Importation de matériel clé pour les AWS KMS clés - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Importation de matériel clé pour les AWS KMS clés

Vous pouvez créer une AWS KMS keys (clé KMS) avec les éléments de clé que vous fournissez.

Une clé KMS est une représentation logique d'une clé de chiffrement. Les métadonnées d'une clé KMS incluent l'ID des éléments de clé utilisés pour chiffrer et déchiffrer des données. Lorsque vous créez une clé KMS, par défaut, AWS KMS génère les éléments de clé pour cette clé KMS. Mais vous pouvez créer une clé KMS sans éléments de clé, puis importer vos propres éléments de clé dans cette clé KMS, une fonction souvent appelée « Bring Your Own Key » (BYOK).

Note

AWS KMS ne prend pas en charge le AWS KMS déchiffrement de texte chiffré en dehors de AWS KMS, même si le texte chiffré a été chiffré sous une clé KMS avec du matériel clé importé. AWS KMS ne publie pas le format de texte chiffré requis par cette tâche, et le format peut changer sans préavis.

Le matériel clé importé est pris en charge sur tous les types de clés KMS, à l'exception des clés KMS dans les magasins de clés personnalisés. Toutefois, dans les régions de Chine, vous ne pouvez importer que des éléments de clé de chiffrement symétrique dans des clés KMS.

Lorsque vous utilisez du matériel clé importé, vous restez responsable du matériel clé tout en autorisant l'utilisation AWS KMS d'une copie de celui-ci. Vous pouvez choisir de le faire pour une ou plusieurs des raisons suivantes :

  • Pour prouver que l’élément de clé a été généré en utilisant une source d'entropie correspondant à vos besoins.

  • Pour utiliser le matériel clé de votre propre infrastructure avec AWS des services, et AWS KMS pour gérer le cycle de vie du matériel clé qu'il contient AWS.

  • Pour utiliser des clés existantes et bien établies AWS KMS, telles que les clés pour la signature de code, la signature de certificats PKI et les applications associées à des certificats

  • Pour définir une date d'expiration pour le contenu clé AWS et le supprimer manuellement, mais aussi pour le rendre à nouveau disponible à l'avenir. En revanche, une planification de suppression de clé nécessite une période d'attente de 7 à 30 jours, après laquelle vous ne pouvez pas récupérer la clé KMS supprimée.

  • Posséder la copie originale du matériel clé et la conserver à l'extérieur AWS pour une durabilité accrue et une reprise après sinistre pendant tout le cycle de vie du matériau clé.

  • Pour les clés asymétriques et les clés HMAC, l'importation crée des clés compatibles et interopérables qui fonctionnent à l'intérieur et à l'extérieur de. AWS

Vous pouvez auditer et surveiller l'utilisation et la gestion d'une clé KMS à l'aide de matériel clé importé. AWS KMS enregistre un événement dans votre AWS CloudTrail journal lorsque vous créez la clé KMS, que vous téléchargez la clé publique d'encapsulage et le jeton d'importation, et que vous importez le matériel clé. AWS KMS enregistre également un événement lorsque vous supprimez manuellement des éléments clés importés ou lorsque vous AWS KMS supprimez des éléments clés expirés.

Pour plus d'informations sur les différences importantes entre les clés KMS dont le contenu clé est importé et celles dont le contenu clé est généré par AWS KMS, voirÀ propos des clés importées.

Clés KMS prises en charge

AWS KMS prend en charge le matériel clé importé pour les types de clés KMS suivants. Vous ne pouvez pas importer des éléments de clé dans des clés KMS d’un magasin de clés personnalisé. Dans les régions de Chine, vous ne pouvez importer que des éléments de clé dans des clés de chiffrement symétrique.

Régions

Le matériel clé importé est pris en charge dans tous Régions AWS les AWS KMS supports.

Dans les régions de Chine, vous ne pouvez importer que des éléments de clé dans des clés KMS de chiffrement symétrique. De plus, les exigences d’éléments de clé diffèrent de celles des autres régions. Pour plus de détails, consultez Importation des éléments de clé – Étape 3 : Chiffrement des éléments de clé.