Conceptos básicos

Una clave lógica que representa la parte superior de la jerarquía de claves. Una clave de KMS se le asigna un nombre de recurso de Amazon (ARN) que incluye un identificador de clave único o un ID de clave. AWS KMS keys tienen tres tipos:

Un nombre fácil de utilizar que se encuentra asociado a una clave de KMS. El alias se puede utilizar de forma indistinta con el ID de clave en muchas de las operaciones de la API de AWS KMS.

Una política adjunta a una clave de KMS que define permisos en la clave. La política predeterminada permite cualquier entidad principal que defina, así como que la Cuenta de AWS agregue políticas de IAM que hagan referencia a la clave.

El permiso delegado para utilizar una clave de KMS cuando las entidades principales de IAM o la duración de uso previstas no se conocen desde el principio y, por lo tanto, no se pueden agregar a una clave o política de IAM. Uno de los usos de las concesiones es definir los permisos de alcance reducido sobre cómo un servicio de AWS puede utilizar una clave de KMS. Es posible que el servicio necesite utilizar su clave para realizar un trabajo asincrónico en su nombre en datos cifrados en ausencia de una llamada a la API firmada de forma directa por usted.

Claves criptográficas generadas en HSM, protegidas por una clave de KMS. AWS KMS permite a las entidades autorizadas obtener claves de datos protegidas por una clave de KMS. Se pueden devolver como claves de datos de texto sin formato (sin cifrar) y como claves de datos cifradas. Las claves de datos pueden ser simétricas o asimétricas (con las partes públicas y privadas devueltas).

La salida cifrada de AWS KMS, a veces conocida como texto cifrado del cliente para evitar la confusión. El texto cifrado contiene datos cifrados con información adicional que identifica la clave de KMS que se utilizará en el proceso de descifrado. Las claves de datos cifradas son un ejemplo común de texto cifrado producido cuando se utiliza una clave de KMS, pero cualquier dato de menos de 4 KB de tamaño se puede cifrar bajo una clave de KMS para producir un texto cifrado.

Un mapa de par de valor de clave de información adicional asociada a información protegida por AWS KMS. AWS KMS utiliza el cifrado autenticado para proteger las claves de datos. El contexto de cifrado se incorpora en el AAD del cifrado autenticado en textos cifrados con AWS KMS. Esta información de contexto es opcional y no se devuelve cuando se solicita una clave (o una operación de cifrado). Pero si se utiliza, este valor de contexto es necesario para completar una operación de descifrado con éxito. Un uso previsto del contexto de cifrado es proporcionar información autenticada adicional. Esta información puede ayudarle a aplicar las políticas y a incluirla en los AWS CloudTrail registros. Por ejemplo, podría utilizar un par de valor de clave de {"key name":"satellite uplink key"} para nombrar la clave de datos. El uso posterior de la clave crea una entrada de AWS CloudTrail que incluye “nombre de clave”: “clave de enlace ascendente de satélite”. Esta información adicional puede proporcionar un contexto útil para comprender por qué se utilizó una clave de KMS determinada.

Cuando se utilizan cifrados asimétricos (RSA o curva elíptica), la clave pública es el “componente público” de un par de claves público-privado. La clave pública se puede compartir y distribuir a entidades que necesitan cifrar datos para el propietario del par de claves público-privado. Para las operaciones de firma digital, la clave pública se utiliza a fin de verificar la firma.

Cuando se utilizan cifrados asimétricos (RSA o curva elíptica), la clave privada es el “componente privado” de un par de claves público-privado. La clave privada se utiliza para descifrar los datos o crear firmas digitales. Al igual que las claves de KMS simétricas, las claves privadas se cifran en HSM. Solo se descifran en la memoria a corto plazo del HSM y únicamente durante el tiempo necesario para procesar su solicitud criptográfica.