Creación de una clave KMS con material de claves importado - AWS Key Management Service
Permisos para importar material de claveRequisitos para el material de claves importado

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de una clave KMS con material de claves importado

El material clave importado le permite proteger sus AWS recursos con las claves criptográficas que genere. En la siguiente información general se explica cómo importar el material de claves en AWS KMS. Para obtener más información sobre cada paso del proceso, consulte los temas correspondientes.

  1. Cree una clave de KMS sin material de claves: el origen debe ser EXTERNAL. Un origen clave de EXTERNAL indica que la clave está diseñada para material clave importado e AWS KMS impide que se genere material clave para la clave KMS. En un paso posterior importará su propio material de claves en esta clave KMS.

    El material clave que importe debe ser compatible con la especificación clave de la AWS KMS clave asociada. Para obtener más información sobre la compatibilidad, consulteRequisitos para el material de claves importado.

  2. Descargar la clave pública de encapsulamiento y el token de importación: después de completar el paso 1, descargue una clave pública de encapsulamiento y un token de importación. Estos artículos protegen el material clave mientras se importa a AWS KMS.

    En este paso, elige el tipo (“especificación de clave”) de la clave de encapsulamiento RSA y el algoritmo de encapsulamiento que utilizará para cifrar los datos en tránsito en AWS KMS. Puede elegir una especificación de clave de encapsulamiento y un algoritmo de clave de encapsulamiento diferentes cada vez que importe o vuelva a importar el mismo material de claves.

  3. Cifrar el material de claves: utilice la clave pública de encapsulamiento que ha descargado en el paso 2 para cifrar el material de claves que ha creado en su propio sistema.

  4. Importar el material de claves: cargue el material de claves cifrado que ha creado en el paso 3 y el token de importación que ha descargado en el paso 2.

    En esta etapa, puede establecer una fecha de vencimiento opcional. Cuando el material clave importado caduca, lo AWS KMS elimina y la clave KMS queda inutilizable. Para seguir usando la clave de KMS, debe volver a importar el mismo material de claves.

    Cuando la operación de importación se completa de manera correcta, el estado de la clave KMS cambia de PendingImport a Enabled. Ahora puede usar la clave KMS en operaciones criptográficas.

AWS KMS registra una entrada en el AWS CloudTrail registro al crear la clave KMS, descargar la clave pública empaquetadora y el token de importación e importar el material clave. AWS KMS también registra una entrada cuando se elimina el material clave importado o cuando se AWS KMS elimina el material clave caducado.

Permisos para importar material de clave

Para crear y administrar claves KMS con material de claves importado, el usuario necesita permiso para las operaciones de este proceso. Puede proporcionar los permisos kms:GetParametersForImport, kms:ImportKeyMaterial, y kms:DeleteImportedKeyMaterial en la política de claves al crear la clave KMS. En la AWS KMS consola, estos permisos se añaden automáticamente a los administradores de claves al crear una clave con un origen de material clave externo.

Para crear claves KMS con material de claves importado, la entidad principal necesita los siguientes permisos.

  • kms: CreateKey (política de IAM)

    • Para limitar este permiso a las claves de KMS con material clave importado, utilice la condición kms: KeyOrigin policy con un valor deEXTERNAL.

      {
  "Sid": "CreateKMSKeysWithoutKeyMaterial",
  "Effect": "Allow",
  "Resource": "*",
  "Action": "kms:CreateKey",
  "Condition": {
    "StringEquals": {
      "kms:KeyOrigin": "EXTERNAL"
    }
  }
}

  • kms: GetParametersForImport (política clave o política de IAM)

    • Para limitar este permiso a las solicitudes que utilizan un algoritmo de empaquetado y una especificación clave de empaquetado determinados, usa las condiciones de la WrappingKeySpec política kms: WrappingAlgorithm y kms:.

  • kms: ImportKeyMaterial (política clave o política de IAM)

    • Para permitir o prohibir que el material clave caduque y controlar la fecha de caducidad, utilice las condiciones de la ValidTo política kms: ExpirationModel y kms:.

Para volver a importar el material clave importado, el director necesita los ImportKeyMaterial permisos kms: GetParametersForImport y kms:.

Para eliminar el material clave importado, el director necesita el DeleteImportedKeyMaterial permiso kms:.

Por ejemplo, para dar permiso KMSAdminRole al ejemplo y que pueda administrar todos los aspectos de una clave KMS con material de claves importado, incluya una declaración de política clave como la siguiente en la política clave de la clave KMS.

{
  "Sid": "Manage KMS keys with imported key material",
  "Effect": "Allow",
  "Resource": "*",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole"
  },
  "Action": [
    "kms:GetParametersForImport",
    "kms:ImportKeyMaterial",
    "kms:DeleteImportedKeyMaterial"
  ]  
}

Requisitos para el material de claves importado

El material de claves que importa debe ser compatible con la especificación de clave de la clave de KMS asociada. Para los pares de claves asimétricas, importe solo la clave privada del par. AWS KMS deriva la clave pública de la clave privada.

AWS KMS admite las siguientes especificaciones clave para las claves de KMS con material de claves importado.

  • Claves de cifrado simétricas

    • Especificación clave:

      • SYMMETRIC_DEFAULT.

    • Requisitos:

      • 256 bits (32 bytes) de datos binarios.

      • En las regiones de China, debe ser un dato binario de 128 bits (16 bytes).

  • Claves HMAC

    • Especificaciones clave:

      • HMAC_224

      • HMAC_256

      • HMAC_384

      • HMAC_512

    • Requisitos:

      • El material de claves HMAC debe cumplir con la RFC 2104.

      • La longitud de la clave debe ser como mínimo la misma longitud especificada en la especificación de la clave. La longitud máxima de la clave es de 1024 bits.

      • Si el material clave supera los 1024 bits, puede utilizar el hash del material clave e importar la salida del hash. El algoritmo de hash debe coincidir con la especificación clave de la clave HMAC KMS que está creando.

    • Ejemplo:

      • Para importar 2048 bits de material clave a una clave HMAC_256, primero calcule el hash SHA-256 del material clave de 2048 bits y, a continuación, importe el resultado del hash de 256 bits a la clave KMS.

    • Longitudes de clave válidas:

      • HMAC_224:224 a 1024 bits

      • HMAC_256:256—1024 bits

      • HMAC_384:384 a 1024 bits

      • HMAC_512:512—1024 bits

  • Clave privada asimétrica RSA

    • Especificaciones clave:

      • RSA_2048

      • RSA_3072

      • RSA_4096

    • Requisitos:

      • La clave privada asimétrica RSA que importe debe formar parte de un par de claves que cumpla con la RFC 3447.

      • Módulo: 2048 bits, 3072 bits o 4096 bits

      • Número de números primos: 2 (no se admiten claves RSA de varios números primos)

      • El material de claves asimétricas debe estar codificado en BER o DER en el formato #8 de los estándares de criptografía de clave pública (PKCS) que cumple con la RFC 5208.

  • Clave privada asimétrica de curva elíptica

    • Especificaciones clave:

      • ECC_NIST_P256 (secp256r1)

      • ECC_NIST_P384 (secp384r1)

      • ECC_NIST_P521 (secp521r1)

      • ECC_SECG_P256K1 (secp256k1)

    • Requisitos:

      • La clave privada asimétrica ECC que importe debe formar parte de un par de claves que cumpla con la RFC 5915.

      • Curva: NIST P-256, NIST P-384, NIST P-521 o SECP256k1.

      • Parámetros: solo curvas con nombre (se rechazan las claves ECC con parámetros explícitos).

      • Coordenadas de puntos públicos: pueden estar comprimidas, descomprimidas o ser proyectivas.

      • El material de claves asimétricas debe estar codificado en BER o DER en el formato #8 de los estándares de criptografía de clave pública (PKCS) que cumple con la RFC 5208.

  • Clave ML-DSA

    • Especificaciones clave:

      • ML_DSA_44

      • ML_DSA_65

      • ML_DSA_87

    importante

    No se admite la importación de claves ML-DSA.

  • SM2 clave privada asimétrica (solo regiones de China)

    • Requisitos:

      • La clave privada SM2 asimétrica que importe debe formar parte de un key pair que cumpla con 0003. GM/T

      • Curva:. SM2

      • Parámetros: solo curva con nombre (se rechazan SM2 las claves con parámetros explícitos).

      • Coordenadas de puntos públicos: pueden estar comprimidas, descomprimidas o ser proyectivas.

      • El material de claves asimétricas debe estar codificado en BER o DER en el formato #8 de los estándares de criptografía de clave pública (PKCS) que cumple con la RFC 5208.