de la métrique` est supérieur à `1`

Suppression des éléments de clé importés

Vous pouvez supprimer des éléments de clé importés d'une clé KMS à tout moment. De plus, lorsque les éléments de clé importés arrivent à leur date d'expiration, AWS KMS les supprime. Dans les deux cas, AWS KMS supprime immédiatement les éléments de clé, l'état de la clé KMS passe en pending import (en attente d'importation) et celle-ci ne peut pas être utilisée dans le cadre d'opérations de chiffrement.

Toutefois, ces actions ne suppriment pas la clé KMS. Pour utiliser la clé KMS à nouveau, vous devez y réimporter les mêmes éléments de clé. En revanche, la suppression d'une clé KMS est irréversible. Si vous planifiez une suppression de clé et que la période d'attente requise expire, AWS KMS supprime les éléments de clé et toutes les métadonnées associées à la clé KMS.

Pour supprimer les éléments de clé, vous pouvez utiliser AWS Management Console ou l'API AWS KMS. Vous pouvez utiliser l'API directement en exécutant des demandes HTTP, ou en utilisant un kit SDK AWS, l'AWS Command Line Interface (AWS CLI), ou AWS Tools for PowerShell.

AWS KMS enregistre une entrée dans votre journal AWS CloudTrail lorsque vous supprimez les éléments de clé importés et lorsque AWS KMS supprime les éléments de clé expirés.

Rubriques

Comment la suppression des éléments de clé affecte les services AWS
Supprimer les éléments de clé (console)
Suppression des éléments de clé (API AWS KMS)

Comment la suppression des éléments de clé affecte les services AWS

Lorsque vous supprimez des éléments de clé, la clé KMS sans éléments de clé devient immédiatement inutilisable (sous réserve d'une éventuelle cohérence). Toutefois, les ressources chiffrées à l'aide de clés de données protégées par la clé KMS ne sont pas affectées tant que la clé KMS n'est pas réutilisée, par exemple pour déchiffrer la clé de données. Ce problème affecte les Services AWS, dont beaucoup utilisent des clés de données pour protéger vos ressources. Pour plus de détails, veuillez consulter Comment les clés KMS inutilisables affectent les clés de données.

Supprimer les éléments de clé (console)

Vous pouvez utiliser AWS Management Console pour supprimer les éléments de clé.

Connectez-vous à la AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms.
Pour changer de Région AWS, utilisez le sélecteur de région dans l'angle supérieur droit de la page.
Dans le volet de navigation, choisissez Clés gérées par le client.
Effectuez l'une des actions suivantes :
- Cochez la case correspondant à une clé KMS avec les éléments de clé importés. Choisissez Key actions, Delete key material.
- Choisissez l'alias ou l'ID de clé d'une clé KMS avec les éléments de clé importés. Cliquez sur l'onglet Key material (Éléments de clé), puis choisissez Delete key material (Suppression des éléments de clé).
Confirmez que vous souhaitez supprimer les éléments de clé, puis choisissez Delete key material. Le statut de la clé KMS, qui correspond à son état de clé, passe à Pending import (En attente d'importation).

Suppression des éléments de clé (API AWS KMS)

Pour utiliser l'API AWS KMS pour supprimer les éléments de clé, envoyez une demande DeleteImportedKeyMaterial. L'exemple suivant montre comment procéder avec l'interface AWS CLI.

Remplacez 1234abcd-12ab-34cd-56ef-1234567890ab par l'ID de clé de la clé KMS dont vous souhaitez supprimer les éléments de clé. Vous pouvez utiliser l'ID de clé ou le nom ARN de la clé KMS, mais vous ne pouvez pas utiliser un alias pour cette opération.


$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Suppression de clés multi-régions

Étape 1 : création d'une clé KMS sans élément de clé