Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Clés KMS asymétriques dans AWS KMS
AWS KMS prend en charge les clés KMS asymétriques qui représentent une paire de clés publique et privée mathématiquement liées RSA, à courbe elliptique (ECC) ou SM2 (régions de Chine seulement). Ces paires de clés sont générées dans des modules de sécurité matérielle AWS KMS certifiés conformément au Programme de validation des modules de chiffrement FIPS 140-2
Vous pouvez créer et gérer les clés KMS asymétriques dans votre Compte AWS, notamment en définissant les politiques de clé, les politiques IAM et les octrois qui contrôlent l'accès à vos clés, en activant et désactivant les clés KMS, en créant des identifications et des alias, mais aussi en supprimant les clés KMS. De plus, vous pouvez auditer toutes les opérations qui utilisent ou gèrent vos clés KMS dans AWS dans les journaux AWS CloudTrail.
AWS KMS fournit également des paires de clés de données asymétriques conçues pour être utilisées pour la cryptographie côté client en dehors de AWS KMS. La clé privée d'une paire de clés de données asymétriques est protégée par une clé KMS de chiffrement symétrique dans AWS KMS.
Cette rubrique explique le fonctionnement des clés KMS asymétriques, leur différence avec d'autres clés KMS et comment déterminer le type de clés KMS à utiliser pour protéger vos données. Elle explique également le fonctionnement des paires de clés de données asymétriques et leur utilisation en dehors de AWS KMS.
Régions
Les clés KMS asymétriques et les paires de clés de données asymétriques sont prises en charge dans toutes les Régions AWS prises en charge par AWS KMS.
En savoir plus
-
Pour créer des clés KMS asymétriques, veuillez consulter Création de clés KMS asymétriques. Pour créer des clés KMS de chiffrement symétriques, veuillez consulter Création de clés.
-
Pour créer des clés KMS multi-région asymétriques, veuillez consulter Création de clés multi-régions.
-
Pour savoir si une clé KMS est symétrique ou asymétrique, veuillez consulter Identification des clés KMS asymétriques.
-
Pour obtenir un tableau comparatif des opérations d'API AWS KMS qui s'appliquent à chaque type de clé KMS, veuillez consulter Référence des types de clés.
-
Pour contrôler l'accès aux spécifications de clés, à l'utilisation des clés, aux algorithmes de chiffrement et aux algorithmes de signature que les principaux dans votre compte peuvent utiliser pour les clés KMS et les clés de données, veuillez consulter AWS KMS clés de condition.
-
Pour en savoir plus sur les quotas de demande qui s'appliquent aux différents types de clés KMS, veuillez consulter Quotas de demande.
-
Pour savoir comment signer des messages et vérifier des signatures à l'aide des clés KMS asymétriques, veuillez consulter Signature numérique avec la nouvelle fonction de clés asymétriques d'AWS KMS
dans le blog de sécurité AWS.
Rubriques
Clés KMS asymétriques
Vous pouvez créer une clé KMS asymétrique dans AWS KMS. Une clé KMS asymétrique représente une paire de clés publiques et de clés privées mathématiquement liées entre elles. Vous pouvez donner la clé publique à n'importe qui, même s'il ne s'agit pas d'une personne de confiance, mais la clé privée doit rester secrète.
Dans une clé KMS asymétrique, la clé privée est créée dans AWS KMS et ne quitte jamais AWS KMS non chiffrée. Pour utiliser la clé privée, vous devez appeler AWS KMS. Vous pouvez utiliser la clé publique dans AWS KMS en appelant les opérations d'API AWS KMS. Ou vous pouvez télécharger la clé publique et l'utiliser en dehors de AWS KMS.
Si votre cas d'utilisation nécessite un chiffrement en dehors d'AWS par des utilisateurs qui ne peuvent pas appeler AWS KMS, les clés KMS asymétriques sont un bon choix. Toutefois, si vous créez une clé KMS pour chiffrer les données que vous stockez ou gérez dans un service AWS, utilisez une clé KMS de chiffrement symétrique. Les services AWS qui sont intégrés à AWS KMS
AWS KMS prend en charge trois types de clés KMS asymétriques.
-
Clés KMS RSA : une clé KMS avec une paire de clés RSA pour chiffrer et déchiffrer ou pour signer et vérifier (mais pas les deux). AWS KMS prend en charge plusieurs longueurs de clés pour différentes exigences de sécurité.
-
Clés KMS de courbe elliptique (ECC) : une clé KMS avec une paire de clés de courbe elliptique pour la signature et la vérification. AWS KMSprend en charge plusieurs courbes couramment utilisées.
-
Clés KMS SM2 (régions de Chine uniquement) : une clé KMS avec une paire de clés SM2 pour chiffrer et déchiffrer ou pour signer et vérifier (mais pas les deux).
Pour obtenir de l'aide quant au choix de la configuration de votre clé asymétrique, veuillez consulter Choix d'un type de clé KMS. Pour plus de détails techniques sur les algorithmes de chiffrement et de signature que AWS KMS prend en charge pour les clés KMS RSA, veuillez consulter Spécifications des clés RSA. Pour plus de détails techniques sur les algorithmes de signature que AWS KMS prend en charge pour les clés KMS ECC, veuillez consulter Spécifications des clés de courbe elliptique. Pour plus de détails techniques sur les algorithmes de chiffrement et de signature que AWS KMS prend en charge pour les clés KMS SM2 (régions chinoises uniquement), consultez SM2 key spec (Spécifications des clés SM2).
Pour obtenir un tableau comparatif des opérations que vous pouvez effectuer sur les clés KMS symétriques et asymétriques, veuillez consulter Comparaison des clés KMS symétriques et asymétriques. Pour obtenir de l'aide sur la détermination de la symétrie ou de l'asymétrie d'une clé KMS, veuillez consulter Identification des clés KMS asymétriques.
Régions
Les clés KMS asymétriques et les paires de clés de données asymétriques sont prises en charge dans toutes les Régions AWS prises en charge par AWS KMS.
