Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Creación de claves KMS asimétricas
Puede crear claves KMS asimétricas en la AWS KMS consola, mediante la CreateKeyAPI o mediante una AWS CloudFormation plantilla. Una clave KMS asimétrica representa un par de claves públicas y privadas que se pueden usar para cifrar, firmar o derivar secretos compartidos. La clave privada permanece dentro. AWS KMS Para descargar la clave pública para usarla fuera de ella AWS KMS, consulteDescargar claves públicas.
Al crear una clave KMS para cifrar los datos que almacenas o administras en un AWS servicio, usa una clave KMS de cifrado simétrico. AWS los servicios que se integran AWS KMS no admiten claves KMS asimétricas. Para obtener ayuda para decidir si crear una clave KMS simétrica o asimétrica, consulte Elección de un tipo de clave KMS.
Para obtener información sobre los permisos necesarios para crear claves de KMS, consulte Permisos para crear claves KMS.
Creación de claves KMS asimétricas (consola)
Puede usarlo AWS Management Console para crear claves asimétricas AWS KMS keys (claves KMS). Cada clave KMS asimétrica representa un par de claves públicas y privadas.
importante
No incluya información confidencial en el alias, la descripción ni las etiquetas. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.
-
Inicie sesión en la consola AWS Key Management Service (AWS KMS) AWS Management Console y ábrala en https://console.aws.amazon.com/kms
. -
Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
-
En el panel de navegación, elija Claves administradas por el cliente.
-
Elija Create key.
-
Para crear una clave KMS asimétrica, en Key Type (Tipo de clave), seleccione Asymmetric (Asimétrica).
Para obtener información sobre cómo crear una clave KMS de cifrado simétrico en la AWS KMS consola, consulte. Creación de claves KMS de cifrado simétricas (consola)
-
Para crear una clave KMS asimétrica para el cifrado de claves públicas, en Key Usage (Uso de claves), elija Encrypt and decrypt (Cifrar y descifrar). O bien, para crear una clave KMS asimétrica para firmar mensajes y verificar firmas, en Key Usage (Uso de claves), elija Sign and verify (Firmar y verificar). Para crear una clave KMS asimétrica para obtener secretos compartidos, en Uso de claves, elija Acuerdo de claves.
Para obtener ayuda sobre cómo elegir un valor de uso de clave, consulte Seleccionar el uso de la clave.
-
Seleccione una especificación (Key spec [Especificación de clave]) para su clave KMS asimétrica.
A menudo, la especificación de clave que seleccione está determinada por requisitos normativos, de seguridad o empresariales. También puede estar influenciado por el tamaño de los mensajes que necesita cifrar o firmar. En general, las claves de cifrado más largas son más resistentes a los ataques de fuerza bruta.
Para obtener ayuda para elegir una especificación de clave, consulte Seleccionar la especificación de clave.
-
Elija Siguiente.
-
Escriba un alias para la clave KMS El nombre del alias no puede empezar por
aws/
. Amazon Web Services se reserva elaws/
prefijo para representarlo Claves administradas por AWS en su cuenta.Un alias es un nombre descriptivo que puede utilizar para identificar la clave de KMS en la consola y en algunas AWS KMS API. Le recomendamos que elija un alias que indique el tipo de datos que piensa proteger o la aplicación que piensa usar con la clave KMS.
Los alias son necesarios para crear una clave KMS en la AWS Management Console. No puede especificar un alias al usar la CreateKeyoperación, pero puede usar la consola o la CreateAliasoperación para crear un alias para una clave de KMS existente. Para obtener más detalles, consulte Uso de alias.
-
(Opcional) Escriba una descripción de la clave KMS.
Escriba una descripción que explique el tipo de datos que piensa proteger o la aplicación que piensa usar con la clave KMS.
Puede agregar una descripción ahora o actualizarla en cualquier momento, a menos que el estado de la clave sea
Pending Deletion
oPending Replica Deletion
. Para añadir, cambiar o eliminar la descripción de una clave gestionada por el cliente existente, edite la descripción en la operación AWS Management Console o utilice esta UpdateKeyDescriptionoperación. -
(Opcional) Escriba una clave de etiqueta y un valor de etiqueta opcional. Para agregar más de una etiqueta a la clave KMS, elija Add tag (Agregar etiqueta).
Al añadir etiquetas a AWS los recursos, AWS genera un informe de asignación de costes con el uso y los costes agregados por etiquetas. Las etiquetas también pueden utilizarse para controlar el acceso a una clave KMS. Para obtener información acerca del etiquetado de claves KMS, consulte Etiquetado de claves y ABAC para AWS KMS.
-
Elija Siguiente.
-
Seleccione los usuarios y roles de IAM que pueden administrar la clave de KMS.
nota
Esta política clave proporciona el control Cuenta de AWS total de esta clave de KMS. Permite a los administradores de cuentas utilizar las políticas de IAM para dar permiso a otras entidades principales para administrar la clave KMS. Para obtener más detalles, consulte Política de claves predeterminada.
Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección Prácticas recomendadas de seguridad de IAM en la Guía del usuario de IAM;.
-
(Opcional) Para evitar que los usuarios y los roles de IAM seleccionados eliminen esta clave de KMS, en la sección Eliminación de claves situada en la parte inferior de la página, desactive la casilla Permitir que los administradores de claves eliminen esta clave.
-
Elija Siguiente.
-
Seleccione los usuarios y roles de IAM que pueden usar la clave de KMS en operaciones criptográficas.
nota
Esta política de claves proporciona el control Cuenta de AWS total de esta clave de KMS. Permite a los administradores de cuentas utilizar las políticas de IAM para dar permiso a otras entidades principales para utilizar la clave KMS. Para obtener más detalles, consulte Política de claves predeterminada.
Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección Prácticas recomendadas de seguridad de IAM en la Guía del usuario de IAM;.
-
(Opcional) Puede permitir que otros Cuentas de AWS usen esta clave KMS para operaciones criptográficas. Para ello, en la parte inferior de la página de la sección Other Cuentas de AWS(Otras), elija Add another Cuenta de AWS(Agregar otra) e ingrese el número de identificación de Cuenta de AWS de una cuenta externa. Para agregar varias cuentas externas, repita este paso.
nota
Para permitir que las entidades principales de las cuentas externas usen la clave KMS, los administradores de la cuenta externa también deben crear las políticas de IAM que proporcionan estos permisos. Para obtener más información, consulte Permitir a los usuarios de otras cuentas utilizar una clave KMS.
-
Seleccione Siguiente.
-
Revise los ajustes de clave que ha elegido. Aún puede volver atrás y cambiar todos los ajustes.
-
Elija Finalizar para crear la clave de KMS.
Creación de claves KMS asimétricas (API)AWS KMS
Puede utilizar la CreateKeyoperación para crear una asimétrica AWS KMS key. En estos ejemplos, se utiliza la AWS Command Line Interface (AWS CLI)
Al crear una clave KMS asimétrica, debe especificar el parámetro KeySpec
, que determina el tipo de claves que cree. Además, debe especificar un KeyUsage
valor de ENCRYPT_DECRYPT, SIGN_VERIFY o KEY_AGREEMENT. No puede cambiar estas propiedades después de que se cree la clave de KMS.
La CreateKey
operación no le permite especificar un alias, pero puede utilizarla para crear un alias para la nueva clave CreateAliasde KMS.
importante
No incluya información confidencial en los campos Description
o Tags
. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.
En el siguiente ejemplo se utiliza la operación CreateKey
para crear una clave KMS asimétrica de claves RSA de 4096 bits diseñadas para el cifrado de claves públicas.
$
aws kms create-key --key-spec RSA_4096 --key-usage ENCRYPT_DECRYPT
{ "KeyMetadata": { "KeyState": "Enabled", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyManager": "CUSTOMER", "Description": "", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1569973196.214, "MultiRegion": false, "KeySpec": "RSA_4096", "CustomerMasterKeySpec": "RSA_4096", "KeyUsage": "ENCRYPT_DECRYPT", "EncryptionAlgorithms": [ "RSAES_OAEP_SHA_1", "RSAES_OAEP_SHA_256" ], "AWSAccountId": "111122223333", "Origin": "AWS_KMS", "Enabled": true } }
El comando del siguiente ejemplo crea una clave KMS asimétrica que representa un par de claves ECDSA utilizadas para la firma y verificación. No se puede crear un par de claves de curva elíptica para el cifrado y el descifrado.
$
aws kms create-key --key-spec ECC_NIST_P521 --key-usage SIGN_VERIFY
{ "KeyMetadata": { "KeyState": "Enabled", "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1570824817.837, "Origin": "AWS_KMS", "SigningAlgorithms": [ "ECDSA_SHA_512" ], "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "AWSAccountId": "111122223333", "KeySpec": "ECC_NIST_P521", "CustomerMasterKeySpec": "ECC_NIST_P521", "KeyManager": "CUSTOMER", "Description": "", "Enabled": true, "MultiRegion": false, "KeyUsage": "SIGN_VERIFY" } }
El siguiente comando de ejemplo crea una clave KMS asimétrica que representa un par de claves ECDH que se utilizan para obtener secretos compartidos. No se puede crear un par de claves de curva elíptica para el cifrado y el descifrado.
$
aws kms create-key --key-spec ECC_NIST_P256 --key-usage KEY_AGREEMENT
{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": "2023-12-27T19:10:15.063000+00:00", "Enabled": true, "Description": "", "KeyUsage": "KEY_AGREEMENT", "KeyState": "Enabled", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "ECC_NIST_P256", "KeySpec": "ECC_NIST_P256", "KeyAgreementAlgorithms": [ "ECDH" ], "MultiRegion": false } }