Présentation

AWS Key Management Service (KMS) vous offre un contrôle centralisé des clés de chiffrement utilisées pour protéger vos données. AWS KMS est intégré aux services AWS, ce qui simplifie le chiffrement des données que vous stockez dans ces services et le contrôle d’accès aux clés pour les déchiffrer. AWS KMS est intégré à AWS CloudTrail, vous permettant de vérifier qui a utilisé quelles clés, sur quelles ressources et quand. AWS KMS permet également aux développeurs de facilement ajouter la fonctionnalité de chiffrement à leur code applicatif, soit directement, par le biais des API de service de chiffrement et de déchiffrement, soit en l’intégrant au kit SDK AWS Encryption.

Gestion de clés centralisée

AWS Key Management Service vous offre un contrôle centralisé de vos clés de chiffrement. Les clés principales client (CMK) sont utilisées pour contrôler l’accès aux clés de chiffrement des données permettant de chiffrer et déchiffrer vos données. Vous pouvez à tout moment créer de nouvelles clés principales, et contrôler facilement qui peut avoir accès à ces clés et quels services peuvent être utilisés avec celles-ci. Vous pouvez également importer des clés depuis votre propre infrastructure de gestion des clés vers AWS KMS, ou utiliser les clés stockées dans votre cluster AWS CloudHSM et les gérer depuis AWS KMS. Vous pouvez gérer vos clés principales et en vérifier l’utilisation depuis AWS Management Console ou à l’aide du kit SDK AWS ou de l’interface de ligne de commande (CLI).

Les clés disponibles dans AWS KMS, qu’elles aient été créées dans KMS ou votre cluster CloudHSM ou importées par vos soins, sont stockées dans une mémoire de stockage hautement durable sous un format chiffré pour en faciliter l’utilisation en temps voulu. Vous pouvez configurer KMS afin qu'il effectue une fois par an la rotation automatique des clés principales créées dans KMS, sans que vous ayez à chiffrer de nouveau les données déjà chiffrées à l'aide de votre clé principale. Vous n'avez pas besoin de garder une trace des anciennes versions de vos clés principales, étant donné que KMS les conserve pour le déchiffrement des données préalablement chiffrées.

Intégration aux services AWS

AWS KMS est intégré de manière transparente à la plupart des services AWS Cette intégration signifie que vous pouvez utiliser sans difficulté les clés principales KMS pour chiffrer les données que vous stockez dans ces services. Si vous souhaitez chiffrer des données dans un service donné, vous pouvez choisir d’utiliser une clé principale gérée par AWS créée automatiquement pour vous dans KMS par ledit service. Vous pouvez effectuer le suivi de l’utilisation de la clé, mais sa gestion est assurée par le service en votre nom.

Si vous souhaitez avoir un contrôle direct sur le cycle de vie d’une clé principale ou si vous souhaitez autoriser d’autres comptes à l’utiliser, vous pouvez créer et gérer vos propres clés principales pouvant être utilisées en votre nom par les services AWS. Les clés principales gérées par le client vous offrent un plein contrôle sur les autorisations d’accès permettant de déterminer qui peut utiliser la clé et sous quelles conditions.

Services AWS intégrés à KMS
Alexa for Business* Amazon FSx pour Windows File Server Amazon Simple Email Service (SES) AWS Glue
Amazon Athena Amazon Glacier Amazon Simple Queue Service (SQS) AWS Lambda

Amazon Aurora

Amazon Kinesis Data Streams Amazon Translate AWS Secrets Manager
Amazon CloudWatch Logs Amazon Kinesis Firehose Amazon WorkMail AWS Systems Manager
Amazon Comprehend* Amazon Kinesis Video Streams Amazon WorkSpaces AWS Snowball
Amazon Connect Amazon Lex AWS Certificate Manager* AWS Snowball Edge
Amazon DynamoDB* Amazon Lightsail* AWS Cloud9* AWS Snowmobile
Amazon DynamoDB Accelerator (DAX)* Amazon Managed Streaming pour Kafka (MSK) AWS CloudTrail AWS Storage Gateway
Amazon EBS Amazon Neptune AWS CodeBuild AWS X-Ray
Amazon EFS Amazon Redshift AWS CodeCommit*  
Amazon Elastic Transcoder Amazon Relational Database Service (RDS) AWS CodeDeploy  
Amazon Elasticsearch Service Amazon S3 AWS CodePipeline  
Amazon EMR Amazon SageMaker AWS Database Migration Service
AWS X-Ray

* Prend en charge uniquement les clés KMS gérées par AWS.

Les services AWS non répertoriés ci-dessus chiffrent automatiquement les données clients à l’aide de clés appartenant au service et gérées par ce dernier.

Capacités d'audit

Si vous avez activé AWS CloudTrail pour votre compte AWS, chaque requête transmise à AWS KMS est enregistrée dans un fichier journal qui est envoyé dans le compartiment Amazon S3 que vous avez sélectionné lors de l'activation d’AWS CloudTrail. Les informations enregistrées comprennent des détails concernant l'utilisateur, l'heure, la date, l’action d’API et, le cas échéant, la clé utilisée.

Scalabilité, durabilité et haute disponibilité

AWS KMS est un service entièrement géré. KMS effectue une mise à l'échelle automatique afin de répondre à vos besoins croissants en matière d’utilisation du chiffrement. AWS KMS vous donne la possibilité de gérer des milliers de clés principales dans votre compte, et de les utiliser en tant que de besoin. AWS KMS spécifie les limites par défaut pour plusieurs clés et taux de requêtes, mais vous pouvez allez au-delà, si nécessaire.

Les clés principales que vous créez dans AWS KMS ou celles créées en votre nom par d’autres services AWS ne sont pas exportables depuis ces services. En conséquence, KMS veille à leur durabilité. KMS enregistre plusieurs copies des versions chiffrées de vos clés dans des systèmes conçus pour fournir une durabilité de 99,999999999 % afin de garantir la haute disponibilité de vos clés et de vos données.

Lorsque vous importez des clés dans KMS, vous conservez une copie sécurisée des clés principales afin de pouvoir les réimporter en cas de leur indisponibilité au moment de leur utilisation. Lorsque vous utilisez la fonctionnalité stockage de clés personnalisé de KMS pour créer vos clés principales dans un cluster AWS CloudHSM, des copies chiffrées de vos clés sont automatiquement sauvegardées et vous avez le plein contrôle sur le processus de récupération de celles-ci.

AWS KMS est conçu en tant que service hautement disponible avec un point de terminaison d’API régional. Comme la plupart des services AWS s’appuient sur AWS KMS en matière de chiffrement et de déchiffrement, il est conçu pour fournir un niveau de disponibilité prenant en charge le reste des services AWS.

Sécurisé

AWS KMS est conçu de telle sorte que personne, pas même les employés d'AWS, ne puisse récupérer vos clés en texte simple sur le service. Le service utilise des modules de sécurité matérielle (HSM) validés par la norme FIPS 140-2 pour protéger la confidentialité et l'intégrité de vos clés, que vous demandiez à KMS de les créer pour vous ou que vous lez créiez dans un cluster AWS CloudHSM ou encore que vous les importiez dans le service. Vos clés en texte simple ne sont jamais écrites sur disque. Elles sont uniquement utilisées sur la mémoire volatile des HSM pendant le temps nécessaire pour effectuer l'opération cryptographique demandée. Les clés créées par KMS ne sont jamais exportées hors de la région AWS de création ; elles ne peuvent être utilisées que dans la région où elles ont été créées. Les mises à jour du micrologiciel KMS HSM sont contrôlées par un contrôle d'accès multipartite vérifié et contrôlé par un groupe indépendant au sein d'Amazon et par un laboratoire certifié NIST, conformément à la norme FIPS 140-2.

Pour en savoir plus sur l’architecture d’AWS KMS et son modèle cryptographique utilisé pour protéger vos clés, veuillez consulter le livre blanc intitulé : Description détaillée du chiffrement avec AWS Key Management Service.

Stockage de clés personnalisé

AWS KMS vous offre la possibilité de créer votre propre stockage de clés en utilisant les HSM que contrôlez. Chaque stockage de clés personnalisé est sauvegardé par un cluster AWS CloudHSM. Lorsque vous créez une clé principale client (CMK) KMS dans un stockage de clés personnalisé, KMS génère et conserve les éléments de clé non extractibles de CMK dans un cluster AWS CloudHSM que vous possédez et gérez. Lorsque vous utilisez une CMK dans un stockage de clés personnalisé, les opérations cryptographiques la concernant s’effectuent dans votre cluster CloudHSM.

Les clés principales stockées dans un stockage de clés personnalisé plutôt que dans le stockage de clés KMS par défaut sont gérées de la même manière que toute autre clé principale dans KMS, et peuvent être utilisées par tout service AWS prenant en charge les CMK gérées par le client.

L’utilisation d’un stockage de clés personnalisé génère des coûts supplémentaires sur le cluster CloudHSM et vous rend responsable de la disponibilité des éléments de clé dans ledit cluster. Pour savoir si les stockages de clés personnalisés sont bien adaptés à vos besoins, vous pouvez lire ce blog.

Conformité

Les contrôles de sécurité et de qualité mis en place dans AWS KMS ont été validés et certifiés par les programmes de conformité suivants :

Product-Page_Standard-Icons_01_Product-Features_SqInk
En savoir plus sur la tarification du produit

Consultez des exemples de tarification et calculez vos coûts.

En savoir plus 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Créer gratuitement un compte

Obtenez un accès instantané à l'offre gratuite d'AWS. 

S'inscrire 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Commencer à créer dans la console

Commencez à créer avec AWS Key Management Service dans la console AWS.

Se connecter