Magasins de clés AWS CloudHSM

Un magasin de clés AWS CloudHSM est un magasin de clés personnalisé soutenu par un cluster AWS CloudHSM. Lorsque vous créez une AWS KMS key dans un magasin de clés personnalisé, AWS KMS génère et stocke des éléments de clé non extractibles pour la clé KMS dans un cluster AWS CloudHSM que vous détenez et gérez. Lorsque vous utilisez une clé KMS dans un magasin de clés personnalisé, les opérations de chiffrement sont effectuées dans les modules HSM du cluster. Cette fonction combine la dimension pratique et l'intégration étendue de AWS KMS avec le contrôle supplémentaire d'un cluster AWS CloudHSM dans votre Compte AWS.

AWS KMS fournit une console complète et un support d'API pour la création, l'utilisation et la gestion de vos magasins de clés personnalisés. Vous pouvez utiliser les clés KMS dans votre magasin de clés personnalisé de la même manière que vous utilisez n'importe quelle clé KMS. Par exemple, vous pouvez utiliser les clés KMS pour générer des clés de données et chiffrer des données. Vous pouvez également utiliser les clés KMS de votre magasin de clés personnalisé avec les services AWS qui prennent en charge les clés gérées par le client.

Est-ce que j'ai besoin d'un magasin de clés personnalisé ?

Pour la plupart des utilisateurs, le magasin de clés AWS KMS par défaut, qui est protégé par les modules de chiffrement validés FIPS 140-2, répond à leurs exigences en matière de sécurité. Il n'est pas nécessaire d'ajouter une couche supplémentaire de responsabilité de maintenance ou une dépendance à l'égard d'un service supplémentaire.

Cependant, vous pouvez envisager la création d'un magasin de clés personnalisé si votre organisation possède l'une des exigences suivantes :

• Vous disposez de clés qui doivent explicitement être protégées dans un HSM à locataire unique ou dans un HSM dont vous avez le contrôle direct.

• Vous devez être en mesure de retirer immédiatement les éléments clés deAWS KMS.

• Vous devez être en mesure de contrôler toutes les utilisations de vos clés indépendamment de AWS KMS ouAWS CloudTrail.

Comment fonctionnent les magasins de clés personnalisés ?

Chaque magasin de clés personnalisé est associé à un cluster AWS CloudHSM de votre Compte AWS. Lorsque vous vous connectez le magasin de clés personnalisé à son cluster, AWS KMS crée l'infrastructure réseau pour prendre en charge la connexion. Ensuite, il se connecte au client AWS CloudHSM de la clé du cluster à l'aide des informations d'identification d'un utilisateur de chiffrement dédié du cluster.

Vous pouvez créer et gérer vos magasins de clés personnalisés dans AWS KMS, et créer et gérer des clusters HSM dans AWS CloudHSM. Lorsque vous créez des AWS KMS keys dans un magasin de clé personnalisé AWS KMS, vous affichez et gérez les clés KMS dans AWS KMS. Mais vous pouvez également afficher et gérer leurs clés dans AWS CloudHSM, tout comme vous le feriez pour d'autres clés du cluster.

Vous pouvez créer des clés KMS de chiffrement symétriques avec l'élément de clé généré par AWS KMS dans votre magasin de clés personnalisé. Utilisez ensuite les mêmes techniques pour afficher et gérer les clés KMS dans votre magasin de clés personnalisé que vous utilisez pour les clés KMS dans le magasin de clés AWS KMS. Vous pouvez contrôler l'accès aux politiques IAM et aux politiques de clé, créer des balises et des alias, activer et désactiver les clés KMS, et planifier la suppression de clés. Vous pouvez utiliser les clés KMS pour les opérations de chiffrement et les utiliser avec les services AWS qui s'intègrent à AWS KMS.

En outre, vous disposez d'un contrôle total sur le cluster AWS CloudHSM, y compris la création et la suppression de modules HSM, et la gestion des sauvegardes. Vous pouvez utiliser le client AWS CloudHSM et les bibliothèques logicielles prises en charge afin d'afficher, auditer et gérer les éléments de clés de vos clés KMS. Lorsque le magasin de clés personnalisé est déconnecté, AWS KMS ne peut pas y accéder, et les utilisateurs ne peuvent pas utiliser les clés KMS du magasin de clés personnalisé pour les opérations de chiffrement. Cette nouvelle couche de contrôle fait du magasin de clés personnalisé une solution puissante pour les organisations qui en ont besoin.

Où commencer ?

Pour créer et gérer un magasin de clés AWS CloudHSM, vous utilisez les fonctionnalités d'AWS KMS et AWS CloudHSM.

1. Démarrez dans AWS CloudHSM. Créez un cluster AWS CloudHSM actif ou sélectionnez un cluster existant. Le cluster doit avoir au moins deux modules HSM actifs de différentes zones de disponibilité. Ensuite, créez un compte CU (utilisateur de chiffrement) dédié dans ce cluster pour AWS KMS.

2. Dans AWS KMS, créez un magasin de clés personnalisé associé à votre cluster AWS CloudHSM sélectionné. AWS KMS fournit une interface de gestion complète qui vous permet de créer, d'afficher, de modifier et de supprimer vos magasins de clés personnalisés.

3. Lorsque vous êtes prêt à utiliser votre magasin de clés personnalisé, connectez-le à son cluster AWS CloudHSM associé. AWS KMS crée l'infrastructure réseau dont il a besoin pour prendre en charge la connexion. Ensuite, il se connecte au cluster à l'aide des informations d'identification du compte CU dédié afin de générer et de gérer les clés dans le cluster.

4. Vous pouvez désormais créer des clés KMS de chiffrement symétriques dans votre magasin de clés personnalisé. Il vous suffit de spécifier le magasin de clés personnalisé lorsque vous créez la clé KMS.

Si vous vous retrouvez bloqué à un moment, vous pouvez obtenir de l'aide dans la rubrique Dépannage d'un magasin de clés personnalisé. Si vous ne trouvez pas de réponse à votre question, utilisez le lien situé en bas de chaque page de ce guide ou publiez une question sur le AWS Key Management Service forum de discussion.

Quotas

AWS KMS autorise jusqu'à 10 magasins de clés personnalisés dans chaque Compte AWS et région, y compris les magasins de clés AWS CloudHSM et les magasins de clés externes, quel que soit leur état de connexion. En outre, il existe des quotas de requêtes AWS KMS concernant l'utilisation des clés KMS dans un magasin de clés AWS CloudHSM.

Tarification

Pour plus d'informations sur le coût des magasins de clés personnalisés AWS KMS et des clés gérées par le client dans un magasin de clés personnalisé, veuillez consulter la Tarification AWS Key Management Service. Pour plus d'informations sur le coût des clusters AWS CloudHSM et des HSM, veuillez consulter la Tarification AWS CloudHSM.

Régions

AWS KMSprend en charge les AWS CloudHSM principaux magasins dans Régions AWS tous AWS KMS les pays concernés, à l'exception de la région Asie-Pacifique (Hyderabad), de l'Asie-Pacifique (Melbourne), de la Chine (Pékin), de la Chine (Ningxia), de la région d'Israël (Tel Aviv) et de l'Europe (Espagne).

Fonctions non prises en charge

AWS KMS ne prend pas en charge les fonctions suivantes dans les magasins de clés personnalisés.

• Clés KMS asymétriques

• Paires de clés de données asymétriques

• Clés KMS HMAC

• Clés KMS avec des éléments de clé importés

• Rotation automatique des clés

• Clés multi-région

Rubriques

• Concepts de magasins de clés AWS CloudHSM
• Contrôler l'accès à votre magasin de clés AWS CloudHSM
• Gérer un magasin de clés personnalisé CloudHSM
• Gérer les clés KMS dans un magasin de clés CloudHSM
• Dépannage d'un magasin de clés personnalisé