KMSclés dans des magasins de clés externes - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

KMSclés dans des magasins de clés externes

Pour créer, afficher, gérer, utiliser et planifier la suppression des KMS clés dans un magasin de clés externe, vous devez utiliser des procédures très similaires à celles que vous utilisez pour les autres KMS clés. Toutefois, lorsque vous créez une KMS clé dans un magasin de clés externe, vous spécifiez un magasin de clés externe et une clé externe. Lorsque vous utilisez une KMS clé dans un magasin de clés externe, les opérations de chiffrement et de déchiffrement sont effectuées par votre gestionnaire de clés externe à l'aide de la clé externe spécifiée.

AWS KMS Impossible de créer, d'afficher, de mettre à jour ou de supprimer des clés cryptographiques dans votre gestionnaire de clés externe. AWS KMS n'accède jamais directement à votre gestionnaire de clés externe ni à aucune clé externe. Toutes les requêtes d'opérations cryptographiques sont acheminées par votre proxy de magasin de clés externe. Pour utiliser une KMS clé dans un magasin de clés externe, le magasin de clés externe qui héberge la KMS clé doit être connecté à son proxy de magasin de clés externe.

Fonctionnalités prises en charge

Outre les procédures décrites dans cette section, vous pouvez effectuer les opérations suivantes avec les KMS clés d'un magasin de clés externe :

Fonctions non prises en charge
Utilisation de KMS clés dans un magasin de clés externe

Lorsque vous utilisez votre KMS clé dans une demande, KMS identifiez-la par son identifiant, sa cléARN, son alias ou son alias ARN. Vous n'avez pas besoin de spécifier le magasin de clés externe. La réponse inclut les mêmes champs que ceux renvoyés pour toute KMS clé de chiffrement symétrique. Toutefois, lorsque vous utilisez une KMS clé dans un magasin de clés externe, les opérations de chiffrement et de déchiffrement sont effectuées par votre gestionnaire de clés externe à l'aide de la clé externe associée à la KMS clé.

Pour garantir que le texte chiffré par une KMS clé dans un magasin de clés externe est au moins aussi sûr que n'importe quel texte chiffré par une KMS clé standard, AWS KMS utilisez le double chiffrement. Les données sont d'abord cryptées à AWS KMS l'aide de matériel AWS KMS clé. Il est ensuite chiffré par votre gestionnaire de clés externe à l'aide de la clé externe utilisée pour la KMS clé. Pour déchiffrer un texte chiffré doublement, le texte chiffré est d'abord déchiffré par votre gestionnaire de clés externe à l'aide de la clé externe associée à la clé. KMS Ensuite, il est déchiffré en AWS KMS utilisant le matériau AWS KMS clé de la clé. KMS

Pour que cela soit possible, les conditions suivantes sont requises.

  • L'état de la KMS clé doit êtreEnabled. Pour connaître l'état de la clé, consultez le champ État pour les clés gérées par le client, sur la AWS KMS console ou dans le KeyState champ de la DescribeKeyréponse.

  • Le magasin de clés externe qui héberge la KMS clé doit être connecté à son proxy de magasin de clés externe, c'est-à-dire que l'état de connexion du magasin de clés externe doit êtreCONNECTED.

    Vous pouvez consulter l'état de la connexion sur la page Stockages de clés externes de la AWS KMS console ou dans la DescribeCustomKeyStoresréponse. L'état de connexion du magasin de clés externe est également affiché sur la page détaillée de la KMS clé dans la AWS KMS console. Sur la page de détails, choisissez l'onglet Cryptographic configuration (Configuration cryptographique) et consultez le champ Connection state (État de la connexion) dans la section Custom key store (Magasin de clés personnalisé).

    Si l'état de connexion est DISCONNECTED, vous devez d'abord le connecter. Si l'état de connexion est FAILED, vous devez résoudre le problème, déconnecter le magasin de clés externe, puis le connecter. Pour obtenir des instructions, consultez Connecter et déconnecter les magasins de clés externes.

  • Le proxy de magasin de clés externe doit être en mesure de trouver la clé externe.

  • La clé externe doit être activée et elle doit effectuer le chiffrement et le déchiffrement.

    L'état de la clé externe est indépendant des modifications de l'état de la clé, y compris l'activation ou la désactivation de la KMS clé, et n'est pas affecté par celles-ciKMS. De même, la désactivation ou la suppression de la clé externe ne modifie pas l'état de la KMS clé, mais les opérations cryptographiques utilisant la KMS clé associée échoueront.

Si ces conditions ne sont pas remplies, l'opération cryptographique échoue et AWS KMS renvoie une KMSInvalidStateException exception. Vous devrez peut-être reconnecter le magasin de clés externe ou utiliser les outils de votre gestionnaire de clés externe pour reconfigurer ou réparer votre clé externe. Pour obtenir de l'aide supplémentaire, consultez Résoudre les problèmes liés aux magasins de clés externes.

Lorsque vous utilisez les KMS clés d'un magasin de clés externe, sachez que les KMS clés de chaque magasin de clés externe partagent un quota de demandes de stockage de clés personnalisé pour les opérations cryptographiques. Si vous dépassez le quota, AWS KMS renvoie unThrottlingException. Pour plus d'informations sur le quota de magasin de clés personnalisé, veuillez consulter la rubrique Quotas de demandes de magasin de clés personnalisé.

En savoir plus