Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Creación de claves KMS asimétricas
Puede crear claves KMS asimétricas en la AWS KMS consola, mediante la CreateKeyAPI o mediante una AWS CloudFormationplantilla. Una clave KMS asimétrica representa un par de claves pública y privada que se puede utilizar para el cifrado o la firma. La clave privada se mantiene dentro de la AWS KMS. Para descargar la clave pública para utilizarla fuera de AWS KMS, consulte Descargar claves públicas.
Si va a crear una clave KMS para cifrar los datos que almacena o administra en un servicio de AWS, utilice una clave KMS de cifrado simétrica. Los servicios de AWS que se integran con AWS KMS no admiten clave KMS asimétricas. Para obtener ayuda para decidir si crear una clave KMS simétrica o asimétrica, consulte Elección de un tipo de clave KMS.
Para obtener información sobre los permisos necesarios para crear claves de KMS, consulte Permisos para crear claves KMS.
Temas
Creación de claves KMS asimétricas (consola)
Puede utilizar la AWS Management Console para crear AWS KMS keys asimétricas (claves KMS). Cada clave KMS asimétrica representa un par de claves públicas y privadas.
importante
No incluya información confidencial en el alias, la descripción ni las etiquetas. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.
-
Inicie sesión en la AWS Management Console y abra la consola de AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms
. -
Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.
-
En el panel de navegación, elija Claves administradas por el cliente.
-
Elija Create key.
-
Para crear una clave KMS asimétrica, en Key Type (Tipo de clave), seleccione Asymmetric (Asimétrica).
Para obtener información acerca de cómo crear una clave KMS de cifrado simétrica en la consola de AWS KMS, consulte Creación de claves KMS de cifrado simétricas (consola).
-
Para crear una clave KMS asimétrica para el cifrado de claves públicas, en Key Usage (Uso de claves), elija Encrypt and decrypt (Cifrar y descifrar). O bien, para crear una clave KMS asimétrica para firmar mensajes y verificar firmas, en Key Usage (Uso de claves), elija Sign and verify (Firmar y verificar).
Para obtener ayuda sobre cómo elegir un valor de uso de clave, consulte Seleccionar el uso de la clave.
-
Seleccione una especificación (Key spec [Especificación de clave]) para su clave KMS asimétrica.
A menudo, la especificación de clave que seleccione está determinada por requisitos normativos, de seguridad o empresariales. También puede estar influenciado por el tamaño de los mensajes que necesita cifrar o firmar. En general, las claves de cifrado más largas son más resistentes a los ataques de fuerza bruta.
Para obtener ayuda para elegir una especificación de clave, consulte Seleccionar la especificación de clave.
-
Elija Siguiente.
-
Escriba un alias para la clave KMS El nombre del alias no puede empezar por
aws/. El prefijoaws/está reservado para Amazon Web Services y representa las Claves administradas por AWS de su cuenta.Un alias es un nombre sencillo que puede utilizar para identificar la clave KMS en la consola y en algunos API de AWS KMS. Le recomendamos que elija un alias que indique el tipo de datos que piensa proteger o la aplicación que piensa usar con la clave KMS.
Los alias son necesarios para crear una clave KMS en la AWS Management Console. No puede especificar un alias al usar la CreateKeyoperación, pero puede usar la consola o la CreateAliasoperación para crear un alias para una clave de KMS existente. Para obtener más detalles, consulte Uso de alias.
-
(Opcional) Escriba una descripción de la clave KMS.
Escriba una descripción que explique el tipo de datos que piensa proteger o la aplicación que piensa usar con la clave KMS.
Puede agregar una descripción ahora o actualizarla en cualquier momento, a menos que el estado de la clave sea
Pending DeletionoPending Replica Deletion. Para añadir, cambiar o eliminar la descripción de una clave gestionada por el cliente existente, edite la descripción en la operación AWS Management Console o utilice esta UpdateKeyDescriptionoperación. -
(Opcional) Escriba una clave de etiqueta y un valor de etiqueta opcional. Para agregar más de una etiqueta a la clave KMS, elija Add tag (Agregar etiqueta).
Cuando se agregan etiquetas a los recursos de AWS, AWS genera un informe de asignación de costos con el uso y los costos agregados por etiquetas. Las etiquetas también pueden utilizarse para controlar el acceso a una clave KMS. Para obtener información acerca del etiquetado de claves KMS, consulte Etiquetado de claves y ABAC para AWS KMS.
-
Elija Siguiente.
-
Seleccione los usuarios y roles de IAM que pueden administrar la clave de KMS.
nota
Esta política de claves proporciona a la Cuenta de AWS control total de esta clave KMS. Permite a los administradores de cuentas utilizar las políticas de IAM para dar permiso a otras entidades principales para administrar la clave KMS. Para obtener más detalles, consulte Política de claves predeterminada.
Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección Prácticas recomendadas de seguridad de IAM en la Guía del usuario de IAM;.
-
(Opcional) Para evitar que los usuarios y los roles de IAM seleccionados eliminen esta clave de KMS, en la sección Eliminación de claves situada en la parte inferior de la página, desactive la casilla Permitir que los administradores de claves eliminen esta clave.
-
Elija Siguiente.
-
Seleccione los usuarios y roles de IAM que pueden usar la clave de KMS en operaciones criptográficas.
nota
Esta política de claves proporciona a la Cuenta de AWS control total de esta clave KMS. Permite a los administradores de cuentas utilizar las políticas de IAM para dar permiso a otras entidades principales para utilizar la clave KMS. Para obtener más detalles, consulte Política de claves predeterminada.
Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección Prácticas recomendadas de seguridad de IAM en la Guía del usuario de IAM;.
-
(Opcional) Puede permitir que otras cuentas de Cuentas de AWS usen esta clave de KMS en operaciones criptográficas. Para ello, en la parte inferior de la página de la sección Other Cuentas de AWS (Otras), elija Add another Cuenta de AWS (Agregar otra) e ingrese el número de identificación de Cuenta de AWS de una cuenta externa. Para agregar varias cuentas externas, repita este paso.
nota
Para permitir que las entidades principales de las cuentas externas usen la clave KMS, los administradores de la cuenta externa también deben crear las políticas de IAM que proporcionan estos permisos. Para obtener más información, consulte Permitir a los usuarios de otras cuentas utilizar una clave KMS.
-
Seleccione Siguiente.
-
Revise los ajustes de clave que ha elegido. Aún puede volver atrás y cambiar todos los ajustes.
-
Elija Finish (Finalizar) para crear la clave KMS.
Creación de claves KMS asimétricas (API de AWS KMS)
Puede utilizar la CreateKeyoperación para crear una asimétricaAWS KMS key. En estos ejemplos, se utiliza la AWS Command Line Interface (AWS CLI)
Al crear una clave KMS asimétrica, debe especificar el parámetro KeySpec, que determina el tipo de claves que cree. Además, debe especificar un valor KeyUsage de ENCRYPT_DECRYPT o SIGN_VERIFY. No puede cambiar estas propiedades después de que se cree la clave de KMS.
La CreateKey operación no le permite especificar un alias, pero puede utilizarla para crear un alias para la CreateAliasnueva clave de KMS.
importante
No incluya información confidencial en los campos Description o Tags. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.
En el siguiente ejemplo se utiliza la operación CreateKey para crear una clave KMS asimétrica de claves RSA de 4096 bits diseñadas para el cifrado de claves públicas.
$aws kms create-key --key-spec RSA_4096 --key-usage ENCRYPT_DECRYPT{ "KeyMetadata": { "KeyState": "Enabled", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyManager": "CUSTOMER", "Description": "", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1569973196.214, "MultiRegion": false, "KeySpec": "RSA_4096", "CustomerMasterKeySpec": "RSA_4096", "KeyUsage": "ENCRYPT_DECRYPT", "EncryptionAlgorithms": [ "RSAES_OAEP_SHA_1", "RSAES_OAEP_SHA_256" ], "AWSAccountId": "111122223333", "Origin": "AWS_KMS", "Enabled": true } }
El comando del siguiente ejemplo crea una clave KMS asimétrica que representa un par de claves ECDSA utilizadas para la firma y verificación. No se puede crear un par de claves de curva elíptica para el cifrado y el descifrado.
$aws kms create-key --key-spec ECC_NIST_P521 --key-usage SIGN_VERIFY{ "KeyMetadata": { "KeyState": "Enabled", "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1570824817.837, "Origin": "AWS_KMS", "SigningAlgorithms": [ "ECDSA_SHA_512" ], "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "AWSAccountId": "111122223333", "KeySpec": "ECC_NIST_P521", "CustomerMasterKeySpec": "ECC_NIST_P521", "KeyManager": "CUSTOMER", "Description": "", "Enabled": true, "MultiRegion": false, "KeyUsage": "SIGN_VERIFY" } }
