Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Étape 4 : Importation des éléments de clé
Après avoir [chiffré vos éléments de clé](importing-keys-encrypt-key-material.md), vous pouvez importer les éléments de clé à utiliser avec une AWS KMS key. Pour importer les éléments de clé, vous devez télécharger les éléments de clé chiffrés à partir de l'[Étape 3 : Chiffrement des éléments de clé](importing-keys-encrypt-key-material.md) et le jeton d'importation que vous avez téléchargé à l'[Étape 2 : Téléchargement de la clé publique d’encapsulage et du jeton d'importation](importing-keys-get-public-key-and-token.md). Vous devez importer les éléments de clé dans la même clé KMS que vous avez spécifiée lorsque vous avez [téléchargé la clé publique et le jeton d'importation](importing-keys-get-public-key-and-token.md). Lorsque l'élément de clé est importé avec succès, l'[état de la clé](key-state.md) KMS passe à `Enabled`, et vous pouvez utiliser la clé KMS dans des opérations de chiffrement.
Lorsque vous importez les éléments de clé, vous pouvez éventuellement [définir une date d'expiration](#importing-keys-expiration) pour ceux-ci. Lorsque les éléments de clé expirent, AWS KMS supprime les éléments de clé et la clé KMS devient inutilisable. Après avoir importé vos éléments de clé, vous ne pouvez pas définir, modifier ou annuler la date d'expiration de l'importation en cours. Pour modifier ces valeurs, vous devez [réimporter](#reimport-key-material) le même élément clé.
Pour toutes les clés KMS ayant une `EXTERNAL` origine, le premier élément clé importé devient actuel et y est associé de façon permanente. Les clés de chiffrement symétriques avec `EXTERNAL` origine prennent en charge la rotation à la demande. Vous pouvez associer plusieurs matériaux clés à des clés importées qui prennent en charge la rotation à la demande. Le processus d'importation de nouveaux éléments clés diffère pour les clés à région unique et multirégionale, comme décrit dans la section [Importer de nouveaux documents clés](#import-new-key-material). Vous devez définir le `importType` paramètre sur `NEW_KEY_MATERIAL` avec l'[ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)action permettant d'associer un nouveau matériau clé à une clé KMS. La valeur par défaut du `ImportType` paramètre facultatif est`EXISTING_KEY_MATERIAL`. Lorsque vous omettez le `ImportType` paramètre ou que vous le spécifiez comme tel`EXISTING_KEY_MATERIAL`, vous devez importer un élément clé précédemment associé à la clé KMS.
Pour les clés asymétriques ou HMAC KMS avec `EXTERNAL` origine, un seul matériau clé peut être associé à la clé. AWS KMS rejettera les demandes d'[ ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)API avec le `ImportType` paramètre.
Lorsque tous les éléments clés associés de façon permanente à une clé KMS sont importés, la clé KMS peut être utilisée dans des opérations cryptographiques. Si l'un de ces éléments clés est supprimé ou autorisé à expirer, l'état de la clé KMS devient inutilisable pour les opérations cryptographiques. `PendingImport`
Pour importer du matériel clé, vous pouvez utiliser la [AWS KMS console](#importing-keys-import-key-material-console) ou l'[ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)API. Vous pouvez utiliser l'API directement en effectuant des requêtes HTTP ou en utilisant un [AWS SDKs[AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/)](https://aws.amazon.com/tools/#sdk)ou [Outils AWS pour PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/).
Lorsque vous importez le matériel clé, une [ImportKeyMaterialentrée](ct-importkeymaterial.md) est ajoutée à votre AWS CloudTrail journal pour enregistrer l'`ImportKeyMaterial`opération. L' CloudTrail entrée est la même que vous utilisiez la AWS KMS console ou l' AWS KMS API.
## Définir un délai d'expiration (facultatif)
Lorsque vous importez les éléments de clé de votre clé KMS, vous pouvez définir une date et une heure d'expiration facultatives pour les éléments de clé pouvant aller jusqu'à 365 jours à compter de la date d'importation. Lorsque le matériel clé importé expire, il est AWS KMS supprimé. Cette action change l'[état de la clé](key-state.md#key-state-table) KMS en `PendingImport`, ce qui l'empêche d'être utilisée dans toute opération cryptographique. Pour utiliser la clé KMS, vous devez [réimporter une copie des éléments de clé originaux](#reimport-key-material).
S'assurer que les éléments de clé importés expirent fréquemment peut vous aider à satisfaire aux exigences réglementaires, mais cela introduit un risque supplémentaire pour les données chiffrées au moyen de la clé KMS. Tant que vous n'avez pas réimporté une copie des éléments de clé originaux, une clé KMS dont les éléments de clé ont expiré est inutilisable, et toutes les données chiffrées au moyen de la clé KMS sont inaccessibles. Si vous ne parvenez pas à réimporter les éléments de clé pour quelque raison que ce soit, y compris la perte de votre copie des éléments de clé originaux, la clé KMS est définitivement inutilisable et les données chiffrées au moyen de la clé KMS sont irrécupérables.
Pour atténuer ce risque, assurez-vous que votre copie du matériel clé importé est accessible et concevez un système pour supprimer et réimporter le matériel clé avant qu'il n'expire et n'interrompe votre AWS charge de travail. Nous vous recommandons de [programmer une alerte](imported-key-material-expiration-alarm.md) pour l'expiration de vos éléments de clé importés, afin de disposer de suffisamment de temps pour réimporter les éléments de clé avant leur expiration. Vous pouvez également utiliser vos CloudTrail journaux pour auditer les opérations d'[importation (et de réimportation) de matériel clé](ct-importkeymaterial.md) et de [suppression de matériel clé importé](ct-deleteimportedkeymaterial.md), ainsi que l' AWS KMS opération de [suppression de matériel clé expiré](ct-deleteexpiredkeymaterial.md).
AWS KMS ne peut pas restaurer, récupérer ou reproduire le contenu clé supprimé. Au lieu de définir une date d'expiration, vous pouvez [supprimer](importing-keys-delete-key-material.md) et [réimporter](#reimport-key-material) périodiquement et par programmation les éléments de clé importés, mais les exigences relatives à la conservation d'une copie des éléments de clé originaux sont les mêmes.
Vous déterminez si et quand les éléments de clé importés expirent lorsque vous importez les éléments de clé importés. Vous pouvez toutefois activer ou désactiver l'expiration, ou définir une nouvelle date d'expiration en réimportant le matériel clé. Utilisez le `ExpirationModel` paramètre [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)pour activer et désactiver l'expiration (`KEY_MATERIAL_EXPIRES``KEY_MATERIAL_DOES_NOT_EXPIRE`) et le `ValidTo` paramètre pour définir le délai d'expiration. Le délai maximal est de 365 jours à compter de la date d'importation ; il n'y a pas de minimum, mais le délai doit être dans le futur.
## Description du matériau clé du set
Les clés de chiffrement symétriques ayant une `EXTERNAL` origine peuvent être associées à plusieurs éléments clés. Vous pouvez spécifier une description facultative du matériau clé lorsque vous importez du matériel clé dans de telles clés. La description peut être utilisée pour garder une trace de l'endroit où le matériau clé correspondant est conservé durablement à l'extérieur AWS KMS.
Pour les clés multirégionales, vous pouvez définir ou modifier la description du matériau clé uniquement sur la clé de région principale. AWS KMS propage automatiquement la description du matériau clé vers les clés de région répliquées.
## Importation d’un nouvel élément de clé
Pour effectuer une rotation à la demande sur une clé KMS de chiffrement symétrique avec du matériel de clé importé, vous devez d'abord importer un nouveau contenu de clé, non associé auparavant à la clé.
+ **Clés de région uniques**
+ Utilisez l'[ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)opération avec le `ImportType` paramètre défini sur `NEW_KEY_MATERIAL` pour accomplir cette tâche. Ce matériau clé n'est pas associé de façon permanente à la clé tant que vous n'avez pas effectué l'[RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html)opération ou que vous ne faites pas pivoter la clé dans le AWS Management Console. D'ici là, ce matériau clé est en bon `PENDING_ROTATION` état. Une clé KMS peut contenir au plus un élément `PENDING_ROTATION` clé à tout moment. Un élément clé en cours `PENDING_ROTATION` peut être supprimé sans affecter l'utilisabilité de la clé dans les opérations cryptographiques.
+ **Clés multi-région**
+ Pour importer du matériel clé dans une clé multirégionale, vous devez d'abord importer le nouveau matériel clé dans la clé de région principale. Vous ne pouvez pas importer directement de nouveaux matériaux clés dans des répliques de clés de région. Après avoir importé de nouveaux éléments clés dans la clé de région principale, vous pouvez importer les mêmes matériaux clés dans les clés de région répliques.
+ Utilisez l'[https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)opération avec le `ImportType` paramètre défini sur **NEW\_KEY\_MATERIAL** pour la clé de région principale pour accomplir cette tâche. Pour la clé Region de la réplique, utilisez le **EXISTING\_KEY\_MATERIAL** paramètre `ImportType` pour l'`ImportKeyMaterial`opération.
+ Le matériau clé pour le chiffrement symétrique Les clés multirégionales doivent être importés dans toutes les clés de région répliquées et dans toutes les clés de région primaires avant que l'état du matériau clé ne passe à l'état. `PENDING_ROTATION` Jusque-là, l'état du nouveau matériau clé est`PENDING_MULTI_REGION_IMPORT_AND_ROTATION`. Une clé KMS peut contenir au plus un élément `PENDING_ROTATION` ou un `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` état clé à tout moment (voir la `KeyMaterialState` description dans [RotationsListEntry](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotationsListEntry.html)). Un élément clé dans `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` ou dans un `PENDING_ROTATION` état n'est pas associé de façon permanente à la clé et peut être supprimé sans affecter l'utilisabilité de la clé dans les opérations cryptographiques.
## Réimportez le matériel clé
Si vous gérez une clé KMS avec des éléments de clé importés, vous pouvez avoir besoin de les réimporter. Vous pouvez réimporter des éléments de clé pour remplacer des éléments de clé expirés ou supprimés, ou pour modifier le modèle ou la date d'expiration de ceux-ci.
Vous pouvez réimporter des éléments de clé à tout moment, selon une planification qui répond à vos exigences de sécurité. Vous n'avez pas besoin d'attendre que les éléments de clé arrivent à leur date d'expiration ou en soient proches.
La procédure de réimportation du matériel clé est la même que celle que vous utilisez pour importer le matériel clé la première fois, avec les exceptions suivantes.
+ Utilisez une clé KMS existante au lieu de créer une nouvelle clé KMS. Vous pouvez ignorer l'[étape 1](importing-keys-create-cmk.md) de la procédure d'importation.
+ Lorsque vous réimportez des éléments de clé, vous pouvez modifier le modèle et la date d'expiration. Pour les clés de chiffrement symétriques, vous pouvez également modifier la description du matériau de la clé.
Pour les clés multirégionales, vous pouvez définir ou modifier la description du matériau clé uniquement sur la clé de région principale. AWS KMS propage automatiquement la description du matériau clé vers les clés de région répliquées.
Chaque fois que vous importez des éléments de clé pour une clé KMS, vous devez [télécharger et utiliser une nouvelle clé d'encapsulage et un nouveau jeton d'importation](importing-keys-get-public-key-and-token.md) pour la clé KMS. La procédure d'encapsulage n'affecte pas le contenu de l’élément de clé. Vous pouvez ainsi utiliser différentes clés d'encapsulage et algorithmes d’encapsulation différents pour importer le même élément de clé.
## Importer les éléments de clé (console)
Vous pouvez utiliser le AWS Management Console pour importer du matériel clé.
1. Si vous êtes sur la page **Téléchargez votre élément de clé encapsulé**, passez à [Step 10](#id-key-materials-step).
1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
1. Dans le panneau de navigation, choisissez **Clés gérées par le client**.
1. Choisissez l'ID de clé ou l'alias de la clé KMS pour laquelle vous avez téléchargé la clé publique et le jeton d'importation.
1. Choisissez l'onglet **Cryptographic configuration (Configuration de chiffrement)** et affichez ses valeurs. Les onglets se trouvent sur la page détaillée d'une clé KMS située sous la section **General configuration (Configuration générale)**.
Vous pouvez uniquement importer un élément de clé dans des clés KMS d’une **Origine** **Externe (Importation d'éléments de clé)**. Pour plus d'informations sur la création de clés KMS avec des éléments de clé importés, veuillez consulter [Importation de matériel clé pour les AWS KMS clés](importing-keys.md).
1. Choisissez l'onglet approprié en fonction de votre type de clé.
+ Pour les touches asymétriques et HMAC, choisissez l'onglet **Matériau de la clé.**
+ Pour les clés de chiffrement symétriques, choisissez l'onglet **Matériau des clés et rotations.**
1. Choisissez l'action d'importation.
+ Pour les clés asymétriques et HMAC, choisissez **Importer le matériel clé**.
+ Pour les clés de chiffrement symétriques, choisissez l'une des options suivantes :
+ **Importer le matériel clé initial** (si aucun matériel clé n'a encore été importé)
+ **Importer un nouveau matériau clé** (pour ajouter du nouveau matériau pour la rotation)
+ **Réimporter le matériel clé** (disponible dans le menu **Actions** du tableau des matériaux clés)
**Note**
Pour les clés multirégionales, vous devez d'abord importer le nouveau contenu clé dans la clé régionale principale. Importez ensuite le même matériau clé dans chaque réplique de clé de région.
Pour les clés multirégionales principales, le tableau **des matériaux clés** inclut une colonne d'**état d'importation des répliques** qui affiche le statut de l'importation dans toutes les régions de réplication (par exemple, « 0 sur 3 importé »). Choisissez la valeur de l'état d'importation de la réplique pour ouvrir un modal indiquant le statut de l'importation pour chaque région de réplication. Le modal fournit des liens **d'importation de matériaux clés** pour les régions de réplique où le nouveau matériau clé n'a pas été importé.
1. Si vous avez téléchargé l’élément de clé, le jeton d’importation et chiffré l’élément de clé, choisissez **Next** (Suivant).
**Note**
Pour les clés multirégionales, vous devez d'abord importer le nouveau contenu clé dans la clé régionale principale. Vous pouvez ensuite importer le même matériau clé dans les clés de région de la réplique.
1. Dans la section **Éléments clés chiffrés et jeton d'importation**, procédez comme suit.
1. Sous **Élément de clé encapsulé**, choisissez **Choisir un fichier**. Puis, chargez le fichier qui inclut vos clés encapsulées (chiffrées).
1. Sous **Jeton d'importation**, choisissez **Charger un fichier**. Chargez le fichier qui inclut le jeton d'importation que vous avez [téléchargé](importing-keys-get-public-key-and-token.md#importing-keys-get-public-key-and-token-console).
1. Sous **Expiration option (Option d'expiration)**, déterminez si l'élément de clé expire. Pour définir la date et l'heure d'expiration, choisissez **Date d'expiration des clés**, et utilisez le calendrier pour sélectionner une date et une heure. Vous pouvez spécifier une date jusqu'à 365 jours à compter de la date et de l'heure actuelles.
1. Pour les clés de chiffrement symétriques, vous pouvez éventuellement spécifier une description du contenu clé importé.
1. Choisissez **Importer le matériel clé**.
## Importer du matériel clé (AWS KMS API)
Pour importer du matériel clé, utilisez l'[ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)opération. Les exemples suivants utilisent l'[AWS CLI](https://aws.amazon.com/cli/), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.
Pour utiliser cet exemple :
1. Remplacer `{{1234abcd-12ab-34cd-56ef-1234567890ab}}` par l'ID de la clé KMS que vous avez spécifié lorsque vous avez téléchargé la clé publique et le jeton d'importation. Pour identifier la clé KMS, utilisez son [ID de clé](concepts.md#key-id-key-id) ou son [ARN de clé](concepts.md#key-id-key-ARN). Vous ne pouvez pas utiliser un [nom d'alias](concepts.md#key-id-alias-name) ou un [ARN d'alias](concepts.md#key-id-alias-ARN) pour cette opération.
1. Remplacez `{{EncryptedKeyMaterial.bin}}` par le nom du fichier qui contient les clés chiffrées.
1. Remplacez `{{ImportToken.bin}}` par le nom du fichier qui contient le jeton d'importation.
1. Si vous souhaitez que l'élément de clé importé expire, définissez la valeur du paramètre `expiration-model` sur sa valeur par défaut, `KEY_MATERIAL_EXPIRES`, ou omettez le paramètre `expiration-model`. Procédez ensuite au remplacement de la valeur du paramètre `valid-to` par la date et l'heure auxquelles vous souhaitez que l'élément de clé expire. La date et l'heure peuvent aller jusqu'à 365 jours à compter de la date de la requête.
```
$ aws kms import-key-material --key-id {{1234abcd-12ab-34cd-56ef-1234567890ab}} \
--encrypted-key-material fileb://{{EncryptedKeyMaterial.bin}} \
--import-token fileb://{{ImportToken.bin}} \
--expiration-model {{KEY_MATERIAL_EXPIRES}} \
--valid-to {{2023-06-17T12:00:00-08:00}}
```
Si vous souhaitez que l'élément de clé importé n'expire pas, définissez la valeur du paramètre `expiration-model` sur `KEY_MATERIAL_DOES_NOT_EXPIRE`, et omettez le paramètre `valid-to` de la commande.
```
$ aws kms import-key-material --key-id {{1234abcd-12ab-34cd-56ef-1234567890ab}} \
--encrypted-key-material fileb://{{EncryptedKeyMaterial.bin}} \
--import-token fileb://{{ImportToken.bin}} \
--expiration-model {{KEY_MATERIAL_DOES_NOT_EXPIRE}}
```
1. Si vous souhaitez importer de nouveaux éléments clés, non associés auparavant à la clé KMS, définissez le `ImportType` paramètre sur`NEW_KEY_MATERIAL`. Cette option ne peut être utilisée qu'avec des clés de chiffrement symétriques. Pour ces clés, vous pouvez également utiliser le `KeyMaterialDescription` paramètre facultatif pour définir une description du contenu clé importé dans l'exemple de ligne de commande suivant :
```
$ aws kms import-key-material --key-id {{1234abcd-12ab-34cd-56ef-1234567890ab}} \
--encrypted-key-material fileb://{{EncryptedKeyMaterial.bin}} \
--import-token fileb://{{ImportToken.bin}} \
--expiration-model {{KEY_MATERIAL_EXPIRES}} \
--valid-to {{2023-06-17T12:00:00-08:00}} \
--import-type NEW_KEY_MATERIAL \
--key-material-description {{"Q2 2025 Rotation"}}
```
1. Pour les clés multirégionales, vous pouvez définir ou modifier la description du matériau clé uniquement sur la clé de région principale. AWS KMS propage automatiquement la description du matériau clé vers les clés de région répliquées.
**Astuce**
Si la commande échoue, vous pouvez voir un `KMSInvalidStateException` ou un `NotFoundException`. Vous pouvez réessayer la demande.