Les questions fréquentes qui suivent ne s’appliquent pas à AWS KMS dans la région AWS Chine (Beijing), opérée par Sinnet, et la région AWS Chine (Ningxia), opérée par NWCD. Suivez ce lien vers les FAQ pour obtenir des informations en lien avec ces deux régions de Chine.  

Général

Q : Qu'est-ce qu'AWS Key Management Service (KMS) ?
AWS KMS est un service géré qui vous permet de facilement créer et contrôler les clés utilisées pour les opérations cryptographiques. Le service offre une solution hautement disponible de génération, de stockage, de gestion et d’audit de clés pour le chiffrement ou la signature numérique de vos données dans vos propres applications ou le contrôle du chiffrement des données dans les services AWS.

Q : Pourquoi utiliser AWS KMS ?
Si vous êtes chargé de veiller à la sécurité des données dans les services AWS, vous devriez utiliser AWS KMS pour centraliser la gestion des clés de chiffrement permettant de contrôler l’accès à vos données. Si vous êtes un développeur et que vous avez besoin de chiffrer des données sur vos applications, vous devriez utiliser le kit SDK AWS Encryption avec AWS KMS pour générer, utiliser et protéger facilement vos clés de chiffrement symétriques dans votre code. Si vous êtes un développeur désireux de signer numériquement ou de vérifier les données via des clés asymétriques, vous devriez utiliser le service pour créer et gérer les clés privées dont vous avez besoin. Si vous êtes à la recherche d'une infrastructure évolutive de gestion des clés destinée à accompagner vos développeurs et le nombre croissant d'applications qu'ils mettent au point, vous devriez utiliser AWS KMS pour réduire vos coûts de licences et la charge opérationnelle. Si vous êtes chargé de veiller à la sécurité des données à des fins règlementaires ou de conformité, vous devriez utiliser le service, car il permet de prouver facilement vos données sont systématiquement protégées. Le service se situe également en droite ligne d’un vaste ensemble de régimes du secteur et de conformité régionale.

Q : Comment démarrer avec AWS KMS ?
La manière la plus simple consiste à utiliser le service pour chiffrer vos données sur les services AWS pris en charge à l’aide des clés principales gérées par AWS qui sont automatiquement créées sur votre compte pour chaque service. Si vous souhaitez un contrôle total sur la gestion de vos clés, y compris la possibilité de partager l’accès aux clés entre les comptes et les services, vous pouvez créer vos propres clés principales client (CMK) dans AWS KMS. Vous pouvez également utiliser des clés principales client (CMK) créées directement dans vos applications. Vous accédez à AWS KMS depuis la console KMS dans la rubrique Security, Identity and Compliance (Sécurité, identité et conformité) disponible sur la page d’accueil des services AWS de la console AWS. Les API AWS KMS sont aussi accessibles directement via l’interface de ligne de commande AWS KMS ou le kit SDK AWS pour l’accès par programmation. Vous pouvez également utiliser les API AWS KMS indirectement pour chiffrer les données dans vos applications à l’aide du kit SDK AWS Encryption. Consultez la page Mise en route pour en savoir plus.

Q : Dans quelles régions le service AWS KMS est-il disponible ?
Les régions concernées figurent sur notre page internationale Produits et services par région.

Les clés asymétriques ne sont actuellement disponibles que dans les régions suivantes : Virginie du Nord, Oregon, Sydney, Irlande et Tokyo.

Q : Quelles sont les fonctions de gestion des clés disponibles dans AWS KMS ?
Vous pouvez exécuter les fonctions de gestion des clés suivantes :

  • Créer des clés symétriques et asymétriques exclusivement là où les éléments de clés seront utilisés dans le service
  • Créer des clés symétriques là où les éléments de clés sont générés et utilisés sous votre contrôle dans le stockage de clés personnalisé*
  • Importer vos propres éléments de clés symétriques afin de les utiliser dans le service
  • Créer des paires de clés symétriques et asymétriques de données pour une utilisation locale dans vos applications
  • Définir les utilisateurs et les rôles IAM autorisés à gérer les clés
  • Définir les utilisateurs et les rôles IAM autorisés à chiffrer et déchiffrer les données
  • Choisir d’effectuer la rotation automatique et une fois par an des clés générées par le service
  • Désactiver provisoirement des clés pour qu'elles ne puissent être utilisées par personne
  • Réactiver les clés désactivées
  • Programmer la suppression des clés que vous n’utilisez plus
  • Vérifier l'utilisation des clés en consultant les journaux dans AWS CloudTrail

* L’utilisation de stockages de clés personnalisés requiert la disponibilité des ressources CloudHSM dans votre compte.

Q : Comment fonctionne AWS KMS ?
Pour commencer à utiliser le service, vous devez demander la création d’une clé principale client (CMK). Vous contrôlez le cycle de vie de votre CMK, y compris les personnes autorisées à l’utiliser ou à la gérer. Les éléments de clés d’une CMK sont générés dans les modules de sécurité matérielle (HSM) gérés par AWS KMS. Vous pouvez alternativement importer des éléments de clés depuis votre propre infrastructure de gestion des clés et les associer à une CMK. Vous pouvez également générer et utiliser les éléments de clés dans un cluster AWS CloudHSM dans le cadre de la fonction de stockage de clés personnalisé dans AWS KMS.
 
Une fois que vous avez créé une CMK via l’une des trois méthodes prises en charge ci-dessus, vous pouvez soumettre les données directement à AWS KMS en vue de leur signature, leur vérification, leur chiffrement ou leur déchiffrement à l’aide de la CMK. Pour ces clés, vous définissez les politiques d’utilisation permettant de déterminer quels utilisateurs sont autorisés à effectuer quelles actions et dans quelles conditions.

Les services AWS et les kits d’outils client qui intègrent AWS KMS utilisent une méthode appelée chiffrement d’enveloppe pour protéger vos données. Cette méthode permet à AWS KMS de générer des clés de données qui seront utilisées pour chiffrer les données localement dans le service AWS ou votre application. Les clés de données sont elles-mêmes chiffrées à l’aide d’une CMK configurée par vos soins. Les clés de données ne sont ni conservées ni gérées par AWS KMS. Les services AWS chiffrent vos données et stockent une copie chiffrée de la clé de données avec les données chiffrées. Lorsqu'un service a besoin de déchiffrer vos données, il demande à AWS KMS de déchiffrer la clé de données à l'aide de votre CMK. Si l'utilisateur qui demande les données au service AWS est autorisé à les déchiffrer via votre CMK, le service AWS reçoit la clé des données déchiffrée d'AWS KMS. Le service AWS déchiffre ensuite vos données et les renvoie en texte simple. Toutes les demandes d'utilisation de vos CMK sont enregistrées dans AWS CloudTrail pour que vous puissiez savoir qui a utilisé une clé, dans quel contexte et à quel moment.

Q : À quel endroit mes données sont-elles chiffrées si j'utilise AWS KMS ?
Il existe principalement trois scénarios de chiffrement de données avec AWS KMS. 1. Vous pouvez utiliser les API AWS KMS pour chiffrer et déchiffrer les données à l’aide de vos CMK stockées dans le service. 2. Vous pouvez faire en sorte que les services AWS chiffrent vos données à l’aide de vos CMK stockées dans le service. Dans ce cas, les données sont chiffrées à l’aide des clés de données protégées par vos CMK. 3. Vous pouvez utiliser le kit SDK AWS Encryption intégré à AWS KMS pour effectuer le chiffrement dans vos propres applications, qu’elles opèrent dans AWS ou pas.

Q : Quels sont les services de cloud intégrés à AWS KMS ?
AWS KMS est intégré de façon homogène à la plupart des autres services AWS afin de simplifier au maximum le chiffrement des données dans ces services : il vous suffit de cocher une case. Dans certains cas, les données sont chiffrées par défaut à l’aide de clés stockées dans AWS KMS, mais détenues et gérées par le service AWS en question. Souvent, les CMK sont détenues et gérées par vous dans votre compte. Certains services vous permettent de choisir si vous souhaitez gérer les clés vous-même ou autoriser le service à les gérer à votre place. Consultez la liste des services AWS actuellement intégrés à AWS KMS. Pour en savoir plus sur la façon dont les services intégrés utilisent AWS KMS, reportez-vous au guide du développeur AWS KMS.

Q : Pourquoi utiliser le chiffrement d'enveloppe ? Pourquoi ne pas simplement envoyer des données à AWS KMS pour qu'il procède directement au chiffrement ?
AWS KMS se charge de l'envoi de données jusqu'à 4 Ko afin qu'elles soient chiffrées directement, tandis que le chiffrement d'enveloppe peut entraîner des gains significatifs en matière de performances. Lorsque vous chiffrez directement des données avec AWS KMS, elles peuvent être transférées sur le réseau. Le chiffrement d’enveloppe réduit la charge réseau, car seules la requête et la livraison d’une clé de données bien plus petite transitent par le réseau. La clé de données est utilisée en local dans votre application ou service AWS de chiffrement, ce qui évite d’envoyer le bloc de données entier vers AWS KMS et de souffrir de la latence sur le réseau.

Q : Quelle est la différence entre une CMK que je crée et les CMK créées automatiquement pour moi par d’autres services AWS ?
Vous avez la possibilité de sélectionner une CMK spécifique à utiliser lorsque vous souhaitez qu'un service AWS chiffre des données pour vous. On les désigne alors comme des CMK gérées par le client, et vous avez un contrôle absolu sur celles-ci. Vous définissez le contrôle d’accès et la politique d’utilisation pour chaque clé, et vous accordez des autorisations à d’autres comptes et services afin qu’ils puissent utiliser les clés. Si vous ne spécifiez pas de CMK, le service en question crée une CMK gérée par AWS la première fois que vous essayez de créer une ressource chiffrée dans ce service. AWS gère les politiques associées aux CMK gérées par AWS à votre place. Vous pouvez suivre les clés gérées par AWS dans votre compte. Leur utilisation est consignée dans AWS CloudTrail, mais vous n’avez aucun contrôle sur les clés.

Q : Pourquoi créer mes propres clés principales client ?
La création de votre propre CMK vous donne davantage de maîtrise que les CMK gérées par AWS. Lorsque vous créez une CMK symétrique gérée par un client, vous pouvez choisir d’utiliser des éléments de clés générés par AWS KMS ou générés dans un cluster AWS CloudHSM (stockage de clés personnalisé), ou encore d’importer vos propres éléments de clé. Vous pouvez définir un alias et une description pour la clé, et opter pour la rotation automatique de la clé une fois par an, si elle a été générée par AWS KMS. Vous définissez également toutes les autorisations sur la clé pour contrôler les personnes autorisées à utiliser ou à gérer cette dernière. Utiliser des CMK asymétriques gérées par le client revient à prendre en compte un certain nombre de restrictions liées à la gestion : les éléments de clés ne peuvent être générés que dans les modules HSM d’AWS KMS et aucune possibilité de rotation automatique des clés n’est offerte.

Q : Puis-je importer mes propres clés dans AWS KMS ?
Oui. Vous pouvez importer dans AWS KMS une copie d'une clé issue de votre propre infrastructure de gestion de clés afin de l'utiliser avec n'importe quel service AWS intégré ou au sein de vos propres applications. Vous ne pouvez pas importer de CMK asymétriques dans AWS KMS.

Q : Quand utiliser une clé importée ?
Vous pouvez utiliser une clé importée pour avoir une meilleure maîtrise du processus de création, de la gestion du cycle de vie et de la durabilité de votre clé dans AWS KMS. Les clés importées vous permettent également de répondre à certaines exigences de conformité qui nécessitent parfois d'être en mesure de générer ou de conserver une copie sécurisée de la clé dans votre infrastructure, ainsi que de pouvoir supprimer immédiatement la copie importée de l'infrastructure AWS.

Q : Quel type de clés puis-je importer ?
Vous pouvez importer des clés symétriques de 256 bits.

Q : Comment la clé que j'importe dans AWS KMS est-elle protégée pendant le transfert ?
Lors de l'importation, votre clé doit être encapsulée par une clé publique fournie par AWS KMS via l'une des deux méthodes RSA PKCS#1. Ainsi, votre clé chiffrée ne pourra être déchiffrée que par AWS KMS.

Q : Quelle est la différence entre une clé que j'importe et une clé que je génère dans AWS KMS ?
Il y a deux principales différences.

  1. Vous devez conserver de manière sécurisée, dans votre infrastructure de gestion de clés, une copie des clés importées afin de pouvoir les réimporter à tout moment. AWS vous garantit néanmoins la disponibilité, la sécurité et la durabilité des clés générées par AWS KMS jusqu'à ce que vous programmiez leur suppression.
  2. Vous pouvez définir un délai d’expiration pour une clé importée. AWS KMS supprimera automatiquement les éléments de clé une fois ce délai écoulé. Vous pouvez également supprimer des éléments de clés importés sur demande. Dans les deux cas, les éléments de clé sont supprimés, mais la référence CMK dans AWS KMS et les métadonnées associées sont conservées afin que vous puissiez réimporter les éléments de clé ultérieurement. Les clés générées par AWS KMS n’ont pas de délai d’expiration et ne peuvent pas être supprimées immédiatement. Il existe un délai d’attente obligatoire de 7 à 30 jours. Toutes les CMK gérées par un client, indépendamment des éléments de clé importés, peuvent être désactivées ou programmées pour suppression manuellement. Dans ce cas, la CMK elle-même est supprimée, pas seulement les éléments de clé sous-jacents.

Q : Puis-je procéder à la rotation de mes clés ?
Oui. Vous pouvez configurer AWS KMS de sorte qu'il effectue, chaque année, une rotation automatique des CMK, à condition que ces clés aient été générées dans les modules HSM d’AWS KMS. La rotation automatique des clés n’est pas prise en charge pour les clés importées, les clés asymétriques ou les clés générées dans un cluster AWS CloudHSM à l’aide de la fonction de stockage de clés personnalisé d’AWS KMS. Si vous choisissez d’importer des clés dans AWS KMS ou d’utiliser des clés asymétriques ou un stockage de clés personnalisé, vous pouvez effectuer une rotation manuelle des clés. Il vous suffit de créer une nouvelle CMK et de mapper un alias de clé existante depuis l’ancienne CMK vers la nouvelle.

Q : Dois-je chiffrer à nouveau mes données à l'issue de la rotation des clés dans AWS KMS ?
Si vous configurez AWS KMS de sorte qu'il effectue une rotation automatique des clés, inutile de chiffrer à nouveau vos données. AWS KMS conserve automatiquement les versions précédentes des clés pour le déchiffrement des clés chiffrées sous une ancienne version d'une clé. Toutes les nouvelles demandes de chiffrement d'une clé dans AWS KMS sont chiffrées sous la version la plus récente de la clé.

Si vous effectuez une rotation manuelle des clés importées ou issues d’un stockage de clés personnalisé, vous devrez peut-être chiffrer à nouveau vos données, selon que vous décidez de conserver les anciennes versions des clés ou non.

Q : Puis-je supprimer une clé provenant d'AWS KMS ?
Oui. Vous pouvez programmer la suppression d'une clé principale client que vous avez créée dans AWS KMS en définissant un délai de réflexion pouvant aller de 7 à 30 jours. Cette opération supprime également les métadonnées associées. Ce délai de réflexion vous permet de vérifier l'impact que la suppression d'une clé aura sur vos applications et les utilisateurs qui en dépendent. Le délai de réflexion par défaut est de 30 jours. Pendant cette période, vous pouvez annuler la suppression de la clé. Si la clé est programmée pour suppression, elle ne peut pas être utilisée tant que vous n'avez pas annulé la suppression au cours du délai de réflexion. Si vous n'annulez pas la suppression, la clé est supprimée à la fin du délai de réflexion configurable. Une fois qu'une clé est supprimée, vous ne pouvez plus l'utiliser. Toutes les données protégées par une clé principale supprimée deviennent inaccessibles.

Dans le cas de clés principales client dont les éléments ont été importés, vous pouvez supprimer ces éléments sans supprimer l'ID de la clé principale client ou les métadonnées. Pour ce faire, vous disposez de deux méthodes. La première consiste à supprimer les éléments de clé importés sur demande, sans délai de réflexion. La deuxième nécessite de définir une période d'expiration au moment de l'importation des éléments dans la clé principale client. Vous précisez ainsi pendant combien de temps AWS peut utiliser les éléments de clé importés avant leur suppression. Vous pouvez, par la suite, réimporter les éléments dans la clé principale client si vous en avez à nouveau besoin.

Q : Que faire si les éléments de clé importés ont expiré ou si je les ai supprimés par erreur ?
Vous pouvez réimporter une copie des éléments de clé (avec une période d'expiration en cours de validité) dans AWS KMS sous la clé concernée pour utiliser la clé principale client d'origine.

Q : Une alerte m'informe-t-elle qu'il est nécessaire de réimporter la clé ?
Oui. Une fois que vous avez importé votre clé dans une clé principale client, une métrique Amazon CloudWatch vous est transmise à quelques minutes d'intervalle avant l'expiration de la clé importée. Un événement Amazon CloudWatch est également généré pour vous informer de l'expiration de la clé importée sous la clé principale client. Vous pouvez alors élaborer une logique basée sur ces mesures ou événements pour réimporter automatiquement la clé avec une nouvelle période d'expiration. Vous évitez ainsi tout risque d'indisponibilité.

Q : Puis-je utiliser AWS KMS pour faciliter la gestion du chiffrement de données en dehors des services de cloud AWS ?
Oui. AWS KMS est pris en charge dans les kits de développement logiciel AWS, le kit de développement logiciel de chiffrement AWS, le chiffrement côté client Amazon DynamoDB et le client de chiffrement Amazon S3 pour faciliter le chiffrement des données lors de l'exécution de vos propres applications. Consultez les sites Internet AWS Crypto Tools et Développement sur AWS pour en savoir plus.

Q : Le nombre de clés que je peux créer sur AWS KMS est-il limité ?
Vous pouvez créer jusqu'à 10 000 CMK par compte et par région. Toutes les CMK, qu'elles soient activées ou désactivées, sont prises en compte dans le calcul de la limite. Nous vous conseillons donc de supprimer les clés désactivées dont vous n'avez plus l'utilité. Les CMK gérées par AWS qui sont créées pour vous pour une utilisation sur des services AWS pris en charge n'entrent pas en compte de la limite. Le nombre de clés de données créées à l'aide d'une CMK et utilisées sur votre application ou par des services AWS afin de chiffrer des données pour vous n'est pas limité. Vous pouvez demander une augmentation des limites pour vos CMK en consultant le Centre AWS Support.

Q : Quels sont les types de clés symétriques et les algorithmes pris en charge ?
AWS KMS prend en charge des clés de 256 bits lors de la création d'une CMK. Les clés de données générées qui sont renvoyées au mandataire peuvent avoir une taille de 256 bits, de 128 bits ou une valeur arbitraire maximale de 1024 bits. Lorsqu'AWS KMS utilise une CMK de 256 bits pour vous, l'algorithme AES dans Galois Counter Mode (AES-GCM) est utilisé.

Q : Quels sont les types de clés asymétriques pris en charge ?
AWS KMS prend en charge les types de clés asymétriques ci-dessous : RSA 2048, RSA 3072, RSA 4096, ECC NIST P-256, ECC NIST P-384, ECC NIST-521 et ECC SECG P-256k1.

Q : Quels sont les types d’algorithmes de chiffrement asymétrique pris en charge ?
AWS KMS prend en charge les algorithmes de chiffrement RSAES_OAEP_SHA_1 et RSAES_OAEP_SHA_256 avec les types de clés RSA 2048, RSA 3072 et RSA 4096. Les algorithmes de chiffrement ne peuvent pas être utilisés avec les types de clés à courbes elliptiques (ECC NIST P-256, ECC NIST P-384, ECC NIST-521 et ECC SECG P-256k1).

Q : Quels sont les types d’algorithmes de signature asymétrique pris en charge ?
En cas d’utilisation des types de clés RSA, AWS KMS prend en charge les algorithmes de signature suivants : RSASSA_PSS_SHA_256, RSASSA_PSS_SHA_384, RSASSA_PSS_SHA_512, RSASSA_PKCS1_V1_5_SHA_256, RSASSA_PKCS1_V1_5_SHA_384 et RSASSA_PKCS1_V1_5_SHA_512.
En cas d’utilisation des types de clés à courbe elliptiques, AWS KMS prend en charge les algorithmes de signature ci-dessous : ECDSA_SHA_256, ECDSA_SHA_384 et ECDSA_SHA_512.

Q : Les CMK symétriques peuvent-elles être exportées en dehors du service sous forme de texte simple ?
Non. Une CMK symétrique ou une portion privée de CMK asymétrique ne peut pas être exportée sous forme de texte simple depuis les modules HSM. La portion publique d’une CMK asymétrique peut être exportée depuis une console ou par appel de l’API « GetPublicKey ».

Q : Les clés de données et les paires de clés de données peuvent-elles être exportées en dehors des modules HSM sous forme de texte simple ?
Oui. Les clés symétriques peuvent être exportées via l’API « GenerateDataKey » ou l’API « GenerateDataKeyWithoutPlaintext ». Les portions privée ou publique des paires de clés de données asymétriques peuvent toutes être exportées en dehors d’AWS KMS en utilisant l’API « GenerateDataKeyPair » ou l’API « GenerateDataKeypairWithoutPlaintext ».

Q : Comment les clés de données et les paires de clés de données sont-elles protégées en vue de leur stockage en dehors du service ?
Les clés de données symétriques ou la portion privée d’une clé de données asymétrique sont chiffrées conformément à la CMK symétrique que vous définissez lors de l’envoi de la demande de génération d’une clé de données à AWS KMS.

Q : Comment utiliser la portion publique d’une CMK asymétrique ?
La portion publique d’un élément de clé asymétrique est générée dans AWS KMS et peut être utilisée pour vérifier une signature numérique en appelant l’API « Verify » ou, pour le chiffrement de la clé publique, en appelant l’API « Encrypt ». La clé publique peut également être utilisée en dehors d’AWS KMS à des fins de vérification ou de chiffrement. Vous pouvez appeler l’API « GetPublicKey » pour extraire la portion publique de la CMK asymétrique.

Q : Quelle est la taille maximale des données envoyées vers AWS KMS pour des opérations asymétriques ?
La taille maximale est 4 Ko. Si vous souhaitez signer numériquement des données supérieures à 4 Ko, vous pouvez créer une synthèse de message des données et l’envoyer vers AWS KMS. La signature numérique est créée sur la synthèse des données et renvoyée. Vous devez spécifier si vous envoyez le message intégral ou une synthèse de message dans les paramètres de la requête d’API Sign. Toute donnée envoyée aux API Encrypt, Decrypt ou Re-Encrypt et nécessitant l’utilisation d’opérations asymétriques doit peser moins de 4 Ko.

Q : Comment faire la distinction entre les CMK asymétriques et les CMK symétriques que j’ai créées ?
Dans la console, chaque clé possède un nouveau champ dénommé « Key Type » (Type de clé). Ainsi, les CMK que vous créez porteront la valeur « Asymmetric Key » (Clé asymétrique) ou « Symmetric Key » (Clé symétrique), pour renseigner sur le type de clé. L’API « DescribeKey » renvoie un champ « KeyUsage » pour indiquer si la clé peut être utilisée pour la signature ou le chiffrement.

Q : La rotation automatique des CMK asymétriques est-elle prise en charge ?
Non.La rotation automatique des clés n'est pas prise en charge pour les CMK asymétriques. Vous pouvez effectuer leur rotation manuelle en créant une nouvelle CMK et en mappant un alias de clé existante depuis l’ancienne CMK vers la nouvelle.

Q : Une CMK asymétrique unique peut-elle être utilisée aussi bien pour le chiffrement que pour la signature ?
Non. Lors de la création de votre CMK, vous devez préciser si elle servira pour les opérations de déchiffrement ou de signature. Un type de clé RSA peut être utilisé pour les opérations de signature ou de chiffrement, mais jamais les deux. Les types de clés à courbes elliptiques ne peuvent être utilisés que pour les opérations de signature.

Q : Existe-t-il des limites de service associées aux clés asymétriques ?
Oui. Les limites de taux de requêtes par seconde varient selon les types de clés et les algorithmes. Pour en savoir plus, consultez la page consacrée aux limites AWS KMS.

Q : Les clés asymétriques sont-elles compatibles avec les stockages de clés personnalisés d’AWS KMS ou la fonction d’importation de clé ?
Non. Vous ne pouvez pas combiner la fonctionnalité de stockage de clés personnalisé avec les clés asymétriques, ni importer des clés asymétriques dans AWS KMS.

Q : Puis-je utiliser des CMK asymétriques pour signer numériquement des applications nécessitant des certificats numériques ?
Pas directement. Le service AWS KMS ne stocke ni n’associe des certificats numériques avec les CMK asymétriques qu’il crée. Vous pouvez choisir de faire délivrer un certificat par une autorité de certification, par exemple ACM PCA, pour la portion publique de votre CMK asymétrique. Cela permet aux entités utilisant votre clé publique de vérifier que ladite clé publique vous appartient effectivement.

Q : Quels sont les cas d’utilisation pour lesquels je dois recourir à l’Autorité de certification privée ACM plutôt qu’à AWS KMS ? 
L’utilisation du service de l’Autorité de certification privée ACM vise essentiellement à fournir une infrastructure de clés publiques (PKI) permettant d’identifier les entités et de sécuriser les connexions réseau. Les PKI fournissent les processus et les mécanismes, principalement via les certificats X.509, afin de mettre en place une structure pour les opérations cryptographiques des clés publiques. Les certificats permettent d’associer une identité et une clé publique. Le processus de certification dans lequel une autorité de certification émet un certificat permet à l’autorité de certification de confiance de valider l’identité d’une autre entité à travers la signature d’un certificat. L’infrastructure PKI fournit l’identité, la confiance partagée, la gestion du cycle de vie des clés et l’état des certificats payants jusqu’à leur révocation. Ces fonctions ajoutent des processus et une infrastructure importants aux clés et aux algorithmes cryptographiques asymétriques sous-jacents fournis par AWS KMS.

L’Autorité de certification privée ACM vous permet de délivrer des certificats afin d’identifier les serveurs d’applications et Web, les maillages de services, les utilisateurs VPN, les points de terminaison d’API internes et les appareils IoT. Les certificats vous permettent d’établir l’identité des ressources et de créer des canaux de communication TLS/SSL chiffrés. Si vous envisagez d’utiliser des clés asymétriques pour une terminaison TLS sur les serveurs Web ou d’applications, les Elastic Load Balancers, les points de terminaison d’API Gateway, les instances EC2 ou les conteneurs, vous devriez songer à recourir à l’Autorité de certification privée ACM pour la délivrance des certificats et la fourniture d’une infrastructure PKI.

En revanche, AWS KMS vous permet de générer, gérer et utiliser des clés asymétriques pour les opérations de signature numérique et/ou de chiffrement ne nécessitant aucun certificat. Les certificats peuvent permettre de vérifier l’identité d’un expéditeur et d’un destinataire entre plusieurs parties non fiables. Cependant, le type d’opérations asymétriques brutes qu’offre AWS KMS est généralement utile lorsque vous disposez d’autres mécanismes pour confirmer l’identité ou lorsque la procédure de confirmation d’identité n’est pas indispensable pour obtenir les avantages de sécurité recherchés.

Q : Puis-je associer les fournisseurs d’API cryptographiques de mes applications, par exemple OpenSSL, JCE, Bouncy Castle ou CNG, avec AWS KMS ?
AWS KMS n’offre aucune intégration native pour aucun autre fournisseur d’API cryptographiques. Vous devez utiliser les API AWS KMS directement ou via le kit AWS SDK pour intégrer les fonctionnalités de signature et de chiffrement à vos applications.

Q : AWS KMS propose-t-il un contrat de niveau de service (SLA) ?
Oui. Le contrat de niveau de service AWS KMS donne droit à un crédit de service si le pourcentage de disponibilité mensuelle d'un client est inférieur à notre engagement de service au cours de n'importe quel cycle de facturation.

Stockage de clés personnalisé

Q : Qu’est-ce qu’un stockage de clés personnalisé ?
La fonction de stockage de clés personnalisé AWS KMS allie les contrôles fournis par AWS CloudHSM à l’intégration et la simplicité d’utilisation d’AWS KMS. Vous pouvez configurer votre propre cluster CloudHSM et autoriser AWS KMS à l’utiliser comme stockage de clés dédié plutôt que votre stockage de clés AWS KMS par défaut. Lorsque vous créez des clés dans AWS KMS, vous pouvez choisir de générer les éléments de clés dans votre cluster CloudHSM. Les CMK générées dans votre stockage de clés personnalisé ne quittent jamais les modules HSM du cluster CloudHSM en texte simple, et toutes les opérations d’AWS KMS qui utilisent ces clés ne sont effectuées que dans vos modules HSM. Sur tous les autres points, les CMK placées dans votre stockage de clés personnalisé sont cohérentes avec les autres CMK d’AWS KMS.

Vous trouverez des conseils supplémentaires pour décider s’il est pertinent d’utiliser un stockage de clés personnalisé dans ce blog.

Q : Pourquoi aurais-je besoin d’un stockage de clés personnalisé ?
Puisque vous contrôlez votre cluster AWS CloudHSM, vous pouvez gérer le cycle de vie de vos CMK indépendamment d’AWS KMS. Un stockage de clés personnalisé peut être utile pour quatre raisons. Premièrement, il est possible que certaines clés requièrent une protection explicite dans un module HSM à client unique ou dans un module HSM sur lequel vous avez un contrôle direct. Deuxièmement, il est possible que certaines clés doivent être stockées dans un module HSM validé globalement pour FIPS 140-2 niveau 3 (les modules HSM utilisés dans le stockage de clés AWS KMS standard sont validés ou en attente de validation pour le niveau 2, avec un niveau 3 dans plusieurs catégories). Troisièmement, vous aurez peut-être besoin de supprimer immédiatement des éléments de clés d’AWS KMS et de le prouver par des moyens indépendants. Quatrièmement, vous pouvez être tenu d’effectuer un audit complet de l’utilisation de vos clés indépendamment d’AWS KMS ou d’AWS CloudTrail.

Q : Les stockages de clés personnalisés ont-ils une incidence sur la gestion des clés ?
Il existe deux différences de gestion entre un stockage de clés personnalisé et le stockage de clés AWS KMS par défaut. Vous ne pouvez pas importer des éléments de clés dans un stockage de clés personnalisé, et AWS KMS ne peut pas effectuer une rotation automatique des clés. Pour le reste, y compris le type de clés qui peut être généré, la façon dont les clés utilisent les alias et les méthodes de définition des politiques, les clés placées dans un stockage de clés personnalisé sont gérées de la même manière que toutes les autres CMK gérées par un client AWS KMS.

Q : Puis-je utiliser un stockage de clés personnalisé pour une clé principale client gérée par AWS ?
Non, seules les CMK gérées par un client peuvent être stockées et gérées dans un stockage de clés personnalisé AWS KMS. Les CMK gérées par AWS qui sont créées pour vous par d’autres services AWS pour chiffrer vos données sont toujours générées et stockées dans le stockage de clés par défaut d’AWS KMS.

Q : Les stockages de clés ont-ils une incidence sur l’utilisation des clés ?
Non, les requêtes d’API envoyées à AWS KMS afin d’utiliser une CMK pour chiffrer et déchiffrer les données sont traitées de la même façon. Les processus d’authentification et d’autorisation ne tiennent pas compte de l’emplacement de stockage de la clé. Toute activité impliquant une clé placée dans un stockage de clés personnalisé est également consignée dans AWS CloudTrail de la même façon. Cependant, les opérations cryptographiques proprement dites surviennent exclusivement dans le stockage de clés personnalisé ou dans le stockage de clés AWS KMS par défaut.

Q : Puis-je auditer l’utilisation des clés dans un stockage de clés personnalisé ?
En plus de l’activité consignée dans AWS CloudTrail par AWS KMS, l’utilisation d’un stockage de clés personnalisé fournit trois mécanismes d’audit supplémentaires. 1. AWS CloudHSM consigne également toutes les activités d’API dans CloudTrail (par exemple, création de clusters et ajout/suppression de modules HSM). 2. Chaque cluster capture aussi ses propres journaux locaux pour enregistrer les activités relatives aux utilisateurs et à la gestion des clés. 3. Chaque instance CloudHSM copie les journaux d’activité d’utilisateur et de gestion de clés dans AWS CloudWatch.

Q : Lorsque j’utilise en stockage de clés personnalisé, quel est l’impact sur la disponibilité des clés ?
L’utilisation d’un stockage de clés personnalisé AWS KMS vous rend responsable de la disponibilité de vos clés pour AWS KMS. Les erreurs de configuration de CloudHSM et la suppression involontaire des éléments de clés dans un cluster AWS CloudHSM peuvent influer sur la disponibilité. Le nombre de modules HSM utilisés et le choix des zones de disponibilité ont également un effet sur la résilience de votre cluster. Comme dans tous les systèmes de gestion de clés, vous devez comprendre l’impact de la disponibilité des clés sur la récupération de vos données chiffrées.

Q : Quelles sont les restrictions de performances associées à un stockage de clés personnalisé ?
Le taux d’utilisation des clés placées dans un stockage de clés personnalisé AWS KMS via des appels d’API AWS KMS est inférieur à celui des clés placées dans le stockage de clés AWS KMS par défaut. Consultez le guide du développeur AWS KMS pour connaître les restrictions de performances actuelles.

Q : Quels sont les coûts associés à l’utilisation d’un stockage de clés personnalisé ?
Les tarifs AWS KMS ne sont pas liés à l’utilisation d’un stockage de clés personnalisé. Cependant, pour chaque stockage de clés personnalisé, votre cluster AWS CloudHSM doit contenir au moins deux modules HSM. Ces modules HSM sont facturés aux tarifs AWS CloudHSM standard. Il n’y a pas de frais supplémentaires pour l’utilisation d’un stockage de clés personnalisé.

Q : Quelles compétences et ressources supplémentaires sont requises pour configurer un stockage de clés personnalisé ?
Les utilisateurs d’AWS KMS souhaitant disposer d’un stockage de clés personnalisé doivent configurer un cluster AWS CloudHSM, ajouter des modules HSM, gérer les utilisateurs des modules HSM et éventuellement restaurer des modules HSM à partir d’une sauvegarde. Il s’agit de tâches de sécurité délicates pour lesquelles vous devez veiller à disposer des ressources et des contrôles organisationnels appropriés.

Q : Puis-je importer des clés dans un stockage de clés personnalisé ?
Non, vous ne pouvez pas importer vos propres éléments de clés dans un stockage de clés personnalisé AWS KMS. Les clés placées dans un stockage de clés personnalisé ne peuvent être générées que dans les modules HSM qui constituent votre cluster AWS CloudHSM.

Q : Puis-je migrer des clés entre le stockage de clés AWS KMS par défaut et un stockage de clés personnalisé ?
Non, la possibilité de migrer des clés entre les différents types de stockages de clés AWS KMS n’est pas prise en charge actuellement. Toutes les clés doivent être créées dans le stockage où elles seront utilisées, sauf si vous importez vos propres éléments de clés dans le stockage de clés AWS KMS par défaut.

Q : La rotation des clés dans un stockage de clés personnalisé est-elle possible ?
Non, la rotation automatique des éléments de clés dans un stockage de clés personnalisé AWS KMS n’est pas possible. La rotation des clés doit être effectuée manuellement en créant des clés et en remappant les alias de clés AWS KMS employés par votre code d’application afin d’utiliser les nouvelles clés pour de futures opérations de chiffrement.

Q : Puis-je utiliser mon cluster AWS CloudHSM pour d’autres applications ?
Oui, AWS KMS ne requiert pas un accès exclusif à votre cluster AWS CloudHSM. Si vous avez déjà un cluster, vous pouvez l’utiliser à la fois en tant que stockage de clés personnalisé et pour d’autres applications. Cependant, si votre cluster héberge de fortes charges de travail non AWS KMS, le débit des opérations utilisant des CMK du stockage de clés personnalisé peut être réduit. De la même façon, un taux de requêtes AWS KMS élevé vers votre stockage de clés personnalisé peut avoir un impact sur vos autres applications.

Q : Comment puis-je en savoir plus sur AWS CloudHSM ?
Consultez le site web AWS CloudHSM pour obtenir une présentation générale du service. Pour plus de détails sur la configuration et l’utilisation du service, consultez le guide de l’utilisateur AWS CloudHSM.  

Facturation

Q : Comment mon utilisation d'AWS KMS me sera-t-elle facturée et débitée ?
Avec AWS KMS, vous ne payez que ce que vous utilisez et il n'y a pas de frais minimum. Il n'y a pas de frais d'installation, ni aucun engagement à prendre pour commencer à utiliser le service. À la fin du mois, votre carte de crédit est automatiquement débitée en fonction de votre utilisation au cours du mois.

Toutes les CMK que vous avez créées vous sont facturées, de même que tous les appels d'API effectués chaque mois vers le service au-delà de l'offre gratuite.

Pour connaître les informations tarifaires actuelles, consultez la page relative à la tarification AWS KMS.

Q : Existe-t-il un niveau gratuit ?
Oui. Avec le niveau d’offre gratuite AWS, vous pouvez démarrer avec AWS KMS gratuitement* dans toutes les régions. Le stockage dans votre compte des CMK gérées par AWS créées en votre nom par les services AWS est gratuit. Il existe un niveau d’offre gratuite qui permet d'effectuer un nombre illimité de requêtes vers le service chaque mois. Pour connaître les informations tarifaires actuelles, y compris celles concernant l’offre gratuite, consultez la page relative à la tarification AWS KMS.

*Les requêtes d’API impliquant des CMK asymétriques et les requêtes d’API envoyées vers les API GenerateDataKeyPair and GenerateDataKeyPairWithoutPlaintext APIs ne sont pas concernées par l’offre gratuite.

Q : Vos prix sont-ils toutes taxes comprises ?
Sauf indication contraire, nos prix n'incluent pas les taxes et redevances applicables, y compris la TVA et les taxes sur les ventes applicables. Pour les clients dont l'adresse de facturation est située au Japon, l'utilisation de services AWS est soumise à la taxe sur la consommation applicable dans ce pays. Vous pouvez en savoir plus en cliquant ici.

Sécurité

Q : Qui peut utiliser et gérer mes clés dans AWS KMS ?
AWS KMS veille au respect des politiques de gestion et d'utilisation que vous établissez. Il vous incombe de choisir les utilisateurs AWS Identity and Access Management (IAM) et les rôles pouvant utiliser et gérer vos clés à partir de votre compte ou d'autres comptes.

Q : Comment AWS assure-t-il la sécurité des CMK que je crée ?
AWS KMS est conçu de telle sorte que personne, pas même les employés d'AWS, ne puisse récupérer vos CMK en texte simple sur le service. Ce dernier utilise des modules de sécurité matérielle (HSM) validés selon la norme FIPS 140-2, ou en attente de validation, pour assurer la confidentialité et l’intégrité de vos clés, que vous utilisiez AWS KMS ou AWS CloudHSM pour créer vos clés ou que vous les importiez vous-même dans le service. Vos CMK en texte simple ne quittent jamais les modules HSM et ne sont jamais écrites sur disque. Ils sont uniquement utilisés sur la mémoire volatile des modules HSM le temps nécessaire pour effectuer l'opération cryptographique que vous demandez. Les clés AWS KMS ne sont jamais transférées à l'extérieur des régions AWS dans lesquelles elles ont été créées. Les mises à jour des logiciels sur les hôtes du service et du micrologiciel KMS HSM sont contrôlées par un contrôle d'accès multipartite vérifié et contrôlé par un groupe indépendant au sein d'Amazon et par un laboratoire certifié NIST, conformément à la norme FIPS 140-2.

Pour plus de détails sur ces contrôles de sécurité, consultez le livre blanc Détails cryptographiques AWS KMS. Vous pouvez également consulter le certificat FIPS 140-2 pour le module HSM d'AWS KMS ainsi que la politique de sécurité pour obtenir plus d'informations sur la conformité du module HSM d'AWS KMS aux exigences en matière de sécurité de la norme FIPS 140-2. En outre, vous pouvez télécharger une copie du rapport SOC (Service Organization Controls) disponible dans AWS Artifact pour en savoir plus sur les contrôles de sécurité que le service utilise pour protéger vos données et vos CMK.

Q : Comment migrer mes CMK existantes afin d'utiliser des modules HSM validés par la norme FIPS 140-2 ?
Toutes les CMK, peu importent leur date de création ou leur origine, sont automatiquement protégées à l’aide de modules HSM validés par la norme FIPS 140-2 ou en attente de validation. Aucune action n'est requise de votre part pour utiliser les modules HSM validés par la norme FIPS 140-2.

Q : Quelles sont les régions AWS qui disposent de modules HSM validés par la norme FIPS 140-2 ?
Les modules HSM validés par la norme FIPS 140-2 sont disponibles dans toutes les régions AWS où AWS KMS est disponible.

Q : Quelle est la différence entre les points de terminaison validés par la norme FIPS 140-2 et les modules HSM validés par la norme FIPS 140-2 d'AWS KMS ?
AWS KMS est un service à deux niveaux. Les points de terminaison d'API reçoivent des requêtes de clients via des connexions HTTPS exploitant uniquement des suites cryptographiques TLS qui prennent en charge la conformité de transmission parfaite (perfect forward secrecy, PFS). Ces points de terminaison d'API authentifient et autorisent la requête avant de la transmettre aux modules HSM d'AWS KMS pour les opérations cryptographiques, ou à votre cluster AWS CloudHSM (si vous utilisez la fonctionnalité de stockage de clés personnalisé).

Q : Comment faire des requêtes d'API à AWS KMS à l'aide de points de terminaison validés par la norme FIPS 140-2 ?
Vous configurez vos applications pour les connecter aux points de terminaison HTTPS validés par la norme FIPS 140-2 régionaux uniques. Les points de terminaison HTTPS validés par la norme FIPS 140-2 d'AWS KMS sont optimisés par le module d'objet FIPS d'OpenSSL. Vous pouvez consulter la politique de sécurité du module OpenSSL à l'adresse https://www.openssl.org/docs/fips/SecurityPolicy-2.0.13.pdf. Les points de terminaison HTTPS validés par la norme FIPS 140-2 sont disponibles dans toutes les régions commerciales où AWS KMS est disponible.

Q : Puis-je utiliser AWS KMS pour m'aider à satisfaire les exigences en matière de gestion des clés et de chiffrement de la norme PCI DSS (Payment Card Industry Data Security Standard) 3.2.1 ?
Oui. AWS KMS a été validé comme disposant des fonctionnalités et des contrôles de sécurité requis pour vous aider à répondre aux exigences en matière de gestion des clés et de chiffrement (principalement référencées dans les sections 3.5 et 3.6) de la norme PCI DSS 3.2.1.

Pour en savoir plus sur les services conformes à la norme PCI DSS sur AWS, vous pouvez consulter les questions fréquentes (FAQ) sur la certification PCI DSS.

Q : Comment AWS KMS sécurise-t-il les clés de données que j'exporte et que j'utilise sur mon application ?
Vous pouvez demander à AWS KMS de générer des clés de données que vous pouvez ensuite utiliser sur votre propre application. Les clés de données sont chiffrées sous une clé principale que vous définissez dans AWS KMS afin de stocker en toute sécurité la clé de données chiffrée, ainsi que vos données chiffrées. Vos clés de données chiffrées (et par conséquent vos données sources) peuvent uniquement être déchiffrées par des utilisateurs autorisés à se servir de la clé principale d'origine pour déchiffrer votre clé de données chiffrée.

Q : Puis-je exporter une CMK et l'utiliser sur mes propres applications ?
Non. Les CMK sont créées et utilisées uniquement avec le service pour permettre de garantir leur sécurité, d'activer vos politiques afin qu'elles soient appliquées de manière cohérente et de fournir un journal centralisé de leur utilisation.

Q : Dans quelle région mes clés sont-elles stockées ?
Les clés générées par AWS KMS sont uniquement stockées et utilisées dans la région dans laquelle elles ont été créées. Leur transfert vers une autre région est impossible. Ainsi, les clés créées dans la région UE centrale (Francfort) sont uniquement stockées et utilisées dans cette région.

Q :Comment savoir qui a utilisé ou modifié la configuration de mes clés dans AWS KMS ?
Les journaux figurant dans AWS CloudTrail contiennent toutes les requêtes d’API AWS KMS, y compris les requêtes de gestion (par exemple, création, rotation, désactivation, modification de politiques) et les requêtes cryptographiques (par exemple, chiffrement/déchiffrement). Activez AWS CloudTrail sur votre compte pour afficher ces journaux.

Q : Quelle est la différence entre AWS KMS et AWS CloudHSM ?
AWS CloudHSM vous fournit un cluster HSM à client unique entièrement conforme à la norme FIPS 140-2 niveau 3 sur votre Amazon Virtual Private Cloud (VPC) pour stocker et utiliser vos clés. Vous avez un contrôle exclusif sur la façon dont vos clés sont utilisées via un mécanisme d'authentification indépendant d'AWS. Vous interagissez avec des clés dans votre cluster AWS CloudHSM de la même manière qu'avec vos applications s'exécutant dans Amazon EC2. Vous pouvez utiliser AWS CloudHSM pour prendre en charge divers cas d'utilisation, comme la gestion des droits numériques (Digital Rights Management, DRM), les infrastructures de clés publiques (PKI), la signature de documents et les fonctions cryptographiques utilisant les interfaces PKCS#11, Java JCE ou encore Microsoft CNG.

AWS KMS vous permet de créer et contrôler les clés de chiffrement utilisées par vos applications ainsi que les services AWS pris en charge dans plusieurs régions du monde à partir d'une seule console. Ce service utilise un module HSM FIPS validé par la norme FIPS 140-2, ou en attente de validation, pour assurer la sécurité de vos clés. La gestion centralisée de l'ensemble de vos clés dans AWS KMS vous permet de déterminer qui peut utiliser vos clés, sous quelles conditions, le moment de leur renouvellement et qui peut les gérer. L'intégration d'AWS KMS avec AWS CloudTrail vous permet de vérifier l'utilisation de vos clés afin de faciliter vos activités de réglementation et de conformité. Vous interagissez avec AWS KMS depuis vos applications à l’aide du kit SDK AWS si vous souhaitez appeler les API de service directement, via d’autres services AWS intégrés à AWS KMS ou depuis le kit SDK AWS Encryption si vous préférez effectuer un chiffrement côté client.

Product-Page_Standard-Icons_01_Product-Features_SqInk
En savoir plus sur la tarification

Consultez des exemples de tarification et calculez vos coûts.

En savoir plus 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Créer gratuitement un compte

Obtenez un accès instantané à l'offre gratuite d'AWS. 

S'inscrire 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Commencer à créer sur la console

Commencez à créer avec AWS Key Management Service dans la console AWS.

Se connecter