Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Administrar claves de KMS en un almacén de claves externo
Para crear, ver, administrar, usar y programar la eliminación de las claves de KMS en un almacén de claves externo, utilice procedimientos que son muy similares a los que usa para otras claves de KMS. Sin embargo, cuando crea una clave de KMS en un almacén de claves externo, especifica un almacén de claves externo y una clave externa. Cuando usa una clave de KMS en un almacén de claves externo, el administrador de claves externo realiza las operaciones de cifrado y descifrado mediante la clave externa especificada.
AWS KMS no puede crear, ver, actualizar ni eliminar ninguna clave criptográfica en su administrador de claves externo. AWS KMS nunca accede directamente a su administrador de claves externo ni a ninguna clave externa. Todas las solicitudes de operaciones criptográficas están mediadas por su proxy del almacén de claves externo. Para usar una clave de KMS en un almacén de claves externo, el almacén de claves externo que aloja la clave de KMS debe estar conectado a su proxy del almacén de claves externo.
Características admitidas
Además de los procedimientos tratados en esta sección, puede hacer lo siguiente con las claves de KMS en un almacén de claves personalizado:
-
Utilice políticas de claves, políticas de IAM y concesiones para controlar el acceso a las claves de KMS.
-
Habilite y deshabilite las claves de KMS. Estas acciones no afectan a la clave externa del administrador de claves externo.
-
Asigne etiquetas, cree alias y utilice el control de acceso basado en atributos (ABAC) para autorizar el acceso a las claves de KMS.
-
Utilice las claves de KMS con Servicios de AWS que se integran con AWS KMS
y que admiten las claves administradas por el cliente.
Características no admitidas
-
Los almacenes de claves externos solo admiten claves de KMS de cifrado simétrico. No puede crear claves de KMS HMAC ni claves de KMS asimétricas en un almacén de claves externo.
-
GenerateDataKeyPairy no GenerateDataKeyPairWithoutPlaintextson compatibles con las claves KMS de un almacén de claves externo.
-
No puede usar una plantilla de AWS CloudFormation para crear un almacén de claves externo o una clave de KMS en un almacén de claves externo.
-
Las claves multirregionales no se admiten en un almacén de claves externo.
-
Las claves de KMS con material de clave importado no se admiten en un almacén de claves externo.
-
La rotación automática de claves no es compatible con las claves de KMS en un almacén de claves externo.