Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Importation des éléments de clé dans des clés multi-régions
Vous pouvez importer vos propres éléments de clé dans des clés KMS multi-région. Les clés multi-région que vous créez avec vos propres éléments de clé sont interopérables. Vous pouvez chiffrer des données dans une région et les déchiffrer dans n'importe quelle autre région avec une clé multi-région associée.
Cependant, vous devez gérer les éléments de clé.
-
AWS KMS ne copie pas et ne synchronise pas les éléments de clé à partir d'une clé principale avec des éléments de clé importés vers ses clés de réplica. Vous devez importer les mêmes éléments de clé dans des clés associées principales et de réplica.
-
Vous définissez le modèle d'expiration et les dates d'expiration de chaque clé indépendamment lorsque vous importez les éléments de clé. Vous pouvez configurer un modèle d'expiration et des dates d'expiration identiques ou différents pour les clés multi-région associées. Si les éléments de clé approchent de leur date d'expiration, vous devez les réimporter dans la clé multi-région concernée.
Les états de clé des clés multi-région associées sont indépendants les uns des autres. Par exemple, si les éléments de clé de la clé principale expirent, ses clés de réplica ne sont pas affectées.
Les mêmes exigences de région pour les clés de réplica s'appliquent aux clés multi-région avec des éléments de clé importés. Si vous importez les mêmes éléments de clé dans des clés à région unique ou des clés multi-région non associées, ces clés KMS ne sont pas interopérables.
Vous pouvez créer des clés multi-région avec des éléments de clé importés symétriques, asymétriques ou HMAC. AWS KMS ne prend pas en charge le matériel clé importé dans les magasins de clés personnalisés. De plus, vous ne pouvez pas activer la rotation automatique des clés pour une clé KMS dont les éléments de clé sont importés.
Outre leurs fonctions multi-région, les clés multi-région avec des éléments de clé importés sont les mêmes que les autres clés KMS avec des éléments de clé importés. Pour obtenir des informations détaillées sur la création et la configuration de clés à région unique avec des éléments de clé importés, veuillez consulter À propos des clés importées.
Rubriques
Pourquoi toutes les clés KMS avec des éléments de clé importés ne sont-elles pas interopérables ?
Les clés KMS à région unique avec des éléments de clé importés ne sont pas interopérables, même lorsqu'elles ont les mêmes éléments de clé. Quand AWS KMS utilise une clé KMS pour chiffrer les données, il lie de manière cryptographique certaines des métadonnées de clé au texte chiffré. Cela sécurise le texte chiffré de sorte que seule la clé KMS qui a chiffré des données peut les déchiffrer.
Les clés multi-région sont conçues pour être interopérables. En plus d'avoir les mêmes éléments de clé, ils ont un ID de clé et d'autres métadonnées identiques. Ainsi, les textes chiffrés qu'ils génèrent peuvent être déchiffrés par n'importe quelle clé multi-région associée. Par conséquent, les propriétés d'approbation des clés multi-région sont différentes de celles des clés à région unique. Mais pour certains clients, le bénéfice du déchiffrement dans plusieurs régions l'emporte sur la valeur de sécurité d'un texte chiffré dépendant d'une seule clé KMS dans une seule Région AWS.
Création d'une clé principale avec des éléments de clé importés
Pour créer une clé principale avec des éléments de clé importés, vous commencez par créer une clé KMS sans éléments de clé. Lorsque vous créez la clé primaire sans élément de clé, vous devez spécifier la spécification de clé qui reflète le type d’élément de clé que vous prévoyez d'importer. Ensuite, importez vos éléments de clé dans la clé principale.
La procédure de création d'une clé principale multi-région sans éléments de clé est presque identique à la procédure de création d'une clé à région unique sans éléments de clé. La seule différence est que vous spécifiez que la clé est une clé multi-région.
Les autorisations pour créer une clé primaire multirégionale avec du matériel clé importé sont les mêmes que celles requises pour créer une clé primaire multirégionale avec du matériel AWS KMS clé, y compris les CreateServiceLinkedRole autorisations kms : CreateKey et iam : dans une politique IAM. Vous pouvez utiliser les clés de KeyOrigin condition kms : MultiRegionKeyType et kms : pour autoriser ou refuser l'autorisation de créer des clés primaires multirégionales avec du matériel clé importé.
Lors de la création d'une clé primaire avec des éléments de clé importés dans la console AWS KMS, utilisez les paramètres de la section Advanced options (Options avancées). Vous ne pouvez pas modifier ces propriétés après la création de la clé KMS.
-
Définissez Key material origin (Origine des éléments de clé) sur External (Import key material) (Externe (Importation d'éléments de clé)).
-
Définir Multi-Region replication (Réplication multi-région) sur Allow this key to be replicated into other Regions (Autoriser cette clé à être répliquée dans d'autres régions).
Lorsque vous utilisez l'CreateKeyopération pour créer une clé primaire avec du matériel clé importé, utilisez les MultiRegion paramètres Origin et et spécifiez le KeySpec et leKeyUsage. L'exemple suivant crée une clé KMS EXTERNAL qui permet d'importer un élément de clé ECC_NIST_P384.
$aws kms create-key --origin EXTERNAL --key-specECC_NIST_P384--key-usageSIGN_VERIFY--multi-region
Le résultat est une clé principale multi-région sans éléments de clé et avec un état de clé de PendingImport.
Pour activer cette clé KMS, vous devez télécharger une clé publique et un jeton d'importation, utiliser la clé publique pour chiffrer vos éléments de clé, puis importer vos éléments de clé. Pour obtenir des instructions, veuillez consulter Importation de matériel clé pour les AWS KMS clés.
Création d'une clé de réplica avec des éléments de clé importés
Vous pouvez créer une clé de réplica multi-région dans la console AWS KMS ou à l'aide des opérations d'API AWS KMS. Pour répliquer une clé principale multi-région avec des éléments de clé importés, utilisez la même procédure que celle utilisée pour créer une clé de réplica avec des éléments de clé AWS KMS. Cependant, le résultat est différent. Au lieu de renvoyer une clé de réplica avec les mêmes éléments de clé que la clé principale, le processus de réplication renvoie une clé de réplica sans éléments de clé et avec un état de clé de PendingImport. Pour activer la clé de réplica, vous devez importer les mêmes éléments de clé dans la clé de réplica que vous avez importé dans sa clé principale.
Bien qu'il ne réplique pas les éléments de clé, AWS KMS crée la clé de réplica avec les mêmes ID de clé, spécifications de clé, utilisation de clé et origine des éléments de clé que la clé primaire. Il garantit également que les éléments de clé que vous importez dans la clé de réplica sont identiques aux éléments de clé que vous avez importés dans la clé principale.
Pour créer une clé de réplica avec des éléments de clé importés :
-
Créez une clé principale multi-région avec des éléments de clé importés.
-
Effectuez l’une des actions suivantes :
Dans la console AWS KMS, choisissez une clé principale multi-région avec des éléments de clé importés. Puis, dans l'onglet Regionality (Régionalité), sélectionnez Create new replica keys (Créer de nouvelles clés de réplica). Pour obtenir des instructions, veuillez consulter Création de clés de réplica (console).
Ou utilisez l'ReplicateKeyopération. Pour le paramètre
KeyId, saisissez l'ID ou l'ARN de clé d'une clé principale multi-région avec des éléments de clé importés. Pour obtenir des instructions, veuillez consulter Création d'une clé de réplica (API AWS KMS). -
Pour chaque nouvelle clé de réplica, suivez les étapes pour télécharger une clé publique et un jeton d'importation. Utilisez la clé publique pour chiffrer les éléments de clé de la clé principale, puis importez ces éléments dans la clé de réplica. Vous avez besoin d'une clé publique et d'un jeton d'importation différents pour chaque clé de réplica.
Si les éléments de clé que vous tentez d'importer dans la clé de réplica sont différents des éléments de clé de la clé principale, l'opération échoue. AWS KMS ne requiert pas que le modèle d'expiration et les dates d'expiration soient coordonnés, mais vous devrez peut-être établir des règles métier pour vos clés multi-région. Pour obtenir des instructions, veuillez consulter Importation de matériel clé pour les AWS KMS clés.
Autorisations de répliquer des clés avec des éléments de clé importés
Pour créer une clé de réplica avec des éléments de clé importés, vous devez disposer des autorisations suivantes.
Dans la région de la clé principale :
-
kms : ReplicateKey sur la clé primaire (dans la région de la clé primaire). Inclure cette autorisation dans la politique de clé principale ou dans une politique IAM.
Dans la région de la clé de réplica :
-
kms : CreateKey dans une politique IAM.
-
km : GetParametersForImport. Vous pouvez inclure cette autorisation dans la politique de clé de la clé de réplica ou dans une politique IAM.
-
km : ImportKeyMaterial. Vous pouvez inclure cette autorisation dans la politique de clé de la clé de réplica ou dans une politique IAM.
-
kms : TagResource est nécessaire pour attribuer des balises lors de la réplication. Incluez cette autorisation dans une politique IAM dans la région de réplica.
-
kms : CreateAlias est nécessaire pour répliquer une clé dans la AWS KMS console. Pour plus d'informations, consultez Contrôle de l'accès aux alias.
