Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Implementación
En esta estrategia, la arquitectura se refiere a la implementación técnica de sus estándares de cifrado. Esta sección incluye información sobre cómo Servicios de AWS, por ejemplo AWS Key Management Service (AWS KMS) y AWS CloudHSM, puede ayudarle a implementar su estrategia de data-at-rest cifrado de acuerdo con sus políticas y estándares.
AWS KMS es un servicio gestionado que le ayuda a crear y controlar las claves criptográficas que se utilizan para proteger sus datos. Las claves KMS nunca salen del servicio sin cifrar. Para usar o administrar sus claves KMS, usted interactúa con ellas AWS KMS y muchas de Servicios de AWS ellas están integradas. AWS KMS
AWS CloudHSM es un servicio criptográfico para crear y mantener módulos de seguridad de hardware (HSMs) en su AWS entorno. HSMs son dispositivos informáticos que procesan las operaciones criptográficas y proporcionan un almacenamiento seguro para las claves criptográficas. Si sus estándares requieren que utilice hardware validado por el FIPS 140-2 de nivel 3, o si sus estándares dictan el uso de estándares del sector APIs, como PKCS #11, Java Cryptography Extensions (JCE) y Microsoft CryptoNG (CNG), entonces podría considerar la posibilidad de usarlo. AWS CloudHSM
Puede configurarlo como un almacén de claves personalizado para. AWS CloudHSM AWS KMS Esta solución combina la comodidad y la integración de los servicios AWS KMS con las ventajas adicionales de control y cumplimiento que conlleva el uso de un AWS CloudHSM clúster en su interior Cuenta de AWS. Para obtener más información, consulte Almacenes de claves personalizados (AWS KMS documentación).
En este documento se analizan AWS KMS las características a un alto nivel y se explica cómo AWS KMS puede abordar su política y sus estándares.
Costo, conveniencia y control
AWS KMS ofrece diferentes tipos de llaves. Algunas son propiedad de los clientes o están administradas por ellos AWS, y otras las crean y administran los clientes. Puede elegir entre estas opciones en función del nivel de control que desee tener sobre las consideraciones clave y de costos:
-
AWS claves propias: AWS posee y administra estas claves, y se utilizan en varias ocasiones Cuentas de AWS. Algunas Servicios de AWS admiten claves AWS propias. Puede utilizar estas claves sin coste alguno. Este tipo de clave le ahorra los costes y la sobrecarga administrativa que supone gestionar el ciclo de vida de las claves y el acceso a ellas. Para obtener más información sobre este tipo de clave, consulte las claves AWS propias (AWS KMS documentación).
-
AWS claves administradas: si una Servicio de AWS está integrada AWS KMS, puede crear, administrar y usar este tipo de claves en tu nombre para proteger los recursos de ese servicio. Estas claves se crean en ti Cuenta de AWS y solo Servicios de AWS puedes usarlas. No hay ninguna cuota mensual por una clave AWS gestionada. Pueden estar sujetas a cargos si se utilizan más allá del nivel gratuito, pero algunas Servicios de AWS cubren estos costes. Puede utilizar las políticas de identidad para controlar, ver y auditar el acceso a estas claves, pero AWS gestiona el ciclo de vida de las claves. Para obtener más información sobre este tipo de clave, consulte las claves AWS administradas (AWS KMS documentación). Para obtener una lista completa de las Servicios de AWS que se integran AWS KMS, consulte Servicio de AWS Integración
(AWS marketing). -
Claves administradas por el cliente: usted crea, posee y administra este tipo de clave y tiene el control total sobre su ciclo de vida. Para la segregación de funciones, puede utilizar políticas basadas en la identidad y en los recursos para controlar el acceso a la clave. También puede configurar la rotación automática de claves. Las claves gestionadas por el cliente conllevan una cuota mensual y, si superas el nivel gratuito, también se aplicará una cuota por su uso. Para obtener más información sobre este tipo de clave, consulte Claves administradas por el cliente (AWS KMS documentación).
Para obtener más información sobre el almacenamiento y el uso de claves, consulte AWS Key Management Service los precios
Tipos de rendimiento y cifrado
Según el tipo de cifrado elegido en los estándares, puede utilizar dos tipos de claves KMS.
-
Simétrico: todos los AWS KMS key tipos admiten el cifrado simétrico. Al cifrar las claves gestionadas por el cliente, puede utilizar una clave de seguridad única para el cifrado y el descifrado con el AES-256-GCM.
-
Asimétrico: las claves administradas por el cliente admiten el cifrado asimétrico. Puede elegir entre distintos algoritmos y fortalezas de las claves, en función del uso previsto. Las claves asimétricas pueden cifrar y descifrar con RSA y pueden firmar y verificar las operaciones con RSA o ECC. Los algoritmos de clave asimétrica proporcionan de forma inherente una separación de funciones y simplifican la administración de claves. Cuando se utiliza el cifrado asimétrico con AWS KMS, algunas operaciones no son compatibles, como la rotación de claves y la importación de material clave externo.
Para obtener más información sobre las AWS KMS operaciones que admiten las claves simétricas y asimétricas, consulte la referencia de tipos de clave (documentación)AWS KMS .
Cifrado de sobre
El cifrado de sobres está integrado. AWS KMS En AWS KMS, las claves de datos se generan en formato de texto simple o cifrado. Las claves de datos cifradas se cifran con una clave KMS. Puede almacenar la clave KMS en un almacén de claves personalizado de un AWS CloudHSM clúster. Para obtener más información sobre las ventajas del cifrado de sobres, consulteAcerca del cifrado de sobres.
Ubicación de almacenamiento de claves
Las políticas se utilizan para administrar el acceso a AWS KMS los recursos. Las políticas describen quién puede acceder a qué recursos. Las políticas asociadas a un principal AWS Identity and Access Management (IAM) se denominan políticas basadas en la identidad o políticas de IAM. Las políticas asociadas a otros tipos de recursos se denominan políticas de recursos. AWS KMS las políticas de recursos para se AWS KMS keys denominan políticas clave. Cada clave de KMS tiene una política clave.
Las políticas de claves ofrecen flexibilidad para almacenar la clave de cifrado en una ubicación central o almacenarla más cerca de los datos, de forma distribuida. Tenga en cuenta las siguientes AWS KMS características a la hora de decidir dónde almacenar las claves KMS en su dispositivo Cuenta de AWS:
-
Soporte de infraestructura de una sola región: de forma predeterminada, las claves KMS son específicas de cada región y nunca se quedan sin cifrar. AWS KMS Si sus estándares exigen requisitos estrictos para controlar las claves en una ubicación geográfica específica, explore la posibilidad de utilizar claves de una sola región.
-
Soporte de infraestructura multirregional: AWS KMS también es compatible con un tipo de clave especial denominado claves multirregionales. El almacenamiento de datos en varios lugares Regiones de AWS es una configuración común para la recuperación ante desastres. Al usar claves multirregionales, puede transferir datos entre regiones sin volver a cifrarlos y puede administrar los datos como si tuviera la misma clave en cada región. Esta funcionalidad resulta muy útil si sus estándares exigen que su infraestructura de cifrado abarque varias regiones en una configuración activo-activa. Para obtener más información, consulte las claves multirregionales (documentación).AWS KMS
-
Administración centralizada: si sus estándares requieren que almacene las claves en una ubicación centralizada, puede utilizarla AWS KMS para almacenar todas las claves de cifrado en una sola Cuenta de AWS. Utiliza políticas de claves para conceder acceso a otras aplicaciones, que pueden estar en diferentes cuentas de la misma región. La administración centralizada de las claves puede reducir la sobrecarga administrativa que supone gestionar el ciclo de vida de las claves y el control de acceso a las claves.
-
Material clave externo: puede importar material clave generado externamente a AWS KMS. Support para esta funcionalidad está disponible para claves simétricas de una o varias regiones. Como el material de la clave simétrica se genera externamente, usted es responsable de proteger los materiales clave generados. Para obtener más información, consulte Material clave importado (AWS KMS documentación).
Control de acceso
En AWS KMS, puede implementar un control de acceso de nivel granular mediante los siguientes mecanismos de políticas: políticas clave, políticas de IAM y subvenciones. Con estos controles, puede configurar la separación de funciones en función de las funciones, como los administradores, los usuarios clave que pueden cifrar los datos, los usuarios clave que pueden descifrar los datos y los usuarios clave que pueden cifrar y descifrar los datos. Para obtener más información, consulte Autenticación y control de acceso (documentación).AWS KMS
Auditoría y registro
AWS KMS se integra con AWS CloudTrail Amazon EventBridge para fines de registro y monitoreo. Todas las operaciones de la AWS KMS API se registran y se pueden auditar en CloudTrail registros. Puede usar Amazon CloudWatch y AWS Lambda configurar soluciones de monitoreo personalizadas para configurar las notificaciones y la corrección automática. EventBridge Para obtener más información, consulte Registro y monitoreo (AWS KMS documentación).
