AWS KMS keys

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las claves KMS que crea y administra para usarlas en sus propias aplicaciones criptográficas son de un tipo conocido como claves administradas por el cliente. Las claves administradas por el cliente también se pueden usar junto con AWS los servicios que usan claves de KMS para cifrar los datos que el servicio almacena en su nombre. Las claves administradas por el cliente se recomiendan para los clientes que desean tener un control total sobre el ciclo de vida y el uso de sus claves. Disponer de una clave administrada por el cliente en su cuenta tiene asociado un coste mensual. Además, las solicitudes de uso o administración de la clave conllevan un coste de uso. Para obtener más información, consulte AWS Key Management Service Precios.

Hay casos en los que un cliente puede querer que un AWS servicio cifre sus datos, pero no quiere asumir la sobrecarga que supone administrar las claves y no quiere pagar por una clave. Una Clave administrada de AWS es una clave de KMS que existe en su cuenta, pero que solo se puede usar en determinadas circunstancias. En concreto, solo la pueden usar en el contexto del AWS servicio en el que operas y solo la pueden usar los responsables de la cuenta en la que existe la clave. No puede administrar nada relacionado con el ciclo de vida o los permisos de estas claves. A medida que utilizas las funciones de cifrado en AWS los servicios, es posible que veas Claves administradas por AWS que utilizan un alias con el formato «aws<service code>». Por ejemplo, una clave aws/ebs solo se puede usar para cifrar los volúmenes de EBS y solo para los volúmenes utilizados por las entidades principales de IAM en la misma cuenta que la clave. Piensa en una Clave administrada de AWS que esté restringida para que solo los usuarios de tu cuenta la usen para los recursos de tu cuenta. No puedes compartir recursos cifrados en o Clave administrada de AWS con otras cuentas. Si bien la existencia de una en tu cuenta Clave administrada de AWS es gratuita, el AWS servicio asignado a la clave te cobrará por el uso de este tipo de clave.

Claves administradas por AWS son un tipo de clave heredado que dejará de crearse para nuevos AWS servicios a partir de 2021. En cambio, los AWS servicios nuevos (y antiguos) utilizan lo que se conoce como una Clave propiedad de AWSpara cifrar los datos de los clientes de forma predeterminada. An Clave propiedad de AWS es una clave de KMS que se encuentra en una cuenta administrada por el AWS servicio, por lo que los operadores del servicio pueden administrar su ciclo de vida y sus permisos de uso. Al Claves propiedad de AWS utilizarlos, AWS los servicios pueden cifrar sus datos de forma transparente y permiten compartir fácilmente los datos entre cuentas o regiones sin que tenga que preocuparse por los permisos clave. Se utilizan Claves propiedad de AWS para encryption-by-default cargas de trabajo que proporcionan una protección de datos más sencilla y automatizada. Como estas claves son propiedad de y están administradas por él AWS, no se le cobra por su existencia o su uso, no puede cambiar sus políticas, no puede auditar las actividades relacionadas con estas claves y no puede eliminarlas. Utilice las claves administradas por el cliente cuando el control sea importante, pero utilice Claves propiedad de AWS cuando lo más importante sea la comodidad.

Las claves KMS que usted crea son claves administradas por el cliente. Los Servicios de AWS que utilizan claves KMS para cifrar los recursos de servicio a menudo crean claves para usted. Las claves KMS que se Servicios de AWS crean en su AWS cuenta son Claves administradas por AWS. Las claves KMS que se Servicios de AWS crean en una cuenta de servicio son Claves propiedad de AWS.

AWS los servicios que se integran AWS KMS difieren en su compatibilidad con las claves KMS. Algunos AWS servicios cifran sus datos de forma predeterminada con una Clave propiedad de AWS o una Clave administrada de AWS. Algunos AWS servicios admiten claves administradas por el cliente. Otros AWS servicios admiten todos los tipos de claves de KMS para que pueda acceder fácilmente a una Clave propiedad de AWS clave gestionada por el cliente Clave administrada de AWS, verla o controlarla. Para obtener información detallada sobre las opciones de cifrado que ofrece un AWS servicio, consulte el tema El cifrado en reposo de la guía del usuario o la guía para desarrolladores del servicio.

Claves administradas por el cliente

Las claves KMS que usted crea son claves administradas por el cliente. Las claves administradas por el cliente son claves de KMS Cuenta de AWS que usted crea, posee y administra. Puede controlar por completo estas claves KMS, incluido el establecimiento y el mantenimiento de sus políticas de claves, políticas de IAM y concesiones, su habilitación y deshabilitación, la rotación de su material criptográfico, la adición de etiquetas, la creación de alias que hacen referencia a la clave KMS y la programación de las claves KMS para su eliminación.

Las claves administradas por el cliente aparecen en la página Claves administradas por el cliente de la AWS Management Console de AWS KMS. Para identificar definitivamente una clave administrada por el cliente, utilice la operación DescribeKey. En el caso de las claves administradas por el cliente, el valor del campo KeyManager de la respuesta DescribeKey es CUSTOMER.

Puede usar su clave administrada por el cliente en operaciones criptográficas y auditar su uso en los registros de AWS CloudTrail . Además, muchos servicios de AWS integrados con AWS KMS le permiten especificar una clave administrada por el cliente para proteger los datos que almacenan y administran para usted.

Las claves administradas por el cliente tienen una tarifa mensual y una tarifa por uso excesivo del nivel gratuito. Se tienen en cuenta para deducir de las AWS KMS cuotas de su cuenta. Consulte los Precios de AWS Key Management Service y Cuotas para obtener más información.

Claves administradas por AWS

Claves administradas por AWSson claves de KMS de su cuenta que un AWS servicio integrado en ella crea, administra y utiliza en su nombre AWS KMS.

Algunos AWS servicios le permiten elegir una clave Clave administrada de AWS o una clave administrada por el cliente para proteger los recursos de ese servicio. En general, a menos que se le pida que controle la clave de cifrado que protege sus recursos, una Clave administrada de AWS es una buena opción. No tiene que crear ni mantener la clave o su política de claves, y nunca hay una tarifa mensual por una Clave administrada de AWS.

Tiene permiso para consultarlas Claves administradas por AWS en su cuenta, ver sus políticas clave y auditar su uso en AWS CloudTrail los registros. Sin embargo, no puedes cambiar ninguna de sus propiedades Claves administradas por AWS, rotarlas, cambiar sus políticas clave ni programar su eliminación. Además, no puede utilizarlos directamente Claves administradas por AWS en operaciones criptográficas; el servicio que los crea los utiliza en su nombre.

Las políticas de control de recursos de su organización no se aplican a Claves administradas por AWS.

Claves administradas por AWS aparecen en la Claves administradas por AWSpágina del AWS Management Console formulario AWS KMS. También puede identificarlos Claves administradas por AWS por sus alias, que tienen el formatoaws/service-name, por ejemploaws/redshift. Para identificar definitivamente un Claves administradas por AWS, utilice la DescribeKeyoperación. En el caso de Claves administradas por AWS, el valor del campo KeyManager de la respuesta DescribeKey es AWS.

Todos Claves administradas por AWS se rotan automáticamente cada año. No puede cambiar esta programación de rotación.

No hay cuota mensual para Claves administradas por AWS. Pueden estar sujetos a cargos si se utilizan más allá del nivel gratuito, pero algunos AWS servicios cubren estos costes. Para obtener más detalles, consulte el tema Cifrado en reposo en la Guía del usuario o en la Guía para desarrolladores del servicio. Consulte los Precios de AWS Key Management Service para obtener más información.

Claves administradas por AWS no se tienen en cuenta las cuotas de recursos en la cantidad de claves de KMS en cada región de su cuenta. Sin embargo, cuando se utilizan en nombre de una entidad principal en su cuenta, estas claves KMS se contabilizan en las cuotas de solicitud. Para obtener más información, consulte Cuotas.

Claves propiedad de AWS

Claves propiedad de AWSson un conjunto de claves de KMS que un AWS servicio posee y administra para su uso en varios Cuentas de AWS. Aunque no Claves propiedad de AWS estén en tus Cuenta de AWS manos, AWS cualquier servicio puede utilizarlas Clave propiedad de AWS para proteger los recursos de tu cuenta.

Algunos AWS servicios le permiten elegir una clave gestionada por el cliente Clave propiedad de AWS o una clave gestionada por el cliente. En general, a menos que tenga que auditar o controlar la clave de cifrado que protege sus recursos, an Clave propiedad de AWS es una buena opción. Claves propiedad de AWS son completamente gratuitos (sin cuotas mensuales ni de uso), no se descuentan de las AWS KMS cuotas de tu cuenta y son fáciles de usar. No es necesario crear ni mantener la clave ni su política de claves.

La rotación Claves propiedad de AWS varía según los servicios. Para obtener información sobre la rotación de un determinado servicio Clave propiedad de AWS, consulte el tema Cifrado en reposo en la guía del usuario o en la guía para desarrolladores del servicio.

AWS KMS key jerarquía

La jerarquía de claves comienza con una clave lógica de nivel superior, una. AWS KMS key Una clave de KMS representa un contenedor para material clave de nivel superior y está definida de forma única dentro del espacio de nombres del servicio de AWS con un nombre de recurso de Amazon (ARN). El ARN incluye un identificador de clave generado de forma única, un ID de clave. Se crea una clave KMS en función de una solicitud iniciada por el usuario mediante. AWS KMS Al recibirla, AWS KMS solicita la creación de una clave de respaldo HSM (HBK) inicial para colocarla en el contenedor de claves KMS. La HBK se genera en un HSM en el dominio y está diseñada para no exportarse nunca del HSM en texto sin formato. En su lugar, la HBK se exporta cifrada con claves de dominio administradas por HSM. Estos elementos exportados se HBKs denominan claves exportadas (EKTs).

El EKT se exporta a un almacenamiento de larga duración y de baja latencia. Por ejemplo, supongamos que recibe un ARN para la clave de KMS lógica. Esto representa la parte superior de una jerarquía de claves, o contexto criptográfico. Puede crear varias claves de KMS en su cuenta y establecer políticas en sus claves de KMS como cualquier otro recurso con AWS nombre.

Dentro de la jerarquía de una clave de KMS específica, la HBK puede considerarse como una versión de la clave de KMS. Cuando desee rotar la clave KMS AWS KMS, se creará un nuevo HBK que se asociará a la clave KMS como el HBK activo de la clave KMS. HBKs Las más antiguas se conservan y se pueden utilizar para descifrar y verificar datos previamente protegidos. Pero solo se puede usar la clave criptográfica activa para proteger nueva información.

Puede realizar solicitudes AWS KMS para usar sus claves de KMS para proteger directamente la información o solicitar claves adicionales generadas por HSM que estén protegidas por su clave de KMS. Estas claves se denominan claves de datos del cliente o. CDKs CDKs se pueden devolver cifradas como texto cifrado (CT), en texto plano o en ambos. Todos los objetos cifrados con una clave KMS (ya sean datos proporcionados por el cliente o claves generadas por HSM) solo se pueden descifrar en un HSM mediante una llamada directa. AWS KMS

El texto cifrado devuelto, o la carga útil descifrada, nunca se almacena en él. AWS KMS La información se le devuelve a través de su conexión TLS a AWS KMS. Esto también se aplica a las llamadas realizadas por los AWS servicios en su nombre.

La jerarquía de claves y las propiedades de clave específicas aparecen en la siguiente tabla.

^{De vez en cuando, AWS KMS podría reducir la rotación de claves de dominio a, como máximo, una vez por semana para tener en cuenta las tareas de administración y configuración del dominio.}

² Por defecto, las que Claves administradas por AWS se crean y gestionan AWS KMS en tu nombre se rotan automáticamente una vez al año.

Identificadores clave () KeyId

Los identificadores de clave actúan como nombres para las claves KMS. Le ayudan a reconocer sus claves KMS en la consola. Se utilizan para indicar qué claves KMS desea utilizar en operaciones de la API de AWS KMS , políticas de claves, políticas de IAM y concesiones. Los valores del identificador de clave no están relacionados en absoluto con el material de clave asociado a la clave KMS.

AWS KMS define varios identificadores clave. Al crear una clave de KMS, AWS KMS genera un ARN de clave y un ID de clave, que son propiedades de la clave de KMS. Al crear un alias, AWS KMS genera un ARN de alias en función del nombre de alias que defina. Puede ver los identificadores de clave y alias en la API AWS Management Console y en la AWS KMS misma.

En la AWS KMS consola, puede ver y filtrar las claves de KMS por su ARN de clave, ID de clave o nombre de alias, y ordenar por ID de clave y nombre de alias. Para obtener ayuda para encontrar los identificadores clave en la consola, consulte Encontrar el ID de clave y el ARN de clave.

En la AWS KMS API, los parámetros que se utilizan para identificar una clave de KMS tienen un nombre KeyId o una variante, como TargetKeyId oDestinationKeyId. Sin embargo, los valores de esos parámetros no se limitan a la clave IDs. Algunos pueden tomar cualquier identificador de clave válido. Para obtener información sobre los valores de cada parámetro, consulta la descripción del parámetro en la Referencia de la AWS Key Management Service API.

AWS KMS admite los siguientes identificadores clave.