Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Clés asymétriques dans AWS KMS
AWS KMS prend en charge les clés KMS asymétriques qui représentent une paire de clés publiques et privées RSA, courbe elliptique (ECC) ou SM2 (régions chinoises uniquement) associées mathématiquement. Ces paires de clés sont générées dans des modules de sécurité AWS KMS matériels certifiés dans le cadre du programme de validation des modules cryptographiques FIPS 140-2
Vous pouvez créer et gérer les clés KMS asymétriques qu'il contient Compte AWS, notamment en définissant les politiques clés, les politiques IAM et les autorisations qui contrôlent l'accès aux clés, en activant et en désactivant les clés KMS, en créant des balises et des alias, et en supprimant les clés KMS. Vous pouvez auditer toutes les opérations qui utilisent ou gèrent vos clés KMS asymétriques AWS dans les AWS CloudTrail journaux.
AWS KMS fournit également des paires de clés de données asymétriques conçues pour être utilisées pour la cryptographie côté client en dehors de. AWS KMS La clé privée d'une paire de clés de données asymétriques est protégée par une clé KMS de chiffrement symétrique dans AWS KMS.
Cette rubrique explique le fonctionnement des clés KMS asymétriques, leur différence avec d'autres clés KMS et comment déterminer le type de clés KMS à utiliser pour protéger vos données. Il explique également le fonctionnement des paires de clés de données asymétriques et comment les utiliser en dehors de AWS KMS.
Régions
Les clés KMS asymétriques et les paires de clés de données asymétriques sont prises en charge dans tous Régions AWS les AWS KMS supports.
En savoir plus
-
Pour créer des clés KMS asymétriques, veuillez consulter Création de clés KMS asymétriques. Pour créer des clés KMS de chiffrement symétriques, veuillez consulter Création de clés.
-
Pour créer des clés KMS multi-région asymétriques, veuillez consulter Création de clés multi-régions.
-
Pour savoir si une clé KMS est symétrique ou asymétrique, veuillez consulter Identification des clés KMS asymétriques.
-
Pour un tableau comparant les opérations AWS KMS d'API qui s'appliquent à chaque type de clé KMS, consultezRéférence des types de clés.
-
Pour contrôler l'accès aux spécifications de clés, à l'utilisation des clés, aux algorithmes de chiffrement et aux algorithmes de signature que les principaux dans votre compte peuvent utiliser pour les clés KMS et les clés de données, veuillez consulter AWS KMS clés de condition.
-
Pour en savoir plus sur les quotas de demande qui s'appliquent aux différents types de clés KMS, veuillez consulter Quotas de demande.
-
Pour savoir comment signer des messages et vérifier des signatures à l'aide des clés KMS asymétriques, veuillez consulter Signature numérique avec la nouvelle fonction de clés asymétriques d' AWS KMS
dans le blog de sécuritéAWS .
Rubriques
Clés KMS asymétriques
Vous pouvez créer une clé KMS asymétrique dans AWS KMS. Une clé KMS asymétrique représente une paire de clés publiques et de clés privées mathématiquement liées entre elles. Vous pouvez donner la clé publique à n'importe qui, même s'il ne s'agit pas d'une personne de confiance, mais la clé privée doit rester secrète.
Dans une clé KMS asymétrique, la clé privée est créée AWS KMS et ne sort jamais AWS KMS non chiffrée. Pour utiliser la clé privée, vous devez appeler AWS KMS. Vous pouvez utiliser la clé publique qu'elle contient AWS KMS en appelant les opérations de l' AWS KMS API. Vous pouvez également télécharger la clé publique et l'utiliser en dehors de AWS KMS.
Si votre cas d'utilisation nécessite un chiffrement externe AWS par des utilisateurs qui ne peuvent pas appeler AWS KMS, les clés KMS asymétriques sont un bon choix. Toutefois, si vous créez une clé KMS pour chiffrer les données que vous stockez ou gérez dans un AWS service, utilisez une clé KMS de chiffrement symétrique. AWS les services intégrés AWS KMS utilisent uniquement des
AWS KMS prend en charge trois types de clés KMS asymétriques.
-
Clés RSA KMS : clé KMS avec une paire de clés RSA pour le chiffrement et le déchiffrement ou pour la signature et la vérification (mais pas les deux). AWS KMS prend en charge plusieurs longueurs de clé pour différentes exigences de sécurité.
-
Clés KMS à courbe elliptique (ECC) : clé KMS dotée d'une paire de clés à courbe elliptique pour la signature et la vérification ou pour obtenir des secrets partagés (mais pas les deux). AWS KMS prend en charge plusieurs courbes couramment utilisées.
-
Clés KMS SM2 (régions chinoises uniquement) : clé KMS avec une paire de clés SM2 pour le chiffrement et le déchiffrement, la signature et la vérification, ou pour la dérivation de secrets partagés (vous devez choisir un type d'utilisation de clé).
Pour obtenir de l'aide quant au choix de la configuration de votre clé asymétrique, veuillez consulter Choix d'un type de clé KMS. Pour obtenir des informations techniques sur les algorithmes de chiffrement et de signature compatibles AWS KMS avec les clés RSA KMS, consultez les spécifications des clés RSA. Pour plus de détails techniques sur les algorithmes de signature compatibles AWS KMS avec les clés ECC KMS, voir Spécifications des clés à courbe elliptique. Pour obtenir des informations techniques sur les algorithmes de chiffrement et de signature compatibles AWS KMS avec les clés KMS SM2 (régions chinoises uniquement), consultez les spécifications des clés SM2.
Pour obtenir un tableau comparatif des opérations que vous pouvez effectuer sur les clés KMS symétriques et asymétriques, veuillez consulter Comparaison des clés KMS symétriques et asymétriques. Pour obtenir de l'aide sur la détermination de la symétrie ou de l'asymétrie d'une clé KMS, veuillez consulter Identification des clés KMS asymétriques.
Régions
Les clés KMS asymétriques et les paires de clés de données asymétriques sont prises en charge dans tous Régions AWS les AWS KMS supports.