Creación de claves KMS HMAC - AWS Key Management Service
Creación de claves KMS HMAC (consola)Creación de claves KMS HMAC (API de AWS KMS)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de claves KMS HMAC

Puede crear claves KMS HMAC en la consola de AWS KMS, mediante la API CreateKey o mediante una plantilla de AWS CloudFormation.

AWS KMS admite múltiples especificaciones de la clave para claves KMS HMAC. La especificación de clave que seleccione podría estar determinada por requisitos normativos, de seguridad o empresariales. En general, las claves más largas son más resistentes a los ataques de fuerza bruta.

importante

No incluya información confidencial en el alias, la descripción ni las etiquetas. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

Si va a crear una clave KMS para cifrar los datos de un servicio de AWS, utilice una clave de cifrado KMS simétrica. Los servicios de AWS que se integran con AWS KMS no admiten claves KMS asimétricas ni claves KMS HMAC. Para obtener ayuda a la hora de crear una clave KMS de cifrado simétrica, consulte Crear claves.

Más información

Creación de claves KMS HMAC (consola)

Puede utilizar la AWS Management Console para crear claves KMS HMAC. Las claves KMS HMAC son claves simétricas con un uso de claves de Generate and verify MAC (Generar y verificar MAC). También puede crear claves HMAC de varias regiones.

  1. Inicie sesión en la AWS Management Console y abra la consola de AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Elija Create key.

  5. En Key type (Tipo de clave), elija Symmetric (Simétrica).

    Las claves KMS HMAC son simétricas. Utilice la misma clave para generar y verificar etiquetas HMAC.

  6. Para Key usage (Uso de claves), elija Generate and verify MAC (Generar y verificar MAC).

    Generar y verificar que MAC es el único uso de clave válido para las claves KMS HMAC.

    nota

    Key usage (Uso de claves) se muestra para las claves simétricas solo cuando las claves KMS HMAC son compatibles en la región seleccionada.

  7. Seleccione una especificación (Key spec [Especificación de clave]) para su clave KMS HMAC.

    La especificación de clave que seleccione se puede determinar mediante requisitos normativos, de seguridad o empresariales. En general, las claves más largas son más seguras.

  8. Para crear una clave HMAC de varias regiones primaria, en Advanced options (Opciones avanzadas), elija Multi-Region key (Clave de varias regiones). Las propiedades compartidas que defina para esta clave KMS, como su tipo de clave y uso de claves, se compartirán con sus claves de réplica. Para obtener más detalles, consulte Creación de claves de varias regiones.

    No puede utilizar este procedimiento para crear una clave de réplica. Para crear una clave HMAC réplica de varias regiones, siga las instrucciones para crear una clave de réplica.

  9. Elija Siguiente.

  10. Ingrese un alias para la clave KMS El nombre del alias no puede empezar por aws/. El prefijo aws/ está reservado para Amazon Web Services y representa las Claves administradas por AWS de su cuenta.

    Le recomendamos que utilice un alias que identifique la clave KMS como clave HMAC, como HMAC/test-key. Esto le facilitará la identificación de claves HMAC en la consola AWS KMS en la que puede ordenar y filtrar claves por etiquetas y alias, pero no por especificación de la clave o uso de claves.

    Los alias son necesarios para crear una clave de KMS en la AWS Management Console. No puede especificar un alias al usar la CreateKeyoperación, pero puede usar la consola o la CreateAliasoperación para crear un alias para una clave de KMS existente. Para obtener más detalles, consulte Uso de alias.

  11. (Opcional) Ingrese una descripción de la clave KMS.

    Escriba una descripción que explique el tipo de datos que piensa proteger o la aplicación que piensa usar con la clave de KMS.

    Puede agregar una descripción ahora o actualizarla en cualquier momento, a menos que el estado de la clave sea Pending Deletion o Pending Replica Deletion. Para añadir, cambiar o eliminar la descripción de una clave gestionada por el cliente existente, edite la descripción en la operación AWS Management Console o utilice esta UpdateKeyDescriptionoperación.

  12. (Opcional) Ingrese una clave de etiqueta y un value de etiqueta opcional. Para agregar más de una etiqueta a la clave de KMS, elija Agregar etiqueta.

    Considere agregar una etiqueta que identifique la clave como una clave HMAC, por ejemplo Type=HMAC. Esto le facilitará la identificación de claves HMAC en la consola AWS KMS en la que puede ordenar y filtrar claves por etiquetas y alias, pero no por especificación de clave o uso de claves.

    Cuando se agregan etiquetas a los recursos de AWS, AWS genera un informe de asignación de costos con el uso y los costos agregados por etiquetas. Las etiquetas también pueden utilizarse para controlar el acceso a una clave KMS. Para obtener información acerca del etiquetado de claves KMS, consulte Etiquetado de claves y ABAC para AWS KMS.

  13. Elija Siguiente.

  14. Seleccione los usuarios y roles de IAM que pueden administrar la clave de KMS.

    nota

    Esta política de claves proporciona a la Cuenta de AWS control total de esta clave KMS. Permite a los administradores de cuentas utilizar las políticas de IAM para dar permiso a otras entidades principales para administrar la clave KMS. Para obtener más detalles, consulte Política de claves predeterminada.

    Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección Prácticas recomendadas de seguridad de IAM en la Guía del usuario de IAM;.

  15. (Opcional) Para evitar que los usuarios y los roles de IAM seleccionados eliminen esta clave de KMS, en la sección Eliminación de claves situada en la parte inferior de la página, desactive la casilla Permitir que los administradores de claves eliminen esta clave.

  16. Elija Siguiente.

  17. Seleccione los usuarios y roles de IAM que pueden usar la clave de KMS en operaciones criptográficas.

    nota

    Esta política de claves proporciona a la Cuenta de AWS control total de esta clave KMS. Permite a los administradores de cuentas utilizar las políticas de IAM para dar permiso a otras entidades principales para utilizar la clave KMS. Para obtener más detalles, consulte Política de claves predeterminada.

    Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección Prácticas recomendadas de seguridad de IAM en la Guía del usuario de IAM;.

  18. (Opcional) Puede permitir que otras cuentas de Cuentas de AWS usen esta clave de KMS en operaciones criptográficas. Para ello, en la parte inferior de la página de la sección Other Cuentas de AWS (Otras), elija Add another Cuenta de AWS (Agregar otra) e ingrese el número de identificación de Cuenta de AWS de una cuenta externa. Para agregar varias cuentas externas, repita este paso.

    nota

    Para permitir que las entidades principales de las cuentas externas usen la clave KMS, los administradores de la cuenta externa también deben crear las políticas de IAM que proporcionan estos permisos. Para obtener más información, consulte Permitir a los usuarios de otras cuentas utilizar una clave KMS.

  19. Seleccione Siguiente.

  20. Revise los ajustes de clave que ha elegido. Aún puede volver atrás y cambiar todos los ajustes.

  21. Elija Finish (Finalizar) para crear la clave KMS HMAC.

Creación de claves KMS HMAC (API de AWS KMS)

Puede utilizar la CreateKeyoperación para crear una clave HMAC KMS. En estos ejemplos, se utiliza la AWS Command Line Interface (AWS CLI), pero puede usar cualquier lenguaje de programación admitido.

Al crear una clave KMS HMAC, debe especificar el parámetro KeySpec, que determina el tipo de clave KMS. Además, debe especificar un valor KeyUsage de GENERATE_VERIFY_MAC, aunque sea el único valor de uso de claves válido para claves HMAC. Para crear una clave KMS HMAC de múltiples regiones, agregue el parámetro MultiRegion con un valor de true. No puede cambiar estas propiedades después de que se cree la clave de KMS.

La CreateKey operación no le permite especificar un alias, pero puede utilizarla para crear un alias para la CreateAliasnueva clave KMS. Le recomendamos que utilice un alias que identifique la clave KMS como clave HMAC, como HMAC/test-key. Esto le facilitará la identificación de claves HMAC en la consola de AWS KMS en la que puede ordenar y filtrar claves por alias, pero no por especificación de la clave o uso de claves.

Si intenta crear una clave de KMS HMAC en una Región de AWS en la que no se admiten claves HMAC, la operación CreateKey devuelve una UnsupportedOperationException.

El siguiente ejemplo utiliza la operación CreateKey para crear una clave KMS HMAC de 512 bits.

$ aws kms create-key --key-spec HMAC_512 --key-usage GENERATE_VERIFY_MAC
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": 1669973196.214,
        "MultiRegion": false,
        "KeySpec": "HMAC_512",
        "CustomerMasterKeySpec": "HMAC_512",
        "KeyUsage": "GENERATE_VERIFY_MAC",
        "MacAlgorithms": [
            "HMAC_SHA_512"
        ],
        "AWSAccountId": "111122223333",
        "Origin": "AWS_KMS",
        "Enabled": true
    }
}