Importación de material de claves para las claves de AWS KMS
Puede crear una AWS KMS keys (clave de KMS) con el material de claves que usted suministra.
Una clave KMS es una representación lógica de una clave de datos. Los metadatos de una clave KMS incluyen el ID del material de claves que se utiliza para llevar a cabo operaciones criptográficas. Al crear una clave KMS, AWS KMS genera de forma predeterminada el material de claves de dicha clave KMS. Pero puede crear una clave KMS sin material de claves y, a continuación, importar su propio material de claves en esa clave KMS, una característica que se conoce a menudo como "bring your own key" (BYOK) ("utilice su propia clave").
nota
AWS KMS no admite descifrar ningún texto cifrado de AWS KMS que haya sido cifrado por una clave de KMS de cifrado simétrico fuera de AWS KMS, incluso si el texto cifrado se cifró bajo una clave de KMS con material de claves importado. AWS KMS no publica el formato de texto cifrado que requiere esta tarea y el formato puede cambiar sin previo aviso.
Al utilizar su material de claves importado, sigue siendo responsable del material de claves a la vez que permite a AWS KMS que use una copia de él. Puede hacerlo por uno o varios de los motivos siguientes:
-
Para demostrar que ha generado el material de claves con un origen de entropía que cumple sus requisitos.
-
Para utilizar el material de claves de su propia infraestructura con servicios de AWS y utilizar AWS KMS para administrar el ciclo de vida de ese material de claves en AWS.
-
Para utilizar claves existentes y bien establecidas en AWS KMS, como las claves para la firma de código, la firma de certificados de PKI y las aplicaciones con certificados anclados
-
Para establecer una fecha de vencimiento para el material de claves en AWS y para eliminarlo manualmente, pero también para que vuelva a estar disponible en el futuro. Por el contrario, programar la eliminación de claves requiere un periodo de espera de 7 a 30 días, transcurrido el cual no puede recuperar la clave KMS eliminada.
-
Para poseer la copia original del material de claves y mantenerla fuera de AWS a fin de aumentar la durabilidad y la recuperación de desastres durante todo el ciclo de vida del material de claves.
-
En el caso de las claves asimétricas y las claves HMAC, la importación crea claves compatibles e interoperables que funcionan dentro y fuera de AWS.
Tipos de claves KMS compatibles
AWS KMS admite material de claves importado para los siguientes tipos de claves de KMS. No puede importar material de claves a una clave de KMS de almacenes de claves personalizados.
-
Claves de varias regiones de todos los tipos compatibles.
Regiones
El material de claves importado es compatible con todas las Regiones de AWS que admite AWS KMS.
En las regiones de China, los requisitos de material de claves en relación con claves KMS de cifrado simétrico difieren de los de otras regiones. Para obtener más información, consulte Paso 3: Cifrar el material de claves.
Más información
-
Para crear claves KMS con material de claves importado, consulte Creación de una clave KMS con material de claves importado.
-
Para crear una alarma de que le notifique cuando el material de claves importado en una clave KMS se acerca a su fecha de caducidad, consulte Creación de una alarma de CloudWatch para el vencimiento del material de claves importado.
-
Para volver a importar el material de claves en una clave KMS, consulte Volver a importar material de claves.
-
Para importar material de claves nuevo a una clave de KMS para su rotación bajo demanda, consulte Importación de nuevo material de claves y Realización de la rotación de claves bajo demanda.
-
Para identificar y ver claves KMS con material de claves importado, consulte Identificación de claves KMS con material de claves importado.
-
Para obtener información acerca de las consideraciones especiales a la hora de eliminar claves KMS con material de claves importado, consulte Deleting KMS keys with imported key material.
