AWS Key Management Service
AWS Key Management Service (AWS KMS) est un service géré qui facilite la création et le contrôle des clés de chiffrement utilisées pour créer et contrôler vos données. AWS KMS utilise des modules de sécurité matérielle (HSM) pour protéger et valider vos AWS KMS keys en vertu du programme de validation du module de chiffrement FIPS 140-2
AWS KMS est intégré à la plupart des autres services AWS
Vous pouvez utiliser l'API AWS KMS pour créer et gérer des clés KMS et des fonctionnalités spéciales, telles que des magasins de clés personnalisés, et utiliser des clés KMS dans les opérations de chiffrement. Pour plus d'informations, consultez la référence d'API AWS Key Management Service.
Vous pouvez créer et gérer vos AWS KMS keys :
-
Créer, modifier et afficher des clés KMS symétriques et asymétriques, y compris des clés HMAC.
-
Contrôlez l'accès à vos clés KMS à l'aide de politiques de clé, de politiques IAM et d'octrois. AWS KMS prend en charge le contrôle d'accès basé sur les attributs (ABAC). Vous pouvez également affiner les politiques en utilisant des clés de condition.
-
Créez, supprimez, répertoriez et mettez à jour des alias, noms conviviaux pour vos clés KMS. Vous pouvez également utiliser des alias pour contrôler l'accès à vos clés KMS.
-
Balisez vos clés KMS pour l'identification, l'automatisation et le suivi des coûts. Vous pouvez également utiliser des balises pour contrôler l'accès à vos clés KMS.
-
Activez et désactivez les clés KMS.
-
Activez et désactivez la rotation automatique du contenu de chiffrement dans une clé KMS.
-
Supprimez des clés KMS pour terminer le cycle de vie des clés.
Vous pouvez utiliser vos clés KMS dans des opérations de chiffrement. Pour obtenir des exemples, consultez Programmation de l'API AWS KMS.
-
Chiffrez, déchiffrez et chiffrez à nouveau des données à l'aide de clés KMS symétriques ou asymétriques.
-
Signez et vérifiez les messages avec des clés KMS asymétriques.
-
Générez des clés de données symétriques exportables et des paires de clés de données asymétriques.
-
Générez et vérifiez des codes HMAC.
-
Générez des nombres aléatoires qui conviennent pour les applications de chiffrement.
Vous pouvez également utiliser les fonctionnalités avancées de AWS KMS.
-
Créer des clés multi-régions, qui agissent comme des copies de la même clé KMS dans différentes Régions AWS.
-
Importer les éléments cryptographiques dans une clé KMS.
-
Créez des clés KMS dans un magasin de clés AWS CloudHSM soutenu par votre cluster AWS CloudHSM.
-
Créez des clés KMS dans un magasin de clés externe soutenu par vos clés cryptographiques à l'extérieur d'AWS.
-
Vous connecter directement à AWS KMS via un point de terminaison privé dans votre VPC.
-
Utilisez le protocole TLS post-quantique hybride pour fournir un chiffrement prospectif en transit pour les données que vous envoyez à AWS KMS.
En utilisant AWS KMS, vous obtenez plus de contrôle sur l'accès aux données que vous chiffrez. Vous pouvez utiliser les fonctions de gestion de clés et de chiffrement directement dans vos applications ou via les services AWS intégrés à AWS KMS. Que vous écriviez des applications pour AWS ou que vous utilisiez des services AWS, AWS KMS vous permet de contrôler qui peut utiliser vos AWS KMS keys et accéder à vos données chiffrées.
AWS KMS s'intègre à AWS CloudTrail, un service qui fournit des fichiers de journaux dans votre compartiment Amazon S3 désigné. En utilisant CloudTrail, vous pouvez effectuer une surveillance et mener des investigations pour savoir quand et comment vos clés KMS ont été utilisées et par qui.
AWS KMS dans Régions AWS
Les Régions AWS dans lesquelles AWS KMS est pris en charge sont répertoriées dans AWS Key Management Service Endpoints and Quotas. Si une fonction AWS KMS n'est pas prise en charge dans une Région AWS que AWS KMS prend en charge, la différence régionale est décrite dans la rubrique sur la fonction.
Tarification d'AWS KMS
Comme avec d'autres produits AWS, l'utilisation de AWS KMS ne nécessite pas de contrats ou d'achats minimum. Pour plus d'informations sur la tarification AWS KMS, consultez Tarification AWS Key Management Service
Contrat de niveau de service
AWS Key Management Service est soutenu par un contrat de niveau de service (SLA)
En savoir plus
-
Pour de plus amples informations sur les termes et concepts utilisés dans AWS KMS, veuillez consulter Concepts AWS KMS.
-
Pour plus d'informations sur l'API AWS KMS, veuillez consulter la référence de l'API AWS Key Management Service. Pour obtenir des exemples dans différents langages de programmation, veuillez consulter Programmation de l'API AWS KMS.
-
Pour apprendre à utiliser les modèles AWS CloudFormation pour créer et gérer des clés et des alias, consultez Création de ressources AWS KMS avec AWS CloudFormation et la Référence de type de ressource AWS Key Management Servicedans le Guide de l'utilisateur AWS CloudFormation.
-
Pour obtenir des informations techniques détaillées sur la façon dont AWS KMS utilise le chiffrement et sécurise les clés KMS, veuillez consulter AWS Key Management Service Détails cryptographiques. La documentation des détails cryptographiques ne décrit pas comment AWS KMS travaille dans les régions Chine (Beijing) et Chine (Ningxia).
-
Pour obtenir une liste de points de terminaison AWS KMS, y compris les points de terminaison FIPS, dans chaque Région AWS, veuillez consulter Points de terminaison de service dans la rubrique AWS Key Management Service de la Références générales AWS.
-
Pour obtenir de l'aide sur les questions relatives à AWS KMS, veuillez consulter le forum de discussion AWS Key Management Service
.
AWS KMS dans les kits AWS SDK
