AWS CloudHSM magasins clés

Un magasin de AWS CloudHSM clés est un magasin de clés personnalisé soutenu par un AWS CloudHSM cluster. Lorsque vous créez un magasin AWS KMS keyde clés personnalisé, vous AWS KMS générez et stockez des éléments clés non extractibles pour la clé KMS dans un AWS CloudHSM cluster que vous possédez et gérez. Lorsque vous utilisez une clé KMS dans un magasin de clés personnalisé, les opérations de chiffrement sont effectuées dans les modules HSM du cluster. Cette fonctionnalité combine la commodité et AWS KMS l'intégration généralisée d'un AWS CloudHSM cluster dans votre Compte AWS.

AWS KMS fournit un support complet de console et d'API pour la création, l'utilisation et la gestion de vos magasins de clés personnalisés. Vous pouvez utiliser les clés KMS dans votre magasin de clés personnalisé de la même manière que vous utilisez n'importe quelle clé KMS. Par exemple, vous pouvez utiliser les clés KMS pour générer des clés de données et chiffrer des données. Vous pouvez également utiliser les clés KMS dans votre magasin de clés personnalisé avec des AWS services prenant en charge les clés gérées par le client.

Est-ce que j'ai besoin d'un magasin de clés personnalisé ?

Pour la plupart des utilisateurs, le magasin de AWS KMS clés par défaut, qui est protégé par des modules cryptographiques validés par la norme FIPS 140-2, répond à leurs exigences de sécurité. Il n'est pas nécessaire d'ajouter une couche supplémentaire de responsabilité de maintenance ou une dépendance à l'égard d'un service supplémentaire.

Cependant, vous pouvez envisager la création d'un magasin de clés personnalisé si votre organisation possède l'une des exigences suivantes :

• Vous avez des clés qui doivent explicitement être protégées dans un HSM à locataire unique ou dans un HSM sur lequel vous avez un contrôle direct.

• Vous devez être en mesure de retirer immédiatement les éléments clés de AWS KMS.

• Vous devez être en mesure d'auditer toute utilisation de vos clés indépendamment de AWS KMS ou AWS CloudTrail.

Comment fonctionnent les magasins de clés personnalisés ?

Chaque magasin de clés personnalisé est associé à un AWS CloudHSM cluster dans votre Compte AWS. Lorsque vous connectez le magasin de clés personnalisé à son cluster, il AWS KMS crée l'infrastructure réseau pour prendre en charge la connexion. Il se connecte ensuite au AWS CloudHSM client clé du cluster à l'aide des informations d'identification d'un utilisateur cryptographique dédié du cluster.

Vous créez et gérez vos magasins de clés personnalisés dans AWS KMS et vous créez et gérez vos clusters HSM dans AWS CloudHSM. Lorsque vous créez AWS KMS keys dans un magasin de clés AWS KMS personnalisé, vous visualisez et gérez les clés KMS dans AWS KMS. Mais vous pouvez également afficher et gérer leurs éléments clés dans AWS CloudHSM, comme vous le feriez pour les autres clés du cluster.

Vous pouvez créer des clés KMS de chiffrement symétriques à partir du contenu clé généré par AWS KMS votre magasin de clés personnalisé. Utilisez ensuite les mêmes techniques pour afficher et gérer les clés KMS dans votre magasin de clés personnalisé que celles que vous utilisez pour les clés KMS dans le magasin de AWS KMS clés. Vous pouvez contrôler l'accès aux politiques IAM et aux politiques de clé, créer des balises et des alias, activer et désactiver les clés KMS, et planifier la suppression de clés. Vous pouvez utiliser les clés KMS pour des opérations cryptographiques et les utiliser avec AWS des services intégrés à AWS KMS.

En outre, vous avez un contrôle total sur le AWS CloudHSM cluster, notamment en créant et en supprimant des HSM et en gérant les sauvegardes. Vous pouvez utiliser le AWS CloudHSM client et les bibliothèques logicielles prises en charge pour visualiser, auditer et gérer les éléments clés de vos clés KMS. Lorsque le magasin de clés personnalisé est déconnecté, il AWS KMS ne peut pas y accéder et les utilisateurs ne peuvent pas utiliser les clés KMS du magasin de clés personnalisé pour des opérations cryptographiques. Cette nouvelle couche de contrôle fait du magasin de clés personnalisé une solution puissante pour les organisations qui en ont besoin.

Où commencer ?

Pour créer et gérer un magasin de AWS CloudHSM clés, vous utilisez les fonctionnalités de AWS KMS et AWS CloudHSM.

1. Commencez par AWS CloudHSMCréez un cluster AWS CloudHSM actif ou sélectionnez un cluster existant. Le cluster doit avoir au moins deux modules HSM actifs de différentes zones de disponibilité. Ensuite, créez un compte CU (utilisateur de chiffrement) dédié dans ce cluster pour AWS KMS.

2. Dans AWS KMS, créez un magasin de clés personnalisé associé au AWS CloudHSM cluster sélectionné. AWS KMS fournit une interface de gestion complète qui vous permet de créer, d'afficher, de modifier et de supprimer vos banques de clés personnalisées.

3. Lorsque vous êtes prêt à utiliser votre magasin de clés personnalisé, connectez-le au AWS CloudHSM cluster associé. AWS KMS crée l'infrastructure réseau dont elle a besoin pour prendre en charge la connexion. Ensuite, il se connecte au cluster à l'aide des informations d'identification du compte CU dédié afin de générer et de gérer les clés dans le cluster.

4. Vous pouvez désormais créer des clés KMS de chiffrement symétriques dans votre magasin de clés personnalisé. Il vous suffit de spécifier le magasin de clés personnalisé lorsque vous créez la clé KMS.

Si vous vous retrouvez bloqué à un moment, vous pouvez obtenir de l'aide dans la rubrique Dépannage d'un magasin de clés personnalisé. Si vous ne trouvez pas de réponse à votre question, utilisez le lien situé en bas de chaque page de ce guide ou publiez une question sur le AWS Key Management Service forum de discussion.

Quotas

AWS KMS autorise jusqu'à 10 magasins de clés personnalisés dans chaque Compte AWS région, y compris les magasins de AWS CloudHSM clés et les magasins de clés externes, quel que soit leur état de connexion. En outre, il existe des quotas de AWS KMS demandes concernant l'utilisation des clés KMS dans un magasin de AWS CloudHSM clés.

Tarification

Pour plus d'informations sur le coût des magasins de clés AWS KMS personnalisés et des clés gérées par le client dans un magasin de clés personnalisé, consultez AWS Key Management Service les tarifs. Pour plus d'informations sur le coût des AWS CloudHSM clusters et des HSM, consultez la section AWS CloudHSM Tarification.

Régions

AWS KMS prend en charge les AWS CloudHSM principaux magasins dans Régions AWS tous AWS KMS les pays concernés, à l'exception de l'Asie-Pacifique (Melbourne), de la Chine (Pékin), de la Chine (Ningxia) et de l'Europe (Espagne).

Fonctions non prises en charge

AWS KMS ne prend pas en charge les fonctionnalités suivantes dans les magasins de clés personnalisés.

• Clés KMS asymétriques

• Paires de clés de données asymétriques

• Clés KMS HMAC

• Clés KMS avec des éléments de clé importés

• Rotation automatique des clés

• Clés multi-région

Rubriques

• Concepts de magasins de clés AWS CloudHSM
• Contrôler l'accès à votre magasin de clés AWS CloudHSM
• Gérer un magasin de clés personnalisé CloudHSM
• Gérer les clés KMS dans un magasin de clés CloudHSM
• Dépannage d'un magasin de clés personnalisé