Gestion de clés KMS dans un magasin de clés personnalisé - AWS Key Management Service

Gestion de clés KMS dans un magasin de clés personnalisé

Après avoir créé une KMS de chiffrement symétrique dans un magasin de clés personnalisé, vous pouvez l'utiliser pour les opérations de chiffrement suivantes :

Les opérations qui génèrent des paires de clés de données asymétriques, GenerateDataKeyPair et GenerateDataKeyPairWithoutPlaintext, ne sont pas prises en charge dans un magasin de clés personnalisé.

Lorsque vous utilisez votre clé KMS dans une demande, vous devez identifier la clé KMS par son ID ou alias ; vous n'avez pas besoin de spécifier le cluster AWS CloudHSM ou le magasin de clés personnalisé. La réponse inclut les mêmes champs qui sont renvoyés pour une clé KMS de chiffrement symétrique.

Toutefois, lorsque vous utilisez une clé KMS dans un magasin de clés personnalisé, l'opération de chiffrement est effectuée entièrement au sein du cluster AWS CloudHSM associé au magasin de clés personnalisé. L'opération utilise les éléments de clé du cluster associés à la clé KMS que vous avez choisie.

Pour que cela soit possible, les conditions suivantes sont requises.

  • L'état de la clé KMS doit être Enabled. Pour rechercher l'état de la clé, utilisez le champ Statut de la AWS Management Console ou le champ KeyState de la réponse DescribeKey.

  • Le magasin de clés personnalisé doit être connecté à son cluster AWS CloudHSM. Son Status dans le AWS Management Console ou ConnectionState dans la réponse DescribeCustomKeyStores doit être CONNECTED.

  • Le cluster AWS CloudHSM associé au magasin de clés personnalisé doit contenir au moins un module HSM. Pour rechercher le nombre de modules HSM dans le cluster, utilisez la console AWS KMS, la console AWS CloudHSM ou l'opération DescribeClusters.

  • Le cluster AWS CloudHSM doit contenir les éléments de clé de la clé KMS. Si la clé a été supprimé du cluster, ou qu'un module HSM a été créé à partir d'une sauvegarde qui n'inclut pas la clé de chiffrement, l'opération de chiffrement échoue.

Si ces conditions ne sont pas satisfaites, l'opération de chiffrement échoue, et AWS KMS renvoie une exception KMSInvalidStateException. En général, vous devez simplement reconnecter le magasin de clés personnalisé. Pour obtenir de l'aide supplémentaire, consultez Comment corriger les clés KMS défaillantes.

Lorsque vous utilisez les clés KMS dans un magasin de clés personnalisé, sachez que les clés KMS de chaque magasin de clés personnalisé partagent un quota par seconde sur les demandes d'opérations de chiffrement. Si vous dépassez le quota, AWS KMS renvoie un ThrottlingException. Si le cluster AWS CloudHSM associé au magasin de clés personnalisé traite de nombreuses commandes, y compris celles non liées au magasin de clés personnalisé, vous pouvez obtenir une ThrottlingException à un taux moindre que prévu. Si vous obtenez une exception ThrottlingException pour une demande, réduisez la fréquence des demandes et essayez les commandes à nouveau. Pour plus d'informations sur le quota de demande des opérations de chiffrement dans un magasin de clés personnalisé, reportez-vous à Quota de magasin de clés personnalisé.