Utilizar claves de KMS en un almacén de claves externo - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Utilizar claves de KMS en un almacén de claves externo

Después de crear una clave de KMS de cifrado simétrica en un almacén de claves externo, puede usarla para las siguientes operaciones criptográficas:

Las operaciones de cifrado simétrico que generan pares de claves de datos asimétricos no se admiten en los almacenes de claves personalizados. GenerateDataKeyPairGenerateDataKeyPairWithoutPlaintext

Se admite un contexto de cifrado para todas las operaciones criptográficas con claves de KMS en un almacén de claves externo. Como siempre, el uso de un contexto de cifrado es una de las mejores prácticas de seguridad que recomienda AWS KMS.

Cuando utilice su clave de KMS en una solicitud, identifique la clave de KMS por su ID de clave, ARN de clave, alias o ARN de alias. No tiene que especificar el almacén de claves externo. La respuesta incluye los mismos campos que se devuelven para cualquier clave KMS de cifrado simétrica. Sin embargo, cuando utiliza una clave de KMS en un almacén de claves externo, el administrador de claves externo realiza las operaciones de cifrado y descifrado mediante la clave externa especificada.

Para garantizar que el texto cifrado con una clave de KMS en un almacén de claves externo sea tan seguro como cualquier texto cifrado con una clave de KMS estándar, AWS KMS utiliza un cifrado doble. Los datos se cifran primero en AWS KMS mediante el uso de material de clave de AWS KMS. A continuación, su administrador de claves externo lo cifra utilizando la clave externa de la clave de KMS. Para descifrar el texto cifrado con doble cifrado, el administrador de claves externo descifra primero el texto cifrado mediante la clave externa de la clave de KMS. Luego se descifra en AWS KMS utilizando el material de clave de AWS KMS para la clave de KMS.

Para ello, se deben cumplir las siguientes condiciones.

  • El estado de clave de la clave KMS debe ser Enabled. Para encontrar el estado de la clave, consulte el campo Estado de las claves administradas por el cliente, la AWS KMSconsola o el KeyState campo de la DescribeKeyrespuesta.

  • El almacén de claves externo que aloja la clave de KMS debe estar conectado a su proxy del almacén de claves externo, es decir, el estado de conexión del almacén de claves externo debe ser CONNECTED.

    Puede ver el estado de la conexión en la página de almacenes de claves externos de la AWS KMS consola o en la DescribeCustomKeyStoresrespuesta. El estado de la conexión del almacén de claves externo también se muestra en la página de detalles de la clave de KMS en la consola de AWS KMS. En la página de detalles, elija la pestaña Cryptographic configuration (Configuración criptográfica) y consulte el campo Connection state (Estado de la conexión) en la sección Custom key store (Almacén de claves personalizado).

    Si el estado de la conexión es DISCONNECTED, primero debe conectarlo. Si el estado de la conexión es FAILED, debe resolver el problema, desconectar el almacén de claves externo y, a continuación, conectarlo. Para ver instrucciones, consulte Conectar y desconectar un almacén de claves externo.

  • El proxy del almacén de claves externo debe poder encontrar la clave externa.

  • La clave externa debe estar habilitada y debe realizar el cifrado y el descifrado.

    El estado de la clave externa es independiente y no se ve afectado por los cambios en el estado de la clave de KMS, incluida la habilitación y deshabilitación de la clave de KMS. Del mismo modo, deshabilitar o eliminar la clave externa no cambia el estado de la clave de KMS, pero las operaciones criptográficas que utilicen la clave de KMS asociada fallarán.

Si no se cumplen estas condiciones, la operación criptográfica dará error y AWS KMS devolverá una excepción KMSInvalidStateException. Puede que tenga que volver a conectar el almacén de claves externo o utilizar las herramientas del administrador de claves externo para reconfigurar o reparar la clave externa. Para obtener ayuda adicional, consulte Solución de problemas de almacenes de claves externos.

Cuando utilice claves de KMS en un almacén de claves externo, tenga en cuenta que las claves de KMS de cada almacén de claves externo comparten una cuota de solicitudes del almacén de claves personalizado para operaciones criptográficas. Si supera la cuota, AWS KMS devuelve una ThrottlingException. Para obtener más información sobre la cuota de solicitudes del almacén de claves personalizado, consulte Cuotas de solicitudes del almacén de claves personalizado.