Descargar claves públicas - AWS Key Management Service
Consideraciones especiales para descargar claves públicasDescargar una clave pública (consola)Descargar una clave pública (API de AWS KMS)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Descargar claves públicas

Puede ver, copiar y descargar la clave pública de un par de claves KMS asimétricas al utilizar la AWS Management Console o la API de AWS KMS. Debe tener el permiso kms:GetPublicKey en la clave KMS asimétrica.

Cada par de claves KMS asimétricas consta de una clave privada que nunca deja AWS KMS sin cifrar y una clave pública que puede descargar y compartir.

Puede compartir una clave pública para permitir que otros cifren datos fuera de AWS KMS que puede descifrar solo con su clave privada. O bien, para permitir que otros verifiquen una firma digital fuera del AWS KMS que haya generado con su clave privada.

Cuando utiliza la clave pública en su clave KMS asimétrica dentro de AWS KMS, se beneficia de la autenticación, autorización y registro que forman parte de cada operación de AWS KMS. También reduce el riesgo de cifrar datos que no se pueden descifrar. Estas características no son efectivas fuera de AWS KMS. Para obtener más detalles, consulte Consideraciones especiales para descargar claves públicas.

sugerencia

¿Busca claves de datos o claves SSH? En este tema se explica cómo administrar claves asimétricas en AWS Key Management Service, donde la clave privada no es exportable. Para ver los pares de claves de datos exportables en los que la clave privada está protegida por una clave KMS de cifrado simétrico, consulte. GenerateDataKeyPair Para obtener ayuda sobre la descarga de la clave pública asociada a una instancia de Amazon EC2, consulte Recuperar la clave pública en la Guía del usuario de Amazon EC2 para instancias de Linux y Guía del usuario de Amazon EC2 para instancias de Windows.

Consideraciones especiales para descargar claves públicas

Para proteger sus claves KMS, AWS KMS proporciona controles de acceso, cifrado autenticado y registros detallados de cada operación. AWS KMS también le permite evitar el uso de claves KMS, temporal o permanentemente. Finalmente, las operaciones de AWS KMS están diseñadas para minimizar el riesgo de cifrar datos que no se pueden descifrar. Estas características no están disponibles cuando utiliza claves públicas descargadas fuera de AWS KMS.

Autorización

Las políticas de claves y las políticas de IAM que controlan el acceso a la clave KMS dentro de AWS KMS no tienen efecto en las operaciones realizadas fuera de AWS. Cualquier usuario que pueda obtener la clave pública puede utilizarla fuera de AWS KMS aunque no tenga permiso para cifrar datos o verificar firmas con la clave KMS.

Restricciones de uso de las claves

Las restricciones de uso de las claves no son efectivas fuera de AWS KMS. Si llama a la operación Encrypt (Cifrado) con una clave KMS que tiene KeyUsage de SIGN_VERIFY, la operación de AWS KMS falla. Sin embargo, si cifra datos fuera de AWS KMS con una clave pública de una clave KMS con un KeyUsage de SIGN_VERIFY, los datos no se pueden descifrar.

Restricciones del algoritmo

Las restricciones a los algoritmos de cifrado y firma compatibles con AWS KMS no son efectivas fuera de AWS KMS. Si cifra los datos con la clave pública de una clave KMS fuera de AWS KMS y utiliza un algoritmo de cifrado que no es compatible con AWS KMS, no se pueden descifrar los datos.

Desactivar y eliminar claves KMS

Las acciones que puede tomar para evitar el uso de la clave KMS en una operación criptográfica en AWS KMS no evitan que nadie utilice la clave privada fuera de AWS KMS. Por ejemplo, desactivar una clave KMS, programar la eliminación de una clave KMS, eliminar una clave KMS o eliminar el material de claves de una clave KMS no tienen ningún efecto en una clave pública fuera de AWS KMS. Si elimina una clave KMS asimétrica o elimina o pierde su material de claves, los datos que cifra con una clave pública fuera de AWS KMS son irrecuperables.

Registro

Registros de AWS CloudTrail que registran cada operación de AWS KMS, incluida la solicitud, la respuesta, la fecha, el tiempo y el usuario autorizado, no registran el uso de la clave pública fuera de AWS KMS.

Verificación sin conexión con pares de claves SM2 (solo en las regiones de China)

Para verificar una firma fuera de AWS KMS con una clave pública SM2, debe especificar el identificador distintivo. Por defecto, AWS KMS utiliza 1234567812345678 como identificador distintivo. Para más información, consulte Verificación sin conexión con pares de claves SM2 (solo en las regiones de China)

Descargar una clave pública (consola)

Puede utilizar la AWS Management Console para ver, copiar y descargar la clave pública en una clave KMS asimétrica en su cuenta de Cuenta de AWS. Para descargar la clave pública de una clave KMS asimétrica en una cuenta de Cuenta de AWS diferente, utilice la API de AWS KMS.

  1. Inicie sesión en la AWS Management Console y abra la consola de AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Elija el alias o el ID de clave de una clave KMS asimétrica.

  5. Elija la pestaña Cryptographic configuration (Configuración criptográfica). Registre los valores de los campos Key spec (Especificación de clave), Key usage (Uso de claves) y Encryption algorithms (Algoritmos de cifrado) o Signing Algorithms (Algoritmos de firma). Tendrá que utilizar estos valores para utilizar la clave pública fuera de AWS KMS. Asegúrese de compartir esta información cuando comparta la clave pública.

  6. Seleccione la pestaña Public key (Clave pública).

  7. Para copiar la clave pública al portapapeles, elija Copy (Copiar). Para descargar la clave pública en un archivo, elija Download (Descargar).

Descargar una clave pública (API de AWS KMS)

La GetPublicKeyoperación devuelve la clave pública en una clave KMS asimétrica. También devuelve información crítica que necesita para utilizar la clave pública correctamente fuera de AWS KMS, incluido el uso de claves y algoritmos de cifrado. Asegúrese de guardar estos valores y compartirlos siempre que comparta la clave pública.

En los ejemplos de esta sección, se utiliza la AWS Command Line Interface (AWS CLI), pero puede usar cualquier lenguaje de programación admitido.

Para especificar una clave KMS, utilice el ID de la clave, ARN de la clave, nombre de alias o ARN del alias. Cuando utilice un nombre del alias, utilice el prefijo alias/. Para especificar una clave KMS en una cuenta de Cuenta de AWS diferente, debe utilizar su clave de ARN o su alias de ARN.

Antes de ejecutar este comando, sustituya el nombre del alias de ejemplo por un identificador válido para la clave KMS. Para ejecutar este comando, debe tener permisos de kms:GetPublicKey en la clave KMS.

$ aws kms get-public-key --key-id alias/example_RSA_3072

{
    "KeySpec": "RSA_3072",
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyUsage": "ENCRYPT_DECRYPT",
    "EncryptionAlgorithms": [
        "RSAES_OAEP_SHA_1",
        "RSAES_OAEP_SHA_256"
    ],
    "PublicKey": "MIIBojANBgkqhkiG..."
}