Teclas asimétricas en AWS KMS - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Teclas asimétricas en AWS KMS

AWS KMS admite claves KMS asimétricas que representan un par de claves públicas y privadas RSA, curva elíptica (ECC) o SM2 (solo regiones de China) relacionadas matemáticamente. Estos pares de claves se generan en módulos de seguridad de AWS KMS hardware certificados en virtud del programa de validación de módulos criptográficos FIPS 140-2, excepto en las regiones de China (Pekín) y China (Ningxia). La clave privada nunca deja los HSM sin cifrar. AWS KMS Puede descargar la clave pública para distribuirla y utilizarla fuera de ella. AWS Puede crear claves KMS asimétricas para cifrar y descifrar, firmar y verificar o derivar secretos compartidos (debe elegir un tipo de uso de clave).

Puede crear y administrar sus claves KMS asimétricas, lo que incluye configurar las políticas clave Cuenta de AWS, las políticas de IAM y lasconcesiones que controlan el acceso a las claves, habilitar y deshabilitar las claves de KMS, crear etiquetas yalias y eliminar las claves de KMS. Puedes auditar todas las operaciones que utilizan o administran tus claves KMS asimétricas en los registros. AWSAWS CloudTrail

AWS KMS también proporciona pares de claves de datos asimétricas que están diseñados para usarse en criptografía externa del lado del cliente. AWS KMS La clave privada de una clave de datos asimétrica se encuentra protegida por una clave de KMS de cifrado simétrica en AWS KMS.

En este tema se explica cómo funcionan las claves de KMS asimétricas, en qué difieren de otras claves de KMS y cómo decidir qué tipo de clave de KMS necesita para proteger sus datos. También explica cómo funcionan los pares de claves de datos asimétricos y cómo usarlos fuera de ellos. AWS KMS

Regiones

Las claves KMS asimétricas y los pares de claves de datos asimétricas son compatibles con todos Regiones de AWS los soportes. AWS KMS

Más información

Claves de KMS asimétricas

Puede crear una clave KMS asimétrica en AWS KMS. Una clave KMS asimétrica representa un par de claves privadas y públicas relacionadas matemáticamente. Puede entregar la clave pública a cualquiera, aunque no sea de confianza, pero la clave privada debe ser secreta.

En una clave KMS asimétrica, la clave privada se crea AWS KMS y nunca se queda AWS KMS sin cifrar. Para usar la clave privada, debe llamar. AWS KMS Puedes usar la clave pública que contiene AWS KMS llamando a las operaciones de la AWS KMS API. O bien, puedes descargar la clave pública y utilizarla fuera de ella AWS KMS.

Si tu caso de uso requiere que los usuarios que no puedan llamar AWS los cifren fuera del sistema AWS KMS, las claves KMS asimétricas son una buena opción. Sin embargo, si va a crear una clave KMS para cifrar los datos que almacena o administra en un AWS servicio, utilice una clave KMS de cifrado simétrico. AWS los servicios integrados AWS KMS utilizan únicamente claves KMS de cifrado simétrico para cifrar los datos. Estos servicios no admiten cifrado con claves de KMS asimétricas.

AWS KMS admite tres tipos de claves KMS asimétricas.

  • Claves KMS de RSA: una clave de KMS con un par de claves RSA para el cifrado y el descifrado o para la firma y la verificación (pero no para ambos). AWS KMS admite varias longitudes de clave para distintos requisitos de seguridad.

  • Claves KMS de curva elíptica (ECC): clave KMS con un par de claves de curva elíptica para firmar y verificar o derivar secretos compartidos (pero no ambos). AWS KMS admite varias curvas de uso común.

  • Claves KMS SM2 (solo para regiones de China): una clave KMS con un par de claves SM2 para cifrar y descifrar, firmar y verificar o derivar secretos compartidos (debe elegir un tipo de uso de clave).

Para obtener ayuda para elegir la configuración de clave asimétrica, consulte Elección de un tipo de clave KMS. Para obtener información técnica sobre los algoritmos de cifrado y firma AWS KMS compatibles con las claves KMS de RSA, consulte las especificaciones de las claves de RSA. Para obtener información técnica sobre los algoritmos de firma AWS KMS compatibles con las claves KMS de ECC, consulte las especificaciones de las claves de curva elíptica. Para obtener información técnica sobre los algoritmos de cifrado y firma AWS KMS compatibles con las claves KMS SM2 (solo para regiones de China), consulte las especificaciones de las claves SM2.

Para obtener una tabla en la que se comparan las operaciones que puede realizar en las claves KMS simétricas y asimétricas, consulte Comparación de claves KMS simétricas y asimétricas. Para obtener ayuda para determinar si una clave KMS es simétrica o asimétrica, consulte Identificación de claves KMS asimétricas.

Regiones

Las claves KMS asimétricas y los pares de claves de datos asimétricas son compatibles con todos los soportes. Regiones de AWS AWS KMS