Conceptos básicos - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Conceptos básicos

Conocer algunos términos y conceptos básicos hará que le resulte más fácil aprovechar al máximo AWS Key Management Service.

AWS KMS key
nota

AWS KMS reemplaza el término clave maestra del cliente (CMK) por AWS KMS key y clave de KMS. El concepto no ha cambiado. Para evitar que se produzcan cambios, AWS KMS mantiene algunas variaciones de este término.

Una clave lógica que representa la parte superior de la jerarquía de claves. Una clave de KMS se le asigna un nombre de recurso de Amazon (ARN) que incluye un identificador de clave único o un ID de clave. AWS KMS keys tienen tres tipos:

  • Clave administrada por clientes: los clientes crean y controlan el ciclo de vida y las políticas clave de las claves administradas por el cliente. Todas las solicitudes realizadas con estas claves se registran como CloudTrail eventos.

  • Claves administradas por AWS: AWS crea y controla el ciclo de vida y las políticas clave de Claves administradas por AWS, que son recursos en una Cuenta de AWS de cliente. Los clientes pueden ver las políticas de acceso y CloudTrail los eventos de estas clavesClaves administradas por AWS, pero no pueden administrar ningún aspecto de estas claves. Todas las solicitudes realizadas con estas claves se registran como CloudTrail eventos.

  • Claves propiedad de AWS: estas claves son creadas y utilizadas exclusivamente por AWS para operaciones de cifrado interno en diferentes servicios de AWS. Los clientes no tienen visibilidad de las políticas clave ni Clave propiedad de AWS de su uso CloudTrail.

Alias

Un nombre fácil de utilizar que se encuentra asociado a una clave de KMS. El alias se puede utilizar de forma indistinta con el ID de clave en muchas de las operaciones de la API de AWS KMS.

Permisos

Una política adjunta a una clave de KMS que define permisos en la clave. La política predeterminada permite cualquier entidad principal que defina, así como que la Cuenta de AWS agregue políticas de IAM que hagan referencia a la clave.

Concesiones

El permiso delegado para utilizar una clave de KMS cuando las entidades principales de IAM o la duración de uso previstas no se conocen desde el principio y, por lo tanto, no se pueden agregar a una clave o política de IAM. Uno de los usos de las concesiones es definir los permisos de alcance reducido sobre cómo un servicio de AWS puede utilizar una clave de KMS. Es posible que el servicio necesite utilizar su clave para realizar un trabajo asincrónico en su nombre en datos cifrados en ausencia de una llamada a la API firmada de forma directa por usted.

Claves de datos

Claves criptográficas generadas en HSM, protegidas por una clave de KMS. AWS KMS permite a las entidades autorizadas obtener claves de datos protegidas por una clave de KMS. Se pueden devolver como claves de datos de texto sin formato (sin cifrar) y como claves de datos cifradas. Las claves de datos pueden ser simétricas o asimétricas (con las partes públicas y privadas devueltas).

Textos cifrados

La salida cifrada de AWS KMS, a veces conocida como texto cifrado del cliente para evitar la confusión. El texto cifrado contiene datos cifrados con información adicional que identifica la clave de KMS que se utilizará en el proceso de descifrado. Las claves de datos cifradas son un ejemplo común de texto cifrado producido cuando se utiliza una clave de KMS, pero cualquier dato de menos de 4 KB de tamaño se puede cifrar bajo una clave de KMS para producir un texto cifrado.

Contexto de cifrado

Un mapa de par de valor de clave de información adicional asociada a información protegida por AWS KMS. AWS KMS utiliza el cifrado autenticado para proteger las claves de datos. El contexto de cifrado se incorpora en el AAD del cifrado autenticado en textos cifrados con AWS KMS. Esta información de contexto es opcional y no se devuelve cuando se solicita una clave (o una operación de cifrado). Pero si se utiliza, este valor de contexto es necesario para completar una operación de descifrado con éxito. Un uso previsto del contexto de cifrado es proporcionar información autenticada adicional. Esta información puede ayudarle a aplicar las políticas y a incluirla en los AWS CloudTrail registros. Por ejemplo, podría utilizar un par de valor de clave de {"key name":"satellite uplink key"} para nombrar la clave de datos. El uso posterior de la clave crea una entrada de AWS CloudTrail que incluye “nombre de clave”: “clave de enlace ascendente de satélite”. Esta información adicional puede proporcionar un contexto útil para comprender por qué se utilizó una clave de KMS determinada.

Clave pública

Cuando se utilizan cifrados asimétricos (RSA o curva elíptica), la clave pública es el “componente público” de un par de claves público-privado. La clave pública se puede compartir y distribuir a entidades que necesitan cifrar datos para el propietario del par de claves público-privado. Para las operaciones de firma digital, la clave pública se utiliza a fin de verificar la firma.

Clave privada

Cuando se utilizan cifrados asimétricos (RSA o curva elíptica), la clave privada es el “componente privado” de un par de claves público-privado. La clave privada se utiliza para descifrar los datos o crear firmas digitales. Al igual que las claves de KMS simétricas, las claves privadas se cifran en HSM. Solo se descifran en la memoria a corto plazo del HSM y únicamente durante el tiempo necesario para procesar su solicitud criptográfica.