Rotación clave AWS KMS y alcance del impacto - AWS Guía prescriptiva
Rotación de clave simétricaRotación de claves para Amazon EBSRotación de claves para Amazon RDSRotación de claves para Amazon S3Llaves giratorias con material importado

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Rotación clave AWS KMS y alcance del impacto

No recomendamos la rotación de claves AWS Key Management Service (AWS KMS), a menos que sea necesario rotar las claves por motivos de conformidad con la normativa. Por ejemplo, es posible que tengas que rotar tus claves de KMS debido a políticas empresariales, normas contractuales o normativas gubernamentales. El diseño reduce AWS KMS significativamente los tipos de riesgo que la rotación de claves suele utilizarse para mitigar. Si debe girar las claves KMS, le recomendamos que utilice la rotación de clave automática y la rotación de clave manual solo si no se admite la rotación automática de claves.

AWS KMS rotación clave simétrica

AWS KMS admite la rotación automática de claves solo para claves KMS de cifrado simétrico con el material de clave que AWS KMS crea. La rotación automática es opcional para las claves KMS administradas por el cliente. Anualmente, AWS KMS rota el material clave de las claves de KMS AWS administradas. AWS KMS guarda todas las versiones anteriores del material criptográfico a perpetuidad, de modo que puede descifrar cualquier dato que esté cifrado con esa clave KMS. AWS KMS no elimina ningún material de clave girada hasta que elimine la clave KMS. Además, al descifrar un objeto mediante el uso AWS KMS, el servicio determina el material de soporte correcto que se debe utilizar en la operación de descifrado; no es necesario proporcionar parámetros de entrada adicionales.

Como AWS KMS conserva las versiones anteriores del material de claves criptográficas y se puede utilizar ese material para descifrar datos, la rotación de claves no ofrece ninguna ventaja de seguridad adicional. El mecanismo de rotación de claves existe para facilitar la rotación de claves si se trabaja con una carga de trabajo en un contexto en el que lo exigen los requisitos reglamentarios o de otro tipo.

Rotación de claves para los volúmenes de Amazon EBS

Puede rotar las claves de datos de Amazon Elastic Block Store (Amazon EBS) mediante uno de los siguientes enfoques. El enfoque depende de los flujos de trabajo, los métodos de implementación y la arquitectura de la aplicación. Es posible que desee hacerlo al cambiar de una clave AWS administrada a una clave administrada por el cliente.

Utilizar las herramientas del sistema operativo para copiar los datos de un volumen a otro

  1. Cree la nueva clave KMS. Para obtener instrucciones, consulte Crear una clave KMS.

  2. Cree un nuevo volumen de Amazon EBS que sea del mismo tamaño o mayor que el original. Para el cifrado, especifique la clave KMS que creó. Para obtener instrucciones, consulte Crear un volumen de Amazon EBS.

  3. Monte el nuevo volumen en la misma instancia o contenedor que el volumen original. Para obtener instrucciones, consulte Adjuntar un volumen de Amazon EBS a una EC2 instancia de Amazon.

  4. Con la herramienta de sistema operativo que prefiera, copie los datos del volumen existente al nuevo volumen.

  5. Cuando se complete la sincronización, durante un período de mantenimiento programado previamente, detenga el tráfico a la instancia. Para obtener instrucciones, consulta Cómo detener e iniciar las instancias manualmente.

  6. Desmonte el volumen original. Para obtener instrucciones, consulte Separar un volumen de Amazon EBS de una instancia de Amazon EC2 .

  7. Monte el nuevo volumen en el punto de montaje original.

  8. Compruebe que el nuevo volumen funciona correctamente.

  9. Elimine el volumen original. Para obtener instrucciones, consulte Eliminar un volumen de Amazon EBS.

Para usar una instantánea de Amazon EBS para copiar los datos de un volumen a otro

  1. Cree la nueva clave KMS. Para obtener instrucciones, consulte Crear una clave KMS.

  2. Cree una instantánea del volumen original en Amazon EBS. Para obtener instrucciones, consulte Crear instantáneas de Amazon EBS.

  3. Cree un nuevo volumen a partir de la instantánea. Para el cifrado, especifique la nueva clave de KMS que creó. Para obtener instrucciones, consulte Crear un volumen de Amazon EBS.

    nota

    En función de su carga de trabajo, es posible que desee utilizar la restauración rápida de instantáneas de Amazon EBS para minimizar la latencia inicial del volumen.

  4. Crea una nueva EC2 instancia de Amazon. Para obtener instrucciones, consulta Lanzar una EC2 instancia de Amazon.

  5. Adjunta el volumen que has creado a la EC2 instancia de Amazon. Para obtener instrucciones, consulte Adjuntar un volumen de Amazon EBS a una EC2 instancia de Amazon.

  6. Transfiera la nueva instancia a producción.

  7. Gire la instancia original para sacarla de producción y elimínela. Para obtener instrucciones, consulte Eliminar un volumen de Amazon EBS.

nota

Es posible copiar instantáneas y modificar la clave de cifrado utilizada para la copia de destino. Tras copiar la instantánea y cifrarla con las claves de KMS que prefieras, también puedes crear una Amazon Machine Image (AMI) a partir de las instantáneas. Para obtener más información, consulte el cifrado de Amazon EBS en la EC2 documentación de Amazon.

Rotación de claves para Amazon RDS

En el caso de algunos servicios, como Amazon Relational Database Service (Amazon RDS), el cifrado de datos se realiza dentro del servicio y lo proporciona. AWS KMS Siga las instrucciones siguientes para rotar una clave de una instancia de base de datos de Amazon RDS.

Para rotar una clave de KMS para una base de datos de Amazon RDS

  1. Cree una instantánea de la base de datos cifrada original. Para obtener instrucciones, consulte Administrar copias de seguridad manuales en la documentación de Amazon RDS.

  2. Copie la instantánea en una nueva instantánea. Para el cifrado, especifique la nueva clave KMS. Para obtener instrucciones, consulte Copiar una instantánea de base de datos para Amazon RDS.

  3. Utilice la nueva instantánea para crear un nuevo clúster de Amazon RDS. Para obtener instrucciones, consulte Restauración en una instancia de base de datos en la documentación de Amazon RDS. De forma predeterminada, el clúster usa la nueva clave de KMS.

  4. Compruebe el funcionamiento de la nueva base de datos y los datos que contiene.

  5. Pase la nueva base de datos a producción.

  6. Haga que la base de datos antigua deje de estar en producción y elimínela. Para obtener instrucciones, consulte Eliminar una instancia de base de datos.

Rotación de claves para Amazon S3 y replicación en la misma región

En el caso de Amazon Simple Storage Service (Amazon S3), para cambiar la clave de cifrado de un objeto, debe leer y volver a escribir el objeto. Al reescribir el objeto, se especifica de forma explícita la nueva clave de cifrado en la operación de escritura. Para hacer esto con muchos objetos, puede utilizar Amazon S3 Batch Operations. En la configuración del trabajo, especifique la nueva configuración de cifrado para la operación de copia. Por ejemplo, puede elegir SSE-KMS e introducir el KeyID.

Como alternativa, puede usar Amazon S3 Same Region Replication (SRR). SSR puede volver a cifrar los objetos en tránsito.

Rotación de claves KMS con material importado

AWS KMS no recupera ni rota el material clave importado. Para girar una clave KMS con material clave importado, debe girar la clave manualmente.