Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Almacenes de claves personalizados
Un almacén de claves es una ubicación segura para almacenar claves criptográficas. El almacén de claves predeterminado en AWS KMS también admite métodos para generar y administrar las claves que almacena. De forma predeterminada, el material de claves criptográficas para las AWS KMS keys que crea en AWS KMS son generadas y están protegidas por módulos de seguridad de hardware (HSM) que son módulos criptográficos validados mediante FIPS 140-2
Sin embargo, si necesita un mayor control de los HSM, puede crear un almacén de claves personalizado.
Un almacén de claves personalizado es un almacén de claves lógico en AWS KMS que está respaldado por un administrador de claves externo a AWS KMS que usted posee y administra. Los almacenes de claves personalizados combinan la interfaz de administración de claves integral y simple de AWS KMS con la capacidad de poseer y controlar el material de claves y las operaciones criptográficas. Al utilizar una clave de KMS en un almacén de claves personalizado, el administrador de claves realiza las operaciones criptográficas usando sus claves criptográficas. Como resultado, usted asume una mayor responsabilidad por la disponibilidad y la durabilidad de las claves criptográficas y por el funcionamiento de los HSM.
AWS KMS es compatible con dos tipos de almacenes de claves personalizados.
-
Un almacén de claves de AWS CloudHSM es un almacén de claves de AWS KMS personalizado respaldado por un clúster de AWS CloudHSM. Al crear una clave de KMS en el almacén de claves de AWS CloudHSM, AWS KMS genera una clave simétrica Advanced Encryption Standard (AES) de 256 bits, persistente y no exportable en el clúster de AWS CloudHSM asociado. Este material de claves nunca sale de sus clústeres de AWS CloudHSM sin cifrar. Al utilizar una clave de KMS en el almacén de claves de AWS CloudHSM, las operaciones criptográficas se realizan en los HSM del clúster. Los clústeres de AWS CloudHSM están respaldados por módulos de seguridad de hardware (HSM) que tienen el certificado FIPS 140-2 nivel 3
. -
Un almacén de claves externo es un almacén de claves personalizado de AWS KMS respaldado por un administrador de claves externo ajeno a AWS que usted posee y controla. Cuando usa una clave de KMS en su almacén de claves externo, el administrador de claves externo realiza todas las operaciones de cifrado y descifrado mediante sus claves criptográficas. Los almacenes de claves externos están diseñados para ser compatibles con una variedad de administradores de claves externos de diferentes proveedores.
AWS KMS nunca ve, accede ni interactúa directamente con su administrador de claves externo o sus claves criptográficas. Al cifrar o descifrar con una clave de KMS en un almacén de claves externo, el administrador de claves externo realiza la operación utilizando sus claves externas. Puede mantener el control total sobre sus claves criptográficas, incluida la posibilidad de rechazar o detener una operación criptográfica sin interactuar con AWS. Sin embargo, debido a la distancia y al procesamiento adicional, las claves de KMS de un almacén de claves externo pueden tener una latencia y un rendimiento más bajos y pueden tener características de disponibilidad diferentes a las de las claves de KMS que contienen material de claves en AWS KMS. Para obtener más información sobre los administradores de claves compatibles con la característica de almacén de claves externos de AWS KMS, consulte ¿Qué proveedores externos son compatibles con la especificación del proxy del XKS?
en las Preguntas frecuentes de AWS Key Management Service.
Estos dos tipos de almacenes de claves personalizados son muy diferentes del almacén de claves de AWS KMS estándar y entre sí. Sus modelos de seguridad, la asignación de responsabilidad, el rendimiento, el precio y los casos de uso también son muy diferentes. Antes de seleccionar un almacén de claves personalizado, lea la documentación relacionada y confirme que la responsabilidad adicional de configuración y mantenimiento es una buena compensación por el control adicional. Sin embargo, si las normas y reglamentos bajo los que opera requieren un control directo del material de claves, un almacén de claves personalizado podría ser una buena opción para usted.
Características no admitidas
AWS KMS no es compatible con las siguientes características en almacenes de claves personalizado.