Les questions fréquentes qui suivent ne s’appliquent pas à KMS dans la région AWS Chine (Beijing), opérée par Sinnet, et la région AWS Chine (Ningxia), opérée par NWCD. Suivez ce lien vers les FAQ pour obtenir des informations en lien avec ces deux régions de Chine.  

Général

Q : Qu'est-ce qu'AWS Key Management Service (KMS) ?
AWS KMS est un service géré qui vous permet de chiffrer facilement vos données. AWS KMS offre une solution de stockage de clés, de gestion et d'audit hautement disponible pour le chiffrement de vos données dans vos propres applications et le contrôle du chiffrement des données stockées dans les services AWS.

Q : Pourquoi utiliser AWS KMS ?
Si vous êtes un développeur qui a besoin de chiffrer des données sur vos applications, vous devriez utiliser les kits de développement logiciel de chiffrement AWS avec le support AWS KMS pour utiliser et protéger facilement vos clés de chiffrement. Si vous être administrateur informatique à la recherche d'une infrastructure évolutive de gestion des clés destinée à assister vos développeurs et le nombre croissant d'applications qu'ils mettent au point, vous devriez utiliser AWS KMS pour réduire vos coûts de licence et la charge opérationnelle. Si vous êtes chargé de garantir la sécurité de données à des fins de réglementation ou de conformité, vous devriez utiliser AWS KMS pour vérifier que les données sont chiffrées de manière cohérente sur les applications qui les utilisent et sur lesquelles elles sont stockées.

Q : Comment démarrer avec AWS KMS ?
La manière la plus simple consiste à chiffrer vos données sur les services AWS KMS pris en charge à l’aide des clés principales gérées par AWS qui sont automatiquement créées sur votre compte pour chaque service. Si vous souhaitez un contrôle total sur la gestion de vos clés, y compris la possibilité de partager l’accès aux clés entre les comptes et les services, vous pouvez créer vos propres clés principales dans KMS. Vous pouvez également utiliser les clés principales créées dans KMS directement dans vos applications. Vous accédez à AWS KMS depuis la console KMS sous Sécurité, identité et conformité, sur la page d’accueil des services AWS de la console AWS. Les API KMS sont aussi accessibles directement via l’interface de ligne de commande AWS KMS ou le SDK AWS pour l’accès par programmation. Vous pouvez utiliser les API KMS indirectement pour chiffrer des données dans vos applications à l’aide du SDK de chiffrement AWS. Consultez la page Mise en route pour en savoir plus.

Q : Dans quelles régions KMS est-il disponible ?
Les régions concernées figurent sur notre page Produits et services régionaux internationale.

Q : Quelles sont les fonctionnalités de gestion des clés disponibles dans AWS KMS ?
Vous pouvez exécuter les fonctions de gestion des clés suivantes dans AWS KMS :

  • Créer des clés avec un alias et une description uniques
  • Importer vos propres éléments de clé
  • Définir les utilisateurs et les fonctions IAM autorisés à gérer les clés
  • Définir les utilisateurs et les fonctions IAM autorisés à chiffrer et déchiffrer les données
  • Choisir la rotation automatique de vos clés AWS KMS chaque année
  • Désactiver provisoirement des clés pour qu'elles ne puissent être utilisées par personne
  • Réactiver les clés désactivées
  • Supprimer les clés dont vous n'avez plus besoin
  • Vérifier l'utilisation des clés en consultant les journaux dans AWS CloudTrail
  • Créer des stockages de clés personnalisés*
  • Connecter et déconnecter des stockages de clés personnalisés*
  • Supprimer des stockages de clés personnalisés*

* L’utilisation de stockages de clés personnalisés exige que des ressources CloudHSM soient disponibles dans votre compte.

Q : Comment fonctionne AWS KMS ?
AWS KMS vous permet de gérer vos clés de manière centralisée et de les stocker en toute sécurité. On les désigne alors comme des clés principales client ou CMK. Vous pouvez générer des clés principales client dans KMS, dans un cluster AWS CloudHSM ou les importer depuis votre infrastructure de gestion de clés. Ces clés principales sont protégées par des modules de sécurité matériels (HSM) et ne sont utilisées que dans ces modules. Vous pouvez soumettre des données directement à KMS à des fins de chiffrement ou déchiffrement à l’aide de ces clés principales. Vous définissez les politiques d'utilisation déterminant quels utilisateurs peuvent se servir des clés pour chiffrer ou déchiffrer des données et dans quelles conditions.

AWS KMS est intégré aux services AWS et aux kits d’outils client qui utilisent une méthode d’enveloppe de chiffrement pour les données. Via cette méthode, KMS génère des clés de données qui servent à chiffrer les données et qui sont elles-mêmes chiffrées à l’aide de vos clés principales dans KMS. Les clés de données ne sont ni conservées, ni gérées par KMS. Les services AWS chiffrent vos données et stockent une copie chiffrée de la clé de données avec les données qu’elle protège. Lorsqu’un service a besoin de déchiffrer vos données, il demande à KMS de déchiffrer la clé de données à l’aide de la clé principale. Si l’utilisateur qui demande les données au service AWS est autorisé à les déchiffrer par votre politique relative aux clés principales, le service reçoit les données déchiffrées de KMS et peut alors déchiffrer les données pour les renvoyer en texte simple. Toutes les demandes d'utilisation de vos clés principales sont enregistrées dans AWS CloudTrail afin que vous puissiez savoir qui a utilisé une clé, dans quel contexte et à quel moment.

Q : À quel endroit mes données sont-elles chiffrées si j'utilise AWS KMS ?
Il existe principalement trois scénarios de chiffrement de données avec AWS KMS. Vous pouvez utiliser les API KMS pour chiffrer et déchiffrer les données à l’aide de vos clés principales stockées dans KMS. Vous pouvez faire en sorte que les services AWS chiffrent les données à l’aide de vos clés principales stockées dans KMS. Dans ce cas, les données sont chiffrées à l’aide des clés de données protégées par vos clés principales dans KMS. Vous pouvez utiliser le SDK de chiffrement AWS intégré à AWS KMS pour effectuer le chiffrement dans vos applications, qu’elles opèrent dans AWS ou pas.

Q : Quels sont les services de cloud intégrés à AWS KMS ?
AWS KMS est intégré de façon homogène à la plupart des autres services AWS afin de simplifier au maximum le chiffrement des données dans ces services : il vous suffit de cocher une case. Dans certains cas, les données sont chiffrées par défaut à l’aide des clés stockées dans KMS, mais détenues et gérées par le service AWS en question. Souvent, les clés principales sont détenues et gérées par vous dans votre compte. Certains services vous permettent de choisir si vous souhaitez gérer les clés vous-même ou autoriser le service à les gérer à votre place. Consultez la liste des services AWS actuellement intégrés à KMS. Pour en savoir plus sur la façon dont les services intégrés utilisent AWS KMS, reportez-vous au manuel AWS KMS Developer's Guide.

Q : Pourquoi utiliser le chiffrement d'enveloppe ? Pourquoi ne pas simplement envoyer des données à AWS KMS pour qu'il procède directement au chiffrement ?
AWS KMS se charge de l'envoi de données inférieures à 4 Ko afin qu'elles soient chiffrées directement, tandis que le chiffrement d'enveloppe peut entraîner des gains significatifs en matière de performances. Lorsque vous chiffrez directement des données avec AWS KMS, elles peuvent être transférées sur le réseau. Le chiffrement d’enveloppe réduit la charge réseau, car seules la requête et la livraison d’une clé de données bien plus petite transitent par le réseau. La clé de données est utilisée en local dans votre application ou service AWS de chiffrement, ce qui évite d’envoyer le bloc de données entier vers KMS et de souffrir de la latence sur le réseau.

Q : Quelle est la différence entre une clé principale que je crée et les clés principales créées automatiquement pour moi par d’autres services AWS ?
Vous avez la possibilité de sélectionner une clé principale client spécifique (CMK) à utiliser lorsque vous souhaitez qu'un service AWS chiffre des données pour vous. On les désigne alors comme des clés principales client ou CMK, et vous avez un contrôle absolu sur celles-ci. Vous définissez le contrôle d’accès et la politique d’utilisation pour chaque clé, et vous accordez des autorisations à d’autres comptes et services afin qu’ils puissent utiliser les clés. Si vous ne spécifiez pas de CMK, le service en question crée une CMK gérée par AWS la première fois que vous essayez de créer une ressource chiffrée dans ce service. AWS gère les politiques associées aux CMK gérées par AWS à votre place. Vous pouvez suivre les clés gérées par AWS dans votre compte. Leur utilisation est consignée dans AWS CloudTrail, mais vous n’avez aucun contrôle sur les clés.

Q : Pourquoi créer mes propres clés principales client ?
La création de votre propre CMK dans AWS KMS vous donne davantage de maîtrise que les CMK par défaut. Lorsque vous créez une CMK gérée par un client, vous pouvez choisir d’utiliser des éléments de clé générés par AWS KMS ou générés dans AWS CloudHSM, ou encore d’importer vos propres éléments de clé. Vous pouvez définir un alias et une description pour la clé, et opter pour la rotation automatique de la clé une fois par an, si elle a été générée par AWS KMS. Vous définissez également toutes les autorisations sur la clé pour contrôler les personnes autorisées à utiliser ou à gérer cette dernière.

Q : Puis-je importer des clés dans AWS KMS ?
Oui. Vous pouvez importer dans AWS KMS une copie d'une clé issue de votre propre infrastructure de gestion de clés afin de l'utiliser avec n'importe quel service AWS intégré ou au sein de vos propres applications.

Q : Quand utiliser une clé importée ?
Vous pouvez utiliser une clé importée pour avoir une meilleure maîtrise du processus de création, de la gestion du cycle de vie et de la durabilité de votre clé dans AWS KMS. Les clés importées vous permettent également de répondre à certaines exigences de conformité qui nécessitent parfois d'être en mesure de générer ou de conserver une copie sécurisée de la clé dans votre infrastructure, ainsi que de pouvoir supprimer immédiatement la copie importée de l'infrastructure AWS.

Q : Quel type de clés puis-je importer ?
Vous pouvez importer des clés symétriques de 256 bits.

Q : Comment la clé que j'importe dans AWS KMS est-elle protégée pendant le transfert ?
Lors de l'importation, votre clé doit être encapsulée par une clé publique fournie par AWS KMS via l'une des deux méthodes RSA PKCS#1. Ainsi, votre clé chiffrée ne pourra être déchiffrée que par AWS KMS.

Q : Quelle est la différence entre une clé que j'importe et une clé que je génère dans AWS KMS ?
Il y a deux principales différences.

  1. Vous devez conserver de manière sécurisée, dans votre infrastructure de gestion de clés, une copie des clés importées afin de pouvoir les réimporter à tout moment. AWS vous garantit néanmoins la disponibilité, la sécurité et la durabilité des clés générées par AWS KMS jusqu'à ce que vous programmiez leur suppression.
  2. Vous pouvez définir un délai d’expiration pour une clé importée. AWS KMS supprimera automatiquement les éléments de clé une fois ce délai écoulé. Vous pouvez également supprimer des éléments de clé importés sur demande. Dans les deux cas, les éléments de clé sont supprimés, mais la référence CMK dans KMS et les métadonnées associées sont conservées afin que vous puissiez réimporter les éléments de clé ultérieurement. Les clés générées par AWS KMS n’ont pas de délai d’expiration et ne peuvent pas être supprimées immédiatement. Il existe un délai de réflexion obligatoire de 7 à 30 jours. Toutes les CMK gérées par un client, indépendamment des éléments de clé importés, peuvent être désactivées ou programmées pour suppression manuellement. Dans ce cas, la CMK elle-même est supprimée, pas seulement les éléments de clé sous-jacents.

Q : Puis-je procéder à la rotation de mes clés ?
Oui. Vous pouvez configurer AWS KMS de sorte qu'il effectue, chaque année, une rotation automatique des CMK, à condition que ces clés aient été générées par AWS KMS. La rotation automatique des clés n’est pas prise en charge pour les clés importées ou les clés générées dans un cluster AWS CloudHSM à l’aide de la fonctionnalité de stockage de clés personnalisé de KMS. Si vous choisissez d’importer des clés dans AWS KMS ou d’utiliser un stockage de clés personnalisé, vous pouvez effectuer une rotation manuelle des clés à tout moment. Il vous suffit de créer une CMK et de mapper l’alias depuis l’ancienne clé vers la nouvelle clé.

Q : Dois-je chiffrer à nouveau mes données à l'issue de la rotation des clés dans AWS KMS ?
Si vous configurez AWS KMS de sorte qu'il effectue une rotation automatique des clés, inutile de chiffrer à nouveau vos données. AWS KMS conserve automatiquement les versions précédentes des clés pour le déchiffrement des clés chiffrées sous une ancienne version d'une clé. Toutes les nouvelles demandes de chiffrement d'une clé dans AWS KMS sont chiffrées sous la version la plus récente de la clé.

Si vous effectuez une rotation manuelle des clés importées ou issues d’un stockage de clés personnalisé, vous devrez peut-être chiffrer à nouveau vos données, selon que vous décidez de conserver les anciennes versions des clés ou non.

Q : Puis-je supprimer une clé provenant d'AWS KMS ?
Oui. Vous pouvez programmer la suppression d'une clé principale client que vous avez créée dans AWS KMS en définissant un délai de réflexion pouvant aller de 7 à 30 jours. Cette opération supprime également les métadonnées associées. Ce délai de réflexion vous permet de vérifier l'impact que la suppression d'une clé aura sur vos applications et les utilisateurs qui en dépendent. Le délai de réflexion par défaut est de 30 jours. Pendant cette période, vous pouvez annuler la suppression de la clé. Si la clé est programmée pour suppression, elle ne peut pas être utilisée tant que vous n'avez pas annulé la suppression au cours du délai de réflexion. Si vous n'annulez pas la suppression, la clé est supprimée à la fin du délai de réflexion configurable. Une fois qu'une clé est supprimée, vous ne pouvez plus l'utiliser. Toutes les données protégées par une clé principale supprimée deviennent inaccessibles.

Dans le cas de clés principales client dont les éléments ont été importés, vous pouvez supprimer ces éléments sans supprimer l'ID de la clé principale client ou les métadonnées. Pour ce faire, vous disposez de deux méthodes. La première consiste à supprimer les éléments de clé importés sur demande, sans délai de réflexion. La deuxième nécessite de définir une période d'expiration au moment de l'importation des éléments dans la clé principale client. Vous précisez ainsi pendant combien de temps AWS peut utiliser les éléments de clé importés avant leur suppression. Vous pouvez, par la suite, réimporter les éléments dans la clé principale client si vous en avez à nouveau besoin.

Q : Que faire si les éléments de clé importés ont expiré ou si je les ai supprimés par erreur ?
Vous pouvez réimporter une copie des éléments de clé (avec une période d'expiration en cours de validité) dans AWS KMS sous la clé concernée pour utiliser la clé principale client d'origine.

Q : Une alerte m'informe-t-elle qu'il est nécessaire de réimporter la clé ?
Oui. Une fois que vous avez importé votre clé dans une clé principale client, une métrique Amazon CloudWatch vous est transmise à quelques minutes d'intervalle avant l'expiration de la clé importée. Un événement Amazon CloudWatch est également généré pour vous informer de l'expiration de la clé importée sous la clé principale client. Vous pouvez alors élaborer une logique basée sur ces mesures ou événements pour réimporter automatiquement la clé avec une nouvelle période d'expiration. Vous évitez ainsi tout risque d'indisponibilité.

Q : Puis-je utiliser AWS KMS pour faciliter la gestion du chiffrement de données en dehors des services de cloud AWS ?
Oui. AWS KMS est pris en charge dans les kits de développement logiciel AWS, le kit de développement logiciel de chiffrement AWS, le chiffrement côté client Amazon DynamoDB et le client de chiffrement Amazon S3 pour faciliter le chiffrement des données lors de l'exécution de vos propres applications. Consultez les sites Internet AWS Crypto Tools et Développement sur AWS pour en savoir plus.

Q : Le nombre de clés que je peux créer sur AWS KMS est-il limité ?
Vous pouvez créer jusqu'à 1 000 clés principales clients par compte et par région. Toutes les clés principales clients, qu'elles soient activées ou désactivées, sont prises en compte dans le calcul de la limite. Nous vous conseillons donc de supprimer les clés désactivées dont vous n'avez plus l'utilité. Les clés principales gérées par AWS qui sont créées pour vous pour une utilisation sur des services AWS pris en charge n'entrent pas en compte. Le nombre de clés de données créées à l'aide d'une clé principale et utilisées sur votre application ou par des services AWS afin de chiffrer des données pour vous n'est pas limité. Vous pouvez demander un nombre plus élevé de clés principales clients en consultant le centre de support AWS.

Q : AWS KMS propose-t-il un contrat de niveau de service ?
Oui. Le contrat de niveau de service AWS KMS donne droit à un crédit de service si le pourcentage de disponibilité mensuelle d'un client est inférieur à notre engagement de service au cours de n'importe quel cycle de facturation.

Stockage de clés personnalisé

Q : Qu’est-ce qu’un stockage de clés personnalisé ?
La fonctionnalité de stockage de clés personnalisé AWS KMS allie les contrôles fournis par AWS CloudHSM à l’intégration et la simplicité d’utilisation d’AWS KMS. Vous pouvez configurer votre propre cluster CloudHSM et autoriser KMS à l’utiliser comme stockage de clés dédié plutôt que votre stockage de clés KMS par défaut. Lorsque vous créez des clés dans KMS, vous pouvez choisir de générer les éléments de clé dans votre cluster CloudHSM. Les clés principales générées dans votre stockage de clés personnalisé ne quittent jamais les modules HSM du cluster CloudHSM en texte simple, et toutes les opérations KMS qui utilisent ces clés ne sont effectuées que dans vos modules HSM. Sur tous les autres points, les clés principales placées dans votre stockage de clés personnalisé sont cohérentes avec les autres CMK KMS.

Vous trouverez des conseils supplémentaires pour décider s’il est pertinent d’utiliser un stockage de clé personnalisé dans ce blog.

Q : Pourquoi aurais-je besoin d’un stockage de clés personnalisé ?
Puisque vous contrôlez votre cluster AWS CloudHSM, vous pouvez gérer le cycle de vie de vos clés principales AWS KMS indépendamment de KMS. Un stockage de clés personnalisé peut être utile pour quatre raisons. Il est possible que certaines clés requièrent une protection explicite dans un module HSM à client unique ou dans un module HSM sur lequel vous n’avez pas de contrôle direct. Il est possible que certaines clés doivent être stockées dans un module HSM validé globalement pour FIPS 140-2 niveau 3 (les modules HSM utilisés dans le stockage de clés KMS standard sont validés ou en attente de validation pour le niveau 2, avec un niveau 3 dans plusieurs catégories). Vous aurez peut-être besoin de supprimer immédiatement des éléments de clé de KMS et de le prouver par des moyens indépendants. Vous pouvez être tenu de pouvoir effectuer un audit complet de l’utilisation de vos clés indépendamment de KMS ou d’AWS CloudTrail.

Q : Les stockages de clés ont-ils une incidence sur la gestion des clés ?
Il existe deux différences de gestion entre un stockage de clés personnalisé et le stockage de clés AWS KMS par défaut. Vous ne pouvez pas importer des éléments de clé dans un stockage de clés personnalisé, et KMS ne peut pas effectuer une rotation automatique des clés. Pour le reste, y compris le type de clés qui peut être généré, la façon dont les clés utilisent les alias et les méthodes de définition des politiques, les clés placées dans un stockage de clés personnalisé sont gérées de la même manière que toutes les autres CMK gérées par un client KMS.

Q : Puis-je utiliser un stockage de clés personnalisé pour une clé principale client gérée par AWS ?
Non, seules les CMK gérées par un client peuvent être stockées et gérées dans un stockage de clés personnalisé AWS KMS. Les CMK gérées par AWS qui sont créées pour vous par d’autres services AWS pour chiffrer vos données sont toujours générées et stockées dans le stockage de clés par défaut KMS.

Q : Les stockages de clés ont-ils une incidence sur l’utilisation des clés ?
Non, les requêtes d’API envoyées à AWS KMS afin d’utiliser une CMK pour chiffrer et déchiffrer les données sont traitées de la même façon. Les processus d’authentification et d’autorisation ne tiennent pas compte de l’emplacement de stockage de la clé. Toute activité impliquant une clé placée dans un stockage de clés personnalisé est également consignée dans AWS CloudTrail de la même façon. Cependant, les opérations cryptographiques proprement dites surviennent exclusivement dans le stockage de clés personnalisé ou dans le stockage de clés KMS par défaut.

Q : Puis-je auditer l’utilisation des clés dans un stockage de clés personnalisé ?
En plus de l’activité consignée dans AWS CloudTrail par AWS KMS, l’utilisation d’un stockage de clés personnalisé fournit trois mécanismes d’audit supplémentaires. AWS CloudHSM consigne également toutes les activités d’API dans CloudTrail (par exemple, création de clusters et ajout/suppression de modules HSM). Chaque cluster capture aussi ses propres journaux locaux pour enregistrer les activités relatives aux utilisateurs et à la gestion des clés. Chaque instance CloudHSM copie les journaux d’activité d’utilisateur et de gestion de clés dans AWS CloudWatch.

Q : Lorsque j’utilise en stockage de clés personnalisé, quel est l’impact sur la disponibilité des clés ?
L’utilisation d’un stockage de clés personnalisé AWS KMS vous rend responsable de la disponibilité de vos clés pour KMS. Les erreurs de configuration de CloudHSM et la suppression involontaire des éléments de clé dans un cluster AWS CloudHSM peuvent influer sur la disponibilité. Le nombre de modules HSM utilisés et le choix des zones de disponibilité ont également un effet sur la résilience de votre cluster. Comme dans tous les systèmes de gestion de clés, vous devez comprendre l’impact de la disponibilité des clés sur la récupération de vos données chiffrées.

Q : Quelles sont les restrictions de performances associées à un stockage de clés personnalisé ?
Le taux d’utilisation des clés placées dans un stockage de clés personnalisé AWS KMS via des appels d’API AWS KMS est inférieur à celui des clés placées dans le stockage de clés AWS KMS par défaut. Consultez le guide du développeur KMS pour connaître les restrictions de performances actuelles.

Q : Quel est le coût associé à l’utilisation d’un stockage de clés personnalisé ?
Les tarifs AWS KMS ne sont pas liés à l’utilisation d’un stockage de clés personnalisé. Cependant, pour chaque stockage de clés personnalisé, votre cluster AWS CloudHSM doit contenir au moins deux modules HSM. Ces modules HSM sont facturés aux tarifs AWS CloudHSM standard. Il n’y a pas de frais supplémentaires pour l’utilisation d’un stockage de clés personnalisé.

Q : Quelles compétences et ressources supplémentaires sont requises pour configurer un stockage de clés personnalisé ?
Les utilisateurs d’AWS KMS souhaitant disposer d’un stockage de clés personnalisé doivent configurer un cluster AWS CloudHSM, ajouter des modules HSM, gérer les utilisateurs des modules HSM et éventuellement restaurer des modules HSM à partir d’une sauvegarde. Il s’agit de tâches de sécurité délicates pour lesquelles vous devez veiller à disposer des ressources et des contrôles organisationnels appropriés.

Q : Puis-je importer des clés dans un stockage de clés personnalisé ?
Non, vous ne pouvez pas importer vos propres éléments de clés dans un stockage de clés personnalisé AWS KMS. Les clés placées dans un stockage de clés personnalisé ne peuvent être générées que dans les modules HSM qui constituent le cluster AWS CloudHSM.

Q : Puis-je migrer des clés entre le stockage de clés KMS par défaut et un stockage de clés personnalisé ?
Non, vous ne pouvez pas actuellement migrer des clés entre les différents types de stockages de clés AWS KMS. Toutes les clés doivent être créées dans le stockage où elles seront utilisées, sauf si vous importez vos propres éléments de clé dans le stockage de clés KMS par défaut.

Q : La rotation des clés dans un stockage de clés personnalisé est-elle possible ?
Non, la rotation automatique des éléments de clés dans un stockage de clés personnalisé AWS KMS n’est pas possible. La rotation des clés doit être effectuée manuellement, en créant des clés et en remappant les alias de clés KMS employés par votre code d’application afin d’utiliser les nouvelles clés pour de futures opérations de chiffrement.

Q : Puis-je utiliser mon cluster AWS CloudHSM pour d’autres applications ?
Oui, AWS KMS ne requiert pas un accès exclusif à votre cluster AWS CloudHSM. Si vous avez déjà un cluster, vous pouvez l’utiliser à la fois en tant que stockage de clés personnalisé et pour d’autres applications. Cependant, si votre cluster héberge de fortes charges de travail non KMS, le débit des opérations utilisant des clés principales KMS du stockage de clés personnalisé peut être réduit. De la même façon, un taux de requêtes KMS élevé vers votre stockage de clés personnalisé peut avoir un impact sur vos applications.

Q : Comment puis-je en savoir plus sur AWS CloudHSM ?
Consultez le site web AWS CloudHSM pour obtenir une présentation générale du service. Pour plus de détails sur la configuration et l’utilisation du service, consultez le guide de l’utilisateur AWS CloudHSM.  

Facturation

Q : Comment mon utilisation d'AWS KMS me sera-t-elle facturée et débitée ?
Avec AWS KMS, vous ne payez que ce que vous utilisez et il n'y a pas de frais minimum. Il n'y a pas de frais d'installation, ni aucun engagement à prendre pour commencer à utiliser le service. À la fin du mois, votre carte de crédit est automatiquement débitée en fonction de votre utilisation au cours du mois.

Toutes les clés principales client (CMK) que vous avez créées vous sont facturées, de même que tous les appels d'API effectués chaque mois vers le service au-delà de l'offre gratuite.

Pour connaître les informations tarifaires actuelles, consultez la page relative à la tarification AWS KMS.

Q : Existe-t-il un niveau gratuit ?
Oui. Avec l’offre gratuite AWS, vous pouvez démarrer avec AWS KMS gratuitement dans toutes les régions. Le stockage dans votre compte des clés principales gérées par AWS créées en votre nom par les services AWS est gratuit. Il existe une offre gratuite qui permet d'effectuer un nombre illimité de requêtes AWS KMS chaque mois. Pour connaître les informations tarifaires actuelles, y compris celles concernant l’offre gratuite, consultez la page relative à la tarification AWS KMS.

Q : Vos prix sont-ils toutes taxes comprises ?
Sauf indication contraire, nos prix n'incluent pas les taxes et redevances applicables, y compris la TVA et les taxes sur les ventes applicables. Pour les clients dont l'adresse de facturation est située au Japon, l'utilisation de services AWS est soumise à la taxe sur la consommation applicable dans ce pays. Vous pouvez en savoir plus en cliquant ici.

Sécurité

Q : Qui peut utiliser et gérer mes clés dans AWS KMS ?
AWS KMS veille au respect des politiques de gestion et d'utilisation que vous établissez. Il vous incombe de choisir les utilisateurs AWS Identity and Access Management (IAM) et les fonctions pouvant utiliser et gérer vos clés à partir de votre compte ou d'autres comptes.

Q : Comment AWS sécurise-t-il les clés principales que je crée dans AWS KMS ?
AWS KMS est conçu de telle sorte que personne, pas même les employés d'AWS, ne puisse récupérer vos clés principales en texte simple à partir du service. Ce dernier utilise des modules de sécurité matériels (HSM) validés selon la norme FIPS 140-2, ou en attente de validation, pour assurer la confidentialité et l’intégrité de vos clés, que vous utilisiez AWS KMS ou AWS CloudHSM pour créer vos clés ou que vous les importiez vous-même dans le service. Vos clés en texte simple ne quittent jamais les modules HSM, ne sont jamais écrites sur disque et sont uniquement utilisées sur la mémoire volatile des modules HSM le temps nécessaire pour effectuer l'opération cryptographique que vous demandez. Les clés AWS KMS ne sont jamais transférées à l'extérieur des régions AWS dans lesquelles elles ont été créées. Les mises à jour des logiciels sur les hôtes du service et du micrologiciel KMS HSM sont contrôlées par un contrôle d'accès multipartite vérifié et contrôlé par un groupe indépendant au sein d'Amazon et par un laboratoire certifié NIST, conformément à la norme FIPS 140-2.

Pour plus de détails sur ces contrôles de sécurité, consultez le livre blanc Détails cryptographiques AWS KMS. Vous pouvez également consulté le certificat FIPS 140-2 pour le HSM d'AWS KMS ainsi que la Politique de sécurité pour obtenir plus d'informations sur le HSM d'AWS KMS et en quoi il répond aux exigences en matière de sécurité de la norme FIPS 140-2. En outre, vous pouvez demander une copie du rapport Service Organization Controls (SOC) disponible dans AWS Artifact pour en savoir plus sur les contrôles de sécurité qu'AWS KMS utilise pour protéger vos données et vos clés principales.

Q : Comment migrer mes clés principales AWS KMS existantes afin d'utiliser des HSM validés par la norme FIPS 140-2 ?
Toutes les clés principales d’AWS KMS, peu importent leur date de création ou leur origine, sont automatiquement protégées à l’aide de modules HSM validés la norme FIPS 140-2 ou en attente de validation. Aucune action n'est requise de votre côté pour utiliser les HSM validés par la norme FIPS 140-2.

Q : Quelles sont les régions AWS qui disposent de modules HSM validés par la norme FIPS 140-2 ?
Les modules HSM validés par la norme FIPS 140-2 sont disponibles dans toutes les régions AWS où AWS KMS est disponible.

Q : Quelle est la différence entre les points de terminaison validés par la norme FIPS 140-2 et les modules HSM validés par la norme FIPS 140-2 d'AWS KMS ?
AWS KMS est un service à deux niveaux. Les points de terminaison d'API reçoivent des requêtes de clients via des connexions HTTPS exploitant uniquement des suites cryptographiques TLS qui prennent en charge la conformité de transmission parfaite (perfect forward secrecy, PFS). Ces points de terminaison d'API authentifient et autorisent la requête avant de la transmettre aux modules HSM d'AWS KMS pour les opérations cryptographiques, ou à votre cluster AWS CloudHSM (si vous utilisez la fonctionnalité de stockage de clés personnalisé).

Q : Comment faire des requêtes d'API à AWS KMS à l'aide de points de terminaison validés par la norme FIPS 140-2 ?
Vous configurez vos applications pour les connecter aux points de terminaison HTTPS validés par la norme FIPS 140-2 régionaux uniques. Les points de terminaison HTTPS validés par la norme FIPS 140-2 d'AWS KMS sont optimisés par le module d'objet FIPS d'OpenSSL. Vous pouvez consulter la politique de sécurité du module OpenSSL à l'adresse https://www.openssl.org/docs/fips/SecurityPolicy-2.0.13.pdf. Les points de terminaison HTTPS validés par la norme FIPS 140-2 sont disponibles dans toutes les régions commerciales où AWS KMS est disponible.

Q : Puis-je utiliser AWS KMS pour m'aider à satisfaire les exigences en matière de gestion des clés et de chiffrement de la norme PCI DSS (Payment Card Industry Data Security Standard) 3.2.1 ?
Oui. AWS KMS a été validé comme disposant des fonctionnalités et des contrôles de sécurité requis pour vous aider à répondre aux exigences en matière de gestion des clés et de chiffrement (principalement référencées dans les sections 3.5 et 3.6) de la norme PCI DSS 3.2.1.

Pour en savoir plus sur les services conformes à la norme PCI DSS sur AWS, vous pouvez consulter les questions fréquentes (FAQ) sur la certification PCI DSS.

Q : Comment AWS KMS sécurise-t-il les clés de données que j'exporte et que j'utilise sur mon application ?
Vous pouvez demander à AWS KMS de générer des clés de données que vous pouvez ensuite utiliser sur votre propre application. Les clés de données sont chiffrées sous une clé principale que vous définissez dans AWS KMS afin de stocker en toute sécurité la clé de données chiffrée, ainsi que vos données chiffrées. Vos clés de données chiffrées (et par conséquent vos données sources) peuvent uniquement être déchiffrées par des utilisateurs autorisés à se servir de la clé principale d'origine pour déchiffrer votre clé de données chiffrée.

Q : Quelle est la longueur des clés générées par AWS KMS ?
Les clés principales dans AWS KMS font 256 bits. Les données clés peuvent être générées en 128 bits ou en 256 bits et chiffrées sous une clé principale que vous définissez vous-même. AWS KMS offre également la possibilité de générer des données aléatoires de la longueur que vous souhaitez, selon ce qui vous semble adapté à une utilisation cryptographique.

Q : Puis-je exporter une clé principale à partir d'AWS KMS et l'utiliser sur mes propres applications ?
Non. Les clés principales sont créées et utilisées uniquement avec AWS KMS pour garantir leur sécurité, d'activer vos politiques afin qu'elles soient appliquées de manière cohérente et de fournir un journal centralisé de leur utilisation.

Q : Dans quelle région mes clés sont-elles stockées ?
Les clés générées par AWS KMS sont uniquement stockées et utilisées dans la région dans laquelle elles ont été créées. Leur transfert vers une autre région est impossible. Ainsi, les clés créées dans la région UE centrale (Francfort) sont uniquement stockées et utilisées dans cette région.

Q :Comment savoir qui a utilisé ou modifié la configuration de mes clés dans AWS KMS ?
Les journaux figurant dans AWS CloudTrail contiennent toutes les requêtes d’API KMS, y compris les requêtes de gestion (par exemple, création, rotation, désactivation, modification de politiques) et les requêtes cryptographiques (par exemple, chiffrement/déchiffrement). Activez AWS CloudTrail sur votre compte pour afficher ces journaux.

Q : Quelle est la différence entre AWS KMS et AWS CloudHSM ?
AWS CloudHSM vous fournit un cluster HSM à client unique entièrement conforme à la norme FIPS 140-2 niveau 3 sur votre Amazon Virtual Private Cloud (VPC) pour stocker et utiliser vos clés. Vous avez un contrôle exclusif sur la façon dont vos clés sont utilisées via un mécanisme d'authentification indépendant d'AWS. Vous interagissez avec des clés dans votre cluster AWS CloudHSM de la même manière qu'avec vos applications s'exécutant dans Amazon EC2. Vous pouvez utiliser AWS CloudHSM pour prendre en charge divers cas d'utilisation, comme la gestion des droits numériques (Digital Rights Management, DRM), les infrastructures de clés publiques (PKI), la signature de documents et les fonctions cryptographiques utilisant les interfaces PKCS#11, Java JCE ou encore Microsoft CNG.

AWS KMS vous permet de créer et contrôler les clés de chiffrement utilisées par vos applications ainsi que les services AWS pris en charge dans plusieurs régions du monde à partir d'une seule console. Ce service utilise un module HSM FIPS validé par la norme FIPS 140-2, ou en attente de validation, pour assurer la sécurité de vos clés. La gestion centralisée de l'ensemble de vos clés dans AWS KMS vous permet de déterminer qui peut utiliser vos clés, sous quelles conditions, le moment de leur renouvellement et qui peut les gérer. L'intégration d'AWS KMS avec AWS CloudTrail vous permet de vérifier l'utilisation de vos clés afin de faciliter vos activités de réglementation et de conformité. Vous interagissez avec AWS KMS depuis vos applications à l’aide du SDK AWS si vous souhaitez appeler les API de service directement, via d’autres services AWS intégrés à KMS ou depuis le SDK de chiffrement AWS si vous préférez effectuer un chiffrement côté client.

Product-Page_Standard-Icons_01_Product-Features_SqInk
En savoir plus sur la tarification

Consultez des exemples de tarification et calculez vos coûts.

En savoir plus 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Créer gratuitement un compte

Obtenez un accès instantané à l'offre gratuite d'AWS. 

S'inscrire 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Commencer à créer dans la console

Commencez à créer avec AWS Key Management Service dans la console AWS.

Se connecter