Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Importación de material clave para AWS KMS llaves
Puede crear una AWS KMS keys (clave KMS) con el material clave que suministre.
Una clave KMS es una representación lógica de una clave de datos. Los metadatos de una clave KMS incluyen el ID del material de claves que se utiliza para llevar a cabo operaciones criptográficas. Al crear una clave de KMS, de forma predeterminada, se AWS KMS genera el material clave para esa clave de KMS. Pero puede crear una clave KMS sin material de claves y, a continuación, importar su propio material de claves en esa clave KMS, una característica que se conoce a menudo como "bring your own key" (BYOK) ("utilice su propia clave").
nota
AWS KMS no admite el descifrado de ningún AWS KMS texto cifrado mediante una clave KMS de cifrado simétrico fuera de ella AWS KMS, incluso si el texto cifrado se cifró con una clave KMS con material clave importado. AWS KMS no publica el formato de texto cifrado que requiere esta tarea y el formato puede cambiar sin previo aviso.
Cuando utiliza material clave importado, sigue siendo responsable del material clave y permite AWS KMS utilizar una copia del mismo. Puede hacerlo por uno o varios de los motivos siguientes:
-
Para demostrar que ha generado el material de claves con un origen de entropía que cumple sus requisitos.
-
Para utilizar el material clave de su propia infraestructura con AWS los servicios y AWS KMS para gestionar el ciclo de vida de ese material clave interno AWS.
-
Para utilizar claves existentes y bien establecidas, como las claves para la firma de código AWS KMS, la firma de certificados de PKI y las aplicaciones con certificados anclados
-
Establecer una fecha de caducidad para el material clave AWS y eliminarlo manualmente, pero también hacer que vuelva a estar disponible en el futuro. Por el contrario, programar la eliminación de claves requiere un periodo de espera de 7 a 30 días, transcurrido el cual no puede recuperar la clave KMS eliminada.
-
Ser propietario de la copia original del material clave y mantenerla fuera de ella AWS para garantizar una mayor durabilidad y recuperación ante desastres durante todo el ciclo de vida del material clave.
-
En el caso de las claves asimétricas y las claves HMAC, la importación crea claves compatibles e interoperables que funcionan dentro y fuera de ellas. AWS
Tipos de claves KMS compatibles
AWS KMS admite material clave importado para los siguientes tipos de claves KMS. No puede importar material de claves a una clave de KMS de almacenes de claves personalizados.
-
Claves de varias regiones de todos los tipos compatibles.
Regiones
El material clave importado se admite en todos Regiones de AWS los AWS KMS soportes.
En las regiones de China, los requisitos de material de claves en relación con claves KMS de cifrado simétrico difieren de los de otras regiones. Para obtener más información, consulte Paso 3: Cifrar el material de claves.
Más información
-
Para crear claves KMS con material de claves importado, consulte Creación de una clave KMS con material de claves importado.
-
Para crear una alarma de que le notifique cuando el material de claves importado en una clave KMS se acerca a su fecha de caducidad, consulte Cree una CloudWatch alarma de caducidad del material clave importado.
-
Para volver a importar el material de claves en una clave KMS, consulte Volver a importar material de claves.
-
Para identificar y ver claves KMS con material de claves importado, consulte Identificación de claves KMS con material de claves importado.
-
Para obtener información acerca de las consideraciones especiales a la hora de eliminar claves KMS con material de claves importado, consulte Deleting KMS keys with imported key material.
