Gérer les clés PGP - AWS Transfer Family

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gérer les clés PGP

Pour gérer vos clés PGP, utilisez AWS Secrets Manager.

Note

Votre nom secret inclut votre identifiant de serveur Transfer Family. Cela signifie que vous devez déjà avoir identifié ou créé un serveur avant de pouvoir y stocker les informations de votre clé PGP. AWS Secrets Manager

Si vous souhaitez utiliser une seule clé et une seule phrase secrète pour tous vos utilisateurs, vous pouvez enregistrer les informations du bloc de clés PGP sous le nom secretaws/transfer/server-id/@pgp-default, où se server-id trouve l'identifiant de votre serveur Transfer Family. Transfer Family utilise cette clé par défaut si aucune clé ne user-name correspond à l'utilisateur qui exécute le flux de travail.

Vous pouvez créer une clé pour un utilisateur spécifique. Dans ce cas, le format du nom du secret est aws/transfer/server-id/user-name le suivant : où user-name correspond à l'utilisateur qui exécute le flux de travail pour un serveur Transfer Family.

Note

Vous pouvez stocker un maximum de 3 clés privées PGP, par serveur Transfer Family, par utilisateur.

Pour configurer les clés PGP à utiliser avec le déchiffrement

  1. Selon la version de GPG que vous utilisez, exécutez l'une des commandes suivantes pour générer une paire de clés PGP qui n'utilise pas l'algorithme de chiffrement Curve 25519.

    • Si vous utilisez la GnuPG version 2.3.0 ou une version plus récente, exécutez la commande suivante :

      gpg --full-gen-key

      Vous pouvez choisirRSA, ou, si vous le souhaitezECC, vous pouvez choisir l'une NIST ou BrainPool l'autre courbe elliptique. Si vous exécutez gpg --gen-key plutôt, vous créez une paire de clés qui utilise l'algorithme de chiffrement ECC Curve 25519, que nous ne prenons actuellement pas en charge pour les clés PGP.

    • Pour les versions GnuPG antérieures à 2.3.0, vous pouvez utiliser la commande suivante, car RSA est le type de chiffrement par défaut.

      gpg --gen-key
    Important

    Pendant le processus de génération des clés, vous devez fournir un mot de passe et une adresse e-mail. Assurez-vous de prendre note de ces valeurs. Vous devez fournir le mot de passe lorsque vous entrez les détails de la clé AWS Secrets Manager plus loin dans cette procédure. Et vous devez fournir la même adresse e-mail pour exporter la clé privée à l'étape suivante.

  2. Exécutez la commande suivante pour exporter la clé privée. Pour utiliser cette commande, private.pgp remplacez-la par le nom du fichier dans lequel vous souhaitez enregistrer le bloc de clé privée et marymajor@example.com par l'adresse e-mail que vous avez utilisée lors de la génération de la paire de clés.

    gpg --output private.pgp --armor --export-secret-key marymajor@example.com

  3. AWS Secrets Manager Utilisez-le pour stocker votre clé PGP.

    1. Connectez-vous à la AWS Secrets Manager console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/secretsmanager/.

    2. Dans le volet de navigation de gauche, choisissez Secrets.

    3. Sur la page Secrets, choisissez Enregistrer un nouveau secret.

    4. Sur la page Choisir un type de secret, pour Type de secret, sélectionnez Autre type de secret.

    5. Dans la section Paires clé/valeur, choisissez l'onglet clé/valeur.

      • Clé — EntréePGPPrivateKey.

        Note

        Vous devez saisir la PGPPrivateKey chaîne exactement : n'ajoutez aucun espace avant ou entre les caractères.

      • valeur — Collez le texte de votre clé privée dans le champ de valeur. Le texte de votre clé privée se trouve dans le fichier (par exempleprivate.pgp) que vous avez spécifié lors de l'exportation de votre clé au début de cette procédure. La clé commence par -----BEGIN PGP PRIVATE KEY BLOCK----- et se termine par-----END PGP PRIVATE KEY BLOCK-----.

        Note

        Assurez-vous que le bloc de texte contient uniquement la clé privée et ne contient pas également la clé publique.

    6. Sélectionnez Ajouter une ligne et dans la section Paires clé/valeur, choisissez l'onglet clé/valeur.

      • Clé — EntréePGPPassphrase.

        Note

        Vous devez saisir la PGPPassphrase chaîne exactement : n'ajoutez aucun espace avant ou entre les caractères.

      • valeur — Entrez le mot de passe que vous avez utilisé lorsque vous avez généré votre paire de clés PGP.

      La AWS Secrets Manager console, qui affiche les clés et les valeurs que vous entrez pour gérer vos clés PGP.
      Note

      Vous pouvez ajouter jusqu'à 3 jeux de clés et de phrases de passe. Pour ajouter un deuxième ensemble, ajoutez deux nouvelles lignes, entrez PGPPrivateKey2 et PGPPassphrase2 pour les clés, puis collez une autre clé privée et une autre phrase secrète. Pour ajouter un troisième ensemble, les valeurs clés doivent être PGPPrivateKey3 etPGPPassphrase3.

    7. Choisissez Suivant.

    8. Sur la page Configurer le secret, entrez le nom et la description de votre secret.

      • Si vous créez une clé par défaut, c'est-à-dire une clé qui peut être utilisée par n'importe quel utilisateur de Transfer Family, entrezaws/transfer/server-id/@pgp-default. Remplacez server-id par l'ID du serveur qui contient le flux de travail comportant une étape de déchiffrement.

      • Si vous créez une clé destinée à être utilisée par un utilisateur spécifique de Transfer Family, entrezaws/transfer/server-id/user-name. Remplacez server-id par l'ID du serveur qui contient le flux de travail comportant une étape de déchiffrement et remplacez user-name par le nom de l'utilisateur qui exécute le flux de travail. user-nameIl est stocké dans le fournisseur d'identité utilisé par le serveur Transfer Family.

    9. Choisissez Next et acceptez les valeurs par défaut sur la page Configurer la rotation. Ensuite, sélectionnez Suivant.

    10. Sur la page Révision, choisissez Store pour créer et stocker le secret.

La capture d'écran suivante montre les informations relatives à l'utilisateur marymajor pour un serveur Transfer Family spécifique. Cet exemple montre trois clés et les phrases de passe correspondantes.

La AWS Secrets Manager console, qui affiche la page de détails secrète avec trois clés et phrases de passe pour un serveur et un utilisateur de Transfer Family.