AWS Key Management Service vous offre un contrôle centralisé des clés de chiffrement utilisées pour protéger vos données. Vous pouvez créer, importer, procéder à une rotation, désactiver, supprimer et définir les politiques d'utilisation des clés de chiffrement appliquées pour protéger vos données, et vérifier leur usage. AWS Key Management Service s'intègre à la plupart des services AWS et facilite le chiffrement de vos données stockées avec ces services à l'aide de clés de chiffrement que vous contrôlez. AWS KMS est intégré à AWS CloudTrail, vous permettant de vérifier qui a utilisé quelles clés, sur quelles ressources et quand. AWS KMS permet aux développeurs de chiffrer facilement des données, que ce soit à l'aide d'un chiffrement en un clic dans AWS Management Console ou en utilisant le kit de développement logiciel AWS pour ajouter facilement un chiffrement au code de leur application.

Essayer AWS Key Management Service

Démarrer avec AWS
Vous pouvez également vous connecter à la console

Créez votre compte gratuitement avec Amazon Web Services et bénéficiez de 12 mois d'accès à des produits et services gratuits.

Voir les détails relatifs à l'offre gratuite d'AWS »

AWS Key Management Service vous offre un contrôle centralisé de vos clés de chiffrement. Créer, importer et opérer une rotation des clés, définir des politiques d'utilisation et vérifier l'usage : autant d'opérations faciles à réaliser via AWS Management Console, le kit SDK ou l'interface de ligne de commande AWS. Les clés principales dans KMS, qu'elles soient importées par vos soins ou créées pour vous par KMS, sont conservées dans un stockage hautement durable et dans un format chiffré, ce qui permet de les extraire si besoin. Vous pouvez configurer KMS afin qu'il effectue une rotation automatique des clés principales créées dans KMS une fois par an, sans que vous ayez à chiffrer de nouveau les données déjà chiffrées à l'aide de votre clé principale. Vous n'avez pas besoin de garder une trace des anciennes versions de vos clés principales, étant donné que KMS les conserve pour le déchiffrement des données préalablement chiffrées. Vous pouvez créer de nouvelles clés principales et contrôler qui peut avoir accès à ces clés et quels services peuvent être utilisés avec celles-ci quand vous le voulez. Vous pouvez aussi importer des clés à partir de votre propre infrastructure de gestion de clés et les utiliser dans KMS.

AWS Key Management Service s'intègre de manière transparente à la plupart des services AWS. Cette intégration signifie que vous pouvez utiliser les clés principales AWS KMS pour chiffrer les données stockées avec ces services. Vous pouvez utiliser une clé principale par défaut, qui est créée automatiquement pour vous et ne peut être utilisée qu'au sein du service intégré. Vous pouvez également sélectionner une clé principale personnalisée que vous avez auparavant créée dans KMS (ou importée à partir de votre propre infrastructure de gestion de clés) et que vous êtes autorisé à utiliser.

Services AWS intégrés à KMS
Alexa for Business* Amazon Glacier Amazon WorkMail AWS Snowball
Amazon Athena Amazon Kinesis Data Streams Amazon WorkSpaces AWS Snowmobile

Amazon Aurora

Amazon Kinesis Firehose AWS Certificate Manager* AWS Snowball Edge
Amazon CloudWatch Logs Amazon Kinesis Video Streams AWS Cloud9* AWS Storage Gateway
Amazon Comprehend* Amazon Lex AWS CloudTrail AWS X-Ray
Amazon Connect Amazon Lightsail* AWS CodeBuild  
Amazon DynamoDB* Amazon Simple Email Service (SES) AWS CodeCommit*  
Amazon DynamoDB Accelerator (DAX)* Amazon Simple Queue Service (SQS) AWS CodeDeploy  
Amazon EBS Amazon Neptune AWS CodePipeline  
Amazon EFS Amazon Relational Database Service (RDS) AWS Database Migration Service  
Amazon Elastic Transcoder Amazon Redshift AWS Lambda  
Amazon°Elasticsearch°Service Amazon SageMaker AWS Secrets Manager  
Amazon EMR Amazon S3 AWS Systems Manager  
Amazon Connect
Amazon Connect
Amazon Connect
Amazon Connect
Amazon S3, AWS Import/Export Snowball, AWS Storage Gateway 
Amazon S3, AWS Import/Export Snowball, AWS Storage Gateway 
Amazon S3, AWS Import/Export Snowball, AWS Storage Gateway 
Amazon S3, AWS Import/Export Snowball, AWS Storage Gateway 
Amazon RDS, Amazon Redshift, Amazon DynamoDB*
Amazon RDS, Amazon Redshift, Amazon DynamoDB*
Amazon RDS, Amazon Redshift, Amazon DynamoDB*
Amazon Kinesis Video Streams
Amazon Kinesis Video Streams
AWS CloudTrail
AWS CloudTrail
AWS Systems Manager
Amazon Relational Database Service
Amazon Relational Database Service
AWS X-Ray
AWS X-Ray
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS CodePipeline
AWS CodePipeline
AWS CodeDeploy
AWS CodeDeploy
AWS CodeCommit
AWS CodeBuild
AWS Cloud9*
AWS Auto Scaling
AWS Auto Scaling
Amazon WorkSpaces
AWS Certificate Manager*
AWS Certificate Manager*
AWS CloudTrail
AWS CloudTrail
AWS CloudTrail
AWS Database Migration Service
AWS Database Migration Service
AWS Systems Manager
AWS Systems Manager
AWS Storage Gateway
Amazon Simple Email Service (SES)
Amazon Simple Email Service (SES)
Amazon WorkMail
AWS CloudTrail
AWS CloudTrail
AWS CodeBuild
AWS CodeBuild
AWS CodeCommit*
AWS CodeCommit*
AWS CodePipeline
AWS Snowball
AWS Snowmobile
AWS Storage Gateway

*Prend en charge uniquement les clés AWS KMS gérées. 

AWS KMS est également intégré dans le kit de développement logiciel AWS, l'interface de ligne de commande (CLI) AWS et offre une API RESTful. Lorsque vous utilisez ces interfaces pour le chiffrement ou le déchiffrement de données, les opérations de chiffrement ou de déchiffrement se feront automatiquement. Pour cela, il suffit de sélectionner la clé principale KMS à utiliser. KMS est également intégré à AWS CloudFormation. Vous pouvez ainsi créer rapidement des clés dans KMS avec le template CloudFormation dédié à KMS.

Si vous avez activé AWS CloudTrail pour votre compte AWS, chaque utilisation d'une clé stockée dans KMS est enregistrée dans un fichier journal qui est envoyé dans le compartiment Amazon S3 que vous avez sélectionné lors de l'activation d'AWS CloudTrail. Les informations enregistrées comprennent des détails concernant l'utilisateur, l'heure, la date et la clé utilisée.

AWS Key Management Service est un service géré. Si votre utilisation des clés de chiffrement AWS KMS augmente, vous n'avez pas à acheter une infrastructure de gestion de clés supplémentaire. AWS KMS effectue une mise à l'échelle automatique afin de répondre à vos besoins relatifs aux clés de chiffrement.

Il n'est pas possible d'exporter les clés principales importées par vos soins ou créées pour vous par AWS KMS. AWS KMS enregistre plusieurs copies des versions chiffrées de vos clés dans des systèmes conçus pour fournir une durabilité de 99,999999999 % afin de vous assurer de la disponibilité de vos clés lorsque vous en avez besoin. Si vous importez des clés dans KMS, vous devez conserver une copie de ces clés de manière sécurisée afin de pouvoir les réimporter à tout moment.

AWS KMS est déployé dans plusieurs zones de disponibilité à l'intérieur d'une région afin d'assurer une haute disponibilité de vos clés de chiffrement.

AWS KMS est conçu de telle sorte que personne, pas même les employés d'AWS, ne puisse récupérer vos clés en texte simple à partir du service. Le service utilise des modules de sécurité matériels (HSM) validés par la norme FIPS 140-2 pour protéger la confidentialité et l'intégrité de vos clés, que vous demandiez à KMS de les créer pour vous ou que vous les importiez dans le service. Vos clés en texte simple ne sont jamais écrites sur disque et uniquement utilisées sur une mémoire volatile des HSM le temps nécessaire pour effectuer l'opération cryptographique que vous demandez. Les clés KMS ne sont jamais transférées à l'extérieur des régions AWS dans lesquelles elles ont été créées. Les mises à jour du micrologiciel KMS HSM sont contrôlées par un contrôle d'accès multipartite vérifié et contrôlé par un groupe indépendant au sein d'Amazon.

Pour en savoir plus sur le fonctionnement du service AWS KMS, vous pouvez consulter le livre blanc AWS Key Management Service.

Les contrôles de sécurité et de qualité mis en place dans AWS KMS ont été validés et certifiés par les programmes de conformité suivants :