Êtes-vous à la recherche d’un moyen de chiffrer et déchiffrer rapidement vos données ? Découvrez la Gestion des clés AWS ! Ce service offre une sécurité de haut niveau pour vos données en vous permettant de créer et de gérer des clés cryptographiques. Vous pouvez également contrôler qui a accès à vos clés et quelles actions ils peuvent effectuer avec elles.
Ce tutoriel ne couvre pas tout ce qu’il y a à savoir sur la Gestion des clés AWS, mais il vous donnera un bon aperçu des bases de l’utilisation de cet outil puissant.
Poursuivez votre lecture pour profiter des avantages en matière de sécurité offerts par la Gestion des clés AWS !
Prérequis
Ce tutoriel sera une démonstration pratique. Si vous souhaitez suivre, assurez-vous d’avoir ce qui suit.
- Un compte AWS avec une facturation active. Vous pouvez créer un compte AWS gratuitement ici. Le niveau gratuit comprend suffisamment de services pour démarrer ce tutoriel.
- Vous avez AWS CLI installé et configuré sur votre machine. Consultez ce tutoriel pour plus d’informations.
Création d’une clé KMS en utilisant la console AWS
Lisez la suite si vous préférez la console AWS (GUI) plutôt que l’AWS CLI. La section suivante vous guidera à travers la création d’une clé KMS en utilisant la console.
Création d’un utilisateur IAM
Pour commencer, vous devez créer un utilisateur IAM que vous utiliserez pour accéder au service de gestion des clés AWS depuis l’interface de ligne de commande AWS (CLI).
Les utilisateurs IAM sont distincts des informations d’identification de votre compte racine AWS. L’utilisation d’utilisateurs IAM est considérée comme une meilleure pratique car elle vous permet d’avoir un contrôle granulaire sur qui a accès à quelles ressources dans votre compte AWS.
Suivez ces étapes pour créer un utilisateur IAM avec un accès par mot de passe au service de gestion des clés AWS:
1. Connectez-vous à la console de gestion AWS en tant qu’utilisateur racine.
2. Tapez IAM dans la barre de recherche Trouver des services et sélectionnez IAM parmi les résultats pour ouvrir la console IAM. Cette console est l’endroit où vous pouvez gérer les utilisateurs IAM et leurs autorisations.
3. Accédez à Utilisateurs → Ajouter des utilisateurs pour ajouter un nouvel utilisateur IAM.
4. Effectuez les étapes suivantes sur la page Ajouter un utilisateur.
Saisissez un nom pour votre nouvel utilisateur. Dans cet exemple, il est appelé KMSUserConsole.
Sélectionnez le bouton radio Accès à la console de gestion AWS – Mot de passe > Mot de passe généré automatiquement. Cette option générera un mot de passe aléatoire pour votre utilisateur.
Assurez-vous que la case L’utilisateur doit créer un nouveau mot de passe à la prochaine connexion est désactivée. Cette action vous permettra de vous connecter en tant que cet utilisateur sans avoir à réinitialiser d’abord le mot de passe.
Cliquez sur Suivant : Autorisations pour continuer.
5. Sur la page Définir des autorisations, sélectionnez Attacher des stratégies existantes directement. Sélectionnez AdministratorAccess dans la liste des stratégies disponibles. Cette politique donne à l’utilisateur un accès complet à AWS, y compris la capacité de créer et de gérer des clés.
Cliquez sur Suivant : Étiquettes pour continuer.
6. Sur la page Ajouter des étiquettes (facultatif), vous pouvez ajouter des étiquettes pertinentes à votre utilisateur. Pour ce tutoriel, vous n’ajouterez aucune étiquette. Cliquez sur Suivant : Examen pour passer en revue les autorisations et les informations de votre utilisateur.
7. Assurez-vous que la politique AdministratorAccess est sélectionnée et cliquez sur Créer un utilisateur pour terminer la création de votre nouvel utilisateur IAM.
8. La création de l’utilisateur IAM se termine après quelques minutes, et vous verrez un message de bannière de réussite.
Copiez ou téléchargez le mot de passe quelque part en sécurité car vous en aurez besoin pour vous connecter en tant que ce nouvel utilisateur IAM ultérieurement.
Cliquez sur l’URL à côté du message pour accéder à la page de connexion de l’utilisateur IAM.
Cliquez sur Fermer pour fermer la fenêtre de message.
9. Sur la page suivante, saisissez le nom d’utilisateur et le mot de passe que vous venez de générer et cliquez sur Se connecter pour vous connecter en tant que votre nouvel utilisateur IAM.
Création d’une clé KMS à l’aide de la console AWS
Maintenant que vous êtes connecté à la console de gestion AWS en tant qu’utilisateur IAM, vous êtes prêt à créer votre première clé KMS.
Suivez ces étapes pour créer une clé KMS à l’aide de la console AWS.
1. Tapez KMS dans la barre de recherche Trouver des services. Sélectionnez Service de gestion des clés dans les résultats pour ouvrir la console KMS.
2. Cliquez sur Clés gérées par le client dans la barre latérale gauche > Créer une clé pour créer une nouvelle clé KMS.
3. Faites ce qui suit à l’écran suivant.
Type de clé: Sélectionnez Symétrique. Ce type de clé est utilisé pour le chiffrement et le déchiffrement et convient le mieux à la plupart des cas d’utilisation.
Utilisation de la clé: Sélectionnez Chiffrement et déchiffrement. Cette utilisation de la clé vous permet d’utiliser votre clé pour le chiffrement et le déchiffrement.
Conservez les autres paramètres avec leurs valeurs par défaut et cliquez sur Suivant.
4. Entrez un Alias pour votre clé. Cet alias vous aidera à identifier rapidement votre clé dans la console KMS. L’alias doit comporter entre 1 et 256 caractères et ne peut contenir que des caractères alphanumériques, des tirets (-) et des traits de soulignement (_).
L’alias ne peut pas commencer par aws/ car ce préfixe est réservé aux clés gérées par AWS. Vous obtiendrez le message d’erreur suivant si vous essayez d’utiliser ce préfixe.
Entrez une Description pour votre clé. Ce champ est facultatif, mais il est toujours judicieux d’inclure une description pour vous souvenir de l’utilisation de la clé ultérieurement.
Conservez les autres paramètres avec leurs valeurs par défaut et cliquez sur Suivant pour continuer.
5. Sélectionnez la case à cocher à côté de l’utilisateur que vous avez créé précédemment, KMSUserConsole. Cet utilisateur sera le seul à avoir accès à l’utilisation de cette clé.
Ne cochez pas la case Autoriser les administrateurs de clé à supprimer cette clé car vous ne voudrez pas que quelqu’un puisse supprimer votre clé.
Cliquez sur Suivant pour continuer.
Sélectionnez l’utilisateur que vous avez créé précédemment, KMSUserConsole, puis cliquez sur suivant. Cette action permet à votre utilisateur d’utiliser la clé dans des opérations cryptographiques, telles que le chiffrement et le déchiffrement de données.
7. Enfin, cliquez sur le bouton Terminer pour terminer le processus de création de la clé.
Votre nouvelle clé KMS apparaîtra maintenant dans la section des clés gérées par le client de la console KMS. Vous pouvez consulter des informations sur votre clé, telles que son statut, son ID, son alias, etc.
Gestion des clés KMS à l’aide de la console AWS
Maintenant que vous avez créé une clé KMS, les sections suivantes vous montrent comment les gérer à l’aide de la console AWS.
Modification d’une clé KMS
Vous pouvez modifier une clé KMS à tout moment pour en modifier les paramètres. Pour ce faire, suivez ces étapes :
1. Cliquez sur le lien hypertexte de la clé que vous souhaitez modifier. Cette action ouvre la page des détails de la clé.
2. Cliquez sur le bouton Modifier dans le coin supérieur droit de la page.
3. Apportez les modifications souhaitées à la clé et cliquez sur Enregistrer. Sachez que la seule chose que vous pouvez modifier est la description.
Désactivation et activation d’une clé KMS
Vous pouvez désactiver et activer une clé KMS à tout moment. Par défaut, toutes les clés sont activées lors de leur création. Supposons qu’une clé ait été compromise. Il est conseillé de désactiver la clé jusqu’à ce que vous fassiez plus d’investigations.
1. Cochez la case à côté de la clé que vous souhaitez désactiver, puis cliquez sur Actions de la clé → Désactiver.
2. Une fenêtre vous demande de confirmer que vous voulez désactiver la clé. Cliquez sur la case à cocher à côté de Confirmer que vous voulez désactiver cette clé et cliquez sur Désactiver.
La clé est maintenant désactivée, et vous verrez un message sur la page des détails de la clé. Le statut de la clé changera également en Désactivée, comme illustré ci-dessous.
3. Lorsque votre enquête est terminée, vous pouvez réactiver une clé et vous êtes prêt à recommencer à utiliser la clé. Cochez la case à côté de la clé que vous souhaitez activer → Actions sur la clé → Activer.
Créer une clé KMS à l’aide de l’interface de ligne de commande AWS
Grand fan de l’utilisation de l’interface de ligne de commande AWS ? Bravo à vous ! Vous pouvez également créer une clé KMS à l’aide de l’interface de ligne de commande AWS. Cette section vous apprendra comment créer un utilisateur IAM avec accès programmé.
Après avoir créé l’utilisateur, vous stockerez les informations d’identification dans un profil AWS. Vous interagirez avec AWS avec ce profil pour créer une clé KMS.
Création d’un utilisateur IAM avec accès programmé
Vous avez besoin d’un utilisateur IAM avec accès programmé pour vous authentifier à l’aide de l’interface de ligne de commande AWS sans mot de passe. L’accès programmé utilise des clés d’accès, une combinaison d’un ID de clé d’accès et d’une clé d’accès secrète pour effectuer des appels API.
Suivez ces étapes pour créer un utilisateur IAM avec accès programmé
1. Créez un nouvel utilisateur IAM nommé KMSUserCli dans la Console AWS. Référez-vous à la section précédente Création d’un utilisateur IAM (étapes 1 à 4).
2. Lorsque vous atteignez le Sélectionner le type d’accès AWS, sélectionnez Accès programmé et cliquez sur Suivant : Autorisations.
3. Sélectionnez Attacher directement des stratégies existantes. Cochez la case à côté de AdministratorAccess et cliquez sur Suivant : Balises.
4. Passer l’ajout des balises et cliquer sur Suivant : Examiner.
5. Enfin, cliquez sur Créer utilisateur pour créer l’utilisateur.
Une fois le processus terminé, vous verrez un écran similaire à celui ci-dessous, avec l’identifiant de clé d’accès de votre nouvel utilisateur et la clé d’accès secrète. Ce sont les clés que vous utiliserez pour configurer l’AWS CLI. Assurez-vous de stocker ces clés dans un endroit sûr, car vous ne pourrez plus les afficher après cette page !
Ne partagez pas ces clés dans les pipelines CI/CD publics ou dans les commentaires sur GitHub ou d’autres forums publics !
Configuration du profil AWS CLI
Maintenant que vous avez créé un utilisateur IAM, vous devez configurer votre profil AWS sur votre machine afin de pouvoir accéder au service de gestion des clés AWS en utilisant les informations d’identification de cet utilisateur.
Suivez ces étapes pour configurer votre profil AWS :
1. Ouvrez PowerShell ou l’invite de commande en tant qu’administrateur.
2. Exécutez la commande ci-dessous pour vérifier si vous avez installé AWS CLI. Vous verrez quelque chose de similaire à la capture d’écran ci-dessous si elle est installée.
3. Maintenant, exécutez la commande ci-dessous pour configurer votre nouveau profil.
4. À l’invite, saisissez les informations suivantes.
- Identifiant de clé d’accès AWS : Entrez l’identifiant de clé d’accès pour l’utilisateur IAM que vous avez créé précédemment.
- Clé d’accès secrète AWS : Entrez la clé d’accès secrète pour l’utilisateur IAM que vous avez créé précédemment.
- Nom de la région par défaut : Entrez la région de votre choix. Pour ce tutoriel, vous utiliserez us-west-2.
- Format de sortie par défaut : Entrez JSON. Le format JSON est plus facile à lire.
Création d’une clé KMS à l’aide de l’AWS CLI
Maintenant que vous avez un utilisateur IAM avec un accès programmatique, vous pouvez commencer à créer une clé KMS.
Exécutez la commande suivante pour créer une nouvelle clé KMS.
Vous verrez une sortie similaire à celle ci-dessous. Le KeyId est l’identifiant de votre nouvelle clé KMS. Notez-le, car vous en aurez besoin plus tard.
Comme vous ne spécifiez pas explicitement une stratégie de clé, AWS KMS crée une stratégie de clé par défaut pour la nouvelle clé. Cette stratégie donne un contrôle total de la clé à l’utilisateur root, y compris la capacité de créer des utilisateurs et des rôles IAM (Identity and Access Management) AWS.
Exécutez la commande suivante pour récupérer la stratégie de clé de votre nouvelle clé KMS. Remplacez l’argument --key-id par le KeyId réel de votre nouvelle clé KMS. Cette commande renvoie un document texte contenant la stratégie de clé de votre nouvelle clé KMS.
La sortie devrait ressembler à quelque chose comme ci-dessous.
Gestion des clés KMS à l’aide de l’AWS CLI
Maintenant que vous avez créé une clé KMS, vous pouvez apprendre à la gérer en utilisant l’AWS CLI. Cette section vous enseignera comment répertorier, désactiver et activer une clé KMS.
Vous pouvez désactiver et activer une clé KMS à tout moment. La désactivation d’une clé KMS est utile lorsque vous souhaitez enquêter sur une éventuelle utilisation abusive ou si vous devez temporairement cesser d’utiliser la clé pour toute autre raison.
1. Exécutez la commande suivante pour désactiver une clé KMS. Remplacez l’argument –key-id par le KeyId réel de votre clé KMS. Cette commande n’a pas de sortie.
2. Pour vérifier que la clé est désactivée, exécutez la commande suivante. La sortie devrait inclure le champ « KeyState »: « Disabled », comme indiqué.
3. Pour activer la clé, exécutez la commande suivante. Encore une fois, cette commande n’a pas de sortie.
4. Enfin, exécutez la commande suivante pour répertorier toutes les clés KMS de votre compte. La sortie inclut des informations telles que le keyId et le KeyArn de chaque clé.
Conclusion
Dans cet article, vous avez appris comment créer et gérer des clés KMS en utilisant l’AWS CLI et la console AWS. Vous avez également appris comment créer un utilisateur IAM avec un accès programmatique permettant à l’AWS CLI de gérer vos clés KMS.
La compétence en gestion des clés AWS est essentielle pour toute personne travaillant avec AWS, surtout si vous êtes responsable de la gestion de données sensibles. En suivant les étapes de cet article, vous devriez maintenant avoir les compétences nécessaires pour commencer à utiliser AWS KMS.
Avec cette connaissance nouvellement acquise, pourquoi ne pas créer des ressources AWS KMS avec AWS CloudFormation pour gagner du temps et des efforts ?