Questions d'ordre général

Q : Qu'est-ce qu'AWS Key Management Service (KMS) ?
AWS KMS est un service de chiffrement géré qui vous permet de chiffrer facilement vos données. AWS KMS offre une solution de stockage de clés, de gestion et d'audit hautement disponible pour le chiffrement de vos données sur les services AWS et vos propres applications.

Q : Pourquoi utiliser AWS KMS ?
Si vous êtes un développeur qui a besoin de chiffrer des données sur vos applications, vous devriez utiliser les kits de développement logiciel avec le support AWS KMS pour utiliser et protéger facilement vos clés de chiffrement. Si vous être administrateur informatique à la recherche d'une infrastructure évolutive de gestion des clés destinée à assister vos développeurs et le nombre croissant d'applications qu'ils mettent au point, vous devriez utiliser AWS KMS pour réduire vos coûts de licence et la charge opérationnelle. Si vous êtes chargé de garantir la sécurité de données à des fins de réglementation ou de conformité, vous devriez utiliser AWS KMS pour vérifier que les données sont chiffrées de manière cohérente sur les applications qui les utilisent et sur lesquelles elles sont stockées.

Q : Comment démarrer avec AWS KMS ?
La manière la plus simple consiste à vérifier la boîte pour chiffrer vos données sur les services AWS KMS pris en charge et d'utiliser les clés par défaut créées sur votre compte pour chaque service. Si vous souhaitez mieux contrôler la gestion de ces clés, vous avez la possibilité de créer des clés dans AWS KMS et les définir afin qu'elles soient utilisées sur les services AWS pris en charge lors de la création de ressources chiffrées et les utiliser directement sur vos propres applications. Il est possible d'accéder à AWS KMS depuis la section « Clés de chiffrement » de la console AWS Identity and Access Management (IAM) pour un accès en ligne et l'interface de commande en ligne AWS KMS ou le kit de développement logiciel AWS pour un accès par programme. Consultez la page Mise en route pour en savoir plus.

Q : Dans quelles régions KMS est-il disponible ?
Les régions concernées figurent sur notre page Produits et services régionaux internationale.

Q : Quelles sont les fonctionnalités de gestion des clés disponibles dans AWS KMS ?
Vous pouvez exécuter les fonctions de gestion des clés suivantes dans AWS KMS :

  • Créer des clés avec un alias et une description uniques
  • Importer vos propres clés
  • Définir les utilisateurs et les fonctions IAM autorisés à gérer les clefs
  • Définir les utilisateurs et les fonctions IAM autorisés à chiffrer et déchiffrer les données
  • Choisir la rotation automatique de vos clés AWS KMS chaque année
  • Désactiver provisoirement des clés pour qu'elles ne puissent être utilisées par personne
  • Réactiver les clés désactivées
  • Supprimer les clés dont vous n'avez plus besoin
  • Vérifier l'utilisation des clés en consultant les journaux dans AWS CloudTrail

Q : Comment fonctionne AWS KMS ?
AWS KMS vous permet de gérer vos clés de manière centralisée et de les stocker en toute sécurité. Vous pouvez générer des clés dans AWS KMS ou en importer depuis votre infrastructure de gestion de clés. Ces clés peuvent être utilisées depuis vos applications et services AWS pris en charge pour protéger vos données, mais la clé ne quitte jamais AWS KMS. Vous soumettez à AWS KMS des données à chiffrer ou déchiffrer sous des clés que vous contrôlez. Vous définissez les politiques d'utilisation déterminant quels utilisateurs peuvent les clés pour chiffrer ou déchiffrer des données. Toutes les demandes d'utilisation de ces clés sont enregistrées dans AWS CloudTrail afin que vous puissiez savoir qui a utilisé une clé et à quel moment.

Q : A quel endroit mes données sont-elles chiffrées si j'utilise AWS KMS ?
Vous pouvez utiliser AWS KMS pour faciliter le chiffrement local des données sur vos propres applications ou les faire chiffrer sur un service AWS pris en charge. Vous pouvez utiliser un kit SDK AWS avec le support AWS KMS pour procéder au chiffrement, quel que soit l'emplacement d'exécution de vos applications. Vous pouvez également demander un service AWS pris en charge pour chiffrer vos données au cours de leur stockage. AWS CloudTrail fournit un accès aux journaux pour vous permettre de vérifier de quelle manière vos clés ont été utilisées dans un cas comme dans l'autre.

Q : Quels sont les services de cloud intégrés à AWS KMS ?
AWS KMS est intégré de façon homogène à de nombreux autres services AWS afin de simplifier au maximum le chiffrement des données dans ces services : il vous suffit de cocher une case et de sélectionner la clé principale que vous souhaitez utiliser. Pour consulter la liste des services AWS actuellement intégrés à AWS KMS, reportez-vous à la page Caractéristiques. Toute utilisation de vos clés dans les services intégrés figure dans les fichiers journaux d'AWS CloudTrail. Pour en savoir plus sur la façon dont les services intégrés utilisent AWS KMS, reportez-vous au manuel AWS KMS Developer's Guide.

Q : Comment les services de cloud AWS utilisent-ils mes clés pour chiffrer des données ?
Les services de cloud AWS intégrés à AWS KMS utilisent une méthode appelée chiffrement de l'enveloppe pour protéger vos données. Le chiffrement de l'enveloppe est une méthode perfectionnée de chiffrement des données qui utilise deux clés différentes. Le service AWS utilise une clé de donnée pour chiffrer chaque donnée ou ressource. La clé de donnée est chiffrée sous une clé principale que vous définissez dans AWS KMS. La clé de donnée chiffrées est ensuite stockée dans le service AWS. Lorsque vous souhaitez que vos données soient déchiffrées par le service AWS, la clé de données chiffrée est transmise à AWS KMS et déchiffrée à l'aide de la clé principale qui avait été utilisée à l'origine pour le chiffrement, afin que le service puisse procéder au déchiffrement de vos données.

Q : Pourquoi utiliser le chiffrement d'enveloppe ? Pourquoi ne pas simplement envoyer des données à AWS KMS pour qu'il procède directement au chiffrement ?
AWS KMS se charge de l'envoi de données inférieures à 4 Ko afin qu'elles soient chiffrées, tandis que le chiffrement de l'enveloppe peut entraîner des gains significatifs en termes de performances. Lorsque vous chiffrez directement des données avec AWS KMS, elles peuvent être transférées sur le réseau. Le chiffrement de l'enveloppe réduit la charge sur le réseau pour votre application ou votre service de cloud AWS. Seules la demande et l'exécution de la clé de données via AWS KMS doivent emprunter le réseau. La clé de donnée étant toujours stockée sous forme chiffrée, il est simple et sûr de distribuer cette clé à l'emplacement où vous le souhaitez sans craindre qu'elle ne soit exposée. Les clés de données chiffrées sont envoyées à AWS KMS et déchiffrées sous des clés principales pour vous permettre finalement le déchiffrage de vos données. La clé de donnée est directement disponible sur votre application sans avoir besoin d'envoyer le bloc de données entier à AWS KMS, ce qui peut poser des problèmes de latence du réseau.

Q : Quelle différence y a-t-il entre une clé que je crée moi-même et des clés principales par défaut créées pour moi afin que je les utilise sur les services de cloud AWS ?
Vous avez la possibilité de sélectionner une clé principale spécifique à utiliser lorsque vous souhaitez qu'un service AWS chiffre des données pour vous. Une clé principale par défaut propre à chaque service est créée sur votre compte pour des raisons de commodité la première fois que vous essayez de créer une ressource chiffrée. La clé est gérée par AWS KMS, mais vous pouvez en permanence vérifier son utilisation dans AWS CloudTrail. Vous pouvez également créer une clé principale client dans AWS KMS que vous pouvez ensuite utiliser sur vos propres applications ou à partir d'un service AWS pris en charge. AWS met à jour les politiques sur les clés principales par défaut le cas échéant pour activer de nouvelles fonctionnalités sur les services pris en charge automatiquement. AWS ne modifie pas les politiques sur les clés que vous créez.

Q : Pourquoi créer une clé principale client ?
La création d'une clé dans AWS KMS vous donne un davantage de maîtrise que les clés principales de service par défaut. Lorsque vous créez une clé principale client, vous pouvez choisir d'utiliser les éléments de clés générés pour vous par AWS KMS ou d'importer vos propres éléments de clés. Vous définissez ensuite un alias, une description et pouvez activer la rotation automatique des clés une fois par an dans le cas d'éléments de clés générés par AWS KMS. Vous pouvez également définir des autorisations sur la clé pour contrôler les personnes pouvant utiliser et gérer cette dernière. Les activités de gestion et d'utilisation associées à la clé sont susceptibles d'être vérifiées sur AWS CloudTrail.

Q : Puis-je importer des clés dans AWS KMS ?
Oui. Vous pouvez importer dans AWS KMS une copie d'une clé issue de votre propre infrastructure de gestion de clés afin de l'utiliser avec n'importe quel service AWS intégré ou au sein de vos propres applications.

Q : Quand utiliser une clé importée ?
Vous pouvez utiliser une clé importée pour avoir une meilleure maîtrise du processus de création, de la gestion du cycle de vie et de la durabilité de votre clé dans AWS KMS. Les clés importées vous permettent également de répondre à certaines exigences de conformité qui nécessitent parfois d'être en mesure de générer ou de conserver une copie sécurisée de la clé dans votre infrastructure. Une fois la clé devenue inutile, il vous faut pouvoir supprimer sur demande la copie importée de l'infrastructure AWS.

Q : Quel type de clés puis-je importer ?
Vous pouvez importer des clés symétriques de 256 bits.

Q : Comment la clé que j'importe dans AWS KMS est-elle protégée en cours de transfert ?
Lors de l'importation, votre clé doit être encapsulée par une clé publique fournie par AWS KMS via l'une des deux méthodes RSA PKCS#1. Ainsi, votre clé chiffrée ne pourra être déchiffrée que par AWS KMS.

Q : Quelle est la différence entre une clé que j'importe et une clé générée pour moi par AWS KMS ?
Il existe deux différences majeures entre une clé importée et une clé générée pour vous par AWS KMS :

  1. Vous devez conserver de manière sécurisée dans votre infrastructure de gestion de clés une copie des clés importées afin de pouvoir les réimporter à tout moment. AWS vous garantit la disponibilité, la sécurité et la durabilité des clés générées par AWS KMS jusqu'à ce que vous programmiez leur suppression.
  2. Dans le cas d'une clé importée, vous pouvez définir une période d'expiration afin que la clé soit automatiquement supprimée d'AWS KMS après qu'un certain laps de temps se soit écoulé. Vous pouvez également supprimer une clé importée sur demande, sans supprimer la clé principale client sous-jacente. Par ailleurs, vous pouvez, à tout moment, désactiver ou supprimer manuellement une clé principale client associée à une clé importée. Une clé générée par AWS KMS peut uniquement être désactivée ou programmée pour suppression. Il est en revanche impossible de lui affecter une période d'expiration.

Q : Puis-je procéder à la rotation de mes clés ?
Oui. Vous pouvez configurer AWS KMS de manière à ce qu'il effectue, chaque année, une rotation automatique des clés qui auront été générées pour vous. En revanche, la rotation automatique des clés n'est pas prise en charge pour les clés importées. Si vous choisissez d'importer des clés vers AWS KMS, vous pouvez assurer vous-même leur rotation de manière manuelle le moment voulu.

Q : Dois-je chiffrer à nouveau mes données à l'issue de la rotation des clés dans AWS KMS ?
Si vous configurez AWS KMS de manière à ce qu'il effectue une rotation automatique des clés qui auront été générées pour vous, inutile de chiffrer à nouveau vos données. AWS KMS conserve les versions précédentes des clés pour le déchiffrement des clés chiffrées sous une ancienne version d'une clé. Toutes les nouvelles demandes de chiffrement d'une clé dans AWS KMS sont chiffrées sous la version la plus récente de la clé.

En revanche, si vous effectuez une rotation manuelle de vos clés, vous devrez peut-être chiffrer à nouveau vos données, en fonction de la configuration de votre application.

Q : Puis-je supprimer une clé provenant d'AWS KMS ?
Oui. Vous pouvez programmer la suppression d'une clé principale client que vous avez créée dans AWS KMS en définissant un délai de réflexion pouvant aller de 7 à 30 jours. Cette opération supprime également les métadonnées associées. Ce délai de réflexion vous permet de vérifier l'impact que la suppression d'une clé aura sur vos applications et les utilisateurs qui en dépendent. Le délai de réflexion par défaut est de 30 jours. Pendant cette période, vous pouvez annuler la suppression. Si la clé est programmée pour suppression, elle ne peut pas être utilisée tant que vous n'avez pas annulé la suppression au cours du délai de réflexion. Si vous n'annulez pas la suppression, la clé est supprimée à la fin du délai de réflexion configurable. Une fois qu'une clé est supprimée, vous ne pouvez plus l'utiliser. Toutes les données protégées par une clé principale supprimée deviennent inaccessibles.

Dans le cas de clés principales client dont les éléments ont été importés, vous pouvez supprimer ces éléments sans supprimer l'ID de la clé principale client ou les métadonnées. Pour ce faire, vous disposez de deux méthodes. La première consiste à supprimer les éléments de clé importés sur demande, sans délai de réflexion. La deuxième nécessite de définir une période d'expiration au moment de l'importation des éléments dans la clé principale client. Vous précisez ainsi pendant combien de temps AWS peut utiliser les éléments de clé importés avant leur suppression. Vous pouvez, par la suite, réimporter les éléments dans la clé principale client si vous en avez à nouveau besoin.

Q : Que faire si les éléments de clé importés ont expiré ou si je les ai supprimés par erreur ?
Vous pouvez réimporter une copie des éléments de clé (avec une période d'expiration en cours de validité) dans AWS KMS sous la clé concernée pour utiliser la clé principale client d'origine.

Q : Une alerte m'informe-t-elle qu'il est nécessaire de réimporter la clé ?
Oui. Une fois que vous avez importé votre clé dans une clé principale client, une métrique Amazon CloudWatch vous est transmise à quelques minutes d'intervalle avant l'expiration de la clé importée. Un événement Amazon CloudWatch est également généré pour vous informer de l'expiration de la clé importée sous la clé principale client. Vous pouvez alors élaborer une logique basée sur ces mesures ou événements pour réimporter automatiquement la clé avec une nouvelle période d'expiration. Vous évitez ainsi tout risque d'indisponibilité.

Q : Puis-je utiliser AWS KMS pour faciliter la gestion du chiffrement de données en dehors des services de cloud AWS ?
Oui. AWS KMS est pris en charge dans les kits de développement logiciel AWS, le kit de développement logiciel de chiffrement AWS et le client de chiffrement Amazon S3 pour faciliter le chiffrement des données lors de l'exécution de vos propres applications. Le kit SDK AWS des plateformes Java, Ruby, .NET et PHP prend en charge les API AWS KMS. Consultez le site Internet Développement sur AWS pour en savoir plus.

Q : Le nombre de clés que je peux créer sur AWS KMS est-il limité ?
Vous pouvez créer jusqu'à 1 000 clés principales clients par compte et par région. Toutes les clés principales clients, qu'elles soient activées ou désactivées, sont prises en compte dans le calcul de la limite. Nous vous conseillons donc de supprimer les clés désactivées dont vous n'avez plus l'utilité. Les clés principales par défaut créées pour vous pour une utilisation sur des services AWS pris en charge n'entrent pas en compte. Le nombre de clés de données créées à l'aide d'une clé principale et utilisées sur votre application ou par des services AWS afin de chiffrer des données pour vous n'est pas limité. Vous pouvez demander un nombre plus élevé de clés principales clients en consultant le centre de support AWS.

Facturation

Q : Comment mon utilisation d'AWS KMS me sera-t-elle facturée et débitée ?
Avec AWS KMS, vous ne payez que ce que vous utilisez et il n'y a pas de frais minimum. Il n'y a pas de frais d'installation, ni aucun engagement à prendre pour commencer à utiliser le service. A la fin du mois, votre carte de crédit est automatiquement débitée en fonction de votre utilisation au cours du mois.

Toutes les clés principales client que vous avez créées vous sont facturées, de même que tous les appels d'API effectués chaque mois vers le service au-delà de l'offre gratuite.

Pour connaître les informations tarifaires actuelles, consultez la page relative à la tarification AWS KMS.

Q : Existe-t-il un niveau gratuit ?
Oui. Avec le niveau d'utilisation gratuit AWS, vous pouvez démarrer avec AWS KMS gratuitement dans toutes les régions. Vous pouvez stocker les clés principales par défaut créées pour vous gratuitement sur votre compte. Il existe également un niveau d'utilisation gratuit qui permet d'effectuer un nombre illimité de requêtes AWS KMS chaque mois. Pour connaître les informations tarifaires actuelles, y compris celles concernant le niveau gratuit, consultez la page relative à la tarification AWS KMS.

Q : Vos prix sont-ils toutes taxes comprises ?
Sauf indication contraire, nos prix n'incluent pas les taxes et redevances applicables, y compris la TVA et les taxes sur les ventes applicables. Pour les clients dont l'adresse de facturation est située au Japon, l'utilisation de services AWS est soumise à la taxe sur la consommation applicable dans ce pays. Vous pouvez en savoir plus en cliquant ici.

Sécurité

Q : Qui peut utiliser et gérer mes clés dans AWS KMS ?
AWS KMS veille au respect des politiques de gestion et d'utilisation que vous établissez. Il vous incombe de choisir les utilisateurs AWS Identity and Access Management (IAM) et les fonctions pouvant utiliser et gérer vos clés à partir de votre compte ou d'autres comptes.

Q : Comment AWS sécurise les clés principales que je crée dans AWS KMS ?
AWS KMS est conçu de telle sorte que personne, pas même les employés d'AWS, ne puisse récupérer vos clés en texte simple à partir du service. Le service utilise des modules de sécurité matériels (HSM) validés par la norme FIPS 140-2 pour protéger la confidentialité et l'intégrité de vos clés, que vous demandiez à AWS KMS de les créer pour vous ou que vous les importiez dans le service. Vos clés en texte simple ne sont jamais écrites sur disque et uniquement utilisées sur une mémoire volatile des HSM le temps nécessaire pour effectuer l'opération cryptographique que vous demandez. Les clés AWS KMS ne sont jamais transférées à l'extérieur des régions AWS dans lesquelles elles ont été créées. Les mises à jour des logiciels sur les hôtes du service et du micrologiciel du HSM d'AWS KMS sont réglementées par un contrôle d'accès multipartite audité et vérifié par un groupe indépendant au sein d'Amazon.

Pour plus de détails sur ces contrôles de sécurité, consultez le livre blanc Détails cryptographiques AWS KMS. Vous pouvez également consulté le certificat FIPS 140-2 pour le HSM d'AWS KMS ainsi que la Politique de sécurité pour obtenir plus d'informations sur le HSM d'AWS KMS et en quoi il répond aux exigences en matière de sécurité de la norme FIPS 140-2. En outre, vous pouvez demander une copie du rapport Service Organization Controls (SOC) disponible dans AWS Artifact pour en savoir plus sur les contrôles de sécurité qu'AWS KMS utilise pour protéger vos données et vos clés principales.

Q : Comment migrer mes clés principales AWS KMS existantes afin d'utiliser des HSM validés par la norme FIPS 140-2 ?
Toutes les clés principales d'AWS KMS, quelles que soient leur date de création ou leur origine, sont automatiquement protégées par des HSM validés par la norme FIPS 140-2. Aucune action n'est requise de votre côté pour utiliser les HSM validés par la norme FIPS 140-2.

Q : Quelles sont les régions AWS qui disposent de HSM validés par la norme FIPS 140-2 ?
Les HSM validés par la norme FIPS 140-2 sont disponibles dans toutes les régions AWS où AWS KMS est disponible.

Q : Que comprend la validation FIPS 140-2 pour les HSM d'AWS KMS ?
Vous trouverez davantage d'informations concernant cette validation dans le certification FIPS 140-2 pour le HSM d'AWS KMS ainsi que dans la Politique de sécurité associée.

Q : Quelle est la différence entre les points de terminaison validés par la norme FIPS 140-2 et les HSM validés par la norme FIPS 140-2 d'AWS KMS ?
AWS KMS est un service à deux niveaux. Les points de terminaison d'API reçoivent des demandes de clients via des connexion HTTPS exploitant uniquement des suites cryptographiques TLS prenant en charge la conformité de transmission parfaite (perfect forward secrecy, PFS). Ces points de terminaison d'API authentifient et autorisent la demande avant de la transmettre aux HSM d'AWS KMS pour les opérations cryptographiques.

Q : Comment faire des demandes d'API à AWS KMS à l'aide de points de terminaison validés par la norme FIPS 140-2 ?
Vous configurez vos applications pour les connecter aux points de terminaison HTTPS validés par la norme FIPS 140-2 régionaux uniques. Les points de terminaison HTTPS validés par la norme FIPS 140-2 d'AWS KMS sont optimisés par le module d'objet FIPS d'OpenSSL. Vous pouvez consulter la politique de sécurité du module OpenSSL à l'adresse https://www.openssl.org/docs/fips/SecurityPolicy-2.0.13.pdf. Les points de terminaison HTTPS validés par la norme FIPS 140-2 sont disponibles dans toutes les régions commerciales où AWS KMS est disponible.

Q : Puis-je utiliser AWS KMS pour m'aider à satisfaire les exigences en matière de gestion des clés et de chiffrement de la norme PCI DSS (Payment Card Industry Data Security Standard) 3.1 ?
Oui. AWS KMS a été validé comme disposant des fonctionnalités et des contrôles de sécurité requis pour vous aider à répondre aux exigences en matière de gestion des clés et de chiffrement (principalement référencées dans les sections 3.5 et 3.6 de la norme PCI DSS 3.1).

Pour en savoir plus sur les services conformes à la norme PCI DSS sur AWS, vous pouvez consulter les FAQ sur la certification PCI DSS.

Q : Comment AWS KMS sécurise-t-il les clés de données que j'exporte et que j'utilise sur mon application ?
Vous pouvez demander à AWS KMS de générer des clés de données que vous pouvez ensuite utiliser sur votre propre application. Les clés de données sont chiffrées sous une clé principale que vous définissez dans AWS KMS afin de stocker en toute sécurité la clé de donnée chiffrée ainsi que vos données chiffrées. Vos clés de données chiffrées (et par conséquent vos données sources) peuvent uniquement être déchiffrées par des utilisateurs autorisés à utiliser la clé principale d'origine ayant servi au chiffrement de la clé de donnée.

Q : Quelle est la longueur des clés générées par AWS KMS ?
Les clés principales dans AWS KMS font 256 bits. Les données clés peuvent être générées en 128 bits ou en 256 bits et chiffrées sous une clé principale que vous définissez vous-même. AWS KMS offre également la possibilité de générer des données aléatoires de la longueur que vous souhaitez, selon ce qui vous semble adapté à une utilisation cryptographique.

Q : Puis-je exporter une clé principale à partir d'AWS KMS et l'utiliser sur mes propres applications ?
Non. Les clés principales sont créées et utilisées uniquement avec AWS KMS pour garantir leur sécurité, d'activer vos politiques afin qu'elles soient appliquées de manière cohérente et de fournir un journal centralisé de leur utilisation.

Q : Dans quelles régions mes clés sont-elles stockées ?
Les clés sont uniquement stockées et utilisées dans la région dans laquelle elles ont été créées. Leur transfert vers une autre région est impossible. Ainsi, les clés créées dans la région UE centrale (Francfort) sont uniquement stockées et utilisées dans cette région.

Q :Comment savoir qui a utilisé ou modifié la configuration de mes clés dans AWS KMS ?
Les journaux figurant dans AWS CloudTrail contiennent les demandes relatives à vos clés principales, y compris les demandes de gestion (par ex. création, rotation, désactivation, modification de politiques) et les demandes cryptographiques (par ex. de chiffrement/déchiffrement). Activez AWS CloudTrail sur votre compte pour afficher ces journaux.

Q : Quelle est la différence entre AWS KMS et AWS CloudHSM ?
AWS CloudHSM vous fournit un client unique HSM conforme à la norme FIPS 140-2 niveau 3 sur votre Amazon Virtual Private Cloud (VPC) pour stocker et utiliser vos clés. Vous avez un contrôle exclusif sur la façon dont vos clés sont utilisées via un mécanisme d'authentification indépendant d'AWS. Vous interagissez avec des clés dans votre cluster AWS CloudHSM de la même manière qu'avec vos applications s'exécutant dans Amazon EC2. Vous pouvez utiliser AWS CloudHSM pour prendre en charge divers cas d'utilisation, comme la gestion des droits numériques (Digital Rights Management, DRM), les infrastructures de clés publiques (PKI), la signature de documents et les fonctions cryptographiques utilisant les interfaces PKCS#11, Java JCE ou encore Microsoft CNG.

AWS KMS vous permet de créer et contrôler les clés de chiffrement utilisées par vos applications ainsi que les services AWS pris en charge dans plusieurs régions du monde à partir d'une seule console. Le service utilise un HSM validé par la norme FIPS 140-2 pour assurer la sécurité de vos clés. La gestion centralisée de l'ensemble de vos clés dans AWS KMS vous permet de déterminer qui peut utiliser vos clés, sous quelles conditions, le moment de leur rotation et qui peut les gérer. L'intégration d'AWS KMS avec AWS CloudTrail vous permet de vérifier l'utilisation de vos clés afin de faciliter vos activités de réglementation et de conformité. Vous interagissez avec AWS KMS depuis vos applications avec AWS SDK si vous souhaitez appeler les API de service directement, ou depuis le kit AWS Encryption SDK si vous préférez effectuer un chiffrement côté du client.

Product-Page_Standard-Icons_01_Product-Features_SqInk
En savoir plus sur la tarification

Consultez des exemples de tarification et calculez vos coûts.

En savoir plus 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Créer gratuitement un compte

Obtenez un accès instantané à l'offre gratuite d'AWS. 

S'inscrire 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Commencer à créer dans la console

Commencez à créer avec AWS Key Management Service dans la console AWS.

Se connecter