Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Planificación de la importación del material de claves
El material clave importado te permite proteger tus AWS recursos con las claves criptográficas que generes. El material de claves que importa está asociado a una clave de KMS concreta. Puede volver a importar el mismo material clave a la misma clave de KMS, pero no puede importar material de clave diferente a la clave de KMS y no puede convertir una clave de KMS diseñada para el material de clave importado en una clave de KMS con material AWS KMS clave.
Más información:
Temas
Acerca de material de claves importado
Antes de decidir importar material clave a AWS KMS, debe conocer las siguientes características del material clave importado.
- Generar el material de clave
-
Es su responsabilidad generar el material de claves con una fuente de aleatoriedad que cumpla sus requisitos de seguridad.
- Puede eliminar el material de clave
-
Puede eliminar el material de claves importado de una clave de KMS, al inutilizar inmediatamente la clave de KMS. Además, al importar material de claves en una clave de KMS, puede determinar si la clave vence y establecer su fecha de vencimiento. Cuando llegue el momento de caducidad, AWS KMS elimina el material clave. Sin material de claves, la clave KMS no puede utilizarse en ninguna operación criptográfica. Para restaurar la clave, debe volver a importar el mismo material en la clave.
- No puede cambiar el material de claves
-
Al importar el material de claves en una clave de KMS, la clave de KMS se asocia de forma permanente a dicho material de claves. Puede volver a importar el mismo material de claves, pero no puede importar material de claves diferente en esa clave KMS. Además, no puede habilitar la rotación automática de claves para una clave KMS con material de claves importado. Sin embargo, puede rotar manualmente una clave KMS con material de claves importado.
- No puede cambiar el origen del material de claves
-
Las claves KMS diseñadas para el material de claves importado tienen un valor de origen de
EXTERNAL
que no se puede cambiar. No puede convertir una clave KMS para material clave importado para utilizar material clave de ninguna otra fuente, ni siquiera. AWS KMS Del mismo modo, no puede convertir una clave KMS con material AWS KMS clave en una diseñada para material clave importado. - No puede exportar el material de claves
-
No puede exportar ningún material clave que haya importado. AWS KMS no puede devolverle el material clave importado de ninguna forma. Debe conservar una copia del material clave importado fuera de AWS, preferiblemente, en un administrador de claves, como un módulo de seguridad de hardware (HSM), de modo que pueda volver a importar el material clave si lo elimina o si caduca.
- Puede crear claves de varias regiones con material de claves importado
-
Las múltiples regiones con material de claves importado tienen las características de las claves de KMS con material de claves importado y pueden interoperar entre Regiones de AWS. Para crear una clave de varias regiones con material de claves importado, debe importar el mismo material de claves en la clave de KMS principal y en cada clave de réplica. Para obtener más detalles, consulte Importación de material clave en claves de varias regiones.
- Las claves asimétricas y las claves HMAC son portátiles e interoperables
-
Puede utilizar el material de clave asimétrico y el material de clave HMAC de forma externa AWS para interoperar con AWS KMS llaves con el mismo material de clave importado.
A diferencia del texto cifrado AWS KMS simétrico, que está inextricablemente vinculado a la clave KMS utilizada en el algoritmo, AWS KMS utiliza formatos HMAC estándar y asimétricos para el cifrado, la firma y la generación de MAC. Como resultado, las claves son portátiles y admiten los escenarios tradicionales de claves de depósito de garantía.
Si su clave KMS tiene material clave importado, puede usar el material clave importado fuera de él para realizar las siguientes operaciones. AWS
-
Claves HMAC: puede verificar una etiqueta HMAC generada por la clave HMAC de KMS con material de claves importado. También puede usar la clave HMAC KMS con el material clave importado para verificar una etiqueta HMAC que se haya generado fuera del material clave. AWS
-
Claves de cifrado asimétricas: puede utilizar su clave de cifrado asimétrica privada AWS para descifrar un texto cifrado mediante la clave KMS con la clave pública correspondiente. También puedes usar tu clave KMS asimétrica para descifrar un texto cifrado asimétrico que se haya generado fuera de. AWS
-
Claves de firma asimétrica: puedes usar tu clave KMS de firma asimétrica con material clave importado para verificar las firmas digitales generadas por tu clave de firma privada fuera de. AWS También puedes usar tu clave de firma pública asimétrica fuera de ella AWS para verificar las firmas generadas por tu clave KMS asimétrica.
-
Claves de acuerdo de clave asimétrica: puedes usar tu clave KMS de acuerdo de clave pública asimétrica con material clave importado para obtener secretos compartidos con alguien ajeno a ella. AWS
Si importa el mismo material de claves en claves de KMS diferentes de la misma Región de AWS, esas claves son también interoperables. Para crear claves KMS interoperables en diferentes regiones Regiones de AWS, cree una clave multirregional con material clave importado.
-
- Las claves de cifrado simétricas no son portátiles ni interoperables
-
Los textos cifrados simétricos que AWS KMS produce no son portátiles ni interoperables. AWS KMS no publica el formato de texto cifrado simétrico que requiere la portabilidad y el formato puede cambiar sin previo aviso.
-
AWS KMS no puede descifrar los textos cifrados simétricos que no estén cifrados AWS, incluso si utiliza material clave que ha importado.
-
AWS KMS no admite el descifrado de ningún texto cifrado AWS KMS simétrico que no sea AWS KMS, incluso si el texto cifrado se ha cifrado con una clave KMS con material clave importado.
-
Las claves de KMS con el mismo material de claves importado no son interoperables. El texto cifrado simétrico que AWS KMS genera el texto cifrado específico de cada clave KMS. Este formato de texto cifrado garantiza que solo la clave de KMS que cifró los datos pueda descifrarlos.
Además, no puede utilizar ninguna AWS herramienta, como el cifrado del lado del cliente AWS Encryption SDKo Amazon S3, para descifrar AWS KMS textos cifrados simétricos.
Por lo tanto, no puede utilizar claves con material clave importado para respaldar acuerdos de custodia de claves, en los que un tercero autorizado con acceso condicional al material clave puede descifrar determinados textos cifrados fuera de él. AWS KMS Para admitir el depósito de claves, utilice AWS Encryption SDK para cifrar su mensaje bajo una clave que es independiente de AWS KMS.
-
- Usted es responsable de la disponibilidad y durabilidad
-
AWS KMS está diseñado para mantener una alta disponibilidad del material clave importado. Sin embargo, AWS KMS no mantiene la durabilidad del material clave importado al mismo nivel que el material clave que se AWS KMS genera. Para obtener más detalles, consulte Protección del material de claves importado.
Protección del material de claves importado
El material de claves que importa está protegido en tránsito y en reposo. Antes de importar el material clave, cifra (o «envuelve») el material clave con la clave pública de un par de claves RSA generado en módulos de seguridad de AWS KMS hardware (HSM) validados según el programa de validación de módulos criptográficos FIPS 140-2
Al recibirlo, AWS KMS descifra el material de claves con la clave privada correspondiente en un AWS KMS HSM y lo vuelve a cifrar con una clave simétrica AES que solo existe en la memoria volátil del HSM. El material de claves nunca sale del HSM en texto sin formato. Solo se descifra mientras está en uso y solo dentro de los HSM. AWS KMS
El uso de la clave de KMS con el material de claves importado viene determinado únicamente por las políticas de control de acceso que se establezcan en la clave de KMS. Además, puede usar alias y etiquetas para identificar y controlar el acceso a la clave de KMS. Puede habilitar y deshabilitar la clave, ver y editar sus propiedades y supervisarla mediante servicios como AWS CloudTrail.
Sin embargo, usted conserva la única copia de seguridad de su material de claves. A cambio de esta medida de control adicional, usted es responsable de la durabilidad y la disponibilidad general del material clave importado. AWS KMS está diseñado para mantener una alta disponibilidad del material clave importado. Sin embargo, AWS KMS no mantiene la durabilidad del material clave importado al mismo nivel que el material clave que se AWS KMS genera.
Esta diferencia relativa a la durabilidad es importante en los casos siguientes:
-
Al establecer una fecha de caducidad para el material clave importado, AWS KMS elimina el material clave una vez que caduque. AWS KMS no elimina la clave KMS ni sus metadatos. Puedes crear una CloudWatch alarma de Amazon que te notifique cuando el material clave importado se acerca a su fecha de caducidad.
No puede eliminar el material clave que se AWS KMS genera para una clave de KMS ni puede configurar el material AWS KMS clave para que caduque, aunque puede rotarlo.
-
Al eliminar manualmente el material clave importado, AWS KMS elimina el material clave pero no elimina la clave KMS ni sus metadatos. Por el contrario, programar la eliminación de claves requiere un periodo de espera de 7 a 30 días, después de lo cual AWS KMS elimina permanentemente la clave KMS, sus metadatos y su material de claves.
-
En el improbable caso de que se produzcan algunos fallos en toda la región AWS KMS (por ejemplo, una pérdida total de energía), AWS KMS no podrá restaurar automáticamente el material clave importado. Sin embargo, AWS KMS puede restaurar la clave KMS y sus metadatos.
Debe conservar una copia del material clave importado fuera del AWS sistema que controle. Se recomienda almacenar una copia exportable del material de claves importado en un sistema de administración de claves, como un HSM. Si el material de claves importado se elimina o vence, la clave de KMS asociada quedará inutilizable hasta que vuelva a importar el mismo material de claves. Si el material de claves importado se pierde de forma permanente, cualquier texto cifrado con la clave de KMS será irrecuperable.
Permisos para importar material de clave
Para crear y administrar claves KMS con material de claves importado, el usuario necesita permiso para las operaciones de este proceso. Puede proporcionar los permisos kms:GetParametersForImport
, kms:ImportKeyMaterial
, y kms:DeleteImportedKeyMaterial
en la política de claves al crear la clave KMS. En la AWS KMS consola, estos permisos se añaden automáticamente a los administradores de claves al crear una clave con un origen de material clave externo.
Para crear claves KMS con material de claves importado, la entidad principal necesita los siguientes permisos.
-
kms: CreateKey (política de IAM)
-
Para limitar este permiso a las claves de KMS con material clave importado, utilice la condición kms: KeyOrigin policy con un valor de
EXTERNAL
.{ "Sid": "CreateKMSKeysWithoutKeyMaterial", "Effect": "Allow", "Resource": "*", "Action": "kms:CreateKey", "Condition": { "StringEquals": { "kms:KeyOrigin": "EXTERNAL" } } }
-
-
kms: GetParametersForImport (política clave o política de IAM)
-
Para limitar este permiso a las solicitudes que utilizan un algoritmo de empaquetado y una especificación clave de empaquetado determinados, usa las condiciones de la WrappingKeySpec política kms: WrappingAlgorithm y kms:.
-
-
kms: ImportKeyMaterial (política clave o política de IAM)
-
Para permitir o prohibir que el material clave caduque y controlar la fecha de caducidad, utilice las condiciones de la ValidTo política kms: ExpirationModel y kms:.
-
Para volver a importar el material clave importado, el director necesita los ImportKeyMaterial permisos kms: GetParametersForImport y kms:.
Para eliminar el material clave importado, el director necesita el DeleteImportedKeyMaterial permiso kms:.
Por ejemplo, para dar permiso KMSAdminRole
al ejemplo y que pueda administrar todos los aspectos de una clave KMS con material de claves importado, incluya una declaración de política clave como la siguiente en la política clave de la clave KMS.
{ "Sid": "Manage KMS keys with imported key material", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole" }, "Action": [ "kms:GetParametersForImport", "kms:ImportKeyMaterial", "kms:DeleteImportedKeyMaterial" ] }
Requisitos para el material de claves importado
El material de claves que importa debe ser compatible con la especificación de clave de la clave de KMS asociada. Para los pares de claves asimétricas, importe solo la clave privada del par. AWS KMS deriva la clave pública de la clave privada.
AWS KMS admite las siguientes especificaciones clave para las claves de KMS con material de claves importado.
Especificación de clave de la clave de KMS | Requisitos del material de claves |
---|---|
Claves de cifrado simétricas SYMMETRIC_DEFAULT |
256 bits (32 bytes) de datos binarios En las regiones de China, debe ser un dato binario de 128 bits (16 bytes). |
Claves HMAC HMAC_224 HMAC_256 HMAC_384 HMAC_512 |
El material de claves HMAC debe cumplir con la RFC 2104 La longitud de la clave debe coincidir con la longitud especificada en la especificación de la clave. |
Clave privada asimétrica RSA RSA_2048 RSA_3072 RSA_4096 |
La clave privada asimétrica RSA que importe debe formar parte de un par de claves que cumpla con la RFC 3447 Módulo: 2048 bits, 3072 bits o 4096 bits Número de números primos: 2 (no se admiten claves RSA de varios números primos) El material de clave asimétrica debe estar codificado en BER o DER en el formato de los estándares de criptografía de clave pública (PKCS) #8 que cumpla con la RFC 5208. |
Clave privada asimétrica de curva elíptica ECC_NIST_P256 (secp256r1) ECC_NIST_P384 (secp384r1) ECC_NIST_P521 (secp521r1) ECC_SECG_P256K1 (secp256k1) |
La clave privada asimétrica ECC que importe debe formar parte de un par de claves que cumpla con la RFC 5915 Curva: NIST P-256, NIST P-384, NIST P-521 o Secp256k1 Parámetros: solo curvas con nombre (se rechazan las claves ECC con parámetros explícitos) Coordenadas de puntos públicos: pueden estar comprimidas, descomprimidas o ser proyectivas El material de clave asimétrica debe estar codificado en BER o DER en el formato #8 de los estándares de criptografía de clave pública (PKCS) que cumple con la RFC 5208. |
Clave privada asimétrica SM2 (solo para regiones de China) |
La clave privada asimétrica SM2 que importe debe formar parte de un par de claves que cumpla con la norma GM/T 0003. Curva: SM2 Parámetros: solo curva con nombre (se rechazan las claves SM2 con parámetros explícitos) Coordenadas de puntos públicos: pueden estar comprimidas, descomprimidas o ser proyectivas El material de clave asimétrica debe estar codificado en BER o DER en el formato #8 de los estándares de criptografía de clave pública (PKCS) que cumple con la RFC 5208. |