Importación de material clave para AWS KMS llaves - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Importación de material clave para AWS KMS llaves

Puede crear una AWS KMS keys (KMSclave) con el material clave que suministre.

Una KMS clave es una representación lógica de una clave de datos. Los metadatos de una KMS clave incluyen el ID del material clave utilizado para realizar operaciones criptográficas. Al crear una KMS clave, de forma predeterminada, se AWS KMS genera el material clave para esa KMS clave. Sin embargo, puedes crear una KMS clave sin material clave y, a continuación, importar tu propio material clave a esa KMS clave, una función que suele denominarse «trae tu propia clave» (BYOK).

Icono de clave que resalta el material de claves que representa.
nota

AWS KMS no permite AWS KMS descifrar ningún texto cifrado con una clave de cifrado simétrica ajena a AWS KMS, incluso si el texto cifrado se cifró con una KMS KMS clave con material clave importado. AWS KMS no publica el formato de texto cifrado que requiere esta tarea y el formato puede cambiar sin previo aviso.

Cuando utiliza material clave importado, sigue siendo responsable del material clave y permite AWS KMS utilizar una copia del mismo. Puede hacerlo por uno o varios de los motivos siguientes:

  • Para demostrar que ha generado el material de claves con un origen de entropía que cumple sus requisitos.

  • Para utilizar el material clave de su propia infraestructura con AWS los servicios y AWS KMS para gestionar el ciclo de vida de ese material clave interno AWS.

  • Para utilizar claves existentes y bien establecidas AWS KMS, como las claves para la firma de códigos, la firma de PKI certificados y las aplicaciones con certificados anclados

  • Establecer una fecha de caducidad para el material clave AWS y eliminarlo manualmente, pero también hacer que vuelva a estar disponible en el futuro. Por el contrario, programar la eliminación de claves requiere un período de espera de 7 a 30 días, después del cual no se puede recuperar la KMS clave eliminada.

  • Ser propietario de la copia original del material clave y conservarla fuera de ella AWS para garantizar una mayor durabilidad y recuperación ante desastres durante todo el ciclo de vida del material clave.

  • En el caso de claves y HMAC claves asimétricas, la importación crea claves compatibles e interoperables que funcionan dentro y fuera de ellas. AWS

Tipos de claves compatibles KMS

AWS KMS admite material clave importado para los siguientes tipos de KMS claves. No se puede importar material clave a KMS las claves de los almacenes de claves personalizados.

Regiones

El material clave importado es compatible con todos Regiones de AWS los AWS KMS soportes.

En las regiones de China, los requisitos de material clave para KMS las claves de cifrado simétrico difieren de los de otras regiones. Para obtener más información, consulte Paso 3: Cifrar el material de claves.

Más información