À propos AWS KMS keys

AWS Key Management Service (AWS KMS) vous permet de créer des clés cryptographiques qui peuvent être utilisées sur les données que vous transmettez au service. Le type de ressource principal est la clé KMS, dont il existe trois types :

Clés symétriques AES (Advanced Encryption Standard) : il s'agit de clés de 256 bits utilisées dans le mode Galois Counter Mode (GCM) d'AES. Ces clés fournissent un chiffrement et un déchiffrement authentifiés des données dont la taille est inférieure à 4 Ko. Il s'agit du type de clé le plus courant. Il est utilisé pour protéger d'autres clés de données, telles que celles utilisées dans vos applications ou pour chiffrer les données en Services AWS votre nom.
Clés asymétriques RSA ou à courbe elliptique : ces clés sont disponibles en différentes tailles et prennent en charge de nombreux algorithmes. Selon l'algorithme, ils peuvent être utilisés pour le chiffrement et le déchiffrement ainsi que pour les opérations de signature et de vérification.
Clés symétriques pour effectuer des opérations de code d'authentification de message basé sur le hachage (HMAC) — Ces clés sont des clés de 256 bits utilisées pour les opérations de signature et de vérification.

Les clés KMS ne peuvent pas être exportées depuis le service en texte brut. Ils sont générés par et ne peuvent être utilisés que dans les modules de sécurité matériels (HSMs) utilisés par le service. Il s'agit d'une propriété de sécurité fondamentale destinée AWS KMS à empêcher la compromission des clés. Dans les régions de Chine (Pékin) et de Chine (Ningxia), HSMs ils sont certifiés par l'OSCCA. Dans toutes les autres régions, les données HSMs utilisées AWS KMS sont validées dans le cadre du programme FIPS 140 du NIST au niveau de sécurité 3. Pour plus d'informations sur la conception et les contrôles AWS KMS permettant de protéger vos clés, consultez la section Détails AWS Key Management Service cryptographiques.

Vous pouvez envoyer des données à l'aide AWS KMS de divers moyens cryptographiques APIs afin d'effectuer des opérations de chiffrement, de déchiffrement, de signature ou de vérification avec des clés KMS. Vous pouvez également choisir de faire en sorte qu'une clé KMS agisse comme une clé de chiffrement, qui protège un type de clé appelé clé de données. Une clé de données peut être exportée AWS KMS pour être utilisée dans votre application locale ou pour protéger les données en votre nom. Service AWS L'utilisation de clés de données est courante dans tous les systèmes de gestion de clés et est souvent appelée chiffrement d'enveloppes. Le chiffrement par enveloppe permet d'utiliser une clé de données sur le système distant qui gère vos données sensibles, au lieu d'avoir à envoyer vos données sensibles AWS KMS pour qu'elles soient chiffrées directement sous une clé KMS.

Pour plus d'informations, consultez la section AWS KMS keyset les éléments essentiels de AWS KMS la cryptographie dans la AWS KMS documentation.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Introduction

Gestion des clés