Mejores prácticas de administración clave para AWS KMS - AWS Guía prescriptiva
Elegir un modelo de gestiónElegir tipos de clavesElegir un almacén de llavesEliminar y deshabilitar las claves de KMS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Mejores prácticas de administración clave para AWS KMS

Cuando AWS Key Management Service utilices (AWS KMS), debes tomar algunas decisiones fundamentales de diseño. Estas incluyen si se debe utilizar un modelo centralizado o descentralizado para la administración y el acceso a las claves, el tipo de claves que se deben utilizar y el tipo de almacén de claves que se van a utilizar. Las siguientes secciones le ayudan a tomar las decisiones adecuadas para su organización y sus casos de uso. Esta sección concluye con consideraciones importantes para deshabilitar y eliminar las claves de KMS, incluidas las medidas que debe tomar para ayudar a proteger sus datos y claves.

Elegir un modelo centralizado o descentralizado

AWS recomienda utilizar varias cuentas Cuentas de AWS y administrarlas como una sola organización en AWS Organizations. Existen dos enfoques generales para la administración AWS KMS keys en entornos de múltiples cuentas.

El primer enfoque es un enfoque descentralizado, en el que se crean claves en cada cuenta que utilice esas claves. Al almacenar las claves de KMS en las mismas cuentas que los recursos que protegen, resulta más fácil delegar los permisos a los administradores locales, que conocen los requisitos de acceso de sus AWS entidades principales y claves. Puede autorizar el uso de claves utilizando solo una política clave, o puede combinar una política clave y políticas basadas en la identidad AWS Identity and Access Management (IAM).

El segundo enfoque es un enfoque centralizado, en el que se mantienen las claves de KMS en una o varias designadas. Cuentas de AWS Permites que otras cuentas solo usen las claves para operaciones criptográficas. Usted administra las claves, su ciclo de vida y sus permisos desde la cuenta centralizada. Permites Cuentas de AWS que otros usen la clave, pero no permites otros permisos. Las cuentas externas no pueden administrar nada relacionado con el ciclo de vida de la clave ni con los permisos de acceso. Este modelo centralizado puede ayudar a minimizar el riesgo de que los administradores o usuarios delegados eliminen las claves de forma no intencionada o aumenten sus privilegios.

La opción que elija depende de varios factores. Tenga en cuenta lo siguiente al elegir un enfoque:

  1. ¿Tiene un proceso automatizado o manual para aprovisionar el acceso a las claves y los recursos? Esto incluye recursos como los procesos de implementación y las plantillas de infraestructura como código (IaC). Estas herramientas pueden ayudarlo a implementar y administrar recursos (como las claves de KMS, las políticas clave, las funciones de IAM y las políticas de IAM) en muchos casos. Cuentas de AWS Si no cuenta con estas herramientas de implementación, un enfoque centralizado de la administración de claves podría ser más fácil de administrar para su empresa.

  2. ¿Tiene control administrativo sobre todos los recursos Cuentas de AWS que contienen claves de KMS? Si es así, un modelo centralizado puede simplificar la administración y eliminar la necesidad de cambiar Cuentas de AWS para administrar las claves. Sin embargo, tenga en cuenta que las funciones de IAM y los permisos de usuario para usar las claves aún deben administrarse por cuenta.

  3. ¿Necesitas ofrecer acceso para usar tus claves de KMS a los clientes o socios que tengan sus propios Cuentas de AWS recursos? En el caso de estas claves, un enfoque centralizado puede reducir la carga administrativa de sus clientes y socios.

  4. ¿Tiene requisitos de autorización para acceder a AWS los recursos que se resuelven mejor con un enfoque de acceso centralizado o local? Por ejemplo, si diferentes aplicaciones o unidades de negocio son responsables de administrar la seguridad de sus propios datos, es mejor adoptar un enfoque descentralizado de la administración de claves.

  5. ¿Está excediendo las cuotas de recursos de servicio AWS KMS? Como estas cuotas se establecen por separado Cuenta de AWS, un modelo descentralizado distribuye la carga entre las cuentas, lo que multiplica de manera efectiva las cuotas de servicio.

    nota

    El modelo de administración de claves es irrelevante a la hora de considerar las cuotas de solicitud, ya que estas cuotas se aplican al director de la cuenta que hace una solicitud en relación con la clave, no a la cuenta que posee o administra la clave.

En general, le recomendamos que comience con un enfoque descentralizado, a menos que pueda explicar la necesidad de un modelo de claves KMS centralizado.

Elegir claves administradas por el cliente, claves AWS administradas o claves AWS propias

Las claves de KMS que crea y administra para usarlas en sus propias aplicaciones criptográficas se conocen como claves administradas por el cliente. Servicios de AWS puede usar claves administradas por el cliente para cifrar los datos que el servicio almacena en su nombre. Se recomiendan las claves administradas por el cliente si quieres tener un control total sobre el ciclo de vida y el uso de tus claves. Disponer de una clave administrada por el cliente en su cuenta tiene asociado un coste mensual. Además, las solicitudes de uso o administración de la clave conllevan un coste de uso. Para más información, consulte Precios de AWS KMS.

Si quiere cifrar sus datos, pero no quiere asumir los gastos generales o los costes que supone gestionar las claves, puede utilizar una clave AWS gestionada. Servicio de AWS Este tipo de clave existe en tu cuenta, pero solo se puede usar en determinadas circunstancias. Solo se puede usar en el contexto en el Servicio de AWS que operas y solo la pueden usar los directores de la cuenta que contiene la clave. No puedes gestionar nada relacionado con el ciclo de vida ni los permisos de estas claves. Algunas Servicios de AWS usan claves AWS administradas. El formato de un alias de clave AWS administrada esaws/<service code>. Por ejemplo, una aws/ebs clave solo se puede usar para cifrar los volúmenes de Amazon Elastic Block Store (Amazon EBS) en la misma cuenta que la clave y solo la pueden usar los directores de IAM de esa cuenta. Solo los usuarios de esa cuenta y para los recursos de esa cuenta pueden usar una clave AWS administrada. No puedes compartir recursos cifrados con una clave AWS gestionada con otras cuentas. Si esta es una limitación para su caso de uso, le recomendamos que utilice en su lugar una clave gestionada por el cliente; puede compartir el uso de esa clave con cualquier otra cuenta. No se te cobrará por la existencia de una clave AWS gestionada en tu cuenta, pero sí por cualquier uso de este tipo de clave por parte de la Servicio de AWS persona que esté asignada a la clave.

Una clave AWS gestionada es un tipo de clave heredada que dejará de crearse para nuevas a Servicios de AWS partir de 2021. En su lugar, las nuevas (y las antiguas) Servicios de AWS utilizan AWS una clave propia para cifrar los datos de forma predeterminada. AWS las claves propias son un conjunto de claves de KMS que una persona Servicio de AWS posee y administra para utilizarlas en múltiples Cuentas de AWS ocasiones. Si bien estas claves no están en sus manos Cuenta de AWS, Servicio de AWS puede usarlas para proteger los recursos de su cuenta.

Le recomendamos que utilice claves gestionadas por el cliente cuando lo más importante sea el control detallado y que utilice claves AWS propias cuando la comodidad sea lo más importante.

En la siguiente tabla se describen las principales diferencias de política, registro, administración y precios entre cada tipo de clave. Para obtener más información sobre los tipos de claves, consulte AWS KMS conceptos.

Consideración Claves administradas por el cliente AWS claves administradas AWS claves propias
Política de claves Controlada exclusivamente por el cliente Controlada por el servicio; visible por el cliente Controladas exclusivamente y solo visibles por quien Servicio de AWS cifra sus datos
Registro AWS CloudTrail almacén de datos de eventos o registros de clientes CloudTrail almacén de datos de eventos o seguimiento de clientes No visible por el cliente
Gestión del ciclo de vida El cliente gestiona la rotación, la eliminación y Región de AWS Servicio de AWS gestiona la rotación (anual), la eliminación y la región Servicio de AWS gestiona la rotación (anual), la eliminación y la región
Precios Tarifa mensual por la existencia de la clave (prorrateada por hora); se cobra a la persona que llama por el uso de la API La existencia de la clave es gratuita; se cobra a la persona que llama por el uso de la API Sin cargos para el cliente

Elegir un almacén de AWS KMS claves

Un almacén de claves es un lugar seguro para almacenar y utilizar material de claves criptográficas. La mejor práctica del sector para los almacenes de claves es utilizar un dispositivo conocido como módulo de seguridad de hardware (HSM) que haya sido validado según el Programa de Validación de Módulos Criptográficos 140 de la Norma Federal de Procesamiento de Información (FIPS) del NIST con un nivel de seguridad 3. Existen otros programas para ayudar a los almacenes de llaves que se utilizan para procesar los pagos. AWS Payment Cryptographyes un servicio que puede utilizar para proteger los datos relacionados con sus cargas de trabajo de pago.

AWS KMS admite varios tipos de almacenes de claves para ayudar a proteger el material de claves cuando se utiliza AWS KMS para crear y gestionar las claves de cifrado. Todas las opciones de almacenamiento de claves que ofrece se AWS KMS validan continuamente según la norma FIPS 140 en el nivel de seguridad 3. Están diseñados para evitar que cualquier persona, incluidos AWS los operadores, acceda a sus claves en texto plano o las utilice sin su permiso. Para obtener más información sobre los tipos de almacenes de claves disponibles, consulte los almacenes de claves en la AWS KMS documentación.

El almacén de claves AWS KMS estándar es la mejor opción para la mayoría de las cargas de trabajo. Si necesita elegir un tipo de almacén de claves diferente, considere detenidamente si los requisitos reglamentarios o de otro tipo (por ejemplo, internos) obligan a tomar esta decisión y evalúe cuidadosamente los costos y beneficios.

Eliminar y deshabilitar las claves de KMS

La eliminación de una clave KMS puede tener un impacto significativo. Antes de eliminar una clave de KMS que ya no vaya a utilizar, considere si es adecuado establecer el estado de la clave en Desactivado. Mientras una clave esté deshabilitada, no se puede usar para operaciones criptográficas. Todavía existe en AWS, y puede volver a habilitarlo en el futuro si es necesario. Las llaves deshabilitadas siguen incurriendo en gastos de almacenamiento. Le recomendamos que desactive las claves en lugar de eliminarlas hasta que esté seguro de que la clave no protege ningún dato o clave de datos.

importante

La eliminación de una clave debe planificarse cuidadosamente. Los datos no se pueden descifrar si se ha eliminado la clave correspondiente. AWS no tiene medios para recuperar una clave eliminada después de haberla eliminado. Al igual que con otras operaciones críticas AWS, debe aplicar una política que limite quién puede programar la eliminación de las claves y exija la autenticación multifactor (MFA) para la eliminación de las claves.

Para evitar la eliminación accidental de las claves, se AWS KMS aplica un período de espera mínimo predeterminado de siete días después de la ejecución de una DeleteKey llamada antes de que se elimine la clave. Puede establecer el período de espera en un valor máximo de 30 días. Durante el período de espera, la clave sigue guardada AWS KMS en un estado de eliminación pendiente. No se puede utilizar para operaciones de cifrado o descifrado. Se registra cualquier intento de utilizar una clave que esté en estado de eliminación pendiente para el cifrado o el descifrado. AWS CloudTrail Puedes configurar una CloudWatch alarma de Amazon para estos eventos en tus CloudTrail registros. Si recibe alarmas sobre estos eventos, puede optar por cancelar el proceso de eliminación si es necesario. Hasta que el período de espera haya expirado, puede recuperar la clave del estado de eliminación pendiente y restaurarla al estado Desactivado o Activado.

Para eliminar una clave multiregional, es necesario eliminar las réplicas antes que la copia original. Para obtener más información, consulte Eliminar claves multirregionales.

Si utiliza una clave con material clave importado, puede eliminar el material clave importado inmediatamente. Esto es diferente de eliminar una clave de KMS en varios aspectos. Al realizar la DeleteImportedKeyMaterial acción, AWS KMS elimina el material clave y el estado de la clave cambia a Pendiente de importación. Tras eliminar el material clave, la clave queda inutilizable inmediatamente. No hay ningún período de espera. Para volver a permitir el uso de la clave, debe volver a importar el mismo material clave. El período de espera para eliminar las claves de KMS también se aplica a las claves de KMS con material de claves importado.

Si las claves de datos están protegidas por una clave de KMS y se utilizan activamente Servicios de AWS, no se ven afectadas de forma inmediata si la clave de KMS asociada está deshabilitada o si se elimina el material de clave importado. Por ejemplo, supongamos que se utilizó una clave con material importado para cifrar un objeto con SSE-KMS. Está cargando el objeto en un bucket de Amazon Simple Storage Service (Amazon S3). Antes de subir el objeto al depósito, debe importar el material a su clave. Una vez cargado el objeto, eliminas el material clave importado de esa clave. El objeto permanece en el depósito en un estado cifrado, pero nadie puede acceder al objeto hasta que el material clave eliminado se vuelva a importar a la clave. Si bien este flujo requiere una automatización precisa para importar y eliminar el material clave de una clave, puede proporcionar un nivel adicional de control dentro de un entorno.

AWS ofrece una guía prescriptiva para ayudarle a supervisar y corregir (si es necesario) la eliminación programada de las claves de KMS. Para obtener más información, consulte Supervisar y corregir la eliminación programada de claves. AWS KMS