AWS Key Management Service

AWS Key Management Service est un service géré qui facilite la création et le contrôle des clés de chiffrement utilisées pour chiffrer vos données, et utilise des modules de sécurité matériels (HSM) pour protéger la sécurité de vos clés. AWS KMS est intégré à plusieurs autres services AWS afin que vous puissiez protéger les données que vous stockez avec ces services. AWS KMS est également intégré à AWS CloudTrail de façon à vous fournir des journaux de toutes vos utilisations de clés selon vos besoins réglementaires et de conformité.

Vous pouvez en toute simplicité créer, importer et renouveler des clés, mais aussi définir des stratégies d'utilisation et réaliser un audit de l'utilisation à partir d'AWS Management Console, ou encore à l'aide du kit SDK AWS ou de l'interface de ligne de commande AWS (AWS CLI).

Les clés CMK dans AWS KMS, qu'elles soient importées par vos soins ou créées pour vous par KMS, sont conservées dans un stockage hautement durable et dans un format chiffré, ce qui permet de les utiliser quand cela est nécessaire. Vous pouvez configurer KMS afin qu'il effectue une rotation automatique des clés CMK créées dans KMS une fois par an, sans que vous ayez à chiffrer de nouveau les données déjà chiffrées à l'aide de votre clé principale. Vous n'avez pas besoin de garder une trace des anciennes versions de vos clés CMK, puisque KMS les conserve pour le déchiffrement automatique des données préalablement chiffrées.

Pour n'importe quelle clé CMK dans AWS KMS, vous pouvez contrôler qui a accès à ces clés et les services avec lesquels elles peuvent être utilisées au moyen d'un certain nombre de contrôles d'accès, y compris des autorisations et des conditions de stratégie de clé au sein de stratégies de clés ou de stratégies IAM. Vous pouvez également importer des clés depuis votre propre infrastructure de gestion de clés et les utiliser dans KMS.

Par exemple, la stratégie ci-dessous utilise la condition kms:ViaService afin d'autoriser l'utilisation d'une clé CMK gérée par le client pour les actions spécifiées uniquement lorsque la demande provient d'Amazon EC2 ou d'Amazon RDS dans une région spécifique (us-west-2) au nom d'un utilisateur spécifique (ExampleUser).



        {
         “Version”: “2012-10-17”,
         “Statement”: [
             {
                “Effect”: “Allow”,
                “Principal”: {
                    “AWS”: “arn:aws:iam::111122223333:user/ExampleUser”
                 }
                “Action”: [
                     “kms:Encrypt*”,
                     “kms:Decrypt”,
                     ”kms:ReEncrypt*”,
                     “kms:GenerateDataKey*”,
                     “kms:CreateGrant”,
                     “kms:ListGrants”,
                     “kms:DescribeKey”
                 ],
                 “Resource”: “*”,
                 “Condition”: {
                    “ForAnyValue:StringEquals”: {
                        “kms:ViaService”: [
                              “ec2.us-west-2.amazonaws.com”,
                              “rds.us-west-2.amazonaws.com”
                        ]
                     } 
               }      
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Outils de chiffrement

Intégration des services AWS