Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Présentation des détails cryptographiques de AWS KMS
<a name="intro"></a>

AWS Key Management Service (AWS KMS) fournit une interface Web pour générer et gérer des clés cryptographiques et fonctionne en tant que fournisseur de services cryptographiques pour protéger les données. AWS KMS propose des services traditionnels de gestion des clés intégrés à AWS des services visant à fournir une vue cohérente des clés des clients AWS, avec une gestion et un audit centralisés. Ce livre blanc fournit une description détaillée des opérations cryptographiques afin de vous aider AWS KMS à évaluer les fonctionnalités proposées par le service.

AWS KMS [inclut une interface Web via l' AWS Management Console interface de ligne de commande et des opérations d' RESTfulAPI pour demander les opérations cryptographiques d'un parc distribué de modules de sécurité matériels validés par la norme FIPS 140-3 (HSMs) [1].](kms-bibliography.md#fips-hsms) Le AWS KMS HSM est une appliance cryptographique matérielle autonome multipuce conçue pour fournir des fonctions cryptographiques dédiées répondant aux exigences de sécurité et d'évolutivité de. AWS KMS Vous pouvez établir votre propre hiérarchie cryptographique basée sur le HSM sous les clés que vous gérez en tant que AWS KMS keys. Ces clés ne sont disponibles que sur le HSMs et uniquement en mémoire pendant le temps nécessaire au traitement de votre demande cryptographique. Vous pouvez créer plusieurs clés KMS, chacune représentée par son ID de clé. Ce n'est que dans le cadre des rôles et des comptes AWS IAM administrés par chaque client que les clés KMS du client peuvent être créées, supprimées ou utilisées pour chiffrer, déchiffrer, signer ou vérifier des données. Vous pouvez définir des contrôles d'accès pour déterminer qui peut gérer and/or l'utilisation des clés KMS en créant une politique attachée à la clé. Ces politiques vous permettent de définir des utilisations propres à l'application de vos clés pour chaque opération d'API.

En outre, la plupart des AWS services prennent en charge le chiffrement des données au repos à l'aide de clés KMS. Cette fonctionnalité permet aux clients de contrôler comment et quand les AWS services peuvent accéder aux données chiffrées en contrôlant comment et quand les clés KMS sont accessibles. 

![\[AWS KMS architecture.\]](http://docs.aws.amazon.com/fr_fr/kms/latest/cryptographic-details/images/KMS-Architecture.png)


AWS KMS est un service à plusieurs niveaux composé d' AWS KMS hôtes accessibles sur le Web et d'un niveau de. HSMs Le regroupement de ces hôtes hiérarchisés forme la AWS KMS pile. Toutes les demandes AWS KMS doivent être effectuées via le protocole TLS (Transport Layer Security) et se terminer sur un AWS KMS hôte. AWS KMS [les hôtes n'autorisent le TLS qu'avec une suite de chiffrement qui assure une parfaite confidentialité des transmissions.](http://dx.doi.org/10.6028/NIST.SP.800-52r2) AWS KMS authentifie et autorise vos demandes en utilisant les mêmes mécanismes d'identification et de politique Gestion des identités et des accès AWS (IAM) que ceux disponibles pour toutes les autres opérations d'API. AWS 

# Concepts de base
<a name="basic-concepts"></a>

L'apprentissage de certains termes et concepts de base vous aidera à en tirer le meilleur parti AWS Key Management Service. 

**AWS KMS key**  
AWS KMS remplace le terme *clé principale du client (CMK)* par *AWS KMS key**clé KMS*. Le concept n'a pas changé. Pour éviter des modifications AWS KMS intempestives, certaines variantes de ce terme sont conservées.
Une clé logique qui représente le haut de votre hiérarchie de clés. Une clé KMS reçoit un ARN (Amazon Resource Name) qui inclut un identificateur de clé unique ou un ID de clé. AWS KMS keys ont trois types :  
+ **Clé gérée par le client** – Les clients créent et contrôlent le cycle de vie et les politiques de clé des clés gérées par le client. Toutes les demandes effectuées à l'aide de ces clés sont enregistrées en tant qu' CloudTrail événements.
+ **Clés gérées par AWS**— AWS crée et contrôle le cycle de vie et les politiques clés de Clés gérées par AWS, qui sont les ressources d'un client Compte AWS. Les clients peuvent consulter les politiques d'accès et les CloudTrail événements relatifs à ces clés Clés gérées par AWS, mais ne peuvent gérer aucun aspect de ces clés. Toutes les demandes effectuées à l'aide de ces clés sont enregistrées en tant qu' CloudTrail événements.
+ **Clés détenues par AWS**— Ces clés sont créées et utilisées exclusivement AWS pour des opérations de chiffrement internes sur différents AWS services. Les clients n'ont aucune visibilité sur les principales politiques ou sur Clé détenue par AWS l'utilisation de CloudTrail.

**Alias**  
Nom convivial associé à une clé KMS. L'alias peut être utilisé de manière interchangeable avec l'identifiant clé dans de nombreuses opérations d' AWS KMS API.

**Autorisations**  
Politique associée à une clé KMS qui définit les autorisations sur la clé. La politique par défaut autorise tous les principes que vous définissez, ainsi que l'ajout de politiques IAM faisant référence Compte AWS à la clé.

**Octrois**  
L'autorisation déléguée d'utiliser une clé KMS lorsque les principales IAM prévues ou la durée d'utilisation est inconnue au début et ne peut donc pas être ajoutée à une clé ou à une politique IAM. L'une des utilisations des subventions consiste à définir des autorisations délimitées sur la manière dont un AWS service peut utiliser une clé KMS. Le service peut avoir besoin d'utiliser votre clé pour effectuer un travail asynchrone en votre nom sur des données chiffrées en l'absence d'un appel d'API signé directement de votre part.

**Clés de données**  
Clés cryptographiques générées le HSMs, protégées par une clé KMS. AWS KMS permet aux entités autorisées d'obtenir des clés de données protégées par une clé KMS. Elles peuvent être retournées à la fois sous forme de clés de données en texte brut (non chiffrées) et sous forme de clés de données chiffrées. Les clés de données peuvent être symétriques ou asymétriques (avec les parties publiques et privées renvoyées).

**Textes chiffrés**  
La sortie cryptée AWS KMS, parfois appelée « texte chiffré du client » pour éviter toute confusion. Le texte chiffré contient des données chiffrées avec des informations supplémentaires qui identifient la clé KMS à utiliser dans le processus de déchiffrement. Les clés de données chiffrées sont un exemple courant de texte chiffré produit lors de l'utilisation d'une clé KMS, mais toutes les données de moins de 4 Ko peuvent être chiffrées sous une clé KMS pour générer un texte chiffré.

**Contexte de chiffrement**  
Une carte de paires clé-valeur contenant des informations supplémentaires associées à des informations protégées AWS KMS. AWS KMS utilise un chiffrement authentifié pour protéger les clés de données. Le contexte de chiffrement est intégré à l'AAD du chiffrement authentifié dans les textes chiffrés chiffrés AWS KMS. Ces informations de contexte sont facultatives et ne sont pas renvoyées lors de la demande d'une clé (ou d'une opération de chiffrement). Mais si elles sont utilisées, cette valeur de contexte est nécessaire pour terminer avec succès une opération de déchiffrement. Une utilisation prévue du contexte de chiffrement est de fournir des informations authentifiées supplémentaires. Ces informations peuvent vous aider à appliquer les politiques et à être incluses dans les AWS CloudTrail journaux. Par exemple, vous pouvez utiliser une paire clé-valeur de \$1"key name":"satellite uplink key"\$1 pour nommer la clé de données. L'utilisation ultérieure de la clé crée une AWS CloudTrail entrée qui inclut « nom de la clé » : « clé de liaison montante satellite ». Ces informations supplémentaires peuvent fournir un contexte utile pour comprendre pourquoi une clé KMS donnée a été utilisée.

**Clé publique**  
Lors de l'utilisation de chiffrements asymétriques (RSA ou courbe elliptique), la clé publique est la « composante publique » d'une paire de clés publique-privée. La clé publique peut être partagée et distribuée aux entités qui ont besoin de chiffrer les données pour le propriétaire de la paire de clés publique-privée. Pour les opérations de signature numérique, la clé publique est utilisée pour vérifier la signature.

**Clé privée**  
Lors de l'utilisation de chiffrements asymétriques (RSA ou courbe elliptique), la clé privée est la « composante privée » d'une paire de clés publique-privée. La clé privée est utilisée pour déchiffrer des données ou créer des signatures numériques. À l'instar des clés KMS symétriques, les clés privées sont cryptées HSMs. Elles sont uniquement déchiffrées dans la mémoire volatile de la clé HSM et seulement pour le temps nécessaire au traitement de votre demande cryptographique.

# AWS KMS objectifs de conception
<a name="design-goals"></a>

AWS KMS est conçu pour répondre aux exigences suivantes.

**Durabilité**  
La durabilité des clés cryptographiques est conçue pour égaler celle des services les plus durables en AWS. Une seule clé cryptographique peut chiffrer de grands volumes de vos données qui se sont accumulés sur une longue période. 

**Digne de confiance**  
L'utilisation des clés est protégée par des politiques de contrôle d'accès que vous définissez et gérez. Il n'existe aucun mécanisme permettant d'exporter des clés KMS en texte brut. La confidentialité de vos clés cryptographiques est primordiale. Plusieurs employés d'Amazon disposant d'un accès spécifique à un rôle aux contrôles d'accès basés sur le quorum sont tenus d'effectuer des actions administratives sur le. HSMs 

**Faible latence et haut débit**  
AWS KMS fournit des opérations cryptographiques à des niveaux de latence et de débit adaptés à une utilisation par d'autres services dans. AWS

**Régions indépendantes**  
AWS fournit des régions indépendantes aux clients qui ont besoin de restreindre l'accès aux données dans différentes régions. L'utilisation de la clé peut être isolée dans un Région AWS.

**Source sécurisée de nombres aléatoires**  
Étant donné que la cryptographie forte dépend de la génération de nombres aléatoires vraiment imprévisibles, AWS KMS fournit une source validée de nombres aléatoires de haute qualité. 

**Audit**  
AWS KMS enregistre l'utilisation et la gestion des clés cryptographiques dans des AWS CloudTrail journaux. Vous pouvez utiliser AWS CloudTrail les journaux pour contrôler l'utilisation de vos clés cryptographiques, y compris l'utilisation des clés par les AWS services en votre nom.

Pour atteindre ces objectifs, le AWS KMS système inclut un ensemble d' AWS KMS opérateurs et d'opérateurs hôtes de services (collectivement, les « opérateurs ») qui administrent les « domaines ». Un domaine est un ensemble de AWS KMS serveurs et d'opérateurs défini au niveau régional. HSMs Chaque AWS KMS opérateur dispose d'un jeton matériel qui contient une paire de clés privée et publique utilisée pour authentifier ses actions. Ils HSMs disposent d'une paire de clés privée et publique supplémentaire pour établir des clés de chiffrement qui protègent la synchronisation de l'état du HSM.

Ce paper explique comment AWS KMS protège vos clés et les autres données que vous souhaitez chiffrer. Tout au long de ce document, les clés de chiffrement ou les données que vous souhaitez chiffrer sont appelées « secrets » ou « éléments secrets ».