Référence des types de clés - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Référence des types de clés

AWS KMS prend en charge différentes fonctions pour différents types de clés KMS. Par exemple, vous ne pouvez utiliser que des clés KMS de chiffrement symétriques pour générer des clés de données symétriques et des paires de clés de données asymétriques. En outre, l'importation d'un élément de clé et la rotation automatique des clés sont prises en charge uniquement pour les clés KMS de chiffrement symétriques. Vous pouvez créer uniquement des clés KMS de chiffrement symétriques dans un magasin de clés personnalisé.

Cette référence comprend deux tableaux.

  • Le tableau des types de clé répertorie les opérations AWS KMS qui sont valides pour les clés KMS de chiffrement symétriques, les clés KMS asymétriques et les clés KMS HMAC.

  • Le tableau de fonctionnalités spéciales répertorie les opérations AWS KMS qui sont valides pour les clés KMS multi-régions, les clés KMS avec des éléments de clé importés et les clés KMS des magasins de clés personnalisés.

Tableau des types de clé

Il peut être nécessaire de faire défiler horizontalement ou verticalement pour afficher toutes les données de ce tableau.

Opération d'API AWS KMS Clés KMS de chiffrement symétriques Clés KMS HMAC Clés KMS asymétriques (ENCRYPT_DECRYPT) Clés KMS asymétriques (SIGN_VERIFY)

CancelKeyDeletion

CreateAlias

CreateGrant

CreateKey

Decrypt

DeleteAlias

DeleteImportedKeyMaterial

Valable uniquement sur les clés KMS avec des éléments de clé importés (Origin est EXTERNAL).

DescribeKey

DisableKey

DisableKeyRotation

Valable uniquement sur les clés KMS avec l'élément de clé AWS KMS (Origin est AWS_KMS).

EnableKey

EnableKeyRotation

Valable uniquement sur les clés KMS avec l'élément de clé AWS KMS (Origin est AWS_KMS).

Encrypt

GenerateDataKey

GenerateDataKeyPair

Génère une paire de clés de données asymétriques qui est protégée par une clé KMS de chiffrement symétrique.

Non valable sur les clés KMS des magasins de clés personnalisés.

GenerateDataKeyPairWithoutPlaintext

Génère une paire de clés de données asymétriques qui est protégée par une clé KMS de chiffrement symétrique.

Non valable sur les clés KMS des magasins de clés personnalisés.

GenerateDataKeyWithoutPlaintext

GenerateMac

GetKeyPolicy

GetKeyRotationStatus

(KeyRotationEnabled sera toujours false.)

(KeyRotationEnabled sera toujours false.)

(KeyRotationEnabled sera toujours false.)

GetParametersForImport

Valable uniquement sur les clés KMS avec des éléments de clé importés (Origin est EXTERNAL).

GetPublicKey

ImportKeyMaterial

Valable uniquement sur les clés KMS avec des éléments de clé importés (Origin est EXTERNAL).

ListAliases

ListGrants

ListKeyPolicies

ListResourceTags

ListRetirableGrants

PutKeyPolicy

ReEncrypt

ReplicateKey

- Valide uniquement sur les clés multi-région

RetireGrant

RevokeGrant

ScheduleKeyDeletion

Sign (Signer)

TagResource

UntagResource

UpdateAlias

La clé KMS actuelle et la nouvelle clé KMS doivent être du même type (toutes deux soit symétriques, soit asymétriques, soit HMAC) et avoir la même utilisation de clé.

UpdateKeyDescription

UpdateReplicaRegion

- Valide uniquement sur les clés multi-région

Verify

VerifyMac

Tableau des fonctionnalités spéciales

Ce tableau présente les opérations d'API AWS KMS prises en charge sur chaque type de clé à usage spécial.

En lisant ce tableau, soyez attentif aux interactions suivantes :

  • Clés multi-région:

    • Les clés multi-régions peuvent être des clés KMS de chiffrement symétriques, des clés KMS asymétriques, des clés KMS HMAC et des clés KMS avec éléments de clé importés.

    • Vous ne pouvez pas créer de clés multi-région dans un magasin de clés personnalisé.

  • Éléments de clé importés

    • Vous pouvez importer des éléments de clé pour des clés KMS de chiffrement symétriques, des clés KMS asymétriques et des clés KMS HMAC.

    • Vous pouvez créer des clés multi-région avec des éléments de clé importés.

    • Vous ne pouvez pas créer de clés avec des éléments de clé importés dans un magasin de clés personnalisé.

    • La rotation automatique des clés (EnableKeyRotation, DisableKeyRotation) n'est pas prise en charge pour les clés KMS avec des éléments de clé importés.

  • Magasins de clés personnalisés

    • Les magasins de clés personnalisés ne prennent en charge que les clés KMS de chiffrement symétriques.

    • Les opérations symétriques sur des paires de clés asymétriques (GenerateDataKeyPair, GenerateDataKeyPairWithoutPlaintext) ne sont pas prises en charge sur les clés KMS dans les magasins de clés personnalisés.

    • La rotation automatique des clés (EnableKeyRotation, DisableKeyRotation) n'est pas prise en charge sur les clés KMS dans les magasins de clés personnalisés.

    • Vous ne pouvez pas créer de clés multi-région dans les magasins de clés personnalisés.

Il peut être nécessaire de faire défiler horizontalement ou verticalement pour afficher toutes les données de ce tableau.

Opération d'API AWS KMS Clés multi-région Éléments de clé importés Clés KMS dans un magasin de clés personnalisé

CancelKeyDeletion

CreateAlias

CreateGrant

CreateKey

Vous pouvez utiliser CreateKey pour créer une clé primaire multi-régions, une clé KMS avec des éléments de clé importés ou une clé KMS dans un magasin de clés personnalisé. Pour créer une clé de réplica multi-régions, utilisez ReplicateKey.

Decrypt

Valable uniquement lorsque KeyUsage est ENCRYPT_DECRYPT

DeleteAlias

DeleteImportedKeyMaterial

Valable uniquement pour les clés avec éléments de clé importés (Origin est EXTERNAL)

DescribeKey

DisableKey

DisableKeyRotation

Valable uniquement sur les clés de chiffrement symétrique avec éléments de clé AWS KMS (Origin est AWS_KMS)

EnableKey

Valable uniquement sur les clés KMS de chiffrement symétrique

EnableKeyRotation

Valable uniquement sur les clés de chiffrement symétrique avec éléments de clé AWS KMS (Origin est AWS_KMS)

Encrypt

Valable uniquement lorsque KeyUsage est ENCRYPT_DECRYPT

GenerateDataKey

Valable uniquement sur les clés KMS de chiffrement symétrique

GenerateDataKeyPair

Valable uniquement sur les clés KMS de chiffrement symétrique

GenerateDataKeyPairWithoutPlaintext

Valable uniquement sur les clés KMS de chiffrement symétrique

GenerateDataKeyWithoutPlaintext

Valable uniquement sur les clés KMS de chiffrement symétrique

GenerateMac

Valable uniquement sur les clés KMS HMAC

GetKeyPolicy

GetKeyRotationStatus

(KeyRotationEnabled sera toujours false.)

GetParametersForImport

Valable uniquement pour les clés avec éléments de clé importés (Origin est EXTERNAL)

GetPublicKey

Valable uniquement pour les clés KMS asymétriques

ImportKeyMaterial

Valable uniquement pour les clés avec éléments de clé importés (Origin est EXTERNAL)

ListAliases

ListGrants

ListKeyPolicies

ListResourceTags

ListRetirableGrants

PutKeyPolicy

ReEncrypt

Valable uniquement lorsque KeyUsage est ENCRYPT_DECRYPT

ReplicateKey

Valable uniquement sur les clés primaires multi-régions

Valable uniquement sur les clés primaires multi-régions

RetireGrant

RevokeGrant

ScheduleKeyDeletion

Sign (Signer)

Valable uniquement lorsque KeyUsage est SIGN_VERIFY

TagResource

UntagResource

UpdateAlias

– La clé KMS actuelle et la nouvelle clé KMS doivent être du même type (toutes deux soit symétriques, soit asymétriques, soit HMAC) et avoir la même utilisation de clé.

UpdateKeyDescription

UpdateReplicaRegion

Valable uniquement sur les clés multi-régions

Vérification

Valide uniquement lorsque KeyUsage est SIGN_VERIFY.

VerifyMac

Valable uniquement sur les clés KMS HMAC