Comment les clés inutilisables affectent KMS les clés de données

Lorsqu'une KMS clé devient inutilisable, l'effet est quasi immédiat (sous réserve d'une éventuelle cohérence). L'état de la KMS clé change pour refléter sa nouvelle condition, et toutes les demandes d'utilisation de la KMS clé dans des opérations cryptographiques échouent.

Toutefois, l'effet sur les clés de données chiffrées par la KMS clé et sur les données chiffrées par la clé de données est différé jusqu'à ce que la KMS clé soit réutilisée, par exemple pour déchiffrer la clé de données.

KMSles clés peuvent devenir inutilisables pour diverses raisons, notamment les actions suivantes que vous pouvez effectuer.

Désactivation de la clé KMS
Planification de la suppression de la KMS clé
Supprimer le contenu clé d'une KMS clé contenant du matériel clé importé, ou laisser le matériel clé importé expirer.
Déconnecter le magasin de AWS CloudHSM clés qui héberge la KMS clé ou supprimer la clé du AWS CloudHSM cluster qui sert de matériau clé à la KMS clé.
Déconnexion du magasin de clés externe qui héberge la KMS clé, ou toute autre action interférant avec les demandes de chiffrement et de déchiffrement adressées au proxy du magasin de clés externe, y compris la suppression de la clé externe de son gestionnaire de clés externe.

Cet effet est particulièrement important pour les nombreuses personnes Services AWS qui utilisent des clés de données pour protéger les ressources gérées par le service. L'exemple suivant utilise Amazon Elastic Block Store (AmazonEBS) et Amazon Elastic Compute Cloud (AmazonEC2). Les utilisateurs Services AWS utilisent les clés de données de différentes manières. Pour plus de détails, veuillez consulter la section Protection des données du chapitre Sécurité pour l' Service AWS.

Par exemple, envisagez le scénario suivant :

Vous créez un EBS volume chiffré et spécifiez une KMS clé pour le protéger. Amazon vous EBS demande AWS KMS d'utiliser votre KMS clé pour générer une clé de données chiffrée pour le volume. Amazon EBS stocke la clé de données cryptée avec les métadonnées du volume.
Lorsque vous attachez le EBS volume à une EC2 instance, Amazon EC2 utilise votre KMS clé pour déchiffrer la clé de données chiffrée du EBS volume. Amazon EC2 utilise la clé de données du matériel Nitro, qui est chargé de chiffrer toutes les E/S du disque vers le volume. EBS La clé de données est conservée dans le matériel Nitro tant que le EBS volume est attaché à l'EC2instance.
Vous effectuez une action qui rend la KMS clé inutilisable. Cela n'a aucun effet immédiat sur l'EC2instance ou le EBS volume. Amazon EC2 utilise la clé de données, et non la KMS clé, pour chiffrer toutes les E/S du disque lorsque le volume est attaché à l'instance.
Toutefois, lorsque le EBS volume chiffré est détaché de l'EC2instance, Amazon EBS supprime la clé de données du matériel Nitro. La prochaine fois que le EBS volume chiffré est attaché à une EC2 instance, la pièce jointe échoue, car Amazon EBS ne peut pas utiliser la KMS clé pour déchiffrer la clé de données chiffrée du volume. Pour réutiliser le EBS volume, vous devez rendre la KMS clé réutilisable.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Générer des clés de données

Générer des paires de clés de données