Guía para claves de KMS

AWS Control Tower funciona con AWS Key Management Service (AWS KMS). De manera opcional, si desea cifrar y descifrar los recursos de AWS Control Tower con una clave de cifrado que administre, puede generarla y configurar AWS KMS keys. Puede añadir o cambiar una clave de KMS cada vez que actualice la zona de aterrizaje. Como práctica recomendada, le sugerimos que utilice sus propias claves de KMS y que las cambie ocasionalmente.

AWS KMS le permite crear claves KMS multirregionales y claves asimétricas. Sin embargo, AWS Control Tower no admite claves de varias regiones ni claves asimétricas. AWS Control Tower realiza una comprobación previa de las claves existentes. Es posible que aparezca un mensaje de error si selecciona una clave de varias regiones o una clave asimétrica. En ese caso, genere otra clave para utilizarla con los recursos de AWS Control Tower.

Para los clientes que utilizan un clúster de AWS CloudHSM: cree un almacén de claves personalizado asociado a su clúster de CloudHSM. A continuación, puede crear una clave de KMS, que reside en el almacén de claves personalizadas de CloudHSM que ha creado. Puede añadir esta clave de KMS a AWS Control Tower.

Debe realizar una actualización específica en la política de permisos de una clave de KMS para que funcione con AWS Control Tower. Consulte la sección llamada Actualización de la política de claves de KMS para obtener más detalles.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Guía sobre la suscripción a temas de SNS

Actualizaciones de zonas de aterrizaje