Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Protección de datos en Amazon Keyspaces
El [modelo de ](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a protección de datos en Amazon Keyspaces (para Apache Cassandra). Como se describe en este modelo, AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los. Nube de AWS Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulta las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulta la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS *.
Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Utilice SSL/TLS para comunicarse con los recursos. AWS Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3.
+ Configure la API y el registro de actividad de los usuarios con. AWS CloudTrail Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte [Cómo trabajar con CloudTrail senderos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del AWS CloudTrail usuario*.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados que contienen Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.
+ Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulta [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaja con Amazon Keyspaces u otros Servicios de AWS mediante la consola, la API o. AWS CLI AWS SDKs Cualquier dato que ingrese en etiquetas o campos de texto de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
**Topics**
+ [Cifrado en reposo en Amazon Keyspaces](EncryptionAtRest.md)
+ [Cifrado en tránsito en Amazon Keyspaces](encryption-in-transit.md)
+ [Privacidad del tráfico entre redes en Amazon Keyspaces](inter-network-traffic-privacy.md)
# Cifrado en reposo en Amazon Keyspaces
El *cifrado en reposo* de Amazon Keyspaces (para Apache Cassandra) proporciona mayor seguridad al cifrar todos sus datos en reposo mediante claves de cifrado almacenadas en [AWS Key Management Service (AWS KMS)](https://aws.amazon.com/kms/). Esta funcionalidad ayuda a reducir la carga y la complejidad operativas que conlleva la protección de información confidencial. Con el cifrado en reposo, puede crear aplicaciones sensibles a la seguridad que cumplan estrictos requisitos normativos y de conformidad para la protección de datos.
El cifrado en reposo de Amazon Keyspaces cifra sus datos utilizando el estándar de cifrado avanzado de 256 bits (AES-256). Esto ayuda a proteger los datos del acceso no autorizado al almacenamiento subyacente.
Amazon Keyspaces cifra y descifra los datos de las tablas y las transmisiones de forma transparente. Amazon Keyspaces utiliza el cifrado de sobre y una jerarquía de claves para proteger las claves de cifrado de datos. Se integra con AWS KMS para almacenar y administrar la clave de cifrado raíz. Para obtener más información sobre jerarquía de claves de cifrado, consulte [Cifrado en reposo: Cómo funciona en Amazon Keyspaces](encryption.howitworks.md). *Para obtener más información sobre AWS KMS conceptos como el cifrado de sobres, consulte los conceptos de los [servicios AWS KMS de administración en la Guía para desarrolladores](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html).AWS Key Management Service *
Al crear una nueva tabla, puede elegir una de las siguientes *claves AWS KMS (claves KMS)*:
+ Clave propiedad de AWS — Este es el tipo de cifrado predeterminado. La clave es propiedad de Amazon Keyspaces (sin cargo adicional).
+ Clave administrada por el cliente): esta clave se almacena en la cuenta y usted la crea, posee y administra. Usted tiene el control total sobre la clave gestionada por el cliente (de AWS KMS pago).
Amazon Keyspaces cifra automáticamente las transmisiones de captura de datos de cambios (CDC) con la misma clave que la tabla subyacente. Para obtener más información sobre los CDC, consulte. [Trabajar con transmisiones de captura de datos de cambios (CDC) en Amazon Keyspaces](cdc.md)
Puede cambiar entre la clave gestionada por el cliente Clave propiedad de AWS y la clave gestionada por el cliente en cualquier momento. Puede especificar una clave administrada por el cliente al crear una nueva tabla o cambiar la clave KMS de una tabla existente ya sea con la consola o mediante programación utilizando instrucciones CQL. Para aprender a hacerlo, consulte [Cifrado en reposo: Cómo utilizar claves administradas por el cliente para cifrar tablas en Amazon Keyspacess.](encryption.customermanaged.md).
El cifrado en reposo mediante la opción predeterminada de Claves propiedad de AWS se ofrece sin coste adicional. Sin embargo, se aplican cargos de AWS KMS para las claves administradas por el cliente. Para obtener más información acerca de los precios, consulte [Precios de AWS KMS](https://aws.amazon.com/kms/pricing).
El cifrado en reposo de Amazon Keyspaces está disponible en todas las regiones Regiones de AWS, incluidas las regiones de AWS China (Pekín) y AWS China (Ningxia). Para obtener más información, consulte [Cifrado en reposo: Cómo funciona en Amazon Keyspaces](encryption.howitworks.md).
**Topics**
+ [Cifrado en reposo: Cómo funciona en Amazon Keyspaces](encryption.howitworks.md)
+ [Cifrado en reposo: Cómo utilizar claves administradas por el cliente para cifrar tablas en Amazon Keyspacess.](encryption.customermanaged.md)
# Cifrado en reposo: Cómo funciona en Amazon Keyspaces
El *cifrado en reposo* de Amazon Keyspaces (para Apache Cassandra) cifra sus datos utilizando el estándar de cifrado avanzado de 256 bits (AES-256). Esto ayuda a proteger los datos del acceso no autorizado al almacenamiento subyacente. Todos los datos de clientes en las tablas de Amazon Keyspaces se cifran en reposo de forma predeterminada y el cifrado del lado del servidor es transparente, lo que significa que no es necesario realizar cambios en las aplicaciones.
El cifrado en reposo se integra con AWS Key Management Service (AWS KMS) para administrar la clave de cifrado que se utiliza para cifrar las tablas. Al crear una tabla nueva o actualizar una existente, puede elegir una de las siguientes opciones de *clave de AWS KMS *:
+ Clave propiedad de AWS — Este es el tipo de cifrado predeterminado. La clave es propiedad de Amazon Keyspaces (sin cargo adicional).
+ Clave administrada por el cliente): esta clave se almacena en la cuenta y usted la crea, posee y administra. Usted tiene el control total sobre la clave gestionada por el cliente (de AWS KMS pago).
**AWS KMS clave (clave KMS)**
El cifrado en reposo protege todos los datos de Amazon Keyspaces con una AWS KMS clave. De forma predeterminada, Amazon Keyspaces utiliza una [Clave propiedad de AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk), una clave de cifrado multiusuario que se crea y administra en una cuenta de servicio de Amazon Keyspaces.
Sin embargo, puede cifrar sus tablas de Amazon Keyspaces utilizando una [clave administrada por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) en su Cuenta de AWS. Puede seleccionar una clave KMS diferente para cada tabla de un espacio de claves. La clave KMS que seleccione para una tabla también se utiliza para cifrar todos sus metadatos y copias de seguridad restaurables.
Al crear o actualizar la tabla, seleccione la clave KMS para una tabla. Puede cambiar la clave KMS de una tabla en cualquier momento, ya sea en la consola de Amazon Keyspaces o mediante la instrucción [ALTER TABLE](cql.ddl.keyspace.md#cql.ddl.keyspace.alter). El proceso de cambio de claves KMS es fluido y no requiere tiempo de inactividad ni causa una degradación del servicio.
**Jerarquía de claves**
Amazon Keyspaces utiliza una jerarquía de claves para cifrar los datos. En esta jerarquía de claves, la clave KMS es la clave raíz. Se utiliza para cifrar y descifrar la clave de cifrado de la tabla de Amazon Keyspaces. La clave de cifrado de la tabla se utiliza para cifrar las claves de cifrado utilizadas internamente por Amazon Keyspaces para cifrar y descifrar datos al realizar operaciones de lectura y escritura.
Con la jerarquía de claves de cifrado, puede realizar cambios en la clave KMS sin tener que volver a cifrar los datos ni afectar a las aplicaciones y a las operaciones de datos en curso.
![\[Jerarquía de claves que muestra la clave raíz, la clave de cifrado de tablas y la clave de cifrado de datos utilizada para el cifrado en reposo.\]](http://docs.aws.amazon.com/es_es/keyspaces/latest/devguide/images/keyspaces_encryption.png)
**Clave de tabla**
La clave de tabla de Amazon Keyspaces se utiliza como clave de cifrado de datos. Amazon Keyspaces utiliza la clave de tabla para proteger las claves internas de cifrado de datos que se utilizan para cifrar los datos almacenados en tablas, archivos de registro y copias de seguridad restaurables. Amazon Keyspaces genera una clave de cifrado de datos única para cada estructura subyacente de una tabla. Sin embargo, es posible que varias filas de una tabla estén protegidas por la misma clave de cifrado de datos.
La primera vez que configura la clave de KMS como una clave administrada por el cliente, AWS KMS genera una *clave de datos*. La clave AWS KMS de datos hace referencia a la clave de tabla de Amazon Keyspaces.
Cuando accedes a una tabla cifrada, Amazon Keyspaces envía una solicitud para usar la clave de KMS AWS KMS para descifrar la clave de la tabla. A continuación, utiliza la clave de tabla de texto sin formato para descifrar las claves de cifrado de datos de Amazon Keyspaces y utiliza las claves de cifrado de datos de texto sin formato para descifrar los datos de la tabla.
Amazon Keyspaces usa y almacena la clave de tabla y las claves de cifrado de datos fuera de ella. AWS KMS Protege todas las claves con cifrado [Advanced Encryption Standard](https://en.wikipedia.org/wiki/Advanced_Encryption_Standard) (AES) y claves de cifrado de 256 bits. A continuación, almacena las claves cifradas con los datos cifrados para que estén disponibles para descifrar los datos de la tabla bajo demanda.
**Almacenamiento en caché de las claves de tabla**
Para evitar tener que realizar AWS KMS todas las operaciones de Amazon Keyspaces, Amazon Keyspaces almacena en caché las claves de tabla de texto sin formato de cada conexión en la memoria. Si Amazon Keyspaces recibe una solicitud para la clave de tabla almacenada en caché después de cinco minutos de inactividad, envía una nueva solicitud AWS KMS a para descifrar la clave de tabla. Esta llamada captura cualquier cambio realizado en las políticas de acceso de la clave KMS AWS Identity and Access Management ( AWS KMS o IAM) desde la última solicitud para descifrar la clave de la tabla.
**Cifrado de sobre**
Si cambia la clave administrada por el cliente para su tabla, Amazon Keyspaces genera una nueva clave de tabla. A continuación, utiliza la nueva clave de tabla para volver a cifrar las claves de cifrado de datos. También utiliza la nueva clave de tabla para cifrar las claves de tabla anteriores que se utilizan para proteger las copias de seguridad restaurables. Este proceso se denomina cifrado de sobre. Esto garantiza que pueda acceder a las copias de seguridad restaurables aunque rote la clave administrada por el cliente. Para obtener más información sobre el cifrado de sobre, consulte [Cifrado de sobre](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) en la *Guía para desarrolladores de AWS Key Management Service *.
**Topics**
+ [AWS claves propias](#keyspaces-owned)
+ [Claves administradas por el cliente](#customer-managed)
+ [Notas de uso del cifrado en reposo](#encryption.usagenotes)
## AWS claves propias
Claves propiedad de AWS no están almacenados en su. Cuenta de AWS Forman parte de una colección de claves de KMS que AWS posee y administra para su uso en múltiples direcciones Cuentas de AWS. AWS los servicios que puede utilizar Claves propiedad de AWS para proteger sus datos.
No puede ver, administrar Claves propiedad de AWS, usar ni auditar su uso. Sin embargo, no es necesario que realice ninguna acción ni que cambie programas para proteger las claves que cifran sus datos.
No se te cobra una cuota mensual ni una cuota de uso por el uso de tu cuenta Claves propiedad de AWS, y estas no se tienen en cuenta para AWS KMS las cuotas de tu cuenta.
## Claves administradas por el cliente
Las claves administradas por el cliente son claves Cuenta de AWS tuyas que tú creas, posees y administras. Usted tiene el control total sobre estas claves KMS.
Utilice una clave administrada por el cliente para obtener las siguientes características:
+ Usted crea y administra la clave gestionada por el cliente, lo que incluye establecer y mantener las [políticas de claves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html), [políticas de IAM](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) y [concesiones](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) para controlar el acceso a la clave gestionada por el cliente. Puede [habilitar y deshabilitar](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) la clave administrada por el cliente, habilitar y deshabilitar la [rotación automática de claves](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) y [programar la clave administrada por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) para eliminarla cuando ya no esté en uso. Puede crear etiquetas y alias para las claves administradas por el cliente que administre.
+ Puede utilizar una clave administrada por el cliente con [material de claves importado](https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys.html) o una clave administrada por el cliente en un [almacén de claves personalizado](https://docs.aws.amazon.com/kms/latest/developerguide/custom-key-store-overview.html) que tenga y administre.
+ Puedes usar AWS CloudTrail Amazon CloudWatch Logs para realizar un seguimiento de las solicitudes que Amazon Keyspaces envía AWS KMS en tu nombre. Para obtener más información, consulte [Paso 6: Configure la supervisión con AWS CloudTrail](encryption.customermanaged.md#encryption-cmk-trail).
Las claves administradas por el cliente [conllevan un cargo](https://aws.amazon.com/kms/pricing/) por cada llamada a la API y se aplican AWS KMS cuotas a estas claves de KMS. Para obtener más información, consulte [cuotas de solicitudes o de recursos de AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html).
Al especificar una clave administrada por el cliente como clave de cifrado raíz para una tabla, las copias de seguridad restaurables se cifran con la misma clave de cifrado que se especifica para la tabla en el momento de crear la copia de seguridad. Si se rota la clave KMS para la tabla, el sobre de claves garantiza que la clave KMS más reciente tenga acceso a todas las copias de seguridad restaurables.
Amazon Keyspaces debe tener acceso a su clave administrada por el cliente para proporcionarle acceso a los datos de su tabla. Si el estado de la clave de cifrado es deshabilitado o su eliminación está programada, Amazon Keyspaces no puede cifrar ni descifrar datos. Como resultado, no puede realizar operaciones de lectura ni de escritura en la tabla. En cuanto el servicio detecte que su clave de cifrado es inaccesible, Amazon Keyspaces le enviará una notificación por correo electrónico para avisarle.
Debe restablecer el acceso a su clave de cifrado en un plazo de siete días o Amazon Keyspaces eliminará automáticamente su tabla. Como medida de precaución, Amazon Keyspaces crea una copia de seguridad restaurable de los datos de su tabla antes de eliminarla. Amazon Keyspaces mantiene la copia de seguridad restaurable durante 35 días. Transcurridos 35 días, ya no podrá restaurar los datos de su tabla. No se le factura por la copia de seguridad restaurable, pero se aplican los [cargos de restauración](https://aws.amazon.com/keyspaces/pricing) estándar.
Puede utilizar esta copia de seguridad restaurable para restaurar sus datos en una nueva tabla. Para iniciar la restauración, la última clave administrada por el cliente utilizada para la tabla debe estar habilitada y Amazon Keyspaces debe tener acceso a ella.
**nota**
Al crear una tabla cifrada con una clave administrada por el cliente inaccesible o programada para eliminación antes de que finalice el proceso de creación, se produce un error. La operación de creación de la tabla falla y se le envía una notificación por correo electrónico.
## Notas de uso del cifrado en reposo
Tenga en cuenta lo siguiente cuando utilice el cifrado en reposo en Amazon Keyspaces.
+ El cifrado en reposo del lado del servidor está habilitado en todas las tablas de Amazon Keyspaces y no se puede deshabilitar. Toda la tabla se cifra en reposo, no puede seleccionar columnas ni filas específicas para su cifrado.
+ De forma predeterminada, Amazon Keyspaces utiliza una clave predeterminada de servicio único (Clave propiedad de AWS) para cifrar todas sus tablas. Si esta clave no existe, se crea una para usted. Las claves predeterminadas de servicio no se pueden deshabilitar.
+ El cifrado en reposo solo cifra los datos mientras estén estáticos (en reposo) en un medio de almacenamiento persistente. Si le preocupa la seguridad de los datos en tránsito o en uso, debe adoptar medidas adicionales:
+ Datos en tránsito: todos los datos de Amazon Keyspaces se cifran en tránsito. De forma predeterminada, las comunicaciones hacia y desde Amazon Keyspaces están protegidas mediante el cifrado Capa de conexión segura (SSL)/Seguridad de la capa de transporte (TLS).
+ Datos en uso: proteja sus datos antes de enviarlos a Amazon Keyspaces utilizando el cifrado del cliente.
+ Claves administradas por el cliente: los datos en reposo de sus tablas se cifran siempre utilizando sus claves administradas por el cliente. Sin embargo, las operaciones que realizan actualizaciones atómicas de varias filas cifran los datos que se utilizan temporalmente Claves propiedad de AWS durante el procesamiento. Esto incluye las operaciones de eliminación de rangos y las operaciones que accedan simultáneamente a datos estáticos y no estáticos.
+ Una única clave administrada por el cliente puede tener hasta 50 000 [concesiones](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html). Cada tabla de Amazon Keyspaces asociada a una clave administrada por el cliente consume 2 concesiones. Una concesión se libera cuando se elimina la tabla. La segunda concesión se utiliza para crear una instantánea automática de la tabla para protegerla de la pérdida de datos en caso de que Amazon Keyspaces perdiera el acceso a la clave administrada por el cliente de forma involuntaria. Esta concesión se otorga 42 días después de la eliminación de la tabla.
# Cifrado en reposo: Cómo utilizar claves administradas por el cliente para cifrar tablas en Amazon Keyspacess.
Puede utilizar la consola o las sentencias CQL AWS KMS key para especificar las tablas nuevas y actualizar las claves de cifrado de las tablas existentes en Amazon Keyspaces. En el siguiente tema se describe cómo implementar claves administradas por el cliente para tablas nuevas y existentes.
**Topics**
+ [Requisitos previos: Crear una clave gestionada por el cliente AWS KMS y conceder permisos a Amazon Keyspaces](#encryption.createCMKMS)
+ [Paso 3: Especificar una clave administrada por el cliente para una tabla nueva](#encryption.tutorial-creating)
+ [Paso 4: Actualizar la clave de cifrado de una tabla existente](#encryption.tutorial-update)
+ [Paso 5: Utilizar el contexto de cifrado de Amazon Keyspaces en los registros](#encryption-context)
+ [Paso 6: Configure la supervisión con AWS CloudTrail](#encryption-cmk-trail)
## Requisitos previos: Crear una clave gestionada por el cliente AWS KMS y conceder permisos a Amazon Keyspaces
Para poder proteger una tabla de Amazon Keyspaces con una [clave gestionada por el cliente](encryption.howitworks.md#customer-managed), primero debe crear la clave en AWS Key Management Service (AWS KMS) y, a continuación, autorizar a Amazon Keyspaces a utilizarla.
### Paso 1: Cree una clave gestionada por el cliente mediante AWS KMS
Para crear una clave gestionada por el cliente que se utilice para proteger una tabla de Amazon Keyspaces, puede seguir los pasos que se indican en [Creación de claves KMS de cifrado simétrico](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) mediante la consola o la API. AWS
### Paso 2: Autorizar el uso de su clave administrada por el cliente
Para que pueda elegir una [clave administrada por el cliente](encryption.howitworks.md#customer-managed) para proteger una tabla de Amazon Keyspaces, las políticas de dicha clave administrada por el cliente deben conceder a Amazon Keyspaces permiso para utilizarla en su nombre. Usted tiene el control total sobre las políticas y concesiones de la clave administrada por el cliente. Puede proporcionar estos permisos en una [política de claves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html), una [política de IAM](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) o una [concesión](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html).
Amazon Keyspaces no necesita autorización adicional para utilizar la [Clave propiedad de AWS](encryption.howitworks.md#keyspaces-owned) predeterminada para proteger las tablas de Amazon Keyspaces en su cuenta de AWS .
En los siguientes temas se muestra cómo configurar los permisos necesarios mediante las políticas de IAM y las concesiones que permiten que las tablas de Amazon Keyspaces utilicen una clave administrada por el cliente.
**Topics**
+ [Política de claves para claves administradas por el cliente](#encryption-customer-managed-policy)
+ [Ejemplo de política de claves de](#encryption-customer-managed-policy-sample)
+ [Uso de concesiones para autorizar a Amazon Keyspaces](#encryption-grants)
#### Política de claves para claves administradas por el cliente
Al seleccionar una [clave administrada por el cliente](encryption.howitworks.md#customer-managed) para proteger una tabla de Amazon Keyspaces, Amazon Keyspaces obtiene permiso para utilizar la clave administrada por el cliente en nombre de la entidad principal que realiza la selección. Esa entidad principal, un usuario o rol debe tener en la clave administrada por el cliente los permisos que Amazon Keyspaces requiere.
Como mínimo, Amazon Keyspaces requiere los siguientes permisos en una clave administrada por el cliente:
+ [kms:Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
+ [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
+ [kms: ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) \$1 (para kms: ReEncryptFrom y) kms: ReEncryptTo
+ kms: GenerateDataKey \$1 (para [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) y [kms: GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html))
+ [kilómetros: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)
+ [km: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)
#### Ejemplo de política de claves de
Por ejemplo, la política de claves de ejemplo siguiente proporciona solo los permisos necesarios. La política tiene las siguientes consecuencias:
+ Permite a Amazon Keyspaces utilizar la clave administrada por el cliente en operaciones de cifrado y crear concesiones, pero solo cuando actúa en nombre de entidades principales de la cuenta que tienen permiso para utilizar Amazon Keyspaces. Si las entidades principales especificadas en la declaración de la política no tienen permiso para utilizar Amazon Keyspaces, la llamada falla, aunque proceda del servicio Amazon Keyspaces.
+ La clave [kms: ViaService](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service) condition permite los permisos solo cuando la solicitud proviene de Amazon Keyspaces en nombre de las entidades principales que figuran en la declaración de política. Estas entidades principales no pueden llamar a estas operaciones directamente. Tenga en cuenta que el valor `kms:ViaService`, `cassandra.*.amazonaws.com`, tiene un asterisco (\$1) en la posición Región. Amazon Keyspaces requiere el permiso para ser independiente de cualquier elemento concreto. Región de AWS
+ Otorga a los administradores de la clave administrada por el cliente (usuarios que pueden asumir la función `db-team`) acceso de solo lectura a la clave administrada por el cliente y permiso para revocar concesiones, incluyendo las [concesiones que Amazon Keyspaces requiere](#encryption-grants) para proteger la tabla.
+ Otorga a Amazon Keyspaces acceso de solo lectura a la clave administrada por el cliente. En este caso, Amazon Keyspaces puede llamar directamente a estas operaciones. No tiene que actuar en nombre de una entidad principal de la cuenta.
Antes de utilizar un ejemplo de política de claves, sustituya los principios de ejemplo por los principios reales de su empresa. Cuenta de AWS
```
{
"Id": "key-policy-cassandra",
"Version":"2012-10-17",
"Statement": [
{
"Sid" : "Allow access through Amazon Keyspaces for all principals in the account that are authorized to use Amazon Keyspaces",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:user/db-lead"},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService" : "cassandra.*.amazonaws.com"
}
}
},
{
"Sid": "Allow administrators to view the customer managed key and revoke grants",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/db-team"
},
"Action": [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:RevokeGrant"
],
"Resource": "*"
}
]
}
```
#### Uso de concesiones para autorizar a Amazon Keyspaces
Además de las políticas de claves, Amazon Keyspaces utiliza concesiones para establecer permisos en una clave administrada por el cliente. Para ver las concesiones que tiene una clave administrada por el cliente en su cuenta, utilice la operación [ListGrants](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListGrants.html). Amazon Keyspaces no necesita concesiones, ni ningún permiso adicional, para utilizar la [Clave propiedad de AWS](encryption.howitworks.md#keyspaces-owned) para proteger su tabla.
Amazon Keyspaces utiliza los permisos de concesión cuando realiza tareas de mantenimiento del sistema en segundo plano y de protección continua de datos. También utiliza las concesiones para generar las claves de la tabla.
Cada concesión es específica de una tabla. Si la cuenta incluye múltiples tablas cifradas bajo la misma clave administrada por el cliente, existe una concesión de cada tipo para cada tabla. La concesión está limitada por el contexto de [cifrado de Amazon Keyspaces](https://docs.aws.amazon.com/kms/latest/developerguide/encryption-context.html), que incluye el nombre de la tabla y Cuenta de AWS el ID. La concesión incluye el [permiso para retirar la concesión](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html) si ya no fuera necesaria.
Para crear las concesiones, Amazon Keyspaces debe tener permiso para llamar a `CreateGrant` en nombre del usuario que creó la tabla cifrada.
La política de claves también puede permitir a la cuenta [revocar la concesión](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html) en la clave administrada por el cliente. Sin embargo, si revoca la concesión en una tabla cifrada activa, Amazon Keyspaces no podrá proteger ni mantener la tabla.
## Paso 3: Especificar una clave administrada por el cliente para una tabla nueva
Siga estos pasos para especificar la clave administrada por el cliente en una tabla nueva mediante la consola de Amazon Keyspaces o CQL.
### Creación de una tabla cifrada utilizando una clave administrada por el cliente (consola)
1. [Inicia sesión en la Consola de administración de AWS consola de Amazon Keyspaces y ábrela desde casahttps://console.aws.amazon.com/keyspaces/.](https://console.aws.amazon.com/keyspaces/home)
1. En el panel de navegación, elija **Tablas** y, a continuación, seleccione **Crear tabla**.
1. En la página **Crear tabla**, en la sección **Detalles de la tabla**, seleccione un espacio de claves y proporcione un nombre para la nueva tabla.
1. En la sección **Esquema**, cree el esquema para su tabla.
1. En la sección **Configuración de la tabla**, elija **Personalizar configuración**.
1. Continúe en **Configuración del cifrado**.
En este paso, usted selecciona la configuración del cifrado para la tabla.
En la sección **Cifrado en reposo**, en **Elegir una AWS KMS key**, elija la opción **Elegir una clave de KMS diferente (avanzada)** y, en el campo de búsqueda, elija AWS KMS key o introduzca un nombre de recurso de Amazon (ARN).
**nota**
Si no se puede acceder a la clave que ha seleccionado o le faltan los permisos necesarios, consulte [Solución de problemas de acceso a claves](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) en la Guía para AWS Key Management Service desarrolladores.
1. Elija **Crear** para crear la tabla cifrada.
### Creación de una tabla nueva mediante una clave administrada por el cliente para el cifrado en reposo (CQL)
Para crear una nueva tabla que utilice una clave administrada por el cliente para el cifrado en reposo, puede utilizar la instrucción `CREATE TABLE` como se muestra en el siguiente ejemplo. Asegúrese de sustituir el ARN de la clave por el ARN de una clave válida con permisos concedidos a Amazon Keyspaces.
```
CREATE TABLE my_keyspace.my_table(id bigint, name text, place text STATIC, PRIMARY KEY(id, name)) WITH CUSTOM_PROPERTIES = {
'encryption_specification':{
'encryption_type': 'CUSTOMER_MANAGED_KMS_KEY',
'kms_key_identifier':'arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111'
}
};
```
Si recibe una `Invalid Request Exception`, debe confirmar que la clave administrada por el cliente sea válida y que Amazon Keyspaces disponga de los permisos necesarios. Para confirmar que la clave se ha configurado correctamente, consulte [Solución de problemas de acceso a claves](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) en la Guía para AWS Key Management Service desarrolladores.
## Paso 4: Actualizar la clave de cifrado de una tabla existente
También puede utilizar la consola Amazon Keyspaces o el CQL para cambiar las claves de cifrado de una tabla existente entre una clave de KMS gestionada por el cliente Clave propiedad de AWS y una clave de KMS gestionada por el cliente en cualquier momento.
### Actualización de una tabla existente con la nueva clave administrada por el cliente (consola)
1. [Inicia sesión en la Consola de administración de AWS consola de Amazon Keyspaces y ábrela desde casahttps://console.aws.amazon.com/keyspaces/.](https://console.aws.amazon.com/keyspaces/home)
1. En el panel de navegación, elija **Tablas**.
1. Elija la tabla que desee actualizar y luego la pestaña **Configuración adicional**.
1. En la sección **Cifrado en reposo**, elija **Administrar cifrado** para editar la configuración del cifrado de la tabla.
En **Elegir una AWS KMS key**, selecciona la opción **Elige una clave de KMS diferente (avanzada)** y, en el campo de búsqueda, selecciona AWS KMS key o introduce un nombre de recurso de Amazon (ARN).
**nota**
Si la clave que ha seleccionado no es válida, consulte [Solución de problemas de acceso a claves](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) en la Guía para AWS Key Management Service desarrolladores.
Como alternativa, puede elegir una Clave propiedad de AWS para una tabla cifrada con una clave gestionada por el cliente.
1. Elija **Guardar** para guardar los cambios en la tabla.
### Actualización de la clave de cifrado utilizada en una tabla existente
Para cambiar la clave de cifrado de una tabla existente, utilice la instrucción `ALTER TABLE` para especificar una clave administrada por el cliente para el cifrado en reposo. Asegúrese de sustituir el ARN de la clave por el ARN de una clave válida con permisos concedidos a Amazon Keyspaces.
```
ALTER TABLE my_keyspace.my_table WITH CUSTOM_PROPERTIES = {
'encryption_specification':{
'encryption_type': 'CUSTOMER_MANAGED_KMS_KEY',
'kms_key_identifier':'arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111'
}
};
```
Si recibe una `Invalid Request Exception`, debe confirmar que la clave administrada por el cliente sea válida y que Amazon Keyspaces disponga de los permisos necesarios. Para confirmar que la clave se ha configurado correctamente, consulte [Solución de problemas de acceso a claves](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) en la Guía para AWS Key Management Service desarrolladores.
Para volver a cambiar la clave de cifrado por la opción de cifrado en reposo predeterminada Claves propiedad de AWS, puede utilizar la `ALTER TABLE` sentencia que se muestra en el siguiente ejemplo.
```
ALTER TABLE my_keyspace.my_table WITH CUSTOM_PROPERTIES = {
'encryption_specification':{
'encryption_type' : 'AWS_OWNED_KMS_KEY'
}
};
```
## Paso 5: Utilizar el contexto de cifrado de Amazon Keyspaces en los registros
Un [contexto de cifrado](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) es un conjunto de pares de clave-valor que contienen datos no secretos arbitrarios. Al incluir un contexto de cifrado en una solicitud de cifrado de datos, vincula AWS KMS criptográficamente el contexto de cifrado a los datos cifrados. Para descifrar los datos, es necesario pasar el mismo contexto de cifrado.
Amazon Keyspaces utiliza el mismo contexto de cifrado en todas las operaciones AWS KMS criptográficas. Si utiliza una [clave administrada por el cliente](encryption.howitworks.md#customer-managed) para proteger su tabla de Amazon Keyspaces, puede utilizar el contexto de cifrado para identificar el uso de la clave administrada por el cliente en los registros de auditoría y en los registros. También aparece en texto plano en los registros, como en los registros de Amazon Logs [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)y [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).
En sus solicitudes AWS KMS, Amazon Keyspaces utiliza un contexto de cifrado con tres pares clave-valor.
```
"encryptionContextSubset": {
"aws:cassandra:keyspaceName": "my_keyspace",
"aws:cassandra:tableName": "mytable"
"aws:cassandra:subscriberId": "111122223333"
}
```
+ **Espacio de claves**: el primer par clave-valor identifica el espacio de claves que incluye la tabla que Amazon Keyspaces está cifrando. La clave es `aws:cassandra:keyspaceName`. El valor es el nombre del espacio de claves.
```
"aws:cassandra:keyspaceName": ""
```
Por ejemplo:
```
"aws:cassandra:keyspaceName": "my_keyspace"
```
+ **Tabla**: el segundo par clave-valor identifica la tabla que Amazon Keyspaces está cifrando. La clave es `aws:cassandra:tableName`. El valor es el nombre de la tabla.
```
"aws:cassandra:tableName": ""
```
Por ejemplo:
```
"aws:cassandra:tableName": "my_table"
```
+ **Cuenta**: el tercer par clave-valor identifica la Cuenta de AWS. La clave es `aws:cassandra:subscriberId`. El valor es el ID de la cuenta.
```
"aws:cassandra:subscriberId": ""
```
Por ejemplo:
```
"aws:cassandra:subscriberId": "111122223333"
```
## Paso 6: Configure la supervisión con AWS CloudTrail
Si utilizas una [clave gestionada por el cliente](encryption.howitworks.md#customer-managed) para proteger tus tablas de Amazon Keyspaces, puedes utilizar AWS CloudTrail los registros para realizar un seguimiento de las solicitudes que Amazon Keyspaces envía en tu nombre. AWS KMS
Las solicitudes `GenerateDataKey`, `DescribeKey`, `Decrypt` y `CreateGrant` se tratan en esta sección. Además, Amazon Keyspaces utiliza una [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)operación para eliminar una concesión cuando se elimina una tabla.
**nota**
Cuando trabaja con Amazon Keyspaces, algunas operaciones pueden generar CloudTrail eventos con un `invokedBy` campo de. `dynamodb.amazonaws.com` Esto es de esperar y se debe a que Amazon Keyspaces se integra con Amazon DynamoDB para proporcionar su servicio.
**GenerateDataKey**
Amazon Keyspaces crea una clave de tabla única para cifrar los datos en reposo. Envía una *[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)*solicitud a la AWS KMS que se especifica la clave KMS de la tabla.
El evento que registra la operación `GenerateDataKey` es similar al siguiente evento de ejemplo. El usuario es la cuenta de servicio de Amazon Keyspaces. Los parámetros incluyen el Nombre de recurso de Amazon (ARN) de la clave administrada por el cliente, un especificador de clave que requiere una clave de 256 bits y el [contexto de cifrado](#encryption-context) que identifica la tabla y la Cuenta de AWS.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-04-16T04:56:05Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keySpec": "AES_256",
"encryptionContext": {
"aws:cassandra:keyspaceName": "my_keyspace",
"aws:cassandra:tableName": "my_table",
"aws:cassandra:subscriberId": "123SAMPLE012"
},
"keyId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
},
"responseElements": null,
"requestID": "5e8e9cb5-9194-4334-aacc-9dd7d50fe246",
"eventID": "49fccab9-2448-4b97-a89d-7d5c39318d6f",
"readOnly": true,
"resources": [
{
"accountId": "123SAMPLE012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123SAMPLE012",
"sharedEventID": "84fbaaf0-9641-4e32-9147-57d2cb08792e"
}
```
**DescribeKey**
Amazon Keyspaces utiliza una [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operación para determinar si la clave de KMS que ha seleccionado existe en la cuenta y la región.
El evento que registra la operación `DescribeKey` es similar al siguiente evento de ejemplo. El usuario es la cuenta de servicio de Amazon Keyspaces. Los parámetros incluyen el ARN de la clave administrada por el cliente y un especificador de clave que requiere una clave de 256 bits.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAZ3FNIIVIZZ6H7CFQG",
"arn": "arn:aws:iam::123SAMPLE012:user/admin",
"accountId": "123SAMPLE012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "admin",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-16T04:55:42Z"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2021-04-16T04:55:58Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
},
"responseElements": null,
"requestID": "c25a8105-050b-4f52-8358-6e872fb03a6c",
"eventID": "0d96420e-707e-41b9-9118-56585a669658",
"readOnly": true,
"resources": [
{
"accountId": "123SAMPLE012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123SAMPLE012"
}
```
**Decrypt**
Al acceder a una tabla de Amazon Keyspaces cifrada, Amazon Keyspaces necesita descifrar la clave de la tabla de manera que pueda descifrar las claves de menor nivel en la jerarquía. A continuación, descifra los datos de la tabla. Para descifrar la clave de la tabla, Amazon Keyspaces envía [una](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) solicitud de descifrado AWS KMS a la que se especifica la clave de KMS de la tabla.
El evento que registra la operación `Decrypt` es similar al siguiente evento de ejemplo. El usuario principal que accede a la tabla es el Cuenta de AWS usuario principal. Los parámetros incluyen la clave de la tabla cifrada (como un bloque de texto cifrado) y el [contexto de cifrado](#encryption-context) que identifica la tabla y la. Cuenta de AWS AWS KMS obtiene el ID de la clave gestionada por el cliente a partir del texto cifrado.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-04-16T05:29:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:cassandra:keyspaceName": "my_keyspace",
"aws:cassandra:tableName": "my_table",
"aws:cassandra:subscriberId": "123SAMPLE012"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "50e80373-83c9-4034-8226-5439e1c9b259",
"eventID": "8db9788f-04a5-4ae2-90c9-15c79c411b6b",
"readOnly": true,
"resources": [
{
"accountId": "123SAMPLE012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123SAMPLE012",
"sharedEventID": "7ed99e2d-910a-4708-a4e3-0180d8dbb68e"
}
```
**CreateGrant**
Al utilizar una [clave administrada por el cliente](encryption.howitworks.md#customer-managed) para proteger su tabla de Amazon Keyspaces, Amazon Keyspaces utiliza [concesiones](#encryption-grants) para permitir que el servicio realice tareas continuas de protección, mantenimiento y durabilidad de los datos. Estas concesiones no son necesarias en las [Claves propiedad de AWS](encryption.howitworks.md#keyspaces-owned).
Las concesiones que Amazon Keyspaces crea son específicas de una tabla. La entidad principal en la solicitud [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) es el usuario que creó la tabla.
El evento que registra la operación `CreateGrant` es similar al siguiente evento de ejemplo. Los parámetros incluyen el ARN de la clave administrada por el cliente para la tabla, la entidad principal que recibe la concesión y la entidad principal que la retira (el servicio Amazon Keyspaces), y las operaciones que cubre la concesión. También incluye una restricción que exige que todas las operaciones de cifrado utilicen el [contexto de cifrado](#encryption-context) especificado.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAZ3FNIIVIZZ6H7CFQG",
"arn": "arn:aws:iam::arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111:user/admin",
"accountId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "admin",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-16T04:55:42Z"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2021-04-16T05:11:10Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "a7d328af-215e-4661-9a69-88c858909f20",
"operations": [
"DescribeKey",
"GenerateDataKey",
"Decrypt",
"Encrypt",
"ReEncryptFrom",
"ReEncryptTo",
"RetireGrant"
],
"constraints": {
"encryptionContextSubset": {
"aws:cassandra:keyspaceName": "my_keyspace",
"aws:cassandra:tableName": "my_table",
"aws:cassandra:subscriberId": "123SAMPLE012"
}
},
"retiringPrincipal": "cassandratest.us-east-1.amazonaws.com",
"granteePrincipal": "cassandratest.us-east-1.amazonaws.com"
},
"responseElements": {
"grantId": "18e4235f1b07f289762a31a1886cb5efd225f069280d4f76cd83b9b9b5501013"
},
"requestID": "b379a767-1f9b-48c3-b731-fb23e865e7f7",
"eventID": "29ee1fd4-28f2-416f-a419-551910d20291",
"readOnly": false,
"resources": [
{
"accountId": "123SAMPLE012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123SAMPLE012"
}
```
# Cifrado en tránsito en Amazon Keyspaces
Amazon Keyspaces solo acepta conexiones seguras utilizando Seguridad de la capa de transporte (TLS). El cifrado en tránsito proporciona una capa adicional de protección de datos al cifrar sus datos mientras viajan hacia y desde Amazon Keyspaces. Las políticas de la organización, las normativas industriales o gubernamentales y los requisitos de conformidad suelen requerir el uso del cifrado en tránsito para aumentar la seguridad de los datos de las aplicaciones cuando transmiten datos a la red.
Para obtener información sobre cómo cifrar las conexiones de `cqlsh` a Amazon Keyspaces utilizando TLS, consulte [Configuración manual de conexiones de `cqlsh` para TLS](programmatic.cqlsh.md#encrypt_using_tls). Para obtener información sobre cómo utilizar el cifrado TLS con controladores de cliente, consulte [Uso de un controlador de cliente de Cassandra para acceder a Amazon Keyspaces mediante programación](programmatic.drivers.md).
# Privacidad del tráfico entre redes en Amazon Keyspaces
En este tema se describe cómo Amazon Keyspaces (para Apache Cassandra) protege las conexiones de las aplicaciones locales a Amazon Keyspaces y entre Amazon Keyspaces AWS y otros recursos dentro de las mismas. Región de AWS
## Tráfico entre el servicio y las aplicaciones y clientes locales
Dispone de dos opciones de conectividad entre su red privada y: AWS
+ Una AWS Site-to-Site VPN conexión. Para obtener más información, consulte [¿Qué es AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) en la *Guía del usuario de AWS Site-to-Site VPN *.
+ Una Direct Connect conexión. Para obtener más información, consulte [¿Qué es Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) en la *Guía del usuario de Direct Connect *.
Como servicio gestionado, Amazon Keyspaces (para Apache Cassandra) está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte Seguridad [AWS en la nube](https://aws.amazon.com/security/). Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte [Protección de infraestructuras en un marco](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de buena * AWS arquitectura basado en el pilar de la seguridad*.
Utiliza las llamadas a la API AWS publicadas para acceder a Amazon Keyspaces a través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
Amazon Keyspaces admite dos métodos de autenticación de solicitudes de clientes. El primer método utiliza credenciales específicas del servicio, que son credenciales basadas en contraseña generadas para un usuario de IAM específico. Puede crear y administrar la contraseña mediante la consola de IAM AWS CLI, la o la AWS API. Para obtener más información, consulte [Uso de IAM con Amazon Keyspaces](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mcs.html).
El segundo método utiliza un complemento de autenticación para el controlador DataStax Java de código abierto para Cassandra. Este complemento permite a los [usuarios, roles e identidades federadas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) añadir información de autenticación a las solicitudes de la API de Amazon Keyspaces (para Apache Cassandra) mediante el proceso [AWS Signature Version 4 (SigV4)](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html). Para obtener más información, consulte [Creación y configuración de AWS credenciales para Amazon Keyspaces](access.credentials.md).
## Tráfico entre AWS recursos de la misma región
Los puntos de conexión de VPC de interfaz habilitan la comunicación privada entre su nube privada virtual (VPC), que se ejecuta en Amazon VPC, y Amazon Keyspaces. Los puntos finales de la VPC de la interfaz funcionan con AWS PrivateLink, que es un AWS servicio que permite la comunicación privada entre los VPCs servicios. AWS AWS PrivateLink lo habilita mediante el uso de una interfaz de red elástica con privacidad IPs en la VPC para que el tráfico de red no salga de la red de Amazon. Los puntos finales de la interfaz VPC no requieren una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión. Direct Connect Para obtener más información, consulte [Nube privada virtual de Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/) e [Interfaz de puntos de conexión de VPC (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html). Para ver ejemplos de políticas, consulte [Uso de puntos de conexión de VPC de interfaz para Amazon Keyspaces](vpc-endpoints.md#using-interface-vpc-endpoints).