Acerca AWS KMS keys - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acerca AWS KMS keys

AWS Key Management Service (AWS KMS) le permite crear claves criptográficas que se pueden utilizar en los datos que se transfieran al servicio. El tipo de recurso principal es la clave KMS, de la que hay tres tipos:

  • Claves simétricas del estándar de cifrado avanzado (AES): son claves de 256 bits que se utilizan en el modo Galois Counter Mode (GCM) del AES. Estas claves proporcionan cifrado y descifrado autenticados de datos con un tamaño inferior a 4 KB. Este es el tipo de clave más común. Se utiliza para proteger otras claves de datos, como las que se utilizan en sus aplicaciones, o las Servicios de AWS que cifran los datos en su nombre.

  • Claves asimétricas RSA o de curva elíptica: estas claves están disponibles en varios tamaños y admiten muchos algoritmos. Según el algoritmo, se pueden usar para cifrar y descifrar y para operaciones de firma y verificación.

  • Claves simétricas para realizar operaciones con códigos de autenticación de mensajes (HMAC) basadas en hash: estas claves son claves de 256 bits que se utilizan para las operaciones de firma y verificación.

Las claves KMS no se pueden exportar desde el servicio en texto sin formato. Las generan los módulos de seguridad de hardware (HSMs) utilizados por el servicio y solo se pueden usar dentro de ellos. Esta es una propiedad de seguridad fundamental AWS KMS para evitar que las claves se vean comprometidas. En las regiones de China (Beijing) y China (Ningxia), HSMs están certificadas por la OSCCA. En todas las demás regiones, las HSMs utilizadas se AWS KMS validan según el programa FIPS 140 del NIST con un nivel de seguridad 3. Para obtener más información sobre el diseño y los controles AWS KMS que ayudan a proteger sus claves, consulte Detalles AWS Key Management Service criptográficos.

Puede enviar datos AWS KMS mediante varios tipos de criptografía APIs para realizar operaciones de cifrado, descifrado, firma o verificación con claves KMS. También puede elegir que una clave KMS actúe como clave de cifrado, lo que protege un tipo de clave denominado clave de datos. Puede exportar una clave de datos AWS KMS para utilizarla en su aplicación local o desde una Servicio de AWS que proteja los datos en su nombre. El uso de claves de datos es común en todos los sistemas de administración de claves y, a menudo, se denomina cifrado sobre. El cifrado de sobres permite utilizar una clave de datos en el sistema remoto que gestiona los datos confidenciales, en lugar de tener que enviarlos al sistema remoto AWS KMS para su cifrado directamente con una clave KMS.

Para obtener más información, consulte AWS KMS keyslos aspectos básicos de AWS KMS la criptografía en la AWS KMS documentación.