aws kms create-key --description "Ma clé KMS" --key-usage ENCRYPT_DECRYPT --origin AWS_KMSAWS KMS (Key Management Service) est un service géré d’AWS qui permet de créer, gérer et utiliser des clés cryptographiques pour sécuriser les données dans le cloud.
Créer des clés de chiffrement symétriques et asymétriques.
Gérer les politiques d’accès aux clés (IAM ou politiques KMS spécifiques).
Rotation automatique des clés pour renforcer la sécurité.
Chiffrer et déchiffrer des données directement via l’API KMS ou avec des services AWS intégrés.
Prend en charge les clés symétriques pour le chiffrement rapide de données volumineuses et les clés asymétriques pour la signature numérique.
S3, EBS, RDS, DynamoDB, Lambda, etc.
Protection des données au repos et en transit en utilisant des clés KMS.
Service entièrement managé avec une architecture distribuée.
Garantit la disponibilité des clés avec une faible latence.
Intégré à AWS CloudTrail pour un suivi détaillé de l’utilisation des clés. Conforme aux normes de sécurité telles que FIPS 140-2, GDPR, HIPAA.
| Concept | Description |
|---|---|
CMK (Customer Master Key) | Une clé maîtresse gérée par KMS. Utilisée pour créer, chiffrer et déchiffrer des clés de données. |
Clé Symétrique | Même clé utilisée pour le chiffrement et le déchiffrement. Idéal pour des volumes de données importants. |
Clé Asymétrique | Paire de clés publique/privée. Utile pour la signature numérique et le chiffrement basé sur RSA/ECC. |
Envelope Encryption | Technique où une clé de données est chiffrée par une clé maîtresse (CMK), renforçant la sécurité. |
Alias | Un identifiant simplifié pour gérer vos CMK sans utiliser leurs ARN complexes. |
Accédez à la console AWS KMS.
Créez une CMK (symétrique ou asymétrique).
Définissez les permissions d’accès (IAM ou politiques KMS).
Appelez les API AWS KMS pour chiffrer ou déchiffrer des données.
Intégrez la clé avec des services AWS (S3, RDS, etc.).
Activez la rotation automatique des clés (uniquement pour les CMK symétriques). Gérer les alias et surveillez les accès via CloudTrail.
Chiffrement côté serveur (SSE-KMS) pour protéger les objets stockés dans S3.
Utilisez KMS pour chiffrer les volumes de stockage attachés aux instances EC2.
Chiffrez les bases de données relationnelles (PostgreSQL, MySQL, etc.) avec une clé KMS.
Protégez les tables et les données sensibles avec des clés KMS.
Chiffrez des fichiers, des champs sensibles (ex. numéro de carte bancaire) ou des secrets.
Utilisez l’API KMS pour chiffrer de petites quantités de données directement.
Utilisez des clés asymétriques pour signer numériquement des documents ou valider l’intégrité des messages.
Stockez des clés privées utilisées pour les certificats SSL/TLS dans AWS KMS pour plus de sécurité.
Définissez qui peut créer, modifier ou utiliser les clés.
Définissez des règles granulaires d’accès aux clés.
Activez la rotation automatique des CMK pour limiter les risques liés aux clés compromises.
Utilisez AWS CloudTrail pour capturer toutes les opérations liées aux clés KMS.
Toutes les clés sont stockées et gérées dans des modules matériels (HSM) conformes aux normes de sécurité.
aws kms create-key --description "Ma clé KMS" --key-usage ENCRYPT_DECRYPT --origin AWS_KMSaws kms encrypt --key-id "alias/ma-cle-kms" --plaintext fileb://monfichier.txt --output text --query CiphertextBlob > monfichier.encaws kms decrypt --ciphertext-blob fileb://monfichier.enc --output text --query
Plaintext | base64 --decode > monfichier.txt| Service | Intégration KMS |
|---|---|
S3 | Chiffrement des objets avec SSE-KMS. |
| EBS | Chiffrement des volumes avec une clé KMS. |
|---|---|
RDS | Chiffrement des bases de données et des sauvegardes. |
| Secrets Manager | Gestion des secrets avec des clés KMS pour le chiffrement. |
|---|---|
Lambda | Déchiffrement des variables d’environnement chiffrées avec KMS. |
chaque opération KMS (chiffrement, déchiffrement) est facturée.
1$ par clé active par mois.
0,03$ par millier de requêtes KMS.
Les frais de KMS s’ajoutent aux frais des services utilisant les clés (ex. S3, RDS).
Complètement managé et sécurisé.
Intégration transparente avec les services AWS.
Conforme aux standards de sécurité internationaux.
Ne convient pas pour chiffrer des données volumineuses directement (utiliser Envelope Encryption).
Facturation par utilisation, ce qui peut augmenter avec un volume élevé d’opérations.