AWS CloudHSM magasins clés - AWS Key Management Service
AWS CloudHSM concepts clés du magasin

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS CloudHSM magasins clés

Un magasin de AWS CloudHSM clés est un magasin de clés personnalisé soutenu par un AWS CloudHSM cluster. Lorsque vous créez un magasin AWS KMS key de clés personnalisé, vous AWS KMS générez et stockez des éléments clés non extractibles pour la clé KMS dans un AWS CloudHSM cluster que vous possédez et gérez. Lorsque vous utilisez une clé KMS dans un magasin de clés personnalisé, les opérations cryptographiques sont effectuées HSMs dans le cluster. Cette fonctionnalité combine la commodité et AWS KMS l'intégration généralisée d'un AWS CloudHSM cluster dans votre Compte AWS.

AWS KMS fournit un support complet de console et d'API pour la création, l'utilisation et la gestion de vos magasins de clés personnalisés. Vous pouvez utiliser les clés KMS dans votre magasin de clés personnalisé de la même manière que vous utilisez n'importe quelle clé KMS. Par exemple, vous pouvez utiliser les clés KMS pour générer des clés de données et chiffrer des données. Vous pouvez également utiliser les clés KMS dans votre magasin de clés personnalisé avec des AWS services prenant en charge les clés gérées par le client.

Est-ce que j'ai besoin d'un magasin de clés personnalisé ?

Pour la plupart des utilisateurs, le magasin de AWS KMS clés par défaut, qui est protégé par des modules cryptographiques validés par la norme FIPS 140-3, répond à leurs exigences de sécurité. Il n'est pas nécessaire d'ajouter une couche supplémentaire de responsabilité de maintenance ou une dépendance à l'égard d'un service supplémentaire.

Cependant, vous pouvez envisager la création d'un magasin de clés personnalisé si votre organisation possède l'une des exigences suivantes :

  • Vous avez des clés qui doivent explicitement être protégées dans un HSM à locataire unique ou dans un HSM sur lequel vous avez un contrôle direct.

  • Vous devez être en mesure de retirer immédiatement les éléments clés de AWS KMS.

  • Vous devez être en mesure d'auditer toute utilisation de vos clés indépendamment de AWS KMS ou AWS CloudTrail.

Comment fonctionnent les magasins de clés personnalisés ?

Chaque magasin de clés personnalisé est associé à un AWS CloudHSM cluster dans votre Compte AWS. Lorsque vous connectez le magasin de clés personnalisé à son cluster, il AWS KMS crée l'infrastructure réseau pour prendre en charge la connexion. Il se connecte ensuite au AWS CloudHSM client clé du cluster à l'aide des informations d'identification d'un utilisateur cryptographique dédié du cluster.

Vous créez et gérez vos magasins de clés personnalisés dans AWS KMS et vous créez et gérez vos clusters HSM dans AWS CloudHSM. Lorsque vous créez AWS KMS keys dans un magasin de clés AWS KMS personnalisé, vous visualisez et gérez les clés KMS dans AWS KMS. Mais vous pouvez également afficher et gérer leurs clés dans AWS CloudHSM, tout comme vous le feriez pour d'autres clés du cluster.

Gestion des clés KMS dans un magasin de clés personnalisé

Vous pouvez créer des clés KMS de chiffrement symétriques à partir du contenu clé généré par AWS KMS votre magasin de clés personnalisé. Utilisez ensuite les mêmes techniques pour afficher et gérer les clés KMS dans votre magasin de clés personnalisé que celles que vous utilisez pour les clés KMS dans le magasin de AWS KMS clés. Vous pouvez contrôler l'accès aux politiques IAM et aux politiques de clé, créer des balises et des alias, activer et désactiver les clés KMS, et planifier la suppression de clés. Vous pouvez utiliser les clés KMS pour des opérations cryptographiques et les utiliser avec AWS des services intégrés à AWS KMS.

En outre, vous avez le contrôle total du AWS CloudHSM cluster, y compris la création, la suppression HSMs et la gestion des sauvegardes. Vous pouvez utiliser le AWS CloudHSM client et les bibliothèques logicielles prises en charge pour visualiser, auditer et gérer les éléments clés de vos clés KMS. Lorsque le magasin de clés personnalisé est déconnecté, il AWS KMS ne peut pas y accéder et les utilisateurs ne peuvent pas utiliser les clés KMS du magasin de clés personnalisé pour des opérations cryptographiques. Cette nouvelle couche de contrôle fait du magasin de clés personnalisé une solution puissante pour les organisations qui en ont besoin.

Où commencer ?

Pour créer et gérer un magasin de AWS CloudHSM clés, vous utilisez les fonctionnalités de AWS KMS et AWS CloudHSM.

  1. Commencez par AWS CloudHSMCréez un cluster AWS CloudHSM actif ou sélectionnez un cluster existant. Le cluster doit en avoir au moins deux actifs HSMs dans des zones de disponibilité différentes. Ensuite, créez un compte CU (utilisateur de chiffrement) dédié dans ce cluster pour AWS KMS.

  2. Dans AWS KMS, créez un magasin de clés personnalisé associé au AWS CloudHSM cluster sélectionné. AWS KMS fournit une interface de gestion complète qui vous permet de créer, d'afficher, de modifier et de supprimer vos banques de clés personnalisées.

  3. Lorsque vous êtes prêt à utiliser votre magasin de clés personnalisé, connectez-le au AWS CloudHSM cluster associé. AWS KMS crée l'infrastructure réseau dont elle a besoin pour prendre en charge la connexion. Ensuite, il se connecte au cluster à l'aide des informations d'identification du compte CU dédié afin de générer et de gérer les clés dans le cluster.

  4. Vous pouvez désormais créer des clés KMS de chiffrement symétriques dans votre magasin de clés personnalisé. Il vous suffit de spécifier le magasin de clés personnalisé lorsque vous créez la clé KMS.

Si vous vous retrouvez bloqué à un moment, vous pouvez obtenir de l'aide dans la rubrique Dépannage d'un magasin de clés personnalisé. Si vous ne trouvez pas de réponse à votre question, utilisez le lien situé en bas de chaque page de ce guide ou publiez une question sur le AWS Key Management Service forum de discussion.

Quotas

AWS KMS autorise jusqu'à 10 magasins de clés personnalisés dans chaque Compte AWS région, y compris les magasins de AWS CloudHSM clés et les magasins de clés externes, quel que soit leur état de connexion. En outre, il existe des quotas de AWS KMS demandes concernant l'utilisation des clés KMS dans un magasin de AWS CloudHSM clés.

Tarification

Pour plus d'informations sur le coût des magasins de clés AWS KMS personnalisés et des clés gérées par le client dans un magasin de clés personnalisé, consultez AWS Key Management Service les tarifs. Pour plus d'informations sur le coût des AWS CloudHSM clusters HSMs, consultez la section AWS CloudHSM Tarification.

Régions

AWS KMS prend en charge les AWS CloudHSM principaux magasins dans Régions AWS tous AWS KMS les pays concernés, à l'exception de l'Asie-Pacifique (Melbourne), de la Chine (Pékin), de la Chine (Ningxia) et de l'Europe (Espagne).

Fonctions non prises en charge

AWS KMS ne prend pas en charge les fonctionnalités suivantes dans les magasins de clés personnalisés.

AWS CloudHSM concepts clés du magasin

Cette rubrique explique certains termes et concepts utilisés dans les AWS CloudHSM principaux magasins.

AWS CloudHSM magasin de clés

Un magasin de AWS CloudHSM clés est un magasin de clés personnalisé associé à un AWS CloudHSM cluster que vous possédez et gérez. AWS CloudHSM les clusters sont soutenus par des modules de sécurité matériels (HSMs) certifiés FIPS 140-2 ou FIPS 140-3 de niveau 3.

Lorsque vous créez une clé KMS dans votre magasin de AWS CloudHSM clés, elle AWS KMS génère une clé symétrique AES (Advanced Encryption Standard) de 256 bits, persistante et non exportable dans le cluster associé. AWS CloudHSM Ce matériel clé ne vous laisse jamais HSMs déchiffré. Lorsque vous utilisez une clé KMS dans un magasin de AWS CloudHSM clés, les opérations cryptographiques sont effectuées HSMs dans le cluster.

AWS CloudHSM les magasins de clés associent l'interface de gestion des clés pratique et complète AWS KMS aux commandes supplémentaires fournies par un AWS CloudHSM cluster intégré à votre Compte AWS. Cette fonctionnalité intégrée vous permet de créer, de gérer et d'utiliser des clés KMS AWS KMS tout en gardant le contrôle total sur ceux HSMs qui stockent leurs informations clés, y compris la gestion des clusters et des sauvegardes. HSMs Vous pouvez utiliser la AWS KMS console et APIs gérer le magasin de AWS CloudHSM clés et ses clés KMS. Vous pouvez également utiliser la AWS CloudHSM console APIs, le logiciel client et les bibliothèques de logiciels associées pour gérer le cluster associé.

Vous pouvez afficher et gérer votre magasin de AWS CloudHSM clés, modifier ses propriétés, le connecter et le déconnecter de son AWS CloudHSM cluster associé. Si vous devez supprimer un magasin de AWS CloudHSM clés, vous devez d'abord supprimer les clés KMS du AWS CloudHSM magasin de clés en programmant leur suppression et en attendant l'expiration du délai de grâce. La suppression du magasin de AWS CloudHSM clés entraîne la suppression de la ressource AWS KMS, mais cela n'affecte pas votre AWS CloudHSM cluster.

AWS CloudHSM grappe

Chaque magasin de AWS CloudHSM clés est associé à un AWS CloudHSM cluster. Lorsque vous créez un élément AWS KMS key dans votre magasin de AWS CloudHSM clés, il AWS KMS crée son contenu clé dans le cluster associé. Lorsque vous utilisez une clé KMS dans votre magasin de clés AWS CloudHSM , les opérations cryptographiques sont effectuées dans le cluster associé.

Chaque AWS CloudHSM cluster ne peut être associé qu'à un seul magasin de AWS CloudHSM clés. Le cluster que vous choisissez ne peut pas être associé à un autre magasin de AWS CloudHSM clés ni partager un historique de sauvegarde avec un cluster associé à un autre magasin de AWS CloudHSM clés. Le cluster doit être initialisé et actif, et il doit se trouver dans la même Compte AWS région que le magasin de AWS CloudHSM clés. Vous pouvez créer un nouveau cluster ou utiliser un cluster existant. AWS KMS ne nécessite pas l'utilisation exclusive du cluster. Pour créer des clés KMS dans le magasin de AWS CloudHSM clés, son cluster associé doit contenir au moins deux clés actives HSMs. Toutes les autres opérations nécessitent un seul HSM.

Vous spécifiez le AWS CloudHSM cluster lorsque vous créez le magasin de AWS CloudHSM clés, et vous ne pouvez pas le modifier. Cependant, vous pouvez remplacer n'importe quel cluster qui partage un historique de sauvegardes avec le cluster d'origine. Cela vous permet de supprimer le cluster, si nécessaire, et de le remplacer-le par un cluster créé à partir de l'une de ses sauvegardes. Vous conservez le contrôle total du AWS CloudHSM cluster associé, ce qui vous permet de gérer les utilisateurs et les clés, de créer et de supprimer HSMs, ainsi que d'utiliser et de gérer des sauvegardes.

Lorsque vous êtes prêt à utiliser votre magasin de AWS CloudHSM clés, vous le connectez au AWS CloudHSM cluster associé. Vous pouvez connecter et déconnecter votre magasin de clés personnalisé à tout moment. Lorsqu'un magasin de clés personnalisé est connecté, vous pouvez créer et utiliser ses clés KMS. Lorsqu'il est déconnecté, vous pouvez consulter et gérer le magasin de AWS CloudHSM clés et ses clés KMS. Toutefois, vous ne pouvez pas créer de nouvelles clés KMS ni utiliser les clés KMS du magasin de AWS CloudHSM clés pour des opérations cryptographiques.

Utilisateur de chiffrement kmsuser

Pour créer et gérer des éléments clés dans le AWS CloudHSM cluster associé en votre nom, AWS KMS utilisez un utilisateur AWS CloudHSM cryptographique (CU) dédié dans le cluster nommékmsuser. Le kmsuser CU est un compte CU standard qui est automatiquement synchronisé avec tous les membres HSMs du cluster et enregistré dans les sauvegardes du cluster.

Avant de créer votre magasin de AWS CloudHSM clés, vous devez créer un compte kmsuser CU dans votre AWS CloudHSM cluster à l'aide de la commande user create de la CLI CloudHSM. Ensuite, lorsque vous créez le magasin de AWS CloudHSM clés, vous fournissez le mot de passe du kmsuser compte à AWS KMS. Lorsque vous connectez le magasin de clés personnalisé, vous AWS KMS vous connectez au cluster en tant que kmsuser CU et changez son mot de passe. AWS KMS chiffre votre kmsuser mot de passe avant de le stocker en toute sécurité. Lorsque le mot de passe a effectué une rotation, le nouveau mot de passe est chiffré et stocké de la même manière.

AWS KMS reste connecté kmsuser tant que le magasin de AWS CloudHSM clés est connecté. Vous ne devez pas utiliser ce compte CU à d'autres fins. Toutefois, vous gardez le contrôle ultime du compte CU kmsuser. À tout moment, vous pouvez retrouver les clés qui en sont kmsuser propriétaires. Si nécessaire, vous pouvez déconnecter le magasin de clés personnalisé, modifier le mot de passe kmsuser, vous connecter au cluster en tant que kmsuser et afficher et gérer les clés que kmsuser détient.

Pour obtenir des instructions sur la création de votre compte CU kmsuser, consultez Créer l'utilisateur de chiffrement (CU) kmsuser.

Clés KMS dans un magasin de AWS CloudHSM clés

Vous pouvez utiliser l' AWS KMS API AWS KMS or pour créer un AWS KMS keys dans un magasin de AWS CloudHSM clés. Vous utilisez la même technique que celle que vous utiliseriez sur n'importe quelle clé KMS. La seule différence est que vous devez identifier le magasin de AWS CloudHSM clés et spécifier que l'origine du matériau clé est le AWS CloudHSM cluster.

Lorsque vous créez une clé KMS dans un magasin de AWS CloudHSM clés, vous AWS KMS créez la clé KMS dans AWS KMS et celle-ci génère une clé symétrique AES (Advanced Encryption Standard) de 256 bits, persistante et non exportable dans le cluster associé. Lorsque vous utilisez la AWS KMS clé dans une opération cryptographique, l'opération est effectuée dans le cluster à l'aide de la clé AES basée sur le AWS CloudHSM cluster. Bien qu' AWS CloudHSM ils prennent en charge les clés symétriques et asymétriques de différents types, les magasins de clés ne prennent en charge que les AWS CloudHSM clés de chiffrement symétriques AES.

Vous pouvez afficher les clés KMS dans un magasin de AWS CloudHSM clés de la AWS KMS console et utiliser les options de la console pour afficher l'ID de magasin de clés personnalisé. Vous pouvez également utiliser cette DescribeKeyopération pour trouver l'ID du magasin de AWS CloudHSM clés et l'ID AWS CloudHSM du cluster.

Les clés KMS d'un magasin de AWS CloudHSM clés fonctionnent comme n'importe quelle clé KMS dans un magasin de clés AWS KMS. Les utilisateurs autorisés ont besoin des mêmes autorisations pour utiliser et gérer les clés KMS. Vous utilisez les mêmes procédures de console et les mêmes opérations d'API pour afficher et gérer les clés KMS dans un magasin de AWS CloudHSM clés. Cela inclut l'activation et la désactivation de clés KMS, la création et l'utilisation de balises et d'alias, et la définition et la modification des politiques de clé et des politiques IAM. Vous pouvez utiliser les clés KMS d'un magasin de AWS CloudHSM clés pour des opérations cryptographiques et les utiliser avec des AWS services intégrés qui prennent en charge l'utilisation de clés gérées par le client. Cependant, vous ne pouvez pas activer la rotation automatique des clés ni importer des éléments clés dans une clé KMS dans un magasin de AWS CloudHSM clés.

Vous utilisez également le même processus pour planifier la suppression d'une clé KMS dans un magasin de AWS CloudHSM clés. Une fois le délai d'attente expiré, AWS KMS supprime la clé KMS de KMS. Il fait ensuite de son mieux pour supprimer le contenu clé de la clé KMS du AWS CloudHSM cluster associé. Cependant, il se peut que vous ayez besoin de supprimer manuellement les éléments de clé orphelins du cluster et de ses sauvegardes.