Présentation

AWS Key Management Service (KMS) vous offre un contrôle centralisé des clés de chiffrement utilisées pour protéger vos données. Le service est intégré aux autres services AWS, ce qui simplifie le chiffrement des données que vous stockez dans ces services et le contrôle d’accès aux clés pour les déchiffrer. AWS KMS est également intégré à AWS CloudTrail, vous permettant de vérifier qui a utilisé quelles clés, sur quelles ressources et quand. AWS KMS permet aux développeurs d'ajouter facilement une fonctionnalité de signature numérique ou de chiffrement au code de leur application, que ce soit directement ou à l'aide du kit SDK AWS. Le kit SDK de chiffrement AWS prend en charge AWS KMS en tant que fournisseur de clés racines pour les développeurs qui ont besoin de chiffrer/déchiffrer des données localement dans leurs applications.

Gestion de clés centralisée

AWS KMS vous fournit un contrôle centralisé sur le cycle de vie et les autorisations de vos clés. Vous pouvez créer de nouvelles clés dès que vous le souhaitez, et vous pouvez contrôler séparément qui peut gérer les clés et qui ne le peut pas. Comme alternative à l'utilisation des clés générées par AWS KMS, vous pouvez importer des clés de votre propre infrastructure de gestion de clés, ou utiliser des clés stockées dans votre cluster AWS CloudHSM. Vous pouvez choisir automatiquement la rotation des clés racines générées dans AWS KMS une fois par an sans avoir besoin de chiffrer à nouveau les données précédemment chiffrées. Le service conserve automatiquement les versions précédentes de la clé racine disponible pour déchiffrer les données précédemment chiffrées. Vous pouvez gérer vos clés racines et en vérifier leur utilisation depuis la console de gestion AWS ou à l'aide du kit SDK AWS ou d'AWS Command Line Interface (CLI).

* L'option d'importer des clés n'est pas disponible pour les clés asymétriques.

Intégration aux services AWS

AWS KMS s'intègre aux services AWS pour chiffrer les données au repos ou pour faciliter la signature et la vérification à l'aide d'une clé AWS KMS. Pour protéger les données au repos, les services AWS intégrés utilisent le chiffrement d'enveloppe, dans le cadre duquel une clé de données permet de chiffrer les données et est elle-même chiffrée à l'aide d'une clé KMS stockée dans AWS KMS. Pour la signature et la vérification, les services AWS intégrés utilisent une paire de clés issue d'une clé KMS asymétrique dans AWS KMS. Pour en savoir plus sur la façon dont un service intégré utilise AWS KMS, reportez-vous à la documentation de votre service AWS.

Deux types de ressources de clés KMS peuvent être créées dans votre compte AWS. (i) Une clé KMS gérée par AWS peut être créée automatiquement en cas de besoin. Vous pouvez répertorier les clés KMS gérées par AWS ou en dresser l'inventaire, et obtenir un journal de leur utilisation dans AWS CloudTrail. Cependant, les autorisations associées à la ressource sont gérées par le service AWS pour lequel elle a été créée. (ii) Une KMS gérée par le client vous donne le niveau de contrôle le plus élevé sur les autorisations et le cycle de vie de la clé.

Services AWS intégrés à AWS KMS
Alexa for Business[1] Amazon Forecast Amazon Nimble Studio AWS CloudHSM[2]
Amazon AppFlow Amazon Fraud Detector Amazon Personalize AWS CloudTrail
Amazon Athena Amazon FSx for Windows File Server Amazon QLDB AWS CodeArtifact
Amazon Aurora Amazon GuardDuty Amazon Redshift AWS CodeBuild
Amazon CloudWatch Logs Amazon HealthLake Amazon Rekognition AWS CodeCommit[1]
Amazon CloudWatch Synthetics Amazon Kendra Amazon Relational Database Service (RDS) AWS CodePipeline
Amazon CodeGuru Amazon Keyspaces (pour Apache Cassandra) Amazon Route 53 AWS Control Tower
Amazon Comprehend Amazon Kinesis Data Streams Amazon S3 AWS Database Migration Service
Amazon Connect Amazon Kinesis Firehose Amazon SageMaker AWS Elemental MediaTailor
Amazon Connect Customer Profiles Amazon Kinesis Video Streams Amazon Simple Email Service (SES) AWS Glue
Amazon Connect Voice ID Amazon Lex Amazon Simple Notification Service (SNS) AWS Glue DataBrew
Amazon Connect Wisdom Amazon Lightsail[1] Amazon Simple Queue Service (SQS) AWS IoT SiteWise
Amazon DocumentDB Amazon Location Service Amazon Textract AWS Lambda
Amazon DynamoDB Amazon Lookout for Equipment Amazon Timestream AWS License Manager
Amazon DynamoDB Accelerator (DAX)[1] Amazon Lookout for Metrics Amazon Transcribe AWS Proton
Amazon EBS Amazon Lookout for Vision Amazon Translate AWS Secrets Manager
Amazon EC2 Image Builder Amazon Macie Amazon WorkMail AWS Snowball
Amazon EFS Amazon Managed Blockchain Amazon WorkSpaces AWS Snowball Edge
Amazon Elastic Container Registry (ECR) Amazon Managed Service for Prometheus AWS Audit Manager AWS Snowcone
Amazon Elastic Kubernetes Service (EKS) Amazon Managed Streaming for Kafka (MSK) AWS Application Cost Profiler AWS Snowmobile
Amazon Elastic Transcoder Amazon Managed Workflows for Apache Airflow (MWAA) AWS Application Migration Service AWS Storage Gateway
Amazon ElastiCache Amazon MemoryDB AWS App Runner AWS Systems Manager
Amazon OpenSearch Amazon Monitron AWS Backup AWS X-Ray
Amazon EMR Amazon MQ AWS Certificate Manager[1]  
Amazon FinSpace Amazon Neptune AWS Cloud9[1]  

[1] Ne prend en charge que les clés gérées par AWS.

[2] AWS KMS prend en charge les stockages de clés personnalisés sauvegardés par un cluster AWS CloudHSM.

[3] Pour obtenir la liste des services intégrés à AWS KMS dans la région AWS Chine (Beijing), opérée par Sinnet, et la région AWS Chine (Ningxia), opérée par NWCD, consultez Intégration des services à AWS KMS en Chine.

Les services AWS non répertoriés ci-dessus chiffrent les données clients à l’aide de clés qui appartiennent au service qui les gère.

Capacités d'audit

Si vous avez activé AWS CloudTrail pour votre compte AWS, chaque requête transmise à AWS KMS est enregistrée dans un fichier journal qui est envoyé dans le compartiment Amazon S3 que vous avez sélectionné lors de l'activation d’AWS CloudTrail. Les informations enregistrées comprennent des détails concernant l'utilisateur, l'heure, la date, l’action d’API et, le cas échéant, la clé utilisée.

Scalabilité, durabilité et haute disponibilité

AWS KMS est un service entièrement géré. Au fil de l'évolution de votre utilisation du chiffrement, le service se met automatiquement à l'échelle pour répondre à vos besoins. Cela vous permet de gérer des milliers de clés KMS dans votre compte, et de les utiliser en tant que de besoin. Cela spécifie les limites par défaut pour plusieurs clés et taux de requêtes, mais vous pouvez allez au-delà, si nécessaire.

Les clés KMS que vous créez ou celles créées en votre nom par d'autres services AWS ne sont pas exportables depuis le service. En conséquence, AWS KMS veille à leur durabilité. KMS enregistre plusieurs copies des versions chiffrées de vos clés dans des systèmes conçus pour fournir une durabilité de 99,999999999 %, afin de garantir la haute disponibilité de vos clés et de vos données.

Lorsque vous importez des clés dans le service, vous conservez une copie sécurisée des clés KMS afin de pouvoir les réimporter en cas de leur indisponibilité au moment de leur utilisation. Lorsque vous utilisez la fonction de stockage de clés personnalisé pour créer vos clés KMS dans un cluster AWS CloudHSM, des copies chiffrées de vos clés sont automatiquement sauvegardées. Vous avez le plein contrôle sur le processus de récupération de celles-ci.

Pour les flux de données chiffrées ou de signature numérique multi-régions (reprise après sinistre, architectures à haute disponibilité multi-régions, tables globales DynamoDB et signatures numériques cohérentes distribuées à travers le monde), vous pouvez créer des clés multi-régions KMS. Il s'agit d'un jeu de clés interopérables composées des mêmes éléments et ID de clés qui peut être répliqué dans plusieurs régions.

AWS KMS est conçu en tant que service hautement disponible avec un point de terminaison d'API régional. Comme la plupart des services AWS s'appuient sur ce service en matière de chiffrement et de déchiffrement, il est conçu pour fournir un niveau de disponibilité qui prend en charge le reste d'AWS. Par ailleurs, il s'appuie sur le contrat de niveau de service (SLA) AWS KMS.

Sécurisé

AWS KMS est conçu de telle sorte que personne, pas même les employés d'AWS, ne puisse récupérer vos clés en texte simple sur le service. Le service utilise des modules de sécurité matériels (HSM) qui ont été validés par la norme FIPS 140-2, ou sont en cours de validation, pour protéger la confidentialité et l'intégrité de vos clés. Vos clés en texte simple ne sont jamais écrites sur disque. Elles sont uniquement utilisées sur la mémoire volatile des HSM pendant le temps nécessaire pour effectuer l'opération cryptographique demandée. Cela reste vrai, que vous demandiez à AWS KMS de créer des clés en votre nom, que vous les importiez dans le service ou que vous les créiez dans un cluster AWS CloudHSM. Les clés créées par le service AWS KMS ne sont jamais exportées hors de la région AWS de création ; elles ne peuvent être utilisées que dans la région où elles ont été créées. Les mises à jour du micrologiciel AWS KMS HSM sont contrôlées par un contrôle d'accès multipartite vérifié et contrôlé par un groupe indépendant au sein d'Amazon et par un laboratoire certifié NIST, conformément à la norme FIPS 140-2.

Pour en savoir plus sur l'architecture d'AWS KMS et le modèle cryptographique utilisé pour protéger vos clés, veuillez consulter Description détaillée de la cryptographie avec AWS Key Management Service.

*Les modules matériels de sécurité sont approuvés par le gouvernement chinois (non validés FIPS 140-2), et le livre blanc sur la description détaillée de la cryptographie mentionné plus haut ne s'applique pas à KMS dans la région AWS Chine (Beijing), opérée par Sinnet, ni la région AWS Chine (Ningxia), opérée par NWCD. 

Stockage de clés personnalisé

AWS KMS vous offre la possibilité de créer votre propre stockage de clés en utilisant les HSM que contrôlez. Chaque stockage de clés personnalisé est sauvegardé par un cluster AWS CloudHSM. Lorsque vous créez une clé KMS dans un stockage de clés personnalisé, le service génère et conserve les éléments de clé pour la clé KMS dans un cluster AWS CloudHSM que vous possédez et gérez. Lorsque vous utilisez une clé KMS dans un stockage de clés personnalisé, les opérations cryptographiques la concernant s'effectuent dans votre cluster AWS CloudHSM.

Les clés KMS stockées dans un stockage de clés personnalisé sont gérées par vous comme toute autre clé KMS. Elles peuvent être utilisées avec n'importe quel service AWS qui s'intègre avec AWS KMS.

L'utilisation d'un stockage de clés personnalisé génère des coûts supplémentaires liés au cluster AWS CloudHSM et vous rend responsable de la disponibilité des éléments de clés dans ledit cluster. Pour savoir si les stockages de clés personnalisés sont bien adaptés à vos besoins, vous pouvez lire cet article de blog.

* La fonction de stockage de clés personnalisé n'est pas disponible dans la région AWS Chine (Beijing), opérée par Sinnet, et la région AWS Chine (Ningxia), opérée par NWCD.

** L'option de stockage de clés personnalisé n'est pas disponible pour les clés KMS asymétriques.

Clés asymétriques

AWS KMS vous donne la possibilité de créer et d'utiliser des clés KMS asymétriques et des paires de clés de données. Vous pouvez désigner une clé KMS à utiliser comme paire de clés de signature ou de chiffrement. La génération de paires de clés et les opérations de chiffrement asymétriques utilisant ces clés KMS s'effectuent dans HSM. Vous pouvez demander à ce que la portion publique de la clé KMS asymétrique puisse être utilisée dans vos applications locales, tandis que la portion privée ne quitte jamais le service.

Vous pouvez aussi demander au service de générer une paire de clés de données asymétrique. Cette opération retourne une copie en texte brut de la clé publique et de la clé privée ainsi qu'une copie de la clé privée chiffrée sous une clé KMS symétrique que vous spécifiez. Vous pouvez utiliser la clé privée ou publique en texte brut dans votre application locale et stocker la copie chiffrée de la clé privée pour une utilisation future.

* Les clés asymétriques sont désormais disponibles dans la région AWS Chine (Pékin), opérée par Sinnet, et la région AWS Chine (Ningxia), opérée par NWCD.

** Les clés asymétriques ne sont pas prises en charge par l’option de stockage de clés personnalisé.

Conformité

Les contrôles de sécurité et de qualité mis en place dans AWS KMS ont été validés et certifiés par les programmes de conformité suivants :

 
Voici la liste des autres programmes de conformité pour lesquels AWS KMS est validé et certifié.
 
*FIPS 140-2 ne s’applique pas à AWS KMS dans les régions Chine. L’utilisation des modules matériels de sécurité dans les régions Chine est approuvée par le gouvernement chinois.
Standard Product Icons (Features) Squid Ink
En savoir plus sur la tarification du produit

Consultez des exemples de tarification et calculez vos coûts.

En savoir plus 
Sign up for a free account
Créer gratuitement un compte

Obtenez un accès instantané à l'offre gratuite d'AWS. 

S'inscrire 
Standard Product Icons (Start Building) Squid Ink
Commencer à créer sur la console

Commencez à créer avec AWS Key Management Service dans la console AWS.

Se connecter