Essayer AWS Key Management Service

Mise en route avec AWS
Vous pouvez également vous connecter à la console

Créez votre compte gratuitement avec Amazon Web Services et bénéficiez de 12 mois d'accès à des produits et services gratuits.

Voir les détails relatifs au niveau gratuit d'AWS »


AWS KMS est un service de chiffrement géré qui vous permet de chiffrer facilement vos données. AWS KMS offre une solution de stockage de clés, de gestion et d'audit hautement disponible pour le chiffrement de vos données sur les services AWS et vos propres applications.

Si vous êtes un développeur qui a besoin de chiffrer des données sur vos applications, vous devriez utiliser les kits de développement logiciel avec le support AWS KMS pour utiliser et protéger facilement vos clés de chiffrement. Si vous être un administrateur informatique à la recherche d'une infrastructure évolutive de gestion des clés destinée à assister vos développeurs et le nombre croissant d'applications qu'ils mettent au point, vous devriez utiliser AWS KMS pour réduire vos coûts de licence et la charge opérationnelle. Si vous êtes chargé de garantir la sécurité de données à des fins de réglementation ou de conformité, vous devriez utiliser AWS KMS pour vérifier que les données sont chiffrées de manière cohérente sur les applications qui les utilisent et sur lesquelles elles sont stockées.

La manière la plus simple est de vérifier la boîte pour chiffrer vos données sur les services AWS pris en charge et d'utiliser les clés par défaut créées sur votre compte pour chaque service. Si vous souhaitez mieux contrôler la gestion de ces clés, vous pouvez créer des clés dans AWS KMS et les définir afin qu'elles soient utilisées sur les services AWS pris en charge lors de la création de ressources chiffrées et les utiliser directement sur vos propres applications. Il est possible d'accéder à AWS KMS depuis la section « Clés de chiffrement » de la console AWS Identity and Access Management (IAM) pour un accès en ligne et l'interface de commande en ligne AWS KMS ou le kit de développement logiciel AWS pour un accès par programme. Consultez la pageMise en route pour en savoir plus.

Les régions concernées figurent sur notre page internationale Produits et services régionaux.

Vous pouvez exécuter les fonctions de gestion des clés suivantes dans AWS KMS :

  • Créer des clés avec un alias et une description uniques
  • Importer vos propres clés
  • Définir les utilisateurs et les fonctions IAM autorisés à gérer les clefs
  • Définir les utilisateurs et les fonctions IAM autorisés à chiffrer et déchiffrer les données
  • Choisir la rotation automatique de vos clés AWS KMS chaque année
  • Désactiver des clés de manière temporaire afin qu'elles ne puissent être utilisées par personne
  • Réactiver les clés désactivées
  • Supprimer les clés dont vous n'avez plus besoin
  • Vérifier l'utilisation des clés en consultant les journaux dans AWS CloudTrail

AWS KMS vous permet de gérer vos clés de manière centralisée et de les stocker en toute sécurité. Vous pouvez générer des clés dans KMS ou en importer depuis votre infrastructure de gestion de clés. Ces clés peuvent être utilisées sur vos applications et des services AWS pris en charge pour protéger vos données, mais la clé ne quitte jamais KMS AWS. Vous soumettez des données à AWS KMS pour qu'elles soient chiffrées ou déchiffrées sous des clés que vous contrôlez. Vous définissez les politiques d'utilisation de ces clés qui déterminent quels utilisateurs peuvent les utiliser pour chiffrer ou déchiffrer des données. Toutes les demandes d'utilisation de ces clés sont enregistrées dans AWS CloudTrail afin que vous puissiez savoir qui a utilisé une clé et à quel moment.

Vous pouvez utiliser AWS KMS pour faciliter le chiffrement local des données sur vos propres applications ou les faire chiffrer sur un service AWS pris en charge. Vous pouvez utiliser un kit SDK AWS avec le support AWS KMS pour procéder au chiffrement, quel que soit l'emplacement d'exécution de vos applications. Vous pouvez également demander un service AWS pris en charge pour chiffrer vos données au cours de leur stockage. AWS CloudTrail fournit un accès aux journaux pour vous permettre de vérifier de quelle manière vos clés ont été utilisées dans un cas comme dans l'autre.

AWS Key Management Service est intégré de façon homogène à de nombreux autres services AWS afin de simplifier au maximum le chiffrement des données dans ces services : il vous suffit de cocher une case et de sélectionner la clé principale que vous souhaitez utiliser. Pour consulter la liste des services AWS actuellement intégrés à KMS, reportez-vous à la page Description détaillée. Toute utilisation de vos clés dans les services intégrés est reportée dans les fichiers journaux d'AWS CloudTrail. Pour en savoir plus sur la façon dont les services intégrés utilisent AWS KMS, reportez-vous au manuel AWS KMS Developer's Guide.

Les services de cloud AWS intégrés à AWS KMS utilisent une méthode appelée chiffrement de l'enveloppe pour protéger vos données. Le chiffrement de l'enveloppe est une méthode perfectionnée de chiffrement des données qui utilise deux clés différentes. Le service AWS utilise une clé de donnée pour chiffrer chaque donnée ou ressource. La clé de donnée est chiffrée sous une clé principale que vous définissez dans AWS KMS. La clé de donnée chiffrées est ensuite stockée dans le service AWS. Lorsque vous souhaitez que vos données soient déchiffrées par le service AWS, la clé de données chiffrée est transmise à AWS KMS et déchiffrée à l'aide de la clé principale qui avait été utilisée à l'origine pour le chiffrement, afin que le service puisse procéder au déchiffrement de vos données.

AWS KMS se charge de l'envoi de données inférieures à 4 Ko afin qu'elles soient chiffrées, tandis que le chiffrement de l'enveloppe peut entraîner des gains significatifs en termes de performances. Lorsque vous chiffrez directement des données avec KMS, elles peuvent être transférées sur le réseau. Le chiffrement de l'enveloppe réduit la charge sur le réseau pour votre application ou votre service de cloud AWS. Seules la demande et l'exécution de la clé de donnée via KMS doivent emprunter le réseau. La clé de donnée étant toujours stockée sous forme chiffrée, il est simple et sûr de distribuer cette clé à l'emplacement où vous le souhaitez sans craindre qu'elle ne soit exposée. Les clés de données chiffrées sont envoyées à AWS KMS et déchiffrées sous des clés principales pour vous permettre finalement de déchiffrer vos données. La clé de donnée est directement disponible sur votre application sans avoir besoin d'envoyer le bloc de données entier à AWS KMS, ce qui peut poser des problèmes de latence du réseau.

Vous avez la possibilité de sélectionner une clé principale spécifique à utiliser lorsque vous souhaitez qu'un service AWS chiffre des données pour vous. Une clé principale par défaut propre à chaque service est créée sur votre compte pour des raisons de commodité la première fois que vous essayez de créer une ressource chiffrée. La clé est gérée par AWS KMS, mais vous pouvez en permanence vérifier son utilisation dans AWS CloudTrail. Vous pouvez également créer une clé principale client dans AWS KMS que vous pouvez ensuite utiliser sur vos propres applications ou à partir d'un service AWS pris en charge. AWS met à jour les politiques sur les clés principales par défaut le cas échéant pour activer de nouvelles fonctionnalités sur les services pris en charge automatiquement. AWS ne modifie pas les politiques sur les clés que vous créez.

La création d'une clé dans AWS KMS vous donne un contrôle accru par rapport à des clés principales de service par défaut. Lorsque vous créez une clé principale client, vous pouvez choisir d'utiliser les éléments de clés générés pour vous par KMS ou d'importer vos propres éléments de clés. Vous définissez ensuite un alias, une description et pouvez activer la rotation automatique des clés une fois par an dans le cas d'éléments de clés générés par KMS. Vous pouvez également définir des autorisations sur la clé pour contrôler les personnes pouvant utiliser et gérer cette dernière. Les activités de gestion et d'utilisation associées à la clé sont susceptibles d'être vérifiées sur AWS CloudTrail.

Oui. Vous pouvez importer dans KMS une copie d'une clé issue de votre propre infrastructure de gestion de clés afin de l'utiliser avec n'importe quel service AWS intégré ou au sein de vos propres applications.

Vous pouvez utiliser une clé importée pour avoir une plus grande maîtrise du processus de création, de la gestion du cycle de vie et de la durabilité de votre clé dans KMS. Les clés importées vous permettent aussi de répondre à certaines exigences de conformité qui nécessitent parfois d'être en mesure de générer ou de conserver une copie sécurisée de la clé dans votre infrastructure. Une fois la clé devenue inutile, il vous faut aussi parfois pouvoir supprimer sur demande la copie importée de l'infrastructure AWS.

Vous pouvez importer des clés symétriques de 256 bits.

Lors de l'importation, votre clé doit être encapsulée par une clé publique fournie par KMS via l'une des deux méthodes RSA PKCS#1. Ainsi, votre clé chiffrée ne pourra être déchiffrée que par KMS.

Il existe deux différences majeures entre une clé importée et une clé générée pour vous par KMS.
  1. Vous devez conserver de manière sécurisée dans votre infrastructure de gestion de clés une copie des clés importées afin de pouvoir les réimporter à tout moment. AWS assure pour vous la disponibilité, la sécurité et la durabilité des clés générées par KMS jusqu'à ce que vous programmiez leur suppression.
  2. Dans le cas d'une clé importée, vous pouvez définir une période d'expiration afin que la clé soit automatiquement supprimée de KMS après ce laps de temps. Vous pouvez également supprimer une clé importée sur demande, sans supprimer la clé principale client sous-jacente. Par ailleurs, vous pouvez, à tout moment, désactiver ou supprimer manuellement une clé principale client associée à une clé importée. Une clé générée par KMS peut uniquement être désactivée ou programmée pour suppression. Il est, en revanche, impossible de lui affecter une période d'expiration.

Oui. Vous pouvez configurer KMS de manière à ce qu'il effectue, chaque année, une rotation automatique des clés qui auront été générées pour vous. En revanche, la rotation automatique des clés n'est pas prise en charge pour les clés importées. Si vous choisissez d'importer des clés vers KMS, vous pouvez assurer vous-même leur rotation de manière manuelle le moment voulu.

Si vous configurez KMS de manière à ce qu'il effectue une rotation automatique des clés qui auront été générées pour vous, inutile de chiffrer à nouveau vos données. AWS KMS conserve les versions précédentes des clés pour le déchiffrement des clés chiffrées sous une ancienne version d'une clé. Toutes les nouvelles demandes de chiffrement d'une clé dans AWS KMS sont chiffrées sous la version la plus récente de la clé.

En revanche, si vous effectuez une rotation manuelle de vos clés, vous devrez peut-être chiffrer à nouveau vos données, selon la configuration de votre application.  

Oui. Vous pouvez programmer la suppression d'une clé principale client que vous avez créée dans KMS en définissant un délai de réflexion pouvant aller de 7 à 30 jours. Cette opération supprime également les métadonnées associées. Ce délai de réflexion vous permet de vérifier l'impact que la suppression d'une clé aura sur vos applications et les utilisateurs qui en dépendent. Le délai de réflexion par défaut est de 30 jours. Pendant cette période, vous pouvez annuler la suppression. Si la clé est programmée pour suppression, elle ne peut pas être utilisée tant que vous n'avez pas annulé la suppression au cours du délai de réflexion. Si vous n'annulez pas la suppression, la clé est supprimée à la fin du délai de réflexion configurable. Une fois qu'une clé est supprimée, vous ne pouvez plus l'utiliser. Toutes les données protégées par une clé principale supprimée deviennent inaccessibles.

Dans le cas de clés principales client dont les éléments ont été importés, vous pouvez supprimer ces éléments sans supprimer l'ID de la clé principale client ou les métadonnées. Pour ce faire, vous disposez de deux méthodes. La première consiste à supprimer les éléments de clé importés sur demande, sans délai de réflexion. La deuxième nécessite de définir une période d'expiration au moment de l'importation des éléments dans la clé principale client. Vous précisez ainsi pendant combien de temps AWS peut utiliser les éléments de clé importés avant leur suppression. Vous pouvez, par la suite, réimporter les éléments dans la clé principale client si vous en avez à nouveau besoin.

Pour utiliser la clé principale client d'origine, vous pouvez réimporter une copie des éléments de clé (avec une période d'expiration en cours de validité) dans KMS, sous la clé concernée.

Oui. Lorsque vous importez votre clé dans une clé principale client, une mesure Amazon CloudWatch vous est transmise à quelques minutes d'intervalle avant l'expiration de la clé importée. Un événement Amazon CloudWatch est également généré pour vous informer de l'expiration de la clé importée sous la clé principale client. Vous pouvez alors élaborer une logique basée sur ces mesures ou événements pour réimporter automatiquement la clé avec une nouvelle période d'expiration. Ainsi, vous évitez tout risque d'indisponibilité. 

Oui. AWS KMS est pris en charge dans les kits de développement logiciel AWS, le kit de développement logiciel de chiffrement AWS et le client de chiffrement Amazon S3 pour faciliter le chiffrement des données lors de l'exécution de vos propres applications. Le kit SDK AWS des plateformes Java, Ruby, .NET et PHP prend en charge les API AWS KMS. Consultez le site Internet Développement sur AWSpour en savoir plus.

Vous pouvez créer jusqu'à 1 000 clés principales clients par compte et par région. Toutes les clés principales clients, qu'elles soient activées ou désactivées, sont prises en compte dans le calcul de la limite. Nous vous conseillons donc de supprimer les clés désactivées que vous n'utilisez plus. Les clés principales par défaut créées pour vous pour une utilisation sur des services AWS pris en charge n'entrent pas en compte. Le nombre de clés de données créées à l'aide d'une clé principale et utilisées sur votre application ou par des services AWS afin de chiffrer des données pour vous n'est pas limité. Vous pouvez demander un nombre plus élevé de clés principales clients en consultant le centre de support AWS.

Avec AWS KMS, vous ne payez que ce que vous utilisez et il n'y a pas de frais minimum. Il n'y a pas de frais d'installation, ni aucun engagement à prendre, pour commencer à utiliser le service. A la fin du mois, votre carte de crédit est automatiquement débitée en fonction de votre utilisation au cours du mois.

Toutes les clés principales client que vous avez créées vous sont facturées, de même que tous les appels d'API effectués chaque mois vers le service au-delà de l'offre gratuite.

Pour connaître les informations tarifaires actuelles, consultez la page relative à la tarification AWS KMS.

Oui. Avec le niveau d'utilisation gratuit AWS, vous pouvez démarrer avec AWS KMS gratuitement dans toutes les régions. Vous pouvez stocker les clés principales par défaut créées pour vous gratuitement sur votre compte. Il existe également un niveau d'utilisation gratuit qui permet d'effectuer un nombre illimité de requêtes AWS KMS chaque mois. Pour connaître les informations tarifaires actuelles, y compris celles concernant le niveau gratuit, consultez la page relative à la tarification AWS KMS.

Sauf indication contraire, nos prix n'incluent pas les taxes et redevances applicables, y compris la TVA et les taxes sur les ventes applicables. Pour les clients dont l'adresse de facturation est située au Japon, l'utilisation de services AWS est soumise à la taxe sur la consommation applicable dans ce pays. Vous pouvez en savoir plus en cliquant ici.

AWS KMS veille au respect des politiques de gestion et d'utilisation que vous établissez. Il vous incombe de choisir les utilisateurs AWS Identity and Access Management (IAM) et les fonctions pouvant utiliser et gérer vos clés à partir de votre compte ou d'autres comptes.

AWS KMS est conçu de manière à ce que personne ne puisse accéder à vos clés principales. Le service repose sur des systèmes conçus pour protéger vos clés principales à l'aide de techniques de renforcement extensives, par ex, l'absence de stockage des clés principales intelligibles sur un disque dur et de leur conservation dans une mémoire et la limitation des systèmes pouvant se connecter au dispositif. Tout accès destiné à mettre à jour le logiciel sur le service est contrôlé par un processus d'approbation à plusieurs niveaux qui est vérifié et examiné par un groupe indépendant au sein d'Amazon.

Pour plus de détails sur ces contrôles de sécurité, consultez le livre blanc Détails cryptographiques AWS KMS. En outre, vous pouvez demander une copie du rapport Service Organization Controls (SOC) disponible dans Conformité AWS pour en savoir plus sur les contrôles de sécurité qu'AWS utilise pour protéger vos données et vos clés principales.

 

Oui. KMS a été validé comme disposant des fonctionnalités et des contrôles de sécurité requis pour vous aider à répondre aux exigences en matière de gestion des clés et de chiffrement (principalement référencées dans les sections 3.5 et 3.6 de la norme PCI DSS 3.1).

Pour en savoir plus sur les services conformes à la norme PCI DSS sur AWS, vous pouvez consulter les FAQ sur PCI DSS.

Vous pouvez demander à AWS KMS de générer des clés de données que vous pouvez ensuite utiliser sur votre propre application. Les clés de données sont chiffrées sous une clé principale que vous définissez dans AWS KMS afin de stocker en toute sécurité la clé de donnée chiffrée ainsi que vos données chiffrées. Vos clés de données chiffrées (et par conséquent vos données sources) peuvent uniquement être déchiffrées par des utilisateurs autorisés à utiliser la clé principale d'origine ayant servi au chiffrement de la clé de donnée.

Les clés principales dans AWS KMS font 256 bits. Les données clés peuvent être générées en 128 bits ou en 256 bits et chiffrées sous une clé principale que vous définissez vous-même. AWS KMS offre également la possibilité de générer des données aléatoires de la longueur que vous souhaitez, selon ce qui vous semble adapté à une utilisation cryptographique.

Non. Les clés principales sont créées et utilisées uniquement avec AWS KMS pour permettre de garantir leur sécurité, d'activer vos politiques afin qu'elles soient appliquées de manière cohérente et de fournir un journal centralisé de leur utilisation.

Les clés sont uniquement stockées et utilisées dans la région dans laquelle elles ont été créées. Leur transfert vers une autre région est impossible. Ainsi, les clés créées dans la région UE centrale (Francfort) sont uniquement stockées et utilisées dans cette région.

Les journaux figurant dans AWS KMS contiennent les demandes relatives à vos clés principales, y compris les demandes de gestion (par ex. création, rotation, désactivation, modification de politiques) et les demandes cryptographiques (par ex. de chiffrement/déchiffrement). Activez AWS CloudTrail sur votre compte pour afficher ces journaux.

AWS CloudHSM fournit un client unique HSM conforme à la norme FIPS 140-3 niveau 2 sur Amazon Virtual Private Cloud (VPC), pour stocker et utiliser vos clés. Vous disposez d’un contrôle total sur vos clés et le logiciel d’application qui les utilise avec AWS CloudHSM. De plus, vous pouvez utiliser AWS CloudHSM pour prendre en charge divers cas d’utilisation et diverses applications comme la gestion des droits numériques (Digital Rights Management, DRM), l’infrastructure de clé publique (Public Key Infrastructure, PKI), les fonctions de cryptographie asymétrique, la signature de documents et les performances élevées dans l’accélération cryptographique de VPC.

AWS KMS vous permet de contrôler les clés de chiffrement utilisées par vos applications ainsi que les services AWS pris en charge dans plusieurs régions du monde à partir d'une seule console. La gestion centralisée de l'ensemble de vos clés dans AWS KMS vous permet d'imposer des règles sur qui peut utiliser vos clés, le moment de leur rotation et qui peut les gérer. L'intégration d'AWS KMS avec AWS CloudTrail vous permet de vérifier l'utilisation de vos clés afin de faciliter vos activités de réglementation et de conformité.