Llamar a CreateKey - AWS Key Management Service

Llamar a CreateKey

Una AWS KMS key se genera como resultado de una llamada a la llamada a la API de CreateKey.

A continuación se presenta un subconjunto de la sintaxis de la solicitud de CreateKey.

{
  "Description": "string",
  "KeySpec": "string",
  "KeyUsage": "string",
  "Origin": "string";
  "Policy": "string"
}

La solicitud acepta los siguientes datos en formato JSON.

Descripción

(Opcional) Descripción de la clave. Recomendamos elegir una descripción que permita decidir si la clave es adecuada para una tarea.

KeySpec

Especifica el tipo de KMS que se va a crear. El valor predeterminado, SYMMETRIC_DEFAULT, crea claves KMS de cifrado simétricas. Este parámetro es opcional para las claves de cifrado simétricas y obligatorio para todas las demás especificaciones de claves.

KeyUsage

Especifica el uso de las claves. Los valores válidos son ENCRYPT_DECRYPT, SIGN_VERIFY o GENERATE_VERIFY_MAC. El valor predeterminado es ENCRYPT_DECRYPT. Este parámetro es opcional para las claves de cifrado simétricas y obligatorio para todas las demás especificaciones de claves.

Origen

(Opcional) Especifica el origen del material de claves para la clave de KMS. El valor predeterminado es AWS_KMS, que indica que AWS KMS genera y administra el material de claves para la clave KMS. Entre otros valores válidos está EXTERNAL, que representa una clave de KMS creada sin material de claves para material de claves importado, y AWS_CLOUDHSM que crea una clave KMS en unalmacén de claves personalizado respaldado por un clúster AWS CloudHSM bajo su control.

Política

(Opcional) Política para adjuntar a la clave. Si se omite la política, la clave se crea con la política predeterminada (siguiente) que permite a la cuenta raíz y a las entidades principales de IAM con permisos de AWS KMS administrarla.

Para obtener información detallada sobre la política, consulte Políticas de claves en AWS KMS y Política de claves predeterminada en la Guía para desarrolladores de AWS Key Management Service.

La solicitud de CreateKey devuelve una respuesta que incluye un ARN de claves.

arn:<partition>:kms:<region>:<account-id>:key/<key-id>

Si el Origin es AWS_KMS, después de crear el ARN, se realiza una solicitud a un HSM de AWS KMS a través de una sesión autenticada para aprovisionar una clave de respaldo (HBK) del módulo de seguridad de hardware (HSM). La HBK es una clave de 256 bits que se encuentra asociada a este ID de clave de la clave de KMS. Solo se puede generar en un HSM y se ha diseñado para no exportarse nunca fuera del límite de HSM en texto sin cifrar. La HBK se cifra en la clave de dominio actual, DK0. Estas HBK cifradas se denominan tokens de clave cifrada (EKT). Aunque se pueden configurar los HSM para utilizar una variedad de métodos de ajuste de claves, la implementación actual utiliza AES-256 en el Galois Counter Mode (GCM), un esquema de cifrado autenticado. Este modo de cifrado autenticado permite proteger metadatos de token de clave exportados de texto sin cifrar.

Estilísticamente, esto se representa como:

EKT = Encrypt(DK0, HBK)

Se proporcionan dos formas fundamentales de protección para las claves de KMS y las HBK posteriores: las políticas de autorización establecidas en las claves de KMS y las protecciones criptográficas de las HBK asociadas. Las secciones restantes describen las protecciones criptográficas y la seguridad de las funciones de gestión en AWS KMS.

Además del ARN, puede crear un nombre fácil de utilizar y asociarlo con la clave de KMS mediante la creación de un alias para la clave. Una vez asociado un alias a una clave de KMS, se puede utilizar el alias para identificar la clave de KMS en las operaciones de cifrado. Para más información detallada, consulte Uso de alias en la Guía para desarrolladores de AWS Key Management Service.

Diferentes niveles de autorizaciones rodean el uso de claves de KMS. AWS KMS habilita políticas de autorización separadas entre el contenido cifrado y la clave de KMS. Por ejemplo, un objeto de Amazon Simple Storage Service (Amazon S3) con cifrado doble de AWS KMS hereda la política del bucket de Amazon S3. Sin embargo, la política de acceso de la clave de KMS determina el acceso a la clave de cifrado necesaria. Para obtener más información acerca de la autorización de claves de KMS, consulte Autenticación y control de acceso de AWS KMS en la Guía para desarrolladores de AWS Key Management Service.