Publié le: Apr 20, 2022
AWS Key Management Service (AWS KMS) vous permet de créer des clés KMS utilisables pour générer et vérifier des codes d'authentification de message utilisant hash (HMAC). Les HMAC sont de puissants composants cryptographiques qui incorporent le contenu de la clé secrète dans une fonction de hachage pour créer un code d'authentification de message chiffré. Les clés KMS HMAC ne peuvent être générées et utilisées que dans les limites de sécurité HSM validées par FIPS 140-2, dans AWS KMS. Cette architecture peut minimiser le risque de compromission de ces clés secrètes, contrairement à l'utilisation de clés HMAC en texte brut dans une application locale.
Les HMAC offrent un moyen rapide d'ajouter un jeton ou de signer des données telles que des requêtes d'API web, des numéros de cartes de crédit, des informations de routage bancaire ou des données d'identification personnelle (PII). Comme les HMAC utilisent un chiffrement symétrique, elles offrent généralement des performances supérieures aux algorithmes de signature qui emploient un chiffrement asymétrique, comme RSA et ECC. Les HMAC sont couramment employées dans différents standards Internet et protocoles de communication, dont les jetons web JSON (JWT). Les clés KMS et les algorithmes HMAC d'AWS KMS respectent les standards industriels définis dans la RFC 2104. Comme avec tout autre type de clé KMS, vous pouvez décider qui est autorisé à effectuer des fonctions HMAC et sous quelles conditions, en définissant des stratégies de clé KMS et/ou IAM.
Les API HMAC KMS sont actuellement disponibles dans une sélection de régions. Consultez le Guide du développeur KMS pour plus d'informations sur les régions prises en charge et pour avoir une présentation de la nouvelle fonction HMAC.
27 avril 2022 : une version précédente de ce billet faisait incorrectement référence à la norme de jeton web « Java ». Nous avons corrigé cette référence vers la norme de jeton web JSON (JWT).