Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Importación de material clave para AWS KMS llaves
Puede crear una AWS KMS keys (clave de KMS) con el material de claves que usted suministra.
Una clave KMS es una representación lógica de una clave de cifrado. Los metadatos de una clave KMS incluyen el ID del material de claves que se utiliza para cifrar y descifrar datos. Al crear una clave KMS, AWS KMS genera de forma predeterminada el material de claves de dicha clave KMS. Pero puede crear una clave KMS sin material de claves y, a continuación, importar su propio material de claves en esa clave KMS, una característica que se conoce a menudo como "bring your own key" (BYOK) ("utilice su propia clave").
nota
AWS KMS no admite el descifrado de ningún AWS KMS texto cifrado ajeno a AWS KMS, incluso si el texto cifrado se ha cifrado con una clave KMS con material clave importado. AWS KMS no publica el formato de texto cifrado que requiere esta tarea y el formato puede cambiar sin previo aviso.
El material de claves importado se admite en todos los tipos de claves de KMS, excepto en las claves de KMS de los almacenes de claves personalizados.
Cuando utiliza material clave importado, sigue siendo responsable del material clave y permite AWS KMS utilizar una copia del mismo. Puede hacerlo por uno o varios de los motivos siguientes:
-
Para demostrar que ha generado el material de claves con un origen de entropía que cumple sus requisitos.
-
Para utilizar el material clave de su propia infraestructura con AWS los servicios y AWS KMS para gestionar el ciclo de vida de ese material clave interno AWS.
-
Para utilizar claves existentes y bien establecidas, como las claves para la firma de código AWS KMS, la firma de certificados de PKI y las aplicaciones con certificados anclados
-
Establecer una fecha de caducidad para el material clave AWS y eliminarlo manualmente, pero también hacer que vuelva a estar disponible en el futuro. Por el contrario, programar la eliminación de claves requiere un periodo de espera de 7 a 30 días, transcurrido el cual no puede recuperar la clave KMS eliminada.
-
Ser propietario de la copia original del material clave y mantenerla fuera de ella AWS para garantizar una mayor durabilidad y recuperación ante desastres durante todo el ciclo de vida del material clave.
-
En el caso de las claves asimétricas y las claves HMAC, la importación crea claves compatibles e interoperables que funcionan dentro y fuera de ellas. AWS
Puede auditar y supervisar el uso y la administración de una clave KMS con material clave importado. AWS KMS registra un evento en el AWS CloudTrail registro al crear la clave KMS, descargar la clave pública empaquetadora y el token de importación e importar el material de la clave. AWS KMS también registra un evento cuando se elimina manualmente el material clave importado o cuando se AWS KMS elimina el material clave caducado.
Para obtener información sobre las diferencias importantes entre las claves de KMS con material clave importado y aquellas con material clave generado por AWS KMS, consulteAcerca de material de claves importado.
Claves de KMS compatibles
AWS KMS admite material clave importado para los siguientes tipos de claves de KMS. No puede importar material de claves a una clave de KMS de almacenes de claves personalizados.
-
Claves de KMS RSA asimétricas (para cifrado o firma, pero no para ambas opciones)
-
Claves KMS de curva elíptica asimétrica (ECC) (para firmar o derivar secretos compartidos, pero no ambos)
-
Claves KMS SM2 asimétricas: solo para regiones de China (para cifrar, firmar o obtener secretos compartidos)
-
Claves de varias regiones de todos los tipos compatibles.
Regiones
El material clave importado es compatible con todos Regiones de AWS los soportes. AWS KMS
En las regiones de China, los requisitos de material clave para las claves KMS de cifrado simétrico difieren de los de otras regiones. Para obtener más detalles, consulte Paso 3 de la importación de material de claves: Cifrar el material de claves.
Temas
- Planificación de la importación del material de claves
- Administración de material de claves importado
- Paso 1: Crear una clave KMS sin material de claves
- Paso 2: descargar la clave pública de encapsulamiento y el token de importación
- Paso 3: Cifrar el material de claves
- Paso 4: Importar el material de claves