Crear una clave asimétrica KMS - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crear una clave asimétrica KMS

Puede crear KMSclaves asimétricas en la AWS KMS consola mediante la plantilla::: AWS CloudFormation :Key o la plantillaAWS::KMS: Key. CreateKeyAPI Una KMS clave asimétrica representa un par de claves pública y privada que se puede usar para cifrar, firmar o derivar secretos compartidos. La clave privada permanece dentro. AWS KMS Para descargar la clave pública para usarla fuera de ella AWS KMS, consulteDescarga de la clave pública.

Al crear una KMS clave asimétrica, debe seleccionar una especificación clave. A menudo, la especificación de clave que seleccione está determinada por requisitos normativos, de seguridad o empresariales. También puede estar influenciado por el tamaño de los mensajes que necesita cifrar o firmar. En general, las claves de cifrado más largas son más resistentes a los ataques de fuerza bruta. Para obtener una descripción detallada de todas las especificaciones de clave admitidas, consulte Referencia de especificaciones de clave.

AWS los servicios que se integran AWS KMS no admiten claves asimétricasKMS. Si desea crear una KMS clave que cifre los datos que almacena o administra en un AWS servicio, cree una clave de cifrado simétrica. KMS

Para obtener información sobre los permisos necesarios para crear KMS claves, consulte. Permisos para crear KMS claves

Puede utilizar el AWS Management Console para crear KMS claves asimétricas AWS KMS keys . Cada KMS clave asimétrica representa un par de claves pública y privada.

importante

No incluya información confidencial en el alias, la descripción ni las etiquetas. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

  1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) AWS Management Console y ábrala en https://console.aws.amazon.com/kms.

  2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Elija Create key.

  5. Para crear una clave asimétrica, en Tipo de KMS clave, elija Asimétrica.

  6. Para crear una clave asimétrica para el cifrado de KMS clave pública, en Uso de claves, elija Cifrar y descifrar.

    Para crear una KMS clave asimétrica para firmar mensajes y verificar firmas, en Uso de claves, selecciona Firmar y verificar.

    Para crear una KMS clave asimétrica para obtener secretos compartidos, en Uso de claves, selecciona Acuerdo de claves.

    Para obtener ayuda sobre cómo elegir un valor de uso de clave, consulte Elegir qué tipo de KMS clave crear.

  7. Seleccione una especificación (especificación clave) para su clave asimétrica. KMS

  8. Elija Next (Siguiente).

  9. Escriba un alias para la KMS clave. El nombre del alias no puede empezar por aws/. El prefijo aws/ está reservado para Amazon Web Services y representa las Claves administradas por AWS de su cuenta.

    Un alias es un nombre descriptivo que se puede utilizar para identificar la KMS clave en la consola y en algunas de ellas AWS KMS APIs. Le recomendamos que elija un alias que indique el tipo de datos que planea proteger o la aplicación que planea usar con la KMS clave.

    Los alias son obligatorios al crear una KMS clave en. AWS Management Console No puede especificar un alias al usar la CreateKeyoperación, pero puede usar la consola o la CreateAliasoperación para crear un alias para una KMS clave existente. Para obtener más información, consulte Alias en AWS KMS.

  10. (Opcional) Escriba una descripción para la KMS clave.

    Introduzca una descripción que explique el tipo de datos que planea proteger o la aplicación que planea usar con la KMS clave.

    Puede agregar una descripción ahora o actualizarla en cualquier momento, a menos que el estado de la clave sea Pending Deletion o Pending Replica Deletion. Para añadir, cambiar o eliminar la descripción de una clave gestionada por el cliente existente, edite la descripción de la KMS clave en la página de detalles AWS Management Console o utilice la UpdateKeyDescriptionoperación.

  11. (Opcional) Escriba una clave de etiqueta y un valor de etiqueta opcional. Para añadir más de una etiqueta a la KMS clave, seleccione Añadir etiqueta.

    Al añadir etiquetas a AWS los recursos, AWS genera un informe de asignación de costes con el uso y los costes agregados por etiquetas. Las etiquetas también se pueden usar para controlar el acceso a una KMS clave. Para obtener información sobre el etiquetado de KMS claves, consulte Etiquetas en AWS KMS yABAC para AWS KMS.

  12. Elija Next (Siguiente).

  13. Seleccione los IAM usuarios y roles que pueden administrar la KMS clave.

    Notas

    Esta política clave proporciona el control Cuenta de AWS total de esta KMS clave. Permite a los administradores de cuentas usar IAM políticas para dar permiso a otros directores para administrar la KMS clave. Para obtener más información, consulte Política de claves predeterminada.

    IAMlas mejores prácticas desaconsejan el uso de IAM usuarios con credenciales de larga duración. Siempre que sea posible, utilice IAM roles, que proporcionan credenciales temporales. Para obtener más información, consulte las prácticas recomendadas de seguridad IAM en la Guía del IAM usuario.

    La AWS KMS consola agrega administradores clave a la política clave bajo el identificador de la declaración"Allow access for Key Administrators". La modificación de este identificador de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.

  14. (Opcional) Para evitar que IAM los usuarios y roles seleccionados eliminen esta KMS clave, en la sección Eliminación de claves de la parte inferior de la página, desactive la casilla de verificación Permitir que los administradores de claves eliminen esta clave.

  15. Elija Next (Siguiente).

  16. Seleccione los IAM usuarios y roles que pueden usar la KMS clave para las operaciones criptográficas.

    Notas

    IAMlas mejores prácticas desaconsejan el uso de IAM usuarios con credenciales de larga duración. Siempre que sea posible, utilice IAM roles, que proporcionan credenciales temporales. Para obtener más información, consulte las prácticas recomendadas de seguridad IAM en la Guía del IAM usuario.

    La AWS KMS consola agrega los usuarios clave a la política clave bajo los identificadores de la declaración "Allow use of the key" y"Allow attachment of persistent resources". La modificación de estos identificadores de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.

  17. (Opcional) Puede permitir que otras personas Cuentas de AWS usen esta KMS clave para operaciones criptográficas. Para ello, en la parte inferior de la página de la sección Other Cuentas de AWS(Otras), elija Add another Cuenta de AWS(Agregar otra) e ingrese el número de identificación de Cuenta de AWS de una cuenta externa. Para agregar varias cuentas externas, repita este paso.

    nota

    Para permitir que los directores de las cuentas externas usen la KMS clave, los administradores de la cuenta externa deben crear IAM políticas que proporcionen estos permisos. Para obtener más información, consulte Permitir a los usuarios de otras cuentas utilizar una clave KMS.

  18. Elija Next (Siguiente).

  19. Revise las declaraciones de políticas clave para ver la clave. Para realizar cambios en la política clave, selecciona Editar.

  20. Elija Next (Siguiente).

  21. Revise los ajustes de clave que ha elegido. Aún puede volver atrás y cambiar todos los ajustes.

  22. Seleccione Finalizar para crear la KMS clave.

Puede utilizar la CreateKeyoperación para crear una asimétrica AWS KMS key. En estos ejemplos, se utiliza la AWS Command Line Interface (AWS CLI), pero puede usar cualquier lenguaje de programación admitido.

Al crear una KMS clave asimétrica, debe especificar el KeySpec parámetro, que determina el tipo de claves que se crean. Además, debe especificar un KeyUsage valor de ENCRYPT _ DECRYPTVERIFY, SIGN _ o KEY _AGREEMENT. No puede cambiar estas propiedades una vez creada la KMS clave.

La CreateKey operación no le permite especificar un alias, pero puede utilizarla CreateAliaspara crear un alias para la nueva KMS clave.

importante

No incluya información confidencial en los campos Description o Tags. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

Cree un KMS key pair asimétrico para el cifrado público

En el siguiente ejemplo, se utiliza la CreateKey operación para crear una KMS clave asimétrica de 4096 bits diseñada para el cifrado de RSA clave pública.

$ aws kms create-key --key-spec RSA_4096 --key-usage ENCRYPT_DECRYPT { "KeyMetadata": { "KeyState": "Enabled", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyManager": "CUSTOMER", "Description": "", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1569973196.214, "MultiRegion": false, "KeySpec": "RSA_4096", "CustomerMasterKeySpec": "RSA_4096", "KeyUsage": "ENCRYPT_DECRYPT", "EncryptionAlgorithms": [ "RSAES_OAEP_SHA_1", "RSAES_OAEP_SHA_256" ], "AWSAccountId": "111122223333", "Origin": "AWS_KMS", "Enabled": true } }
Cree un KMS key pair asimétrico para la firma y la verificación

El siguiente comando de ejemplo crea una KMS clave asimétrica que representa un par de ECC claves utilizadas para la firma y la verificación. No se puede crear un par de claves de curva elíptica para el cifrado y el descifrado.

$ aws kms create-key --key-spec ECC_NIST_P521 --key-usage SIGN_VERIFY { "KeyMetadata": { "KeyState": "Enabled", "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1570824817.837, "Origin": "AWS_KMS", "SigningAlgorithms": [ "ECDSA_SHA_512" ], "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "AWSAccountId": "111122223333", "KeySpec": "ECC_NIST_P521", "CustomerMasterKeySpec": "ECC_NIST_P521", "KeyManager": "CUSTOMER", "Description": "", "Enabled": true, "MultiRegion": false, "KeyUsage": "SIGN_VERIFY" } }
Cree un KMS key pair asimétrico para derivar secretos compartidos

El siguiente comando de ejemplo crea una KMS clave asimétrica que representa un par de ECDH claves utilizadas para derivar los secretos compartidos. No se puede crear un par de claves de curva elíptica para el cifrado y el descifrado.

$ aws kms create-key --key-spec ECC_NIST_P256 --key-usage KEY_AGREEMENT { "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": "2023-12-27T19:10:15.063000+00:00", "Enabled": true, "Description": "", "KeyUsage": "KEY_AGREEMENT", "KeyState": "Enabled", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "ECC_NIST_P256", "KeySpec": "ECC_NIST_P256", "KeyAgreementAlgorithms": [ "ECDH" ], "MultiRegion": false } }