Crear una HMAC KMS clave - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crear una HMAC KMS clave

Puede crear HMAC KMS claves en la AWS KMS consola mediante el CreateKeyAPI, o bien mediante la AWS CloudFormation plantillaAWS:KMS: :Key.

Al crear una HMAC KMS clave, debe seleccionar una especificación clave. AWS KMS admite varias especificaciones clave para HMAC KMS las claves. La especificación de clave que seleccione podría estar determinada por requisitos normativos, de seguridad o empresariales. En general, las claves más largas son más resistentes a los ataques de fuerza bruta.

Para obtener información sobre los permisos necesarios para crear KMS claves, consultePermisos para crear KMS claves.

Puede utilizar el AWS Management Console para crear HMAC KMS claves. HMACKMSlas claves son claves simétricas con un uso clave de Generar y verificar MAC. También puede crear claves multirregionales. HMAC

  1. Inicia sesión en la consola AWS Key Management Service (AWS KMS) AWS Management Console y ábrela en https://console.aws.amazon.com/kms.

  2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Elija Create key.

  5. En Key type (Tipo de clave), elija Symmetric (Simétrica).

    HMACKMSlas teclas son simétricas. Se utiliza la misma clave para generar y verificar las HMAC etiquetas.

  6. Para el uso de claves, selecciona Generar y verificar MAC.

    Generar y verificar MAC es el único uso de claves válido para HMAC KMS las claves.

    nota

    El uso de claves se muestra para las claves simétricas solo cuando HMAC KMS las claves son compatibles en la región seleccionada.

  7. Seleccione una especificación (especificación clave) para su HMAC KMS clave.

    La especificación de clave que seleccione se puede determinar mediante requisitos normativos, de seguridad o empresariales. En general, las claves más largas son más seguras.

  8. Para crear una HMAC clave principal multirregional, en Opciones avanzadas, elija Clave multirregional. Las propiedades compartidas que defina para esta KMS clave, como el tipo y el uso de la clave, se compartirán con sus claves de réplica.

    No puede utilizar este procedimiento para crear una clave de réplica. Para crear una HMAC clave de réplica multirregional, siga las instrucciones para crear una clave de réplica.

  9. Elija Next (Siguiente).

  10. Introduzca un alias para la KMS clave. El nombre del alias no puede empezar por aws/. El prefijo aws/ está reservado para Amazon Web Services y representa las Claves administradas por AWS de su cuenta.

    Se recomienda utilizar un alias que identifique la KMS clave como una HMAC clave, por ejemploHMAC/test-key. De este modo, le resultará más fácil identificar HMAC las claves en la AWS KMS consola, donde podrá ordenarlas y filtrarlas por etiquetas y alias, pero no por las especificaciones o el uso de las claves.

    Los alias son necesarios para crear una KMS clave en. AWS Management Console No puede especificar un alias al usar la CreateKeyoperación, pero puede usar la consola o la CreateAliasoperación para crear un alias para una KMS clave existente. Para obtener más información, consulte Alias en AWS KMS.

  11. (Opcional) Introduzca una descripción para la KMS clave.

    Escriba una descripción que explique el tipo de datos que planea proteger o la aplicación que planea usar con la KMS clave.

    Puede agregar una descripción ahora o actualizarla en cualquier momento, a menos que el estado de la clave sea Pending Deletion o Pending Replica Deletion. Para añadir, cambiar o eliminar la descripción de una clave gestionada por el cliente existente, edite la descripción en la página de detalles de la KMS clave AWS Management Console en la operación AWS Management Console o utilice la UpdateKeyDescriptionoperación.

  12. (Opcional) Ingrese una clave de etiqueta y un value de etiqueta opcional. Para añadir más de una etiqueta a la KMS clave, seleccione Añadir etiqueta.

    Considere la posibilidad de añadir una etiqueta que identifique la clave como una HMAC clave, por ejemploType=HMAC. De este modo, le resultará más fácil identificar HMAC las claves en la AWS KMS consola, donde podrá ordenarlas y filtrarlas por etiquetas y alias, pero no por las especificaciones o el uso de las claves.

    Al añadir etiquetas a AWS los recursos, AWS genera un informe de asignación de costes con el uso y los costes agregados por etiquetas. Las etiquetas también se pueden usar para controlar el acceso a una KMS clave. Para obtener información sobre el etiquetado de KMS claves, consulte Etiquetas en AWS KMS yABAC para AWS KMS.

  13. Elija Next (Siguiente).

  14. Seleccione los IAM usuarios y roles que pueden administrar la KMS clave.

    Notas

    Esta política clave proporciona el control Cuenta de AWS total de esta KMS clave. Permite a los administradores de cuentas usar IAM políticas para dar permiso a otros directores para administrar la KMS clave. Para obtener más información, consulte Política de claves predeterminada.

    IAMlas mejores prácticas desaconsejan el uso de IAM usuarios con credenciales de larga duración. Siempre que sea posible, utilice IAM roles, que proporcionan credenciales temporales. Para obtener más información, consulte las prácticas recomendadas de seguridad IAM en la Guía del IAM usuario.

    La AWS KMS consola agrega administradores clave a la política clave bajo el identificador de la declaración"Allow access for Key Administrators". La modificación de este identificador de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.

  15. (Opcional) Para evitar que IAM los usuarios y roles seleccionados eliminen esta KMS clave, en la sección Eliminación de claves de la parte inferior de la página, desactive la casilla de verificación Permitir que los administradores de claves eliminen esta clave.

  16. Elija Next (Siguiente).

  17. Seleccione los IAM usuarios y roles que pueden usar la KMS clave para las operaciones criptográficas.

    Notas

    IAMlas mejores prácticas desaconsejan el uso de IAM usuarios con credenciales de larga duración. Siempre que sea posible, utilice IAM roles, que proporcionan credenciales temporales. Para obtener más información, consulte las prácticas recomendadas de seguridad IAM en la Guía del IAM usuario.

    La AWS KMS consola agrega los usuarios clave a la política clave bajo los identificadores de la declaración "Allow use of the key" y"Allow attachment of persistent resources". La modificación de estos identificadores de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.

  18. (Opcional) Puede permitir que otras personas Cuentas de AWS usen esta KMS clave para operaciones criptográficas. Para ello, en la parte inferior de la página de la sección Other Cuentas de AWS(Otras), elija Add another Cuenta de AWS(Agregar otra) e ingrese el número de identificación de Cuenta de AWS de una cuenta externa. Para agregar varias cuentas externas, repita este paso.

    nota

    Para permitir que los directores de las cuentas externas usen la KMS clave, los administradores de la cuenta externa deben crear IAM políticas que otorguen estos permisos. Para obtener más información, consulte Permitir a los usuarios de otras cuentas utilizar una clave KMS.

  19. Elija Next (Siguiente).

  20. Revise las declaraciones de políticas clave para ver la clave. Para realizar cambios en la política clave, selecciona Editar.

  21. Elija Next (Siguiente).

  22. Revise los ajustes de clave que ha elegido. Aún puede volver atrás y cambiar todos los ajustes.

  23. Seleccione Finalizar para crear la HMAC KMS clave.

Puede utilizar la CreateKeyoperación para crear una HMAC KMS clave. En estos ejemplos, se utiliza la AWS Command Line Interface (AWS CLI), pero puede usar cualquier lenguaje de programación admitido.

Al crear una HMAC KMS clave, debe especificar el KeySpec parámetro, que determina el tipo de KMS clave. Además, debe especificar un KeyUsage valor de GENERATE _ VERIFY _MAC, aunque sea el único valor de uso de clave válido para HMAC las claves. Para crear una HMAC KMS clave multirregional, añada el MultiRegion parámetro con un valor detrue. No puede cambiar estas propiedades una vez creada la KMS clave.

La CreateKey operación no le permite especificar un alias, pero puede utilizarla CreateAliaspara crear un alias para la nueva KMS clave. Se recomienda utilizar un alias que identifique la KMS clave como una HMAC clave, por ejemploHMAC/test-key. De este modo, le resultará más fácil identificar HMAC las claves en la AWS KMS consola, donde podrá ordenar y filtrar las claves por alias, pero no por las especificaciones o el uso de las claves.

Si intenta crear una HMAC KMS clave en un entorno en Región de AWS el que no se admiten HMAC claves, la CreateKey operación devuelve un UnsupportedOperationException

En el siguiente ejemplo, se utiliza la CreateKey operación para crear una clave de 512 bits HMACKMS.

$ aws kms create-key --key-spec HMAC_512 --key-usage GENERATE_VERIFY_MAC { "KeyMetadata": { "KeyState": "Enabled", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyManager": "CUSTOMER", "Description": "", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1669973196.214, "MultiRegion": false, "KeySpec": "HMAC_512", "CustomerMasterKeySpec": "HMAC_512", "KeyUsage": "GENERATE_VERIFY_MAC", "MacAlgorithms": [ "HMAC_SHA_512" ], "AWSAccountId": "111122223333", "Origin": "AWS_KMS", "Enabled": true } }