Concepts

Découvrez les termes et concepts de base utilisés dans le AWS domaine de la cryptographie des paiements et découvrez comment vous pouvez les utiliser pour protéger vos données.

Alias

Nom convivial associé à une clé de chiffrement des AWS paiements. L'alias peut être utilisé de manière interchangeable avec l'ARN de la clé dans de nombreuses opérations de l'API de cryptographie des AWS paiements. Les alias permettent de faire pivoter ou de modifier les clés sans affecter le code de votre application. Le nom d'alias est une chaîne comportant jusqu'à 256 caractères. Il identifie de manière unique une clé de cryptographie AWS de paiement associée au sein d'un compte et d'une région. Dans AWS Payment Cryptography, les noms d'alias commencent alias/ toujours par.

Le format d'un nom d'alias est le suivant :

alias/<alias-name>

Par exemple :

alias/sampleAlias2

ARN de clé

La clé ARN est le nom de ressource Amazon (ARN) d'une entrée clé dans AWS Payment Cryptography. Il s'agit d'un identifiant unique et complet pour la clé de cryptographie des AWS paiements. Un ARN clé comprend une Compte AWS région et un identifiant généré de manière aléatoire. L'ARN n'est pas lié ou dérivé du matériau clé. Comme elles sont automatiquement attribuées lors des opérations de création ou d'importation, ces valeurs ne sont pas idempotentes. Si vous importez plusieurs fois la même clé, vous obtiendrez plusieurs ARN clés dotés de leur propre cycle de vie.

Le format d'un ARN de clé est le suivant :

arn:<partition>:payment-cryptography:<region>:<account-id>:alias/<alias-name>

Voici un exemple d'ARN de clé :

arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h

Identifiant clé

Un identifiant de clé est une référence à une clé et l'une (ou plusieurs) d'entre elles sont des entrées typiques des opérations de cryptographie des AWS paiements. Les identifiants de clé valides peuvent être un ARN de clé ou un alias de clé.

AWS Clés de chiffrement des paiements

AWS Les clés de cryptographie (clés) de paiement sont utilisées pour toutes les fonctions cryptographiques. Les clés sont soit générées directement par vous à l'aide du raccourci clavier Create, soit ajoutées au système en appelant key import. L'origine d'une clé peut être déterminée en examinant l'attribut KeyOrigin. AWS La cryptographie des paiements prend également en charge les clés dérivées ou intermédiaires utilisées lors d'opérations cryptographiques telles que celles utilisées par DUKPT.

Ces clés ont des attributs immuables et mutables définis lors de leur création. Les attributs, tels que l'algorithme, la longueur et l'utilisation, sont définis lors de la création et ne peuvent pas être modifiés. D'autres, comme la date d'entrée en vigueur ou la date d'expiration, peuvent être modifiées. Consultez la référence de l'API de cryptographie des AWS paiements pour obtenir la liste complète des attributs des clés de cryptographie des AWS paiements.

AWS Les clés de cryptographie de paiement ont des types de clés, principalement définis par la norme ANSI X9 TR 31, qui limitent leur utilisation aux fins prévues, conformément à l'exigence 19 du PCI PIN v3.1.

Les attributs sont liés aux clés à l'aide de blocs de clés lorsqu'ils sont stockés, partagés avec d'autres comptes ou exportés conformément à l'exigence 18-3 du PCI PIN v3.1.

Les clés sont identifiées sur la plateforme AWS de cryptographie des paiements à l'aide d'une valeur unique appelée clé Amazon Resource Name (ARN).

Note

ARNLa clé est générée lorsqu'une clé est initialement créée ou importée dans le service de cryptographie des AWS paiements. Ainsi, si vous ajoutez le même élément clé plusieurs fois à l'aide de la fonctionnalité de clé d'importation, le même matériau clé sera situé sous plusieurs clés, mais chacune aura un cycle de vie de clé différent.