Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gérer des clés KMS dans un magasin de clés externe
Pour créer, afficher, gérer, utiliser et planifier la suppression des clés KMS d'un magasin de clés externe, vous devez utiliser des procédures très similaires à celles que vous utilisez pour les autres clés KMS. Toutefois, lorsque vous créez une clé KMS dans un magasin de clés externe, vous spécifiez un magasin de clés externe et une clé externe. Lorsque vous utilisez une clé KMS dans un magasin de clés externe, les opérations de chiffrement et de déchiffrement sont effectuées par votre gestionnaire de clés externe à l'aide de la clé externe spécifiée.
AWS KMS ne peut pas créer, afficher, mettre à jour ou supprimer de clés cryptographiques dans votre gestionnaire de clés externe. AWS KMS n'accède jamais directement à votre gestionnaire de clés externe ni à aucune clé externe. Toutes les requêtes d'opérations cryptographiques sont acheminées par votre proxy de magasin de clés externe. Pour utiliser une clé KMS dans un magasin de clés externe, le magasin de clés externe qui héberge la clé KMS doit être connecté à son proxy de magasin de clés externe.
Fonctionnalités prises en charge
Outre les procédures décrites dans cette section, vous pouvez effectuer les actions suivantes avec les clés KMS d'un magasin de clés externe :
-
Utiliser les politiques de clé, les politiques IAM et les octrois pour contrôler l'accès aux clés KMS.
-
Activer et désactiver les clés KMS. Ces actions n'affectent pas la clé externe dans votre gestionnaire de clés externe.
-
Attribuez des balises, créez des alias et utilisez le contrôle d'accès par attributs (ABAC) pour autoriser l'accès aux clés KMS.
-
Utilisez les clés KMS avec les Services AWS qui s'intègrent à AWS KMS
et prenez en charge les clés gérées par le client.
Fonctions non prises en charge
-
Les magasins de clés externes ne prennent en charge que les clés KMS de chiffrement symétriques. Vous ne pouvez pas créer de clés KMS HMAC ou de clés KMS asymétriques dans un magasin de clés externe.
-
GenerateDataKeyPairet ne GenerateDataKeyPairWithoutPlaintextsont pas pris en charge sur les clés KMS d'un magasin de clés externe.
-
Vous ne pouvez pas utiliser de modèle AWS CloudFormation pour créer un magasin de clés externe ou une clé KMS dans un magasin de clés externe.
-
Les clés multi-régions ne sont pas prises en charge dans un magasin de clés externe.
-
Les clés KMS contenant des éléments de clé importés ne sont pas prises en charge dans un magasin de clés externe.
-
La rotation automatique des clés n'est pas prise en charge pour les clés KMS dans un magasin de clés externe.