Publié le: Nov 26, 2018
AWS Key Management Service (KMS) a été intégré à AWS CloudHSM. Vous avez donc maintenant la possibilité de créer votre propre dépôt de clés personnalisées KMS. Chaque dépôt de clés personnalisé est géré par un cluster AWS CloudHSM et vous permet de générer, de stocker et d'utiliser vos clés KMS dans des modules de sécurité matérielle (HSM) que vous contrôlez. Le dépôt de clés personnalisées KMS aide à satisfaire les obligations de conformité qui nécessiteraient autrement l'utilisation de HSM sur site et prend en charge les services AWS et les boîtes à outils de chiffrement intégrés à KMS.
Avec cette nouvelle fonctionnalité, vous pouvez générer des clés principales clientes (CMK) AWS KMS et les stocker dans un dépôt de clés personnalisé plutôt que dans le dépôt de clés KMS par défaut. Chaque dépôt de clés personnalisé KMS est créé à l'aide d'instances HSM dans un cluster AWS CloudHSM que vous possédez et que vous pouvez gérer indépendamment de KMS. Lorsque vous utilisez une clé CMK KMS dans un dépôt de clés personnalisé, les opérations cryptographiques sous cette clé sont effectuées exclusivement dans votre cluster CloudHSM. Les clés principales stockées dans un dépôt de clés personnalisé sont gérées de la même manière que toute autre clé principale dans KMS et peuvent être utilisées par tout service AWS qui crypte des données et prend en charge les clés CMK gérées par le client KMS.
L'utilisation d'un dépôt de clés personnalisé n'affecte pas les frais pour KMS pour le stockage et l'utilisation d'une clé CMK. Toutefois, un dépôt de clés personnalisé implique le coût supplémentaire de la maintenance d'un cluster CloudHSM avec au moins deux HSM. Voir la tarificationAWS CloudHSM.
Pour plus d’informations, rendez vous sur la FAQ KMS Custom Key Store et pour savoir si les dépôts de clés personnalisés sont bien adaptés à vos besoins, vous pouvez lire ceblog.