Creación de una clave KMS en un almacén de claves externo - AWS Key Management Service
Requisitos para una clave de KMS en un almacén de claves externoCreación de una clave KMS en un almacén de claves externo

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de una clave KMS en un almacén de claves externo

Una vez creado y conectado el almacén de claves externo, puede crearlo AWS KMS keys en el almacén de claves. Deben ser claves de KMS de cifrado simétrico con un valor de origen de Almacén de claves externo (EXTERNAL_KEY_STORE). No puede crear claves KMS asimétricas, claves KMS HMAC ni claves KMS con material clave importado en un almacén de claves personalizado. Además, no puede utilizar claves KMS de cifrado simétricas en un almacén de claves personalizado para generar pares de claves de datos asimétricos.

Una clave de KMS de un almacén de claves externo puede tener una latencia, durabilidad y disponibilidad más bajas que una clave de KMS estándar porque depende de componentes ubicados fuera de AWS. Antes de crear o utilizar una clave de KMS en un almacén de claves externo, compruebe que necesita una clave con las propiedades del almacén de claves externo.

nota

Algunos administradores de claves externos proporcionan un método más sencillo para crear claves de KMS en un almacén de claves externo. Para obtener más detalles, consulte la documentación del administrador de claves externo.

Para crear una clave de KMS en su almacén de claves externo, especifique lo siguiente:

  • El ID de su almacén de claves externo.

  • Un origen de material de claves del almacén de claves externo (EXTERNAL_KEY_STORE).

  • El ID de una clave externa existente en el administrador de claves externo asociado al almacén de claves externo. Esta clave externa sirve como material de claves para la clave de KMS. No se puede cambiar el ID de clave externa después de crear la clave de KMS.

    AWS KMS proporciona el identificador de clave externo al proxy del almacén de claves externo en las solicitudes de operaciones de cifrado y descifrado. AWS KMS no puede acceder directamente a su administrador de claves externo ni a ninguna de sus claves criptográficas.

Además de la clave externa, una clave KMS de un almacén de claves externo también contiene material AWS KMS clave. Todos los datos cifrados con la clave KMS se cifran primero AWS KMS con el material clave de la AWS KMS clave y, a continuación, con el administrador de claves externo con la clave externa. Este proceso de doble cifrado garantiza que el texto cifrado protegido por una clave de KMS en un almacén de claves externo sea tan seguro como el texto cifrado protegido solo por AWS KMS. Para obtener más información, consulte Cómo funcionan los almacenes de claves externos.

Cuando la operación CreateKey se realiza correctamente, el estado de la clave de la nueva clave de KMS es Enabled. Al ver una clave de KMS en un almacén de claves externo, puede ver las propiedades habituales, como el ID de la clave, la especificación de la clave, el uso de la clave, el estado de la clave y la fecha de creación. Sin embargo, también puede ver el ID y el estado de la conexión del almacén de claves externo y el ID de la clave externa.

Si intenta crear una clave de KMS en su almacén de claves externo sin éxito, utilice el mensaje de error para identificar la causa. Puede indicar que el almacén de claves externo no está conectado (CustomKeyStoreInvalidStateException), que el proxy del almacén de claves externo no puede encontrar una clave externa con el ID de clave externa especificado (XksKeyNotFoundException) o que la clave externa ya está asociada a una clave de KMS en el mismo almacén de claves externo (XksKeyAlreadyInUseException).

Para ver un ejemplo del AWS CloudTrail registro de la operación que crea una clave KMS en un almacén de claves externo, consulteCreateKey.

Requisitos para una clave de KMS en un almacén de claves externo

Para crear una clave de KMS en un almacén de claves externo, se requieren las siguientes propiedades del almacén de claves externo, la clave de KMS y la clave externa que sirve como material de clave criptográfica externa para la clave de KMS.

Requisitos de almacenes de claves externos

Requisitos de la clave de KMS

No puede cambiar estas propiedades después de crear la clave de KMS.

  • Especificación de clave: SYMMETRIC_DEFAULT

  • Uso de clave: ENCRYPT_DECRYPT

  • Origen del material de claves: EXTERNAL_KEY_STORE

  • Multirregión: FALSE

Requisitos de clave externa

  • Clave criptográfica AES de 256 bits (256 bits aleatorios). El KeySpec de la clave externa debe ser AES_256.

  • Habilitado y disponible para usarse. El Status de la clave externa debe ser ENABLED.

  • Configurado para el cifrado y descifrado. El KeyUsage de la clave externa debe incluir ENCRYPT y DECRYPT.

  • Se usa solo con esta clave de KMS. Cada KMS key de un almacén de claves externo debe estar asociada a una clave externa diferente.

    AWS KMS también recomienda que la clave externa se utilice exclusivamente para el almacén de claves externo. Esta restricción facilita la identificación y la resolución de problemas con la clave.

  • Accesible mediante el proxy del almacén de claves externo para el almacén de claves externo.

    Si el proxy del almacén de claves externo no puede encontrar la clave con el ID de clave externa especificado, se produce un error en la operación CreateKey.

  • Puede gestionar el tráfico previsto que Servicios de AWS genera su uso. AWS KMS recomienda que las claves externas estén preparadas para gestionar hasta 1800 solicitudes por segundo.

Creación de una clave KMS en un almacén de claves externo

Puede crear una nueva clave de KMS en el almacén de claves externo de la AWS KMS consola o mediante la CreateKeyoperación.

Hay dos formas de crear una clave de KMS en un almacén de claves externo.

  • Método 1 (recomendado): elija un almacén de claves externo y, a continuación, cree una clave de KMS en ese almacén de claves externo.

  • Método 2: cree una clave de KMS y, a continuación, indique que está en un almacén de claves externo.

Si usa el método 1, en el que elige el almacén de claves externo antes de crear la clave, AWS KMS elige automáticamente todas las propiedades de clave de KMS requeridas y completa el ID del almacén de claves externo. Este método evita los errores que puede cometer al crear la clave de KMS.

nota

No incluya información confidencial en el alias, la descripción ni las etiquetas. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

Método 1 (recomendado): comience en su almacén de claves externo

Para usar este método, elija su almacén de claves externo y, a continuación, cree una clave de KMS. La AWS KMS consola selecciona automáticamente todas las propiedades necesarias y rellena el identificador del almacén de claves externo. Este método evita muchos de los errores que puede cometer al crear la clave de KMS.

  1. Inicia sesión en la consola AWS Key Management Service (AWS KMS) AWS Management Console y ábrela en https://console.aws.amazon.com/kms.

  2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Custom key stores (Almacenes de claves personalizados), External key stores (Almacenes de claves externos).

  4. Elija el nombre del almacén de claves externo.

  5. En la esquina superior derecha, seleccione Create a KMS key in this key store (Crear una clave de KMS en este almacén de claves).

    Si el almacén de claves externo no está conectado, se le pedirá que lo conecte. Si el intento de conexión falla, debe resolver el problema y conectar el almacén de claves externo para poder crear una nueva claves de KMS en él.

    Si el almacén de claves externo está conectado, se redirigirá a la página de Customer managed keys (Claves gestionadas por el cliente) para crear una clave. Los valores de Configuración de claves requeridos ya están seleccionados. Además, se rellena el identificador del almacén de claves personalizado de su almacén de claves externo, aunque puede cambiarlo.

  6. Introduzca el identificador de clave de una clave externa en su administrador de claves externo. Esta clave externa debe cumplir los requisitos para su uso con una clave de KMS. No puede cambiar este valor después de crear la clave.

    Si la clave externa tiene varias IDs, introduzca el ID de clave que el proxy del almacén de claves externo utiliza para identificar la clave externa.

  7. Confirme que va a crear una clave de KMS en el almacén de claves externo especificado.

  8. Elija Next (Siguiente).

    El resto de este procedimiento es el mismo que para crear una clave de KMS estándar.

  9. Escriba un alias (requerido) y, una descripción (opcional) para la clave de KMS.

  10. (Opcional). En la página agregar etiquetas, añada etiquetas que identifiquen o categoricen la clave KMS.

    Al añadir etiquetas a AWS los recursos, AWS genera un informe de asignación de costes con el uso y los costes agregados por etiquetas. Las etiquetas también pueden utilizarse para controlar el acceso a una clave KMS. Para obtener información acerca del etiquetado de claves KMS, consulte Etiquetas en AWS KMS y ABAC para AWS KMS.

  11. Elija Next (Siguiente).

  12. En la sección administradores de claves, seleccione los usuarios y roles de IAM que pueden administrar la clave KMS. Para obtener más información, consulte Permite que los administradores de claves administren la clave de KMS.

    nota

    Las políticas de IAM pueden otorgar permisos para usar la clave KMS a otros usuarios y roles de IAM.

    Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección Prácticas recomendadas de seguridad de IAM en la Guía del usuario de IAM;.

  13. (Opcional) Para evitar que estos administradores de claves eliminen esta claves de KMS, desactive la casilla Allow key administrators to delete this key (Permitir que los administradores de claves eliminen esta clave).

    Eliminar una clave de KMS es una operación destructiva e irreversible que puede hacer que el texto cifrado sea irrecuperable. No puede volver a crear una clave de KMS simétrica en un almacén de claves externo, aunque disponga del material de claves externas. Sin embargo, eliminar una clave de KMS no afecta a su clave externa asociada. Para obtener información sobre cómo eliminar una clave KMS de un almacén de claves externo, consulte Consideraciones especiales para eliminar claves.

  14. Elija Next (Siguiente).

  15. En la sección Esta cuenta, seleccione los usuarios y roles de IAM Cuenta de AWS que pueden usar la clave KMS en operaciones criptográficas. Para obtener más información, consulte Permite a los usuarios de claves utilizar la clave de KMS.

    nota

    Las políticas de IAM pueden otorgar permisos para usar la clave KMS a otros usuarios y roles de IAM.

    Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección Prácticas recomendadas de seguridad de IAM en la Guía del usuario de IAM;.

  16. (Opcional) Puede permitir que otros Cuentas de AWS usen esta clave KMS para operaciones criptográficas. Para ello, en la Cuentas de AWS sección Otros, en la parte inferior de la página, selecciona Añadir otra Cuenta de AWS e introduce el Cuenta de AWS ID de una cuenta externa. Para agregar varias cuentas externas, repita este paso.

    nota

    Los administradores de la otra también Cuentas de AWS deben permitir el acceso a la clave de KMS mediante la creación de políticas de IAM para sus usuarios. Para obtener más información, consulte Permitir a los usuarios de otras cuentas utilizar una clave KMS.

  17. Elija Next (Siguiente).

  18. Revise los ajustes de clave que ha elegido. Aún puede volver atrás y cambiar todos los ajustes.

  19. Cuando haya acabado, elija Finish (Finalizar) para crear la clave.

Mostrar másMostrar menos

Método 2: Comience con las claves gestionadas por el cliente

Este procedimiento es el mismo que el procedimiento para crear una clave de cifrado simétrica con material AWS KMS clave. Sin embargo, en este procedimiento, se especifica el ID del almacén de claves personalizado del almacén de claves externo y el ID de clave de la clave externa. También debe especificar los valores de propiedad requeridos para una clave de KMS en un almacén de claves externo, como la especificación de la clave y el uso de la clave.

  1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) AWS Management Console y ábrala en https://console.aws.amazon.com/kms.

  2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Elija Crear clave.

  5. Seleccione Symmetric (Simétrica).

  6. En Key usage (Uso de claves), se selecciona la opción Encrypt and decrypt (Cifrar y descifrar) para usted. No la cambie.

  7. Elija Advanced options (Opciones avanzadas).

  8. En Key material origin (Origen del material de claves), elija External key store (Almacenes de claves externos).

  9. Confirme que va a crear una clave de KMS en el almacén de claves externo especificado.

  10. Elija Next (Siguiente).

  11. Elija la fila que representa el almacén de claves externo para la nueva clave de KMS.

    No puede elegir un almacén de claves externo desconectado. Para conectar un almacén de claves que está desconectado, elija el nombre del almacén de claves y, a continuación, en Key store actions (Acciones del almacén de claves), elija Connect (Conectar). Para obtener más información, consulte Uso de la consola AWS KMS.

  12. Introduzca el identificador de clave de una clave externa en su administrador de claves externo. Esta clave externa debe cumplir los requisitos para su uso con una clave de KMS. No puede cambiar este valor después de crear la clave.

    Si la clave externa tiene varias IDs, introduzca el ID de clave que el proxy del almacén de claves externo utiliza para identificar la clave externa.

  13. Elija Next (Siguiente).

    El resto de este procedimiento es el mismo que para crear una clave de KMS estándar.

  14. Escriba un alias y, si lo desea, una descripción para la clave KMS.

  15. (Opcional). En la página agregar etiquetas, añada etiquetas que identifiquen o categoricen la clave KMS.

    Al añadir etiquetas a AWS los recursos, AWS genera un informe de asignación de costes con el uso y los costes agregados por etiquetas. Las etiquetas también pueden utilizarse para controlar el acceso a una clave KMS. Para obtener información acerca del etiquetado de claves KMS, consulte Etiquetas en AWS KMS y ABAC para AWS KMS.

  16. Elija Next (Siguiente).

  17. En la sección administradores de claves, seleccione los usuarios y roles de IAM que pueden administrar la clave KMS. Para obtener más información, consulte Permite que los administradores de claves administren la clave de KMS.

    nota

    Las políticas de IAM pueden otorgar permisos para usar la clave KMS a otros usuarios y roles de IAM.

  18. (Opcional) Para evitar que estos administradores de claves eliminen esta claves de KMS, desactive la casilla Allow key administrators to delete this key (Permitir que los administradores de claves eliminen esta clave).

    Eliminar una clave de KMS es una operación destructiva e irreversible que puede hacer que el texto cifrado sea irrecuperable. No puede volver a crear una clave de KMS simétrica en un almacén de claves externo, aunque disponga del material de claves externas. Sin embargo, eliminar una clave de KMS no afecta a su clave externa asociada. Para obtener información sobre cómo eliminar una clave de KMS de un almacén de claves externo, consulte Eliminar un AWS KMS key.

  19. Elija Next (Siguiente).

  20. En la sección Esta cuenta, seleccione los usuarios y roles de IAM Cuenta de AWS que pueden usar la clave KMS en operaciones criptográficas. Para obtener más información, consulte Permite a los usuarios de claves utilizar la clave de KMS.

    nota

    Las políticas de IAM pueden otorgar permisos para usar la clave KMS a otros usuarios y roles de IAM.

  21. (Opcional) Puede permitir que otros Cuentas de AWS usen esta clave KMS para operaciones criptográficas. Para ello, en la Cuentas de AWS sección Otros, en la parte inferior de la página, selecciona Añadir otra Cuenta de AWS e introduce el Cuenta de AWS ID de una cuenta externa. Para agregar varias cuentas externas, repita este paso.

    nota

    Los administradores de la otra también Cuentas de AWS deben permitir el acceso a la clave de KMS mediante la creación de políticas de IAM para sus usuarios. Para obtener más información, consulte Permitir a los usuarios de otras cuentas utilizar una clave KMS.

  22. Elija Next (Siguiente).

  23. Revise los ajustes de clave que ha elegido. Aún puede volver atrás y cambiar todos los ajustes.

  24. Cuando haya acabado, elija Finish (Finalizar) para crear la clave.

Mostrar másMostrar menos

Si el procedimiento se realiza correctamente, la pantalla mostrará la nueva clave de KMS en el almacén de claves externo de su elección. Al elegir el nombre o alias de la nueva clave de KMS, la pantalla Cryptographic configuration (Configuración criptográfica) de su página de detalles mostrará el origen de la clave de KMS (External key store [Almacén de claves externo]), el nombre, el ID y el tipo del almacén de claves personalizados, y el ID, el uso de claves y el estado de la clave externa. Si el procedimiento falla, aparecerá un mensaje de error que describe el motivo del error. Para , consulte Solución de problemas de almacenes de claves externos.

sugerencia

Para facilitar la identificación de las claves de KMS en un almacén de claves personalizado, en la página Customer managed keys (Claves administradas por el cliente), agregue la columna Origin (Origen) y Custom key store ID (ID del almacén de claves personalizado). Para cambiar los campos de la tabla, seleccione el icono de engranaje en la esquina superior derecha de la página. Para obtener más información, consulte Personalización de la vista de la consola.

Para crear una nueva clave de KMS en un almacén de claves externo, utilice la CreateKeyoperación. Se requieren los siguientes parámetros:

  • El valor Origin debe ser EXTERNAL_KEY_STORE.

  • El parámetro CustomKeyStoreId identifica el almacén de claves externo. El ConnectionState del almacén de claves externo especificado debe ser CONNECTED. Para encontrar el CustomKeyStoreId y ConnectionState, utilice la operación DescribeCustomKeyStores.

  • El parámetro XksKeyId identifica las claves externas. Esta clave externa debe cumplir con los requisitos para la asociación con una clave de KMS.

También puede utilizar cualquiera de los parámetros opcionales de la operación CreateKey, como los parámetros Policy o Tags (Etiquetas).

nota

No incluya información confidencial en los campos Description o Tags. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

En los ejemplos de esta sección, se utiliza la AWS Command Line Interface (AWS CLI), pero puede usar cualquier lenguaje de programación admitido.

Este comando de ejemplo utiliza la CreateKeyoperación para crear una clave KMS en un almacén de claves externo. La respuesta incluye las propiedades de las claves de KMS, el ID del almacén de claves externo y el ID, el uso y el estado de la clave externa.

Antes de ejecutar este comando, reemplace el ID del almacén de claves personalizado de ejemplo por un ID válido.

$ aws kms create-key --origin EXTERNAL_KEY_STORE --custom-key-store-id cks-1234567890abcdef0 --xks-key-id bb8562717f809024
{
  "KeyMetadata": {
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "AWSAccountId": "111122223333",
    "CreationDate": "2022-12-02T07:48:55-07:00",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "CustomKeyStoreId": "cks-1234567890abcdef0",
    "Description": "",
    "Enabled": true,
    "EncryptionAlgorithms": [
      "SYMMETRIC_DEFAULT"
    ],
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeySpec": "SYMMETRIC_DEFAULT",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",
    "MultiRegion": false,
    "Origin": "EXTERNAL_KEY_STORE",
    "XksKeyConfiguration": {
      "Id": "bb8562717f809024"
    }
  }
}