AWS KMS (Key Management Service)

AWS KMS (Key Management Service) est le service de gestion centralisée de clés cryptographiques d'AWS, lancé en 2014. Permet de créer et contrôler les clés utilisées pour chiffrer les données, avec un haut niveau de garantie (FIPS 140-2 Level 3 validated HSMs). Intégré nativement avec >100 services AWS pour chiffrement transparent (encryption at rest).

Types de clés : (1) AWS-owned keys — invisibles, gérées par AWS, gratuites (utilisées par défaut par certains services) ; (2) AWS-managed keys (alias aws/<service>) — créées automatiquement par services AWS (aws/s3, aws/ebs, aws/secretsmanager), gratuites mais pas de contrôle key policy ; (3) Customer-managed keys (CMK ou KMS keys) — créées par vous, full control (key policy, rotation, cross-account, multi-region), facturées 1\$/clé/mois.

Types de matériel cryptographique : (1) Symmetric (AES-256-GCM) — encrypt/decrypt, default, most used ; (2) Asymmetric (RSA 2048/3072/4096, ECC P-256/P-384/P-521) — sign/verify or encrypt/decrypt asymetric ; (3) HMAC keys (HMAC-224/256/384/512) — generate/verify MACs ; (4) Multi-region keys (depuis 2021) — clés répliquées automatiquement cross-region avec même material, idéal active-active multi-region ; (5) External Key Store (XKS, depuis 2022) — KMS proxy vers HSM externe (on-prem ou third-party) pour souveraineté radicale.

Features : (1) Envelope encryption — pattern recommandé : KMS chiffre une data key (DEK), DEK chiffre les données ; KMS retourne DEK plain + DEK encrypted, vous stockez ciphertext + DEK encrypted ; réduit appels KMS (cost + latency) ; (2) Key rotation — automatique annuelle (depuis 2024 configurable 90-2560 jours) pour CMK symmetric ; manuelle pour asymetric ; (3) Key policies — JSON IAM-like attaché à la clé (vs IAM policies sur le principal), permet cross-account ; (4) Grants — délégation temporaire d'usage (Lambda, EC2 instance role) ; (5) CloudTrail logs every key usage (KMS data events optionnel pour fine-grained).

Pricing : 1\$/CMK/mois (au prorata, free pour AWS-managed) + 0.03\$/10k API requests symmetric. RSA/ECC requests plus chères. Multi-region keys 1\$/region/mois.

Best practices : CMK par environnement (prod/staging), key policies restrictives, IAM least privilege, audit CloudTrail, envelope encryption en code (boto3 KMS encrypt envelope helpers, AWS Encryption SDK), considérer ABAC avec tags, alias pour découplage. Alternatives : Azure Key Vault, Google Cloud KMS, HashiCorp Vault, on-prem CloudHSM (FIPS 140-2 Level 3 mono-tenant). Compétences AWS Security Specialty, AZ-500, SC-300.