Seguridad de la infraestructura en AWS Key Management Service
Al tratarse de un servicio administrado, AWS Key Management Service (AWS KMS) está protegido por los procedimientos de seguridad de red globales de AWS que se describen en Amazon Web Services: Información general sobre los procesos de seguridad
Para obtener acceso a AWS KMS a través de la red, puede llamar a las operaciones de la API de AWS KMS que se describen en la Referencia de la API de AWS Key Management Service. AWS KMS requiere TLS 1.2 y recomienda TLS 1.3 en todas las regiones. AWS KMS también es compatible con la TLS poscuántica híbrida para los puntos de conexión del servicio AWS KMS en todas las regiones, excepto en las regiones de China. AWS KMS no admite la TLS poscuántica híbrido para los puntos de conexión FIPS en AWS GovCloud (US). Para utilizar los puntos de conexión estándar de AWS KMS o los puntos de conexión FIPS de AWS KMS, los clientes deben admitir TLS 1.2 o una versión posterior. Los clientes también deben ser compatibles con conjuntos de cifrado con confidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La mayoría de los sistemas modernos, como Java 7 y posteriores, son compatibles con estos modos.
Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad de seguridad de IAM principal. También puede utilizar AWS Security Token Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.
Puede llamar a estas operaciones de la API desde cualquier ubicación de red, pero AWS KMS admite condiciones de políticas globales que le permiten controlar el acceso a una clave KMS en función de la dirección IP de origen, la VPC y el punto de enlace de VPC. Puede utilizar estas claves de condición en políticas de claves y en políticas de IAM. Sin embargo, estas condiciones pueden impedir que AWS utilice la clave KMS en su nombre. Para obtener más información, consulte Claves de condición globales de AWS.
Por ejemplo, la siguiente declaración de política de claves permite a los usuarios que pueden asumir la función KMSTestRole utilizar este AWS KMS key para las operaciones criptográficas especificadas, a menos que la dirección IP de origen sea una de las direcciones IP especificadas en la política.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/KMSTestRole"}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "192.0.2.0/24", "203.0.113.0/24" ] } } } }
Aislamiento de Hosts físicos
La seguridad de la infraestructura física que AWS KMS utiliza está sujeto a los controles que se describen en la sección Seguridad Física y Ambiental de la Amazon Web Services: Información general de los procesos de seguridad
AWS KMS es compatible con módulos de seguridad de hardware reforzados dedicados (HSM) diseñados con controles específicos para resistir ataques físicos. Los HSM son dispositivos físicos que no tienen una capa de virtualización, como un hipervisor, que comparte el dispositivo físico entre varios inquilinos lógicos. El material de claves para AWS KMS keys se almacena solo en memoria volátil en los HSM, y solo mientras la clave KMS está en uso. Esta memoria se borra cuando el HSM sale del estado operativo, incluidos los cierres y reinicios previstos e imprevistos. Para obtener información detallada acerca de la operación de los HSM de AWS KMS, consulte Detalles criptográficosAWS Key Management Service.
