Présentation

AWS Key Management Service vous offre un contrôle centralisé des clés de chiffrement utilisées pour protéger vos données. Vous pouvez créer, importer, procéder à une rotation, désactiver, supprimer et définir les politiques d'utilisation des clés de chiffrement appliquées pour protéger vos données, et vérifier leur usage. AWS Key Management Service s'intègre à la plupart des services AWS et facilite le chiffrement de vos données stockées avec ces services à l'aide de clés de chiffrement que vous contrôlez. AWS KMS est intégré à AWS CloudTrail, vous permettant de vérifier qui a utilisé quelles clés, sur quelles ressources et quand. AWS KMS permet aux développeurs de chiffrer facilement des données, que ce soit à l'aide d'un chiffrement en un clic dans AWS Management Console ou en utilisant le kit de développement logiciel AWS pour ajouter facilement un chiffrement au code de leur application.

Gestion de clés centralisée

AWS Key Management Service vous offre un contrôle centralisé de vos clés de chiffrement. Créer, importer et opérer une rotation des clés, définir des politiques d'utilisation et vérifier l'usage : autant d'opérations faciles à réaliser via AWS Management Console, le kit SDK ou l'interface de ligne de commande AWS. Les clés principales dans KMS, qu'elles soient importées par vos soins ou créées pour vous par KMS, sont conservées dans un stockage hautement durable et dans un format chiffré, ce qui permet de les extraire si besoin. Vous pouvez configurer KMS afin qu'il effectue une rotation automatique des clés principales créées dans KMS une fois par an, sans que vous ayez à chiffrer de nouveau les données déjà chiffrées à l'aide de votre clé principale. Vous n'avez pas besoin de garder une trace des anciennes versions de vos clés principales, étant donné que KMS les conserve pour le déchiffrement des données préalablement chiffrées. Vous pouvez créer de nouvelles clés principales et contrôler qui peut avoir accès à ces clés et quels services peuvent être utilisés avec celles-ci quand vous le voulez. Vous pouvez aussi importer des clés à partir de votre propre infrastructure de gestion de clés et les utiliser dans KMS.

Intégration de services AWS

AWS Key Management Service s'intègre de manière transparente à la plupart des services AWS. Cette intégration signifie que vous pouvez utiliser les clés principales AWS KMS pour chiffrer les données stockées avec ces services. Vous pouvez utiliser une clé principale par défaut, qui est créée automatiquement pour vous et ne peut être utilisée qu'au sein du service intégré. Vous pouvez également sélectionner une clé principale personnalisée que vous avez auparavant créée dans KMS (ou importée à partir de votre propre infrastructure de gestion de clés) et que vous êtes autorisé à utiliser.

Services AWS intégrés à KMS
Alexa for Business* Amazon Glacier Amazon WorkMail AWS Snowball
Amazon Athena Amazon Kinesis Data Streams Amazon WorkSpaces AWS Snowmobile

Amazon Aurora

Amazon Kinesis Firehose AWS Certificate Manager* AWS Snowball Edge
Amazon CloudWatch Logs Amazon Kinesis Video Streams AWS Cloud9* AWS Storage Gateway
Amazon Comprehend* Amazon Lex AWS CloudTrail AWS X-Ray
Amazon Connect Amazon Lightsail* AWS CodeBuild  
Amazon DynamoDB* Amazon Simple Email Service (SES) AWS CodeCommit*  
Amazon DynamoDB Accelerator (DAX)* Amazon Simple Queue Service (SQS) AWS CodeDeploy  
Amazon EBS Amazon Neptune AWS CodePipeline  
Amazon EFS Amazon Relational Database Service (RDS) AWS Database Migration Service  
Amazon Elastic Transcoder Amazon Redshift AWS Lambda  
Amazon°Elasticsearch°Service Amazon SageMaker AWS Secrets Manager  
Amazon EMR Amazon S3 AWS Systems Manager

*Prend en charge uniquement les clés AWS KMS gérées.

AWS KMS est également intégré dans le kit de développement logiciel AWS, l'interface de ligne de commande (CLI) AWS et offre une API RESTful. Lorsque vous utilisez ces interfaces pour le chiffrement ou le déchiffrement de données, les opérations de chiffrement ou de déchiffrement se feront automatiquement. Pour cela, il suffit de sélectionner la clé principale KMS à utiliser. KMS est également intégré à AWS CloudFormation. Vous pouvez ainsi créer rapidement des clés dans KMS avec le template CloudFormation dédié à KMS.

Capacités d'audit

Si vous avez activé AWS CloudTrail pour votre compte AWS, chaque utilisation d'une clé stockée dans KMS est enregistrée dans un fichier journal qui est envoyé dans le compartiment Amazon S3 que vous avez sélectionné lors de l'activation d'AWS CloudTrail. Les informations enregistrées comprennent des détails concernant l'utilisateur, l'heure, la date et la clé utilisée.

Evolutivité, durabilité et haute disponibilité

AWS Key Management Service est un service géré. Si votre utilisation des clés de chiffrement AWS KMS augmente, vous n'avez pas à acheter une infrastructure de gestion de clés supplémentaire. AWS KMS effectue une mise à l'échelle automatique afin de répondre à vos besoins relatifs aux clés de chiffrement.

Il n'est pas possible d'exporter les clés principales importées par vos soins ou créées pour vous par AWS KMS. AWS KMS enregistre plusieurs copies des versions chiffrées de vos clés dans des systèmes conçus pour fournir une durabilité de 99,999999999 % afin de vous assurer de la disponibilité de vos clés lorsque vous en avez besoin. Si vous importez des clés dans KMS, vous devez conserver une copie de ces clés de manière sécurisée afin de pouvoir les réimporter à tout moment.

AWS KMS est déployé dans plusieurs zones de disponibilité à l'intérieur d'une région afin d'assurer une haute disponibilité de vos clés de chiffrement.

Sécurisé

AWS KMS est conçu de telle sorte que personne, pas même les employés d'AWS, ne puisse récupérer vos clés en texte simple à partir du service. Le service utilise des modules de sécurité matériels (HSM) validés par la norme FIPS 140-2 pour protéger la confidentialité et l'intégrité de vos clés, que vous demandiez à KMS de les créer pour vous ou que vous les importiez dans le service. Vos clés en texte simple ne sont jamais écrites sur disque et uniquement utilisées sur une mémoire volatile des HSM le temps nécessaire pour effectuer l'opération cryptographique que vous demandez. Les clés KMS ne sont jamais transférées à l'extérieur des régions AWS dans lesquelles elles ont été créées. Les mises à jour du micrologiciel KMS HSM sont contrôlées par un contrôle d'accès multipartite vérifié et contrôlé par un groupe indépendant au sein d'Amazon.

Pour en savoir plus sur le fonctionnement du service AWS KMS, vous pouvez consulter le livre blanc AWS Key Management Service.

Conformité

Les contrôles de sécurité et de qualité mis en place dans AWS KMS ont été validés et certifiés par les programmes de conformité suivants :

Product-Page_Standard-Icons_01_Product-Features_SqInk
En savoir plus sur la tarification du produit

Consultez des exemples de tarification et calculez vos coûts.

En savoir plus 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Créer gratuitement un compte

Obtenez un accès instantané à l'offre gratuite d'AWS. 

Inscrivez-vous 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Commencer à créer dans la console

Commencez à créer avec AWS Key Management Service dans la console AWS.

Se connecter