Clés KMS asymétriques dans AWS KMS - AWS Key Management Service

Clés KMS asymétriques dans AWS KMS

AWS KMS prend en charge les clés KMS asymétriques qui représentent une paire de clés publique et privée RSA ou ECC (à courbe elliptique) mathématiquement liées. Ces paires de clés sont générées dans des modules de sécurité matérielle AWS KMS certifiés conformément au Programme de validation des modules de chiffrement FIPS 140-2, sauf dans les régions Chine (Beijing) et Chine (Ningxia). La clé privée ne quitte jamais les modules HSM non chiffrés. Vous pouvez télécharger la clé publique pour la distribution et l'utiliser en dehors de AWS. Vous pouvez créer des clés KMS asymétriques pour le chiffrement et le déchiffrement, ou pour la signature et la vérification, mais pas pour les deux.

Vous pouvez créer et gérer les clés KMS asymétriques dans votre Compte AWS, notamment en définissant les politiques de clé, les politiques IAM et les octrois qui contrôlent l'accès à vos clés, en activant et désactivant les clés KMS, en créant des identifications et des alias, mais aussi en supprimant les clés KMS. De plus, vous pouvez auditer toutes les opérations qui utilisent ou gèrent vos clés KMS dans AWS dans les journaux AWS CloudTrail.

AWS KMS fournit également des paires de clés de données asymétriques conçues pour être utilisées pour la cryptographie côté client en dehors de AWS KMS. La clé de données symétrique et la clé privée d'une paire de clés de données asymétriques sont protégées par une clé KMS de chiffrement symétrique dans AWS KMS.

Cette rubrique explique le fonctionnement des clés KMS asymétriques, leur différence avec d'autres clés KMS et comment déterminer le type de clés KMS à utiliser pour protéger vos données. Elle explique également le fonctionnement des paires de clés de données asymétriques et leur utilisation en dehors de AWS KMS.

Régions

Les clés KMS asymétriques et les paires de clés de données asymétriques sont prises en charge dans toutes les Régions AWS prises en charge par AWS KMS.

En savoir plus

Clés KMS asymétriques

Vous pouvez créer une clé KMS asymétrique dans AWS KMS. Une clé KMS asymétrique représente une paire de clés publiques et de clés privées mathématiquement liées entre elles. Vous pouvez donner la clé publique à n'importe qui, même s'il ne s'agit pas d'une personne de confiance, mais la clé privée doit rester secrète.

Dans une clé KMS asymétrique, la clé privée est créée dans AWS KMS et ne quitte jamais AWS KMS non chiffrée. Pour utiliser la clé privée, vous devez appeler AWS KMS. Vous pouvez utiliser la clé publique dans AWS KMS en appelant les opérations d'API AWS KMS. Ou vous pouvez télécharger la clé publique et l'utiliser en dehors de AWS KMS.

Si votre cas d'utilisation nécessite un chiffrement en dehors d'AWS par des utilisateurs qui ne peuvent pas appeler AWS KMS, les clés KMS asymétriques sont un bon choix. Toutefois, si vous créez une clé KMS pour chiffrer les données que vous stockez ou gérez dans un service AWS, utilisez une clé KMS de chiffrement symétrique. Les services AWS qui sont intégrés à AWS KMS utilisent uniquement des clés KMS de chiffrement symétriques pour chiffrer vos données. Ces services ne prennent pas en charge le chiffrement avec des clés KMS asymétriques.

AWS KMS prend en charge deux types de clés KMS asymétriques.

  • Clés KMS RSA : une clé KMS avec une paire de clés RSA pour chiffrer et déchiffrer ou pour signer et vérifier (mais pas les deux). AWS KMS prend en charge plusieurs longueurs de clés pour différentes exigences de sécurité.

  • Clés KMS de courbe elliptique (ECC) : une clé KMS avec une paire de clés de courbe elliptique pour la signature et la vérification. AWS KMSprend en charge plusieurs courbes couramment utilisées.

Pour obtenir de l'aide quant au choix de la configuration de votre clé asymétrique, veuillez consulter Choix d'un type de clé KMS. Pour plus de détails techniques sur les algorithmes de chiffrement et de signature que AWS KMS prend en charge pour les clés KMS RSA, veuillez consulter Spécifications des clés RSA. Pour plus de détails techniques sur les algorithmes de signature que AWS KMS prend en charge pour les clés KMS ECC, veuillez consulter Spécifications de la clé de courbe elliptique.

Pour obtenir un tableau comparatif les opérations que vous pouvez effectuer sur les clés KMS symétriques et asymétriques, veuillez consulter Comparaison des clés KMS symétriques et asymétriques. Pour obtenir de l'aide sur la détermination de la symétrie ou de l'asymétrie d'une clé KMS, veuillez consulter Identification des clés KMS asymétriques.

Régions

Les clés KMS asymétriques et les paires de clés de données asymétriques sont prises en charge dans toutes les Régions AWS prises en charge par AWS KMS.