AWS KMS conceptos - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS KMS conceptos

Aprenda los términos y conceptos básicos que se utilizan en AWS Key Management Service (AWS KMS) y cómo funcionan juntos para ayudar a proteger sus datos.

AWS KMS keys

AWS KMS keys (KMSclaves) son el recurso principal de AWS KMS. Puede utilizar una KMS clave para cifrar, descifrar y volver a cifrar los datos. También puede generar claves de datos que puede utilizar fuera de AWS KMS. Normalmente, usarás KMSclaves de cifrado simétricas, pero puedes crear y usar KMSclaves asimétricas para cifrar o firmar, y crear y usar HMACKMSclaves para generar y verificar HMAC etiquetas.

nota

AWS KMS está sustituyendo el término clave maestra del cliente () CMK por AWS KMS keyy KMSclave. El concepto no ha cambiado. Para evitar cambios importantes, AWS KMS mantiene algunas variaciones de este término.

Una AWS KMS keyes una representación lógica de una clave criptográfica. Una KMS clave contiene metadatos, como el identificador de la clave, las especificaciones de la clave, el uso de la clave, la fecha de creación, la descripción y el estado de la clave. Y lo que es más importante, contiene una referencia al material clave que se utiliza cuando se realizan operaciones criptográficas con la KMS clave.

Puede crear una KMS clave con el material clave criptográfico generado en AWS KMS FIPSmódulos de seguridad de hardware validados. El material clave de las claves simétricas y KMS las claves privadas de las claves asimétricas nunca KMS salen AWS KMS sin cifrar. Para usar o administrar sus KMS claves, debe usar AWS KMS. Para obtener información sobre la creación y la administración de KMS claves, consulteAdministración de claves. Para obtener información sobre el uso de KMS las claves, consulte la AWS Key Management Service APIReferencia.

De forma predeterminada, AWS KMS crea el material clave de una KMS clave. No puede extraer, exportar, ver ni administrar este material de claves. La única excepción es la clave pública de un key pair asimétrico, que se puede exportar para utilizarla fuera de AWS. Además, no puede eliminar este material clave; debe eliminar la KMS clave. Sin embargo, puede importar su propio material clave a una KMS clave o utilizar un almacén de claves personalizado para crear KMS claves que utilicen material clave en su AWS CloudHSM clúster o material clave en un administrador de claves externo que poseas y administres fuera de AWS.

AWS KMS también admite claves multirregionales, que permiten cifrar los datos en una sola Región de AWS y descifrarlos en una forma diferente Región de AWS.

Para obtener información sobre la creación y administración de KMS claves, consulteAdministración de claves. Para obtener información sobre el uso de KMS las claves, consulte la AWS Key Management Service APIReferencia.

Claves del cliente y AWS claves

Las KMS claves que cree son claves administradas por el cliente. Servicios de AWS las que utilizan KMS claves para cifrar los recursos de su servicio suelen crear claves para usted. KMSclaves que Servicios de AWS crea en tu AWS son cuentas Claves administradas por AWS. KMSllaves que Servicios de AWS crear en una cuenta de servicio son Claves propiedad de AWS.

Tipo de KMS clave Puede ver los metadatos KMS clave Puede gestionar la KMS clave Se usa solo para mi Cuenta de AWS Rotación automática Precios
Clave administrada por clientes Opcional. Cada año (aproximadamente 365 días)

Cuota mensual (prorrateada por hora)

Tarifa por uso

Clave administrada de AWS No Obligatorio. Cada año (aproximadamente 365 días)

Sin cuota mensual

Tarifa por uso (alguna) Servicios de AWS paga esta tarifa por ti)

Clave propiedad de AWS No No No Varía Sin cuotas

AWS servicios que se integran con AWS KMSdifieren en su compatibilidad con las KMS claves. Alguno AWS los servicios cifran sus datos de forma predeterminada con un Clave propiedad de AWS o un Clave administrada de AWS. Algunos AWS los servicios admiten claves administradas por el cliente. Otro AWS los servicios admiten todo tipo de KMS claves para ofrecerle la facilidad de un Clave propiedad de AWS, la visibilidad de un Clave administrada de AWS, o el control de una clave gestionada por el cliente. Para obtener información detallada sobre las opciones de cifrado que un AWS ofertas de servicios, consulte el tema Encryption at Rest en la guía del usuario o en la guía para desarrolladores del servicio.

Claves administradas por el cliente

Las KMS claves que cree son claves administradas por el cliente. Las claves gestionadas por el cliente son KMS claves de su Cuenta de AWS que usted crea, posee y administra. Usted tiene el control total sobre estas KMS claves, lo que incluye establecer y mantener sus políticas, IAM políticas y concesiones de claves, habilitarlas y deshabilitarlas, cambiar su material criptográfico, añadir etiquetas, crear alias que hagan referencia a las KMS claves y programar su eliminación KMS.

Las claves administradas por el cliente aparecen en la página de claves administradas por el cliente del AWS Management Console for AWS KMS. Para identificar definitivamente una clave gestionada por el cliente, utilice la DescribeKeyoperación. En el caso de las claves administradas por el cliente, el valor del campo KeyManager de la respuesta DescribeKey es CUSTOMER.

Puede utilizar su clave gestionada por el cliente en operaciones criptográficas y auditar el uso en AWS CloudTrail registros. Además, muchos AWS servicios que se integran con AWS KMSle permiten especificar una clave gestionada por el cliente para proteger los datos almacenados y gestionados por usted.

Las claves administradas por el cliente tienen una tarifa mensual y una tarifa por uso excesivo del nivel gratuito. Se tienen en cuenta para deducir del AWS KMS cuotas para su cuenta. Para obtener más información, consulte AWS Key Management Service Precios yCuotas.

Claves administradas por AWS

Claves administradas por AWSson KMS claves de su cuenta que un AWS servicio integrado con AWS KMS.

Alguno AWS los servicios le permiten elegir un Clave administrada de AWS o una clave gestionada por el cliente para proteger los recursos de ese servicio. En general, a menos que se le pida que controle la clave de cifrado que protege sus recursos, una Clave administrada de AWS es una buena opción. No tienes que crear ni mantener la clave ni su política de claves, y nunca tendrás que pagar una cuota mensual por un Clave administrada de AWS.

Tienes permiso para ver la Claves administradas por AWSen su cuenta, consulte sus políticas clave y audite su uso en AWS CloudTrail registros. Sin embargo, no puede cambiar ninguna propiedad de Claves administradas por AWS, rotarlas, cambiar sus políticas clave o programar su eliminación. Y, no puede usar Claves administradas por AWS en las operaciones criptográficas directamente; el servicio que las crea las utiliza en su nombre.

Claves administradas por AWS aparecen en el Claves administradas por AWSpágina del AWS Management Console for AWS KMS. También puedes identificar Claves administradas por AWS por sus alias, que tienen el formatoaws/service-name, comoaws/redshift. Para identificar definitivamente un Claves administradas por AWS, utilice la DescribeKeyoperación. En Claves administradas por AWS, el valor del KeyManager campo de la DescribeKey respuesta esAWS.

Todos Claves administradas por AWS se rotan automáticamente cada año. No puede cambiar esta programación de rotación.

nota

En mayo de 2022, AWS KMS cambió el programa de rotación de Claves administradas por AWS de cada tres años (aproximadamente 1.095 días) a cada año (aproximadamente 365 días).

New Claves administradas por AWS se rotan automáticamente un año después de su creación y aproximadamente cada año a partir de entonces.

¿Existentes Claves administradas por AWS se rotan automáticamente un año después de su rotación más reciente y, a partir de entonces, todos los años.

No hay cuota mensual para Claves administradas por AWS. Pueden estar sujetos a comisiones si se utilizan más allá del nivel gratuito, pero algunos AWS los servicios cubren estos costos por ti. Para obtener más detalles, consulte el tema Cifrado en reposo en la Guía del usuario o en la Guía para desarrolladores del servicio. Para obtener más información, consulte AWS Key Management Service Precios.

Claves administradas por AWS no se tienen en cuenta las cuotas de recursos a la hora de calcular el número de KMS claves en cada región de su cuenta. Sin embargo, si se utilizan en nombre del principal de tu cuenta, las KMS claves se tienen en cuenta para descontar las cuotas solicitadas. Para obtener más información, consulte Cuotas.

Claves propiedad de AWS

Claves propiedad de AWSson una colección de KMS claves que AWS el servicio posee y administra para su uso en múltiples Cuentas de AWS. Aunque Claves propiedad de AWS no están en tu Cuenta de AWS, un AWS el servicio puede usar un Clave propiedad de AWS para proteger los recursos de su cuenta.

Alguno AWS los servicios le permiten elegir un Clave propiedad de AWS o una clave gestionada por el cliente. En general, a menos que tenga que auditar o controlar la clave de cifrado que protege sus recursos, una Clave propiedad de AWS es una buena opción. Claves propiedad de AWS son completamente gratuitos (sin cuotas mensuales ni tarifas de uso) y no se descuentan del AWS KMS cuotas para tu cuenta y son fáciles de usar. No es necesario crear ni mantener la clave ni su política de claves.

La rotación de Claves propiedad de AWS varía según los servicios. Para obtener información sobre la rotación de un determinado Clave propiedad de AWS, consulte el tema Encryption at Rest en la guía del usuario o en la guía para desarrolladores del servicio.

Claves de cifrado KMS simétricas

Al crear un AWS KMS key, de forma predeterminada, se obtiene una KMS clave para el cifrado simétrico. Este es el tipo de KMS clave básico y más utilizado.

En AWS KMS, una clave de cifrado simétrica representa una KMS clave de GCM cifrado de 256 bitsAES, excepto en las regiones de China, donde representa una clave de cifrado de 128 SM4 bits. El material de la clave simétrica nunca se va AWS KMS sin cifrar. Para utilizar una KMS clave de cifrado simétrica, debe llamar AWS KMS. Las claves de cifrado simétrico se utilizan en el cifrado simétrico, donde se utiliza la misma clave para el cifrado y el descifrado. A menos que su tarea requiera explícitamente un cifrado asimétrico, claves de cifrado simétricas, que nunca salen KMS AWS KMS sin cifrar, son una buena opción.

AWS servicios que están integrados con AWS KMSutilice únicamente KMS claves de cifrado simétricas para cifrar sus datos. Estos servicios no admiten el cifrado con claves asimétricasKMS. Para obtener ayuda para determinar si una KMS clave es simétrica o asimétrica, consulte. Identificación de claves KMS asimétricas

Técnicamente, la especificación de clave para una clave simétrica es SYMMETRIC _DEFAULT, el uso de la clave es ENCRYPT _ DECRYPT y el algoritmo de cifrado es _. SYMMETRIC DEFAULT Para obtener más información, consulte Especificación de clave SYMMETRIC_DEFAULT.

Puede utilizar una clave de cifrado simétrica en KMS AWS KMS para cifrar, descifrar y volver a cifrar datos y generar claves de datos y pares de claves de datos. Puede crear claves de cifrado simétricas multirregionales, importar su propio material de KMS claves a una clave de cifrado simétrica y crear claves de cifrado simétricas en almacenes de KMS claves personalizados. KMS Para ver una tabla en la que se comparan las operaciones que puede realizar con KMS claves de distintos tipos, consulte. Referencia de tipos de claves

Teclas asimétricas KMS

Puede crear claves asimétricas KMS en AWS KMS. Una KMSclave asimétrica representa un par de clave pública y clave privada relacionados matemáticamente. La clave privada nunca sale AWS KMS sin cifrar. Para usar la clave privada, debe llamar AWS KMS. Puedes usar la clave pública que hay dentro AWS KMS llamando al AWS KMS APIoperaciones, o puede descargar la clave pública y utilizarla fuera de AWS KMS. También puede crear claves asimétricas KMSmultirregionales.

Puede crear claves asimétricas que RSA representen pares de KMS claves, pares de claves de curvas elípticas o pares de SM2 claves (solo regiones de China). KMSlas RSA claves con pares de claves se pueden usar para cifrar o descifrar datos o para firmar y verificar mensajes (pero no ambos). KMSlas claves con los pares NIST de claves de curva elíptica recomendados se pueden usar para firmar y verificar mensajes o para obtener secretos compartidos (pero no ambos). KMSlas ECC_SECG_P256K1 claves con pares de claves solo se pueden usar para firmar y verificar mensajes. KMSlas claves con pares de claves SM2 (solo en las regiones de China) se pueden usar para cifrar y descifrar datos, firmar y verificar los mensajes o derivar secretos compartidos (debe elegir un tipo de uso de clave).

Para obtener más información sobre la creación y el uso de KMS claves asimétricas, consulte. Teclas asimétricas en AWS KMS

HMACKMSclaves

Una HMACKMSclave representa una clave simétrica de longitud variable que se utiliza para generar y verificar los códigos de autenticación de mensajes basados en hash ()HMAC. El material clave de una HMAC clave nunca se va AWS KMS sin cifrar. Para usar una HMAC clave, llama a las VerifyMacAPIoperaciones GenerateMaco.

También puede crear HMAC KMS claves multirregionales.

Para obtener más información sobre la creación y el uso de HMAC KMS claves, consulteClaves HMAC en AWS KMS.

Claves de datos

Las claves de datos son las claves simétricas que puede utilizar para cifrar los datos, incluidas grandes cantidades de datos y otras claves de cifrado de datos. A diferencia de KMSlas claves simétricas, que no se pueden descargar, las claves de datos se le devuelven para que las utilice fuera de AWS KMS.

Cuando AWS KMS genera claves de datos y devuelve una clave de datos en texto plano para su uso inmediato (opcional) y una copia cifrada de la clave de datos que puede almacenar de forma segura junto con los datos. Cuando esté listo para descifrar los datos, primero pregunte AWS KMS para descifrar la clave de datos cifrados.

AWS KMS genera, cifra y descifra las claves de datos. Sin embargo, AWS KMS no almacena, administra ni rastrea sus claves de datos, ni realiza operaciones criptográficas con claves de datos. Debe usar y administrar las claves de datos fuera de AWS KMS. Para obtener ayuda sobre el uso seguro de las claves de datos, consulta la AWS Encryption SDK.

Crear una clave de datos

Para crear una clave de datos, llame a la GenerateDataKeyoperación. AWS KMS genera la clave de datos. A continuación, cifra una copia de la clave de datos con una clave de cifrado KMS simétrica que usted especifique. La operación devuelve una copia en texto plano de la clave de datos y la copia de la clave de datos cifrada bajo la clave. KMS En la imagen siguiente, se muestra esta operación.

Generar una clave de datos

AWS KMS también admite la GenerateDataKeyWithoutPlaintextoperación, que devuelve solo una clave de datos cifrada. Cuando necesite usar la clave de datos, pregunte AWS KMS para descifrarlo.

Cifrar los datos con una clave de datos

AWS KMS no puede utilizar una clave de datos para cifrar los datos. Sin embargo, puede utilizar la clave de datos fuera de AWS KMS, por ejemplo, mediante Open SSL o una biblioteca criptográfica como la AWS Encryption SDK.

Después de utilizar la clave de datos en texto no cifrado para cifrar los datos, elimínela de la memoria tan pronto como sea posible. Puede almacenar de forma segura la clave de datos cifrada con los datos cifrados para que esté disponible para descifrar los datos.

Cifre los datos de los usuarios fuera de AWS KMS

Descifrar los datos con una clave de datos

Para descifrar los datos, pase la clave de datos cifrados a la operación de descifrado. AWS KMS utiliza su KMS clave para descifrar la clave de datos y, a continuación, devuelve la clave de datos en texto plano. Utilice la clave de datos de texto no cifrado para descifrar los datos y, a continuación, elimine la clave de datos de texto no cifrado de la memoria tan pronto como sea posible.

En el siguiente diagrama, se muestra cómo se utiliza la operación Decrypt para descifrar una clave de datos cifrada.

Descifrando una clave de datos

Cómo afectan las claves inutilizables a KMS las claves de datos

Cuando una KMS clave queda inutilizable, el efecto es casi inmediato (sujeto a la posible coherencia). El estado de la KMS clave cambia para reflejar su nueva condición, y todas las solicitudes de uso de la KMS clave en operaciones criptográficas fallan.

Sin embargo, el efecto en las claves de datos cifradas por la KMS clave y en los datos cifrados por la clave de datos se retrasa hasta que la KMS clave se vuelva a utilizar, por ejemplo, para descifrar la clave de datos.

KMSlas claves pueden quedar inutilizables por diversos motivos, incluidas las siguientes acciones que puede realizar.

Este efecto es particularmente importante para muchos Servicios de AWS que utilizan claves de datos para proteger los recursos que administra el servicio. El siguiente ejemplo utiliza Amazon Elastic Block Store (AmazonEBS) y Amazon Elastic Compute Cloud (AmazonEC2). Different Servicios de AWS utilizan las claves de datos de diferentes maneras. Para obtener más información, consulte la sección de protección de datos del capítulo de seguridad para ver la Servicio de AWS.

Por ejemplo, considere esta situación:

  1. Debe crear un EBS volumen cifrado y especificar una KMS clave para protegerlo. Amazon EBS pregunta AWS KMS para usar su KMS clave para generar una clave de datos cifrada para el volumen. Amazon EBS almacena la clave de datos cifrada con los metadatos del volumen.

  2. Cuando adjuntas el EBS volumen a una EC2 instancia, Amazon EC2 usa tu KMS clave para descifrar la clave de datos cifrados del EBS volumen. Amazon EC2 usa la clave de datos del hardware Nitro, que se encarga de cifrar todas las E/S del disco en el volumen. EBS La clave de datos permanece en el hardware Nitro mientras el EBS volumen está conectado a la instancia. EC2

  3. Realiza una acción que inutiliza la KMS clave. Esto no tiene ningún efecto inmediato en la EC2 instancia o el EBS volumen. Amazon EC2 usa la clave de datos (no la KMS clave) para cifrar todas las E/S del disco mientras el volumen está conectado a la instancia.

  4. Sin embargo, cuando el EBS volumen cifrado se separa de la EC2 instancia, Amazon EBS elimina la clave de datos del hardware de Nitro. La próxima vez que el EBS volumen cifrado se adjunte a una EC2 instancia, el archivo adjunto fallará porque Amazon EBS no puede usar la KMS clave para descifrar la clave de datos cifrados del volumen. Para volver a utilizar el EBS volumen, debe hacer que la KMS clave se pueda volver a utilizar.

Pares de claves de datos

Los pares de claves de datos son claves de datos asimétricos que constan de una clave privada y una clave pública relacionadas matemáticamente. Están diseñados para su uso en el cifrado y el descifrado del lado del cliente o para la firma y la verificación fuera de AWS KMS.

A diferencia de los pares de claves de datos que generan herramientas como Open, SSL AWS KMS protege la clave privada de cada par de claves de datos con una KMS clave de cifrado simétrica en AWS KMS que especifique. Sin embargo, AWS KMS no almacena, administra ni rastrea sus pares de claves de datos, ni realiza operaciones criptográficas con pares de claves de datos. Debe usar y administrar los pares de claves de datos fuera de AWS KMS.

AWS KMS admite los siguientes tipos de pares de claves de datos:

  • RSApares de claves: RSA _2048, RSA _3072 y _4096 RSA

  • Pares de claves de curvas elípticas: ECC _ NIST _P256, _ _P384, ECC _ _P521 y _ _P256K1 NIST ECC NIST ECC SECG

  • Pares de claves SM (solo en las regiones de China): SM2

El tipo de par de claves de datos que por lo general depende de su caso de uso o de los requisitos reglamentarios. La mayoría de los certificados requieren RSA claves. Las claves de curva elíptica se utilizan a menudo para firmas digitales o para obtener secretos compartidos. ECC_ Las claves SECG _P256K1 se utilizan habitualmente para las criptomonedas. AWS KMS recomienda usar pares de ECC claves para firmar y usar pares de RSA claves para cifrar o firmar, pero no para ambos. Sin embargo, AWS KMS no puede imponer ninguna restricción al uso de pares de claves de datos fuera de AWS KMS.

Crear un par de clave de datos

Para crear un par de claves de datos, llame a las GenerateDataKeyPairWithoutPlaintextoperaciones GenerateDataKeyPairo. Especifique la KMSclave de cifrado simétrica que desee utilizar para cifrar la clave privada.

GenerateDataKeyPair devuelve una clave pública de texto no cifrado, una clave pública de texto no cifrado y una clave privada cifrada. Utilice esta operación cuando necesite una clave privada de texto no cifrado inmediatamente, por ejemplo, para generar una firma digital.

GenerateDataKeyPairWithoutPlaintext devuelve una clave pública de texto no cifrado y una clave privada de texto cifrado, pero no una clave privada de texto no cifrado. Utilice esta operación cuando no necesite una clave privada de texto no cifrado inmediatamente, por ejemplo, cuando esté cifrando con una clave pública. Más tarde, cuando necesite una clave privada de texto no cifrado para descifrar los datos, puede llamar a la operación Decrypt.

En la imagen siguiente, se muestra la operación GenerateDataKeyPair. La operación GenerateDataKeyPairWithoutPlaintext omite la clave privada de texto no cifrado.

Cree un par de claves de datos

Cifrar los datos con un par de claves de datos

Cuando cifra con un par de claves de datos, utiliza la clave pública del par para cifrar los datos y la clave privada del mismo par para descifrar los datos. Normalmente, los pares de claves de datos se utilizan cuando muchas partes necesitan cifrar datos que solo la parte que posee la clave privada puede descifrar.

Las partes con la clave pública utilizan esa clave para cifrar datos, como se muestra en el siguiente diagrama.

Cifre los datos del usuario con la clave pública de un par de claves de datos fuera de AWS KMS

Descifrar los datos con un par de claves de datos

Para descifrar los datos, utilice la clave privada en el par de claves de datos. Para que la operación tenga éxito, las claves públicas y las privadas deben pertenecer al mismo par de claves de datos y debe utilizar el mismo algoritmo de cifrado.

Para descifrar la clave privada cifrada, pásala a la operación Decrypt . Utilice la clave privada de texto no cifrado para descifrar los datos. A continuación, elimina la clave privada de texto no cifrado de la memoria lo antes posible.

El siguiente diagrama muestra cómo utilizar la clave privada en un par de claves de datos para descifrar el texto cifrado.

Descifra los datos con la clave privada en un par de claves de datos fuera de AWS KMS.

Firmar los mensajes con un par de claves de datos

Para generar una firma criptográfica para un mensaje, utilice la clave privada en el par de claves de datos. Cualquier persona con clave pública puede utilizarla para verificar que el mensaje se firmase con su clave privada y que no haya cambiado desde entonces.

Si cifra su clave privada, pase la clave privada cifrada a la operación de descifrado. AWS KMS utiliza su KMS clave para descifrar la clave de datos y, a continuación, devuelve la clave privada en texto plano. Utilice la clave privada de texto no cifrado para generar la firma. A continuación, elimina la clave privada de texto no cifrado de la memoria lo antes posible.

Para firmar un mensaje, cree un resumen del mensaje mediante una función de hash criptográfico, como el dgstcomando de Open. SSL Después, pase su clave privada no cifrada al algoritmo de firma. El resultado es una firma que representa los contenidos del mensaje. (Es posible que pueda firmar mensajes más cortos sin crear primero un resumen. El tamaño máximo del mensaje varía según la herramienta de firma que utilice).

El siguiente diagrama muestra cómo utilizar la clave privada en un par de claves de datos para firmar un mensaje.

Genere una firma criptográfica con la clave privada en un par de claves de datos fuera de AWS KMS.

Verificar una firma con un par de claves de datos

Cualquier persona que tenga la clave pública en su par de claves de datos puede utilizarla para verificar la firma que generó con su clave privada. La verificación confirma que un usuario autorizado firmó el mensaje con el algoritmo de firma y la clave privada especificada y el mensaje no ha cambiado desde entonces.

Para tener éxito, la parte que verifique la firma debe generar el mismo tipo de resumen, utilizar el mismo algoritmo y utilizar la clave pública que se corresponde con la clave privada utilizada para firmar el mensaje.

El siguiente diagrama muestra cómo utilizar la clave pública en un par de claves de datos para verificar la firma de un mensaje.

Verifique una firma criptográfica con la clave pública en un par de claves de datos fuera de AWS KMS.

Obtenga un secreto compartido con pares de claves de datos

El acuerdo de claves permite a dos pares, cada uno con un par de claves pública-privada de curva elíptica, establecer un secreto compartido a través de un canal inseguro. Para obtener un secreto compartido, los dos pares deben intercambiar sus claves públicas a través de un canal de comunicación inseguro (como Internet). A continuación, cada parte utiliza su clave privada y la clave pública de su homóloga para calcular el mismo secreto compartido mediante un algoritmo de acuerdo de claves. Puede usar el valor secreto compartido para obtener una clave simétrica que pueda cifrar y descifrar los datos que se envían entre los dos pares, o que se pueda generar y verificar. HMACs

nota

AWS KMS recomienda encarecidamente comprobar que la clave pública que recibe procede de la parte prevista antes de utilizarla para obtener un secreto compartido.

Alias

Usa un alias como nombre descriptivo para la KMS clave. Por ejemplo, puede hacer referencia a una KMS clave como test-key en lugar de 1234abcd-12ab-34cd-56ef-1234567890ab.

Los alias facilitan la identificación de KMS una clave en el AWS Management Console. Puedes usar un alias para identificar una KMS clave en algunos AWS KMS operaciones, incluidas las operaciones criptográficas. En las aplicaciones, puede utilizar un único alias para hacer referencia a KMS las diferentes claves de cada una Región de AWS.

También puedes permitir y denegar el acceso a KMS las claves en función de sus alias sin editar las políticas ni gestionar las concesiones. Esta función forma parte de AWS KMS compatibilidad con el control de acceso basado en atributos ()ABAC. Para obtener más información, consulte ABAC para AWS KMS.

En AWS KMS, los alias son recursos independientes, no propiedades de una clave. KMS Por lo tanto, puede añadir, cambiar y eliminar un alias sin que ello afecte a la KMS clave asociada.

importante

No incluya información confidencial en un nombre de alias. Los alias pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

Más información:

Almacenes de claves personalizados

Un almacén de claves personalizado es un AWS KMS recurso respaldado por un administrador de claves externo a AWS KMS que usted posee y administra. Cuando utiliza una KMS clave de un almacén de claves personalizado para una operación criptográfica, la operación criptográfica se realiza realmente en su administrador de claves utilizando sus claves criptográficas.

AWS KMS es compatible con AWS CloudHSM almacenes de claves respaldados por un AWS CloudHSM almacenes de claves externos y de clúster respaldados por un administrador de claves externo externo a AWS.

Para obtener más información, consulte Almacenes de claves personalizados.

Operaciones criptográficas

En AWS KMS, las operaciones criptográficas son API operaciones que utilizan KMS claves para proteger los datos. Porque KMS las claves permanecen dentro AWS KMS, debes llamar AWS KMS para usar una KMS clave en una operación criptográfica.

Para realizar operaciones criptográficas con KMS claves, utilice la AWS SDKs, AWS Command Line Interface (AWS CLI), o el AWS Tools for PowerShell. No puede realizar operaciones criptográficas en el AWS KMS console. Para ver ejemplos de cómo llamar a las operaciones criptográficas en varios lenguajes de programación, consulte Ejemplos de código para AWS KMS utilización AWS SDKs.

En la siguiente tabla se enumeran las AWS KMS operaciones criptográficas. También muestra el tipo de clave y los requisitos de uso de las KMS claves utilizadas en la operación.

Operación Tipo de clave Uso de claves
Decrypt Simétrico o asimétrico ENCRYPT_DECRYPT
DeriveSharedSecret Asimétrica KEY_AGREEMENT
Encrypt Simétrico o asimétrico ENCRYPT_DECRYPT
GenerateDataKey Simétrica ENCRYPT_DECRYPT
GenerateDataKeyPair Simétrica [1]

No se admite en KMS las claves de los almacenes de claves personalizadas.

ENCRYPT_DECRYPT
GenerateDataKeyPairWithoutPlaintext Simétrica [1]

No se admite en KMS las claves de los almacenes de claves personalizadas.

ENCRYPT_DECRYPT
GenerateDataKeyWithoutPlaintext Simétrica ENCRYPT_DECRYPT
GenerateMac HMAC GENERATE_VERIFY_MAC
GenerateRandom N/A. En esta operación no se utiliza ninguna KMS clave. N/A
ReEncrypt Simétrico o asimétrico ENCRYPT_DECRYPT
Sign Asimétrica SIGN_VERIFY
Verificar Asimétrica SIGN_VERIFY
VerifyMac HMAC GENERATE_VERIFY_MAC

[1] Genera un par de claves de datos asimétricas que está protegido por una clave de cifrado KMS simétrica.

Para obtener información acerca de los permisos para operaciones criptográficas, consulte AWS KMS permisos.

Para hacer AWS KMS responsivo y altamente funcional para todos los usuarios, AWS KMS establece cuotas en cuanto al número de operaciones criptográficas solicitadas por segundo. Para obtener más información, consulte Cuotas compartidas para operaciones criptográficas.

Identificadores clave () KeyId

Los identificadores clave actúan como nombres para las claves. KMS Te ayudan a reconocer tus KMS llaves en la consola. Las usas para indicar qué KMS teclas quieres usar AWS KMS APIoperaciones, políticas clave, IAM políticas y subvenciones. Los valores del identificador clave no tienen ninguna relación con el material clave asociado a la KMS clave.

AWS KMS define varios identificadores clave. Al crear una KMS clave, AWS KMS genera una clave ARN y un identificador de clave, que son propiedades de la KMS clave. Al crear un alias, AWS KMS genera un alias en ARN función del nombre de alias que usted defina. Puede ver los identificadores de clave y alias en el AWS Management Console y en el AWS KMS API.

En el navegador AWS KMS consola, puede ver y filtrar KMS las claves por su claveARN, ID de clave o nombre de alias, y ordenar por ID de clave y nombre de alias. Para obtener ayuda para encontrar los identificadores clave en la consola, consulte Búsqueda del identificador y la clave ARN.

En el navegador AWS KMS API, los parámetros que se utilizan para identificar una KMS clave tienen un nombre KeyId o una variante, como TargetKeyId oDestinationKeyId. Sin embargo, los valores de esos parámetros no se limitan a la claveIDs. Algunos pueden tomar cualquier identificador de clave válido. Para obtener información sobre los valores de cada parámetro, consulte la descripción del parámetro en AWS Key Management Service APIReferencia.

nota

Al utilizar el AWS KMS API, tenga cuidado con el identificador clave que utilice. APIsLos diferentes requieren identificadores clave diferentes. En general, utilice el identificador de clave más completo que sea práctico para su tarea.

AWS KMS admite los siguientes identificadores clave.

Clave ARN

La clave ARN es el nombre de recurso de Amazon (ARN) de una KMS clave. Es un identificador único y totalmente cualificado para la KMS clave. Una clave ARN incluye el Cuenta de AWS, la región y el identificador de la clave. Si necesita ayuda para encontrar la clave ARN de una KMS clave, consulteBúsqueda del identificador y la clave ARN.

El formato de una clave ARN es el siguiente:

arn:<partition>:kms:<region>:<account-id>:key/<key-id>

El siguiente es un ejemplo de clave ARN para una KMS clave de región única.

arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

La key-id Los elementos de la clave ARNs de las claves multirregionales comienzan con el mrk- prefijo. El siguiente es un ejemplo de clave ARN para una clave multirregional.

arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab
ID de clave

El ID de clave identifica de forma exclusiva una KMS clave dentro de una cuenta y una región. Si necesitas ayuda para encontrar el identificador de clave de una KMS clave, consultaBúsqueda del identificador y la clave ARN.

El siguiente es un ejemplo de ID de clave para una KMS clave de una sola región.

1234abcd-12ab-34cd-56ef-1234567890ab

La clave IDs de las claves multirregionales comienza con el mrk- prefijo. A continuación, se muestra un ID de clave de ejemplo para una clave de múltiples regiones.

mrk-1234abcd12ab34cd56ef1234567890ab
Alias ARN

El alias ARN es el nombre de recurso de Amazon (ARN) de un AWS KMS alias. Es un identificador único y totalmente cualificado para el alias y para la KMS clave que representa. Un alias ARN incluye el Cuenta de AWS, la región y el nombre del alias.

En un momento dado, un alias ARN identifica una KMS clave concreta. Sin embargo, dado que puede cambiar la KMS clave asociada al alias, el alias ARN puede identificar diferentes KMS claves en distintos momentos. Si necesita ayuda para encontrar el alias ARN de una KMS clave, consulteBúsqueda del nombre y el alias ARN.

El formato de un alias ARN es el siguiente:

arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>

El siguiente es el alias ARN de un nombre ficticioExampleAlias.

arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias
Nombre del alias

El nombre de alias es una cadena de hasta 256 caracteres. Identifica de forma exclusiva una KMS clave asociada dentro de una cuenta y una región. En el navegador AWS KMS API, los nombres de alias siempre comienzan poralias/. Si necesita ayuda para encontrar el alias de una KMS clave, consulteBúsqueda del nombre y el alias ARN.

El formato de un nombre de alias es el siguiente:

alias/<alias-name>

Por ejemplo:

alias/ExampleAlias

El aws/ prefijo de un nombre de alias está reservado para Claves administradas por AWS. No se puede crear un alias con este prefijo. Por ejemplo, el nombre de alias del Clave administrada de AWS para Amazon Simple Storage Service (Amazon S3) es lo siguiente.

alias/aws/s3

Material de claves

El material de clave es la cadena de bits utilizada en un algoritmo criptográfico. El material de clave secreta debe mantenerse en secreto para proteger las operaciones criptográficas que lo utilizan. El material de clave pública está diseñado para compartirse.

Cada KMS clave incluye una referencia a su material clave en sus metadatos. El origen del material clave de las KMS claves de cifrado simétricas puede variar. Puede utilizar material clave que AWS KMS genera, material clave que se genera en el AWS CloudHSM agrupe un almacén de claves personalizado o importe su propio material de claves. Si usas AWS KMS material clave para su KMS clave de cifrado simétrico, puede activar la rotación automática del material clave.

De forma predeterminada, cada KMS clave tiene un material clave único. Sin embargo, puede crear un conjunto de claves de varias regiones con el mismo material de claves.

Origen del material de claves

El origen del material KMS clave es una propiedad clave que identifica el origen del material clave de la KMS clave. El origen del material clave se elige al crear la KMS clave y no se puede cambiar. El origen del material clave afecta a las características de seguridad, durabilidad, disponibilidad, latencia y rendimiento de la KMS clave.

Para encontrar el origen material clave de una KMS clave, utilice la DescribeKeyoperación o consulte el valor de origen en la pestaña de configuración criptográfica de la página de detalles para ver una KMS clave en AWS KMS console. Para obtener ayuda, consulte Visualización de claves.

KMSlas claves pueden tener uno de los siguientes valores de origen del material clave.

AWS_KMS

AWS KMS crea y gestiona el material clave de la KMS clave en su propio almacén de claves. Este es el valor predeterminado y el recomendado para la mayoría de KMS las claves.

Para obtener ayuda para crear claves con material clave de AWS KMS, consulte Crear claves.

EXTERNAL (Import key material)

La KMS clave tiene material clave importado. Cuando se crea una KMS clave con un origen de material External clave, la KMS clave no tiene material clave. Más adelante, puede importar el material clave a la KMS clave. Cuando utilizas material clave importado, necesitas proteger y gestionar ese material clave fuera de AWS KMS, incluida la sustitución del material clave si caduca. Para obtener más información, consulte Acerca de material de claves importado.

Si necesita ayuda para crear una KMS clave para el material clave importado, consultePaso 1: Crear una clave KMS sin material de claves.

AWS_CLOUDHSM

AWS KMS crea el material clave en el AWS CloudHSM clúster para tu AWS CloudHSM almacén de claves.

Para obtener ayuda para crear una KMS clave en un AWS CloudHSM almacén de claves, consulteCrear KMS claves en un AWS CloudHSM almacén de claves.

EXTERNAL_KEY_STORE

El material clave es una clave criptográfica en un administrador de claves externo externo a AWS. Este origen solo se admite para KMS las claves de un almacén de claves externo.

Para obtener ayuda para crear una KMS clave en un almacén de claves externo, consulteCrear claves de KMS en un almacén de claves externo.

Especificación de clave

La especificación de clave es una propiedad que representa la configuración criptográfica de la clave. El significado de la especificación de clave difiere con el tipo de clave.

  • AWS KMS claves: la especificación de la clave determina si la KMS clave es simétrica o asimétrica. También determina el tipo de su material de clave y los algoritmos que admite. Usted elige la especificación de la clave al crear la KMS clave y no puede cambiarla. La especificación de clave predeterminada, SYMMETRIC_ DEFAULT, representa una clave de cifrado simétrica de 256 bits.

    nota

    La KMS clave KeySpec para una se conocía como. CustomerMasterKeySpec El CustomerMasterKeySpec parámetro de la CreateKeyoperación está obsoleto. En su lugar, utilice el parámetro KeySpec, que funciona de la misma manera. Para evitar cambios importantes, la respuesta de las DescribeKeyoperaciones CreateKey y ahora incluye tanto KeySpec los miembros como CustomerMasterKeySpec los miembros con los mismos valores.

    Para obtener una lista de especificaciones de clave y ayuda para elegir una especificación de clave, consulte Seleccionar la especificación de clave. Para encontrar la especificación clave de una KMS clave, utilice la DescribeKeyoperación o consulte la pestaña de configuración criptográfica de la página de detalles para ver una KMS clave del AWS KMS console. Para obtener ayuda, consulte Visualización de claves.

    Para limitar las especificaciones clave que los directores pueden usar al crear KMS claves, usa la clave kms: KeySpec condition. También puedes usar la clave de kms:KeySpec condición para permitir que los directores llamen AWS KMS solo funciona con KMS teclas con una especificación de tecla en particular. Por ejemplo, puede denegar el permiso para programar la eliminación de cualquier KMS clave con una especificación RSA_4096 clave.

  • Claves de datos (GenerateDataKey): la especificación de la clave determina la longitud de una clave de AES datos.

  • Pares de claves de datos (GenerateDataKeyPair): la especificación del par de claves determina el tipo de material clave del par de claves de datos.

Uso de claves

El uso de la clave es una propiedad que determina las operaciones criptográficas que esta admite. KMSlas claves pueden tener un uso de clave deENCRYPT_DECRYPT, SIGN_VERIFYGENERATE_VERIFY_MAC, oKEY_AGREEMENT. Cada KMS clave solo puede tener un uso de clave. El uso de una KMS clave para más de un tipo de operación hace que el producto de ambas operaciones sea más vulnerable a los ataques.

Si necesita ayuda para elegir el uso de la KMS clave, consulteSeleccionar el uso de la clave. Para averiguar el uso de la clave de una KMS clave, utilice la DescribeKeyoperación o seleccione la pestaña Configuración criptográfica de la página de detalles de una KMS clave en AWS KMS console. Para obtener ayuda, consulte Visualización de claves.

Cifrado de sobre

Al cifrar sus datos, los datos están protegidos, pero tiene que proteger su clave de cifrado. Una estrategia consiste en cifrarla. El cifrado de sobres es la práctica de cifrar los datos en texto no cifrado con una clave de datos y, a continuación, cifrar la clave de datos con otra clave.

Incluso puede cifrar la clave de cifrado de datos con otra clave de cifrado y cifrar dicha clave de cifrado con otra clave de cifrado. Sin embargo, finalmente, una clave debe permanecer en texto no cifrado para que pueda descifrar las claves y los datos. Esta clave de cifrado de clave de texto no cifrado de nivel superior se conoce como clave raíz.

Cifrado de sobre

AWS KMS le ayuda a proteger sus claves de cifrado almacenándolas y administrándolas de forma segura. Las claves raíz se almacenan en AWS KMS, conocido como AWS KMS keys, nunca abandone el AWS KMS FIPSmódulos de seguridad de hardware validados sin cifrar. Para usar una KMS clave, debe llamar AWS KMS.

Cifrado de sobres con varias claves de cifrado de claves

El cifrado de sobre ofrece varios beneficios:

  • Protección de las claves de datos

    Al cifrar una clave de datos, no tiene que preocuparse del almacenamiento la clave de datos cifrada, porque la clave de datos está intrínsecamente protegida por el cifrado. Puede almacenar de forma segura la clave de datos cifrada junto con los datos cifrados.

  • Cifrado de los mismos datos con varias claves múltiples

    Las operaciones de cifrado pueden tardar mucho tiempo, en concreto cuando los datos que se cifran son objetos grandes. En vez de volver a cifrar los datos sin procesar varias veces con claves distintas, puede volver a cifrar solo las claves de datos que protegen los datos sin procesar.

  • Combinación de los puntos fuertes de varios algoritmos

    En general, los algoritmos de clave simétrica son más rápidos y producen textos cifrados más pequeños que los algoritmos de clave pública. Sin embargo, los algoritmos de clave pública proporcionan una separación inherente entre las funciones y facilitan la administración de las claves. El cifrado de sobre le permite combinar los puntos fuertes de cada estrategia.

Contexto de cifrado

Todos AWS KMS Las operaciones criptográficas con KMSclaves de cifrado simétricas aceptan un contexto de cifrado, un conjunto opcional de pares clave-valor no secretos que pueden contener información contextual adicional sobre los datos. AWS KMS utiliza el contexto de cifrado como datos autenticados adicionales () AAD para admitir el cifrado autenticado.

Cuando incluye un contexto de cifrado en una solicitud de cifrado, este se vincula criptográficamente al texto cifrado de forma que sea necesario utilizar el mismo contexto de cifrado para descifrar (o descifrar y volver a cifrar) los datos. Si el contexto de cifrado proporcionado en la solicitud de descifrado no es una coincidencia exacta, incluido el uso de mayúsculas y minúsculas, la solicitud de descifrado producirá un error. Solo puede variar el orden de los pares clave-valor en el contexto de cifrado.

El contexto de cifrado no es secreto y no está cifrado. Aparece en texto plano en AWS CloudTrail Registra para que pueda usarlo para identificar y clasificar sus operaciones criptográficas. El contexto de cifrado no debe incluir información confidencial. Le recomendamos que el contexto de cifrado describa los datos que se van a cifrar o descifrar. Por ejemplo, cuando cifre un archivo, puede usar parte de la ruta del archivo como contexto de cifrado.

"encryptionContext": { "department": "10103.0" }

Por ejemplo, al cifrar volúmenes e instantáneas creados con la CreateSnapshotoperación Amazon Elastic Block Store (AmazonEBS), Amazon EBS utiliza el ID del volumen como valor de contexto de cifrado.

"encryptionContext": { "aws:ebs:id": "vol-abcde12345abc1234" }

También puede usar el contexto de cifrado para refinar o limitar el acceso a AWS KMS keys en tu cuenta. Puede utilizar el contexto de cifrado como una restricción en concesiones y como una condición en declaraciones de política.

Para saber cómo utilizar el contexto de cifrado para proteger la integridad de los datos cifrados, consulta la publicación Cómo proteger la integridad de sus datos cifrados mediante el uso AWS Key Management Service y EncryptionContext en el AWS Blog de seguridad.

Más información sobre el contexto de cifrado.

AWS KMS aplica las siguientes reglas para las claves y valores del contexto de cifrado.

  • La clave y el valor de un par de contexto de cifrado deben ser cadenas literales simples. Si utiliza un tipo diferente, como un entero o un flotante, AWS KMS lo interpreta como una cadena.

  • Las claves y los valores de un contexto de cifrado pueden incluir caracteres Unicode. Si un contexto de cifrado incluye caracteres que no están permitidos en las políticas o IAM políticas clave, no podrá especificar el contexto de cifrado en las claves de condición de la política, como kms:EncryptionContext:context-keyy kms:EncryptionContextKeys. Para obtener más información sobre las reglas clave de los documentos de política de claves, consulte Formato de la política de claves. Para obtener más información sobre las reglas de los documentos de IAM políticas, consulte los requisitos de IAM nombres en la Guía del IAM usuario.

El contexto de cifrado se utiliza principalmente para verificar la integridad y la autenticidad. Sin embargo, también puede utilizar el contexto de cifrado para controlar el acceso al cifrado simétrico AWS KMS keys en políticas y IAM políticas clave.

Las claves EncryptionContextKeyscondicionales kmsEncryptionContext:: y kms: permiten (o deniegan) un permiso solo cuando la solicitud incluye claves de contexto de cifrado o pares clave-valor determinados.

Por ejemplo, la siguiente declaración de política clave permite al RoleForExampleApp rol usar la KMS clave en Decrypt las operaciones. Utiliza la clave de condición kms:EncryptionContext:context-key para conceder este permiso solo cuando el contexto de cifrado de la solicitud incluye un par de contexto de cifrado AppName:ExampleApp.

{ "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/RoleForExampleApp" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:AppName": "ExampleApp" } } }

Para obtener más información sobre estas claves de condición de contexto de cifrado, consulte Claves de estado para AWS KMS.

Al crear una concesión, puede incluir restricciones de concesión que establezcan las condiciones para la concesión de permisos. AWS KMS admite dos restricciones de concesión EncryptionContextEquals y EncryptionContextSubset ambas implican el contexto de cifrado en una solicitud de una operación criptográfica. Al utilizar estas restricciones de concesión, los permisos de la concesión solo son efectivos cuando el contexto de cifrado de la solicitud de la operación criptográfica cumple los requisitos de las restricciones de concesión.

Por ejemplo, puede añadir una restricción de EncryptionContextEquals concesión a una concesión que permita la GenerateDataKeyoperación. Con esta restricción, la concesión solo permite la operación cuando el contexto de cifrado de la solicitud coincide con mayúsculas y minúsculas con el contexto de cifrado de la restricción de concesión.

$ aws kms create-grant \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --grantee-principal arn:aws:iam::111122223333:user/exampleUser \ --retiring-principal arn:aws:iam::111122223333:role/adminRole \ --operations GenerateDataKey \ --constraints EncryptionContextEquals={Purpose=Test}

Una solicitud como la siguiente del principal beneficiario satisfaría la restricción de EncryptionContextEquals.

$ aws kms generate-data-key \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --key-spec AES_256 \ --encryption-context Purpose=Test

Para obtener más detalles sobre las restricciones de concesiones y , consulte Uso de restricciones de concesiones. Para obtener información detallada sobre las concesiones, consulte Subvenciones en AWS KMS.

AWS KMS uses AWS CloudTrail para registrar el contexto de cifrado de forma que pueda determinar a qué KMS claves y datos se ha accedido. La entrada de registro muestra exactamente qué KMS claves se utilizaron para cifrar o descifrar datos específicos a los que hace referencia el contexto de cifrado en la entrada de registro.

importante

Como el contexto de cifrado se ha registrado, no debe contener información confidencial.

Para simplificar el uso de cualquier contexto de cifrado al llamar a las operaciones Decrypt o ReEncrypt, puede almacenar el contexto de cifrado junto con los datos cifrados. Es recomendable que almacene solo la parte suficiente del contexto de cifrado para crear todo el contexto cuando sea necesario para el cifrado o el descifrado.

Por ejemplo, si el contexto de cifrado es la ruta completa a un archivo, almacene solo parte de esa ruta con el contenido del archivo cifrado. A continuación, cuando necesite todo el contexto de cifrado, reconstrúyalo a partir del fragmento almacenado. Si alguien intenta manipular el archivo (por ejemplo, cambiarlo de nombre o moverlo a otra ubicación), el valor de contexto de cifrado cambia y la solicitud de descifrado produce un error.

Política de claves

Al crear una KMS clave, se determina quién puede utilizarla y administrarla. KMS Estos permisos se encuentran en un documento denominado la política de claves. Puede utilizar la política de claves para agregar, eliminar o cambiar permisos en una clave administrada por el cliente en cualquier momento. Sin embargo, no puede editar la política de claves de un Claves administradas por AWS. Para obtener más información, consultePolíticas clave en AWS KMS.

Concesión

Una subvención es un instrumento de política que permite AWS principios a utilizar AWS KMS keys en operaciones criptográficas. También les permite ver una KMS clave (DescribeKey) y crear y gestionar subvenciones. Al autorizar el acceso a una KMS clave, las subvenciones se tienen en cuenta junto con las políticas y IAMpolíticas clave. Las concesiones se suelen utilizar para permisos temporales, ya que puedes crear uno, usar sus permisos y eliminarlo sin cambiar tus políticas o IAM políticas clave. Como las concesiones pueden ser muy específicas y son fáciles de crear y revocar, a menudo se utilizan para proporcionar permisos temporales o permisos más detallados.

Para obtener información detallada sobre las concesiones, incluida la terminología de las concesiones, consulte Subvenciones en AWS KMS.

Auditar el uso de KMS claves

Puede usar… AWS CloudTrail para auditar el uso de las claves. CloudTrail crea archivos de registro que contienen un historial de AWS APIllamadas y eventos relacionados para tu cuenta. Estos archivos de registro incluyen todos AWS KMS APIsolicitudes realizadas con el AWS Consola de administración, AWS SDKsy herramientas de línea de comandos. Los archivos de registro también incluyen solicitudes para AWS KMS that AWS servicios realizados en su nombre. Puede usar estos archivos de registro para buscar información importante, como cuándo se usaron las KMS claves, la operación que se solicitó, la identidad del solicitante y la dirección IP de origen. Para obtener más información, consulte Iniciar sesión con AWS CloudTrail y la AWS CloudTrail Guía del usuario.

Infraestructura de administración de claves

Una práctica común en criptografía es cifrar y descifrar con un algoritmo disponible públicamente y revisado por pares, como AES el estándar de cifrado avanzado, y una clave secreta. Uno de los principales problemas con la criptografía es que es muy difícil mantener una clave secreta. Este suele ser el trabajo de una infraestructura de administración de claves (). KMI AWS KMS opera la infraestructura clave por usted. AWS KMS crea y almacena de forma segura sus claves raíz, denominadas AWS KMS keys. Para obtener más información sobre cómo AWS KMS funciona, consulte AWS Key Management Service Detalles criptográficos.