Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
KMSclés dans des magasins de clés externes
Pour créer, afficher, gérer, utiliser et planifier la suppression des KMS clés dans un magasin de clés externe, vous devez utiliser des procédures très similaires à celles que vous utilisez pour les autres KMS clés. Toutefois, lorsque vous créez une KMS clé dans un magasin de clés externe, vous spécifiez un magasin de clés externe et une clé externe. Lorsque vous utilisez une KMS clé dans un magasin de clés externe, les opérations de chiffrement et de déchiffrement sont effectuées par votre gestionnaire de clés externe à l'aide de la clé externe spécifiée.
AWS KMS Impossible de créer, d'afficher, de mettre à jour ou de supprimer des clés cryptographiques dans votre gestionnaire de clés externe. AWS KMS n'accède jamais directement à votre gestionnaire de clés externe ni à aucune clé externe. Toutes les requêtes d'opérations cryptographiques sont acheminées par votre proxy de magasin de clés externe. Pour utiliser une KMS clé dans un magasin de clés externe, le magasin de clés externe qui héberge la KMS clé doit être connecté à son proxy de magasin de clés externe.
- Fonctionnalités prises en charge
-
Outre les procédures décrites dans cette section, vous pouvez effectuer les opérations suivantes avec les KMS clés d'un magasin de clés externe :
-
Utilisez des politiques, IAMdes politiques et des autorisations clés pour contrôler l'accès aux KMS clés.
-
Activez et désactivez les KMS touches. Ces actions n'affectent pas la clé externe dans votre gestionnaire de clés externe.
-
Attribuez des balises et créez des alias, et utilisez le contrôle d'accès basé sur les attributs (ABAC) pour autoriser l'accès aux clés. KMS
-
Utilisez les KMS clés pour effectuer les opérations cryptographiques suivantes :
Les opérations qui génèrent des paires de clés de données asymétriques GenerateDataKeyPairet GenerateDataKeyPairWithoutPlaintextne sont pas prises en charge dans les magasins de clés personnalisés.
-
Utilisez les KMS clés Services AWS qui intègrent AWS KMS et prennent en
charge les clés gérées par le client.
-
- Fonctions non prises en charge
-
-
Les magasins de clés externes ne prennent en charge que les KMSclés de chiffrement symétriques. Vous ne pouvez pas créer de HMAC KMS clés ou de KMS clés asymétriques dans un magasin de clés externe.
-
GenerateDataKeyPairet ne GenerateDataKeyPairWithoutPlaintextsont pas pris en charge sur KMS les clés d'un magasin de clés externe.
-
Vous ne pouvez pas utiliser un AWS CloudFormation modèle AWS KMS : : : :Key pour créer un magasin de clés externe ou une KMS clé dans un magasin de clés externe.
-
Les clés multi-régions ne sont pas prises en charge dans un magasin de clés externe.
-
KMSles clés dont le matériel clé est importé ne sont pas prises en charge dans un magasin de clés externe.
-
La rotation automatique des touches n'est pas prise en charge pour KMS les clés d'un magasin de clés externe.
-
- Utilisation de KMS clés dans un magasin de clés externe
-
Lorsque vous utilisez votre KMS clé dans une demande, KMS identifiez-la par son identifiant, sa cléARN, son alias ou son alias ARN. Vous n'avez pas besoin de spécifier le magasin de clés externe. La réponse inclut les mêmes champs que ceux renvoyés pour toute KMS clé de chiffrement symétrique. Toutefois, lorsque vous utilisez une KMS clé dans un magasin de clés externe, les opérations de chiffrement et de déchiffrement sont effectuées par votre gestionnaire de clés externe à l'aide de la clé externe associée à la KMS clé.
Pour garantir que le texte chiffré par une KMS clé dans un magasin de clés externe est au moins aussi sûr que n'importe quel texte chiffré par une KMS clé standard, AWS KMS utilisez le double chiffrement. Les données sont d'abord cryptées à AWS KMS l'aide de matériel AWS KMS clé. Il est ensuite chiffré par votre gestionnaire de clés externe à l'aide de la clé externe utilisée pour la KMS clé. Pour déchiffrer un texte chiffré doublement, le texte chiffré est d'abord déchiffré par votre gestionnaire de clés externe à l'aide de la clé externe associée à la clé. KMS Ensuite, il est déchiffré en AWS KMS utilisant le matériau AWS KMS clé de la clé. KMS
Pour que cela soit possible, les conditions suivantes sont requises.
-
L'état de la KMS clé doit être
Enabled
. Pour connaître l'état de la clé, consultez le champ État pour les clés gérées par le client, sur la AWS KMS console ou dans leKeyState
champ de la DescribeKeyréponse. -
Le magasin de clés externe qui héberge la KMS clé doit être connecté à son proxy de magasin de clés externe, c'est-à-dire que l'état de connexion du magasin de clés externe doit être
CONNECTED
.Vous pouvez consulter l'état de la connexion sur la page Stockages de clés externes de la AWS KMS console ou dans la DescribeCustomKeyStoresréponse. L'état de connexion du magasin de clés externe est également affiché sur la page détaillée de la KMS clé dans la AWS KMS console. Sur la page de détails, choisissez l'onglet Cryptographic configuration (Configuration cryptographique) et consultez le champ Connection state (État de la connexion) dans la section Custom key store (Magasin de clés personnalisé).
Si l'état de connexion est
DISCONNECTED
, vous devez d'abord le connecter. Si l'état de connexion estFAILED
, vous devez résoudre le problème, déconnecter le magasin de clés externe, puis le connecter. Pour obtenir des instructions, consultez Connecter et déconnecter les magasins de clés externes. -
Le proxy de magasin de clés externe doit être en mesure de trouver la clé externe.
-
La clé externe doit être activée et elle doit effectuer le chiffrement et le déchiffrement.
L'état de la clé externe est indépendant des modifications de l'état de la clé, y compris l'activation ou la désactivation de la KMS clé, et n'est pas affecté par celles-ciKMS. De même, la désactivation ou la suppression de la clé externe ne modifie pas l'état de la KMS clé, mais les opérations cryptographiques utilisant la KMS clé associée échoueront.
Si ces conditions ne sont pas remplies, l'opération cryptographique échoue et AWS KMS renvoie une
KMSInvalidStateException
exception. Vous devrez peut-être reconnecter le magasin de clés externe ou utiliser les outils de votre gestionnaire de clés externe pour reconfigurer ou réparer votre clé externe. Pour obtenir de l'aide supplémentaire, consultez Résoudre les problèmes liés aux magasins de clés externes.Lorsque vous utilisez les KMS clés d'un magasin de clés externe, sachez que les KMS clés de chaque magasin de clés externe partagent un quota de demandes de stockage de clés personnalisé pour les opérations cryptographiques. Si vous dépassez le quota, AWS KMS renvoie un
ThrottlingException
. Pour plus d'informations sur le quota de magasin de clés personnalisé, veuillez consulter la rubrique Quotas de demandes de magasin de clés personnalisé. -
- En savoir plus
-
-
Pour en savoir plus sur les magasins de clés externes, consultezMagasins de clés externes.
-
Pour en savoir plus sur les informations clés contenues dans les magasins de clés externes, consultezClé externe.
-
Pour créer des KMS clés dans un magasin de clés externe, consultezCréation d'une KMS clé dans des magasins de clés externes.
-
Pour identifier et afficher KMS les clés d'un magasin de clés externe, voirIdentifier les KMS clés dans les magasins de clés externes.
-
Pour en savoir plus sur les considérations particulières relatives à la suppression de KMS clés dans un magasin de clés externe, consultez la section Suppression de KMS clés dans un magasin de clés externe.
-