Mise en œuvre - AWS Conseils prescriptifs
Coût, commodité et contrôleTypes de performances et de chiffrementEmplacement de stockage des clésContrôle d’accèsAudit et journalisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mise en œuvre

Dans cette stratégie, l'architecture fait référence à la mise en œuvre technique de vos normes de chiffrement. Cette section contient des informations sur la manière dont Services AWSAWS Key Management Service (AWS KMS) et AWS CloudHSM, peuvent vous aider à mettre en œuvre votre stratégie de data-at-rest chiffrement conformément à votre politique et à vos normes.

AWS KMS est un service géré qui vous aide à créer et à contrôler les clés cryptographiques utilisées pour protéger vos données. Les clés KMS ne quittent jamais le service sans être chiffrées. Pour utiliser ou gérer vos clés KMS, vous interagissez avec elles AWS KMS, et bon nombre d'entre Services AWS elles sont intégrées AWS KMS.

AWS CloudHSM est un service cryptographique permettant de créer et de gérer des modules de sécurité matériels (HSMs) dans votre AWS environnement. HSMs sont des dispositifs informatiques qui traitent des opérations cryptographiques et fournissent un stockage sécurisé pour les clés cryptographiques. Si vos normes vous obligent à utiliser du matériel validé FIPS 140-2 niveau 3, ou si vos normes imposent l'utilisation de normes industrielles APIs, telles que PKCS #11, Java Cryptography Extensions (JCE) et Microsoft CryptoNG (CNG), vous pouvez envisager d'en utiliser. AWS CloudHSM

Vous pouvez AWS CloudHSM le configurer en tant que magasin de clés personnalisé pour AWS KMS. Cette solution combine la commodité et l'intégration des services AWS KMS avec les avantages supplémentaires en termes de contrôle et de conformité liés à l'utilisation d'un AWS CloudHSM cluster dans votre Compte AWS. Pour plus d'informations, consultez la section Stockages de clés personnalisés (AWS KMS documentation).

Ce document présente les AWS KMS fonctionnalités de haut niveau et explique comment AWS KMS vous pouvez répondre à votre politique et à vos normes.

Coût, commodité et contrôle

AWS KMS propose différents types de clés. Certains sont détenus ou gérés par des clients AWS, tandis que d'autres sont créés et gérés par des clients. Vous pouvez choisir entre les options suivantes en fonction du niveau de contrôle que vous souhaitez avoir sur les considérations clés et financières :

  • AWS clés possédées : AWS possède et gère ces clés, et elles sont utilisées à plusieurs reprises Comptes AWS. Certains Services AWS prennent en charge les clés AWS détenues. Vous pouvez utiliser ces clés gratuitement. Ce type de clé vous évite les coûts et les frais administratifs liés à la gestion du cycle de vie des clés et à l'accès à celles-ci. Pour plus d'informations sur ce type de clé, consultez la section Clés AWS détenues (AWS KMS documentation).

  • AWS clés gérées — Si un Service AWS est intégré à AWS KMS, il peut créer, gérer et utiliser ce type de clés en votre nom, afin de protéger vos ressources dans ce service. Ces clés sont créées dans votre Compte AWS et ne Services AWS peuvent être utilisées que par elles. Il n'y a pas de frais mensuels pour une clé AWS gérée. Ils peuvent être soumis à des frais d'utilisation en sus du niveau gratuit, mais certains Services AWS couvrent ces coûts pour vous. Vous pouvez utiliser des politiques d'identité pour contrôler l'accès à l'affichage et à l'audit de ces clés, mais vous gérez AWS le cycle de vie des clés. Pour plus d'informations sur ce type de clé, consultez la section Clés AWS gérées (AWS KMS documentation). Pour une liste complète de ceux Services AWS qui s'intègrent AWS KMS, voir Service AWS Intégration (AWS marketing).

  • Clés gérées par le client : vous créez, détenez et gérez ce type de clé, et vous avez un contrôle total sur le cycle de vie des clés. Pour la séparation des tâches, vous pouvez utiliser des politiques basées à la fois sur l'identité et sur les ressources pour contrôler l'accès à la clé. Vous pouvez également configurer la rotation automatique des touches. Les clés gérées par le client entraînent des frais mensuels, et si vous dépassez le niveau gratuit, elles sont également soumises à des frais d'utilisation. Pour plus d'informations sur ce type de clé, consultez la section Clés gérées par le client (AWS KMS documentation).

Pour plus d'informations sur le stockage et l'utilisation des clés, consultez la section AWS Key Management Service Tarification (AWS marketing).

Types de performances et de chiffrement

Selon le type de chiffrement choisi dans les normes, vous pouvez utiliser deux types de clés KMS.

  • Symétrique : tous les AWS KMS key types prennent en charge le chiffrement symétrique. Lorsque vous chiffrez des clés gérées par le client, vous pouvez utiliser une clé à puissance unique pour le chiffrement et le déchiffrement avec l'AES-256-GCM.

  • Asymétrique : les clés gérées par le client prennent en charge le chiffrement asymétrique. Vous pouvez choisir entre différents atouts clés et algorithmes, en fonction de l'utilisation que vous souhaitez en faire. Les clés asymétriques peuvent chiffrer et déchiffrer avec RSA et peuvent signer et vérifier les opérations avec RSA ou ECC. Les algorithmes de clé asymétriques permettent par nature de séparer les rôles et de simplifier la gestion des clés. Lorsque vous utilisez le chiffrement asymétrique avec AWS KMS, certaines opérations ne sont pas prises en charge, telles que la rotation des clés et l'importation de clés externes.

Pour plus d'informations sur les AWS KMS opérations prises en charge par les touches symétriques et asymétriques, consultez la section Référence des types de clés (AWS KMS documentation).

Chiffrement d’enveloppe

Le chiffrement des enveloppes est intégré AWS KMS. Dans AWS KMS, vous générez des clés de données au format texte brut ou crypté. Les clés de données chiffrées sont chiffrées à l'aide d'une clé KMS. Vous pouvez stocker la clé KMS dans un magasin de clés personnalisé au sein d'un AWS CloudHSM cluster. Pour plus d'informations sur les avantages du chiffrement des enveloppes, consultezÀ propos du chiffrement des enveloppes.

Emplacement de stockage des clés

Vous utilisez des politiques pour gérer l'accès aux AWS KMS ressources. Les politiques décrivent qui peut accéder à quelles ressources. Les politiques associées à un principal AWS Identity and Access Management (IAM) sont appelées politiques basées sur l'identité ou politiques IAM. Les politiques associées à d'autres types de ressources sont appelées politiques de ressources. AWS KMS les politiques de ressources pour AWS KMS keys sont appelées politiques clés. Chaque clé KMS est associée à une politique clé.

Les politiques clés offrent la flexibilité de stocker la clé de chiffrement dans un emplacement central ou de la stocker plus près des données, de manière distribuée. Tenez compte AWS KMS des fonctionnalités suivantes lorsque vous décidez où stocker les clés KMS dans votre Compte AWS :

  • Support de l'infrastructure à région unique : par défaut, les clés KMS sont spécifiques à une région et ne sont jamais déchiffrées. AWS KMS Si vos normes imposent des exigences strictes en matière de contrôle des clés dans une zone géographique spécifique, envisagez d'utiliser des clés à région unique.

  • Support d'infrastructure multirégional : prend AWS KMS également en charge un type de clé à usage spécial appelé clés multirégionales. Le stockage de données multiples Régions AWS est une configuration courante pour la reprise après sinistre. En utilisant des clés multirégionales, vous pouvez transférer des données entre les régions sans les rechiffrer, et vous pouvez gérer les données comme si vous disposiez de la même clé dans chaque région. Cette fonctionnalité est très utile si vos normes exigent que votre infrastructure de chiffrement couvre plusieurs régions dans une configuration active-active. Pour plus d'informations, consultez la section Clés multirégionales (AWS KMS documentation).

  • Gestion centralisée — Si vos normes exigent que vous stockiez les clés dans un emplacement centralisé, vous pouvez AWS KMS stocker toutes vos clés de chiffrement en un seul endroit Compte AWS. Vous utilisez des politiques clés pour accorder l'accès à d'autres applications, qui peuvent se trouver dans différents comptes dans la même région. La gestion centralisée des clés peut réduire les frais administratifs liés à la gestion du cycle de vie des clés et au contrôle de l'accès aux clés.

  • Matériel clé externe — Vous pouvez importer du matériel clé généré en externe dans AWS KMS. Support pour cette fonctionnalité est disponible pour les clés symétriques à une ou plusieurs régions. Le matériau de la clé symétrique étant généré en externe, vous êtes responsable de la protection des matériaux clés générés. Pour plus d'informations, consultez la section Matériel clé importé (AWS KMS documentation).

Contrôle d’accès

Dans AWS KMS, vous pouvez implémenter un contrôle d'accès de niveau granulaire à l'aide des mécanismes de politique suivants : politiques clés, politiquesIAM et autorisations. À l'aide de ces contrôles, vous pouvez définir votre séparation des tâches en fonction des rôles, tels que les administrateurs, les utilisateurs clés qui peuvent chiffrer les données, les utilisateurs clés qui peuvent déchiffrer les données et les utilisateurs clés qui peuvent à la fois chiffrer et déchiffrer les données. Pour plus d'informations, consultez Authentification et contrôle d'accès (AWS KMS documentation).

Audit et journalisation

AWS KMS s'intègre à Amazon AWS CloudTrail et à EventBridge des fins de journalisation et de surveillance. Toutes les opérations d' AWS KMS API sont enregistrées et auditables dans CloudTrail des journaux. Vous pouvez utiliser Amazon CloudWatch et configurer EventBridge des solutions AWS Lambda de surveillance personnalisées afin de configurer les notifications et la correction automatique. Pour plus d'informations, consultez la section Journalisation et surveillance (AWS KMS documentation).