AWS Key Management Service

AWS Key Management Service (AWS KMS) es un servicio administrado que le permite crear y controlar fácilmente las claves de cifrado que se utilizan para proteger sus datos. AWS KMS utiliza módulos de seguridad de hardware (HSM) para proteger y validar su AWS KMS keys según el Programa de validación de módulos criptográficos FIPS 140-2. Las regiones China (Pekín) y China (Ningxia) no admiten el programa de validación del módulo criptográfico FIPS 140-2. AWS KMS utiliza los HSM certificados por OSCCA para proteger las claves de KMS en las regiones de China.

AWS KMS está integrado con la mayoría de los demás servicios de AWS que cifran sus datos. AWS KMS también está integrado con AWS CloudTrail para registrar el uso de sus claves KMS para las necesidades de auditoría, regulación y cumplimiento.

Puede utilizar la API AWS KMS para crear y administrar claves KMS y funciones especiales, como almacenes de claves personalizadas y utilizar claves KMS en operaciones criptográficas. Para obtener más detalles, consulte la Referencia de API de la AWS Key Management Service.

Puede crear y administrar su AWS KMS keys:

Crear, editar y ver claves KMS simétricas y asimétricas, incluidas las claves HMAS.
Controle el acceso a las claves KMS mediante políticas de claves, políticas de IAM y concesiones. AWS KMS es compatible con el control de acceso basado en atributos (ABAC). También puede refinar políticas mediante claves de condición.
Crear, eliminar, enumerar y actualizar alias, que son nombres descriptivos para sus claves KMS. También puede utilizar alias para controlar el acceso a sus claves KMS.
Etiquete sus claves KMS para identificación, automatización y seguimiento de costos. También puede usar etiquetas para controlar el acceso a sus claves KMS.
Habilitar y desactivar claves KMS.
Habilitar y desactivar la rotación automática del material criptográfico en una clave KMS.
Elimine las claves KMS para completar el ciclo de vida de las claves.

Puede usar sus claves KMS en operaciones criptográficas. Para ver ejemplos, consulte Programación de la API de AWS KMS.

Cifrar, descifrar y volver a cifrar datos con claves KMS simétricas o asimétricas.
Firmar y verificar mensajes con claves KMS asimétricas.
Genere claves de datos simétricas exportables y pares de claves de datos asimétricos.
Generar y verificar códigos HMAC.
Genere números aleatorios adecuados para las aplicaciones de cifrado.

Puede utilizar las características avanzadas de AWS KMS

Crear claves de varias regiones, que actúan como copias de la misma clave KMS en diferentes Regiones de AWS.
Importar material criptográfico a una clave de KMS.
Cree claves de KMS en su propio almacén de claves de AWS CloudHSM respaldado por su clúster de AWS CloudHSM.
Cree claves de KMS en un almacén de claves externo respaldado por sus claves criptográficas ajenas a AWS.
Conectarse directamente a AWS KMS a través de un punto de conexión privado en su VPC.
Utilice el TLS híbrido postcuántico para proporcionar cifrado prospectivo en tránsito para los datos que envíe a AWS KMS

Con AWS KMS obtiene más control sobre el acceso a los datos que cifra. Puede utilizar las características criptográficas y administración de claves directamente en sus aplicaciones o a través de los servicios de AWS que están integrados con AWS KMS. Tanto si escribe aplicaciones para AWS como si usa los servicios de AWS, AWS KMS le permite mantener el control sobre quién puede usar sus AWS KMS keys y obtener acceso a sus datos cifrados.

AWS KMS se integra con AWS CloudTrail, un servicio que envía los archivos de registro al bucket de Amazon S3 designado. Al usarlo CloudTrail , puede monitorear e investigar cómo y cuándo se usaron sus claves KMS y quién las usó.

AWS KMS en Regiones de AWS

Las Regiones de AWS en las que se admite AWS KMS se mencionan en Cuotas y puntos de conexión de AWS Key Management Service. Si una característica de AWS KMS no se admite en una Región de AWS que admite AWS KMS, la diferencia regional se describe en el tema acerca de la característica.

Precios de AWS KMS

Al igual que con otros productos AWS, el uso de AWS KMS no requiere contratos o compras mínimas. Para obtener más información sobre los precios de AWS KMS, consulte Precios de AWS Key Management Service.

Acuerdo de nivel de servicios

AWS Key Management Service está respaldado por un acuerdo de nivel de servicios que define nuestra política de disponibilidad del servicio.

Más información

Para obtener más información sobre los términos y conceptos utilizados en AWS KMS, consulte Conceptos de AWS KMS.
Para obtener más información sobre la API de AWS KMS, consulte la referencia de la API de AWS Key Management Service. Para ver ejemplos en diferentes lenguajes de programación, consulte Programación de la API de AWS KMS.
Para obtener información sobre cómo utilizar plantillas de AWS CloudFormation para crear y administrar claves de y alias, consulte Creación de AWS KMS recursos con AWS CloudFormation y la referencia de tipos de recursos de AWS Key Management Service en la Guía del usuario de AWS CloudFormation.
Para obtener información técnica detallada sobre cómo utiliza AWS KMS la criptografía y protege las claves KMS, consulte el documento técnico Detalles criptográficos de AWS Key Management Service. La documentación de Detalles criptográficos no describe cómo AWS KMStrabaja en las regiones China (Pekín) y China (Ningxia).
Para obtener una lista de puntos de conexión de AWS KMS, incluidos los puntos de conexión FIPS, en cada Región de AWS, consulte Service endpoints en el tema AWS Key Management Service de la Referencia general de AWS.
Para obtener ayuda sobre preguntas acerca de AWS KMS, consulte el Foro de discusión de AWS Key Management Service.

AWS KMS en los SDK de AWS

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Conceptos