Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS KMS keys
Las claves KMS que crea y administra para usarlas en sus propias aplicaciones criptográficas son de un tipo conocido como claves administradas por el cliente. Las claves administradas por el cliente también se pueden usar junto con AWS los servicios que usan claves de KMS para cifrar los datos que el servicio almacena en su nombre. Las claves administradas por el cliente se recomiendan para los clientes que desean tener un control total sobre el ciclo de vida y el uso de sus claves. Disponer de una clave administrada por el cliente en su cuenta tiene asociado un coste mensual. Además, las solicitudes de uso o administración de la clave conllevan un coste de uso. Para obtener más información, consulte AWS Key Management Service Precios
Hay casos en los que un cliente puede querer que un AWS servicio cifre sus datos, pero no quiere asumir la sobrecarga que supone administrar las claves y no quiere pagar por una clave. Una Clave administrada de AWS es una clave de KMS que existe en su cuenta, pero que solo se puede usar en determinadas circunstancias. En concreto, solo la pueden usar en el contexto del AWS servicio en el que operas y solo la pueden usar los responsables de la cuenta en la que existe la clave. No puede administrar nada relacionado con el ciclo de vida o los permisos de estas claves. A medida que utilizas las funciones de cifrado en AWS los servicios, es posible que veas Claves administradas por AWS que utilizan un alias con el formato «aws<service code>». Por ejemplo, una clave aws/ebs
solo se puede usar para cifrar los volúmenes de EBS y solo para los volúmenes utilizados por las entidades principales de IAM en la misma cuenta que la clave. Piensa en una Clave administrada de AWS que esté restringida para que solo los usuarios de tu cuenta la usen para los recursos de tu cuenta. No puedes compartir recursos cifrados en o Clave administrada de AWS con otras cuentas. Si bien la existencia de una en tu cuenta Clave administrada de AWS es gratuita, el AWS servicio asignado a la clave te cobrará por el uso de este tipo de clave.
Claves administradas por AWS son un tipo de clave heredado que dejará de crearse para nuevos AWS servicios a partir de 2021. En cambio, los AWS servicios nuevos (y antiguos) utilizan lo que se conoce como una Clave propiedad de AWSpara cifrar los datos de los clientes de forma predeterminada. An Clave propiedad de AWS es una clave de KMS que se encuentra en una cuenta administrada por el AWS servicio, por lo que los operadores del servicio pueden administrar su ciclo de vida y sus permisos de uso. Al Claves propiedad de AWS utilizarlos, AWS los servicios pueden cifrar sus datos de forma transparente y permiten compartir fácilmente los datos entre cuentas o regiones sin que tenga que preocuparse por los permisos clave. Se utilizan Claves propiedad de AWS para encryption-by-default cargas de trabajo que proporcionan una protección de datos más sencilla y automatizada. Como estas claves son propiedad de y están administradas por él AWS, no se le cobra por su existencia o su uso, no puede cambiar sus políticas, no puede auditar las actividades relacionadas con estas claves y no puede eliminarlas. Utilice las claves administradas por el cliente cuando el control sea importante, pero utilice Claves propiedad de AWS cuando lo más importante sea la comodidad.
Claves administradas por el cliente | Claves administradas por AWS | Claves propiedad de AWS | |
Política de claves | Controlada exclusivamente por el cliente | Controlada por el servicio; visible por el cliente | Controladas exclusivamente y solo visibles por el AWS servicio que cifra sus datos |
Registro | CloudTrail almacén de datos de eventos o registros de clientes | CloudTrail almacén de datos de eventos o seguimiento de clientes | No visible por el cliente |
Administración del ciclo de vida | El cliente administra la rotación, la eliminación y la ubicación regional | AWS KMS gestiona la rotación (anual), la eliminación y la ubicación regional | Servicio de AWS gestiona la rotación, la eliminación y la ubicación regional |
Precios |
Cuota mensual por existencia de claves (prorrateada por hora). También se cobra por el uso de claves |
Sin cuota mensual, pero a la persona que llama se le cobra por el uso de la API en estas claves | Sin cargos para el cliente |
Las claves KMS que usted crea son claves administradas por el cliente. Los Servicios de AWS que utilizan claves KMS para cifrar los recursos de servicio a menudo crean claves para usted. Las claves KMS que se Servicios de AWS crean en su AWS cuenta son Claves administradas por AWS. Las claves KMS que se Servicios de AWS crean en una cuenta de servicio son Claves propiedad de AWS.
Tipo de clave KMS | Puede ver los metadatos clave KMS | Puede administrar la clave KMS | Se usa solo para mi Cuenta de AWS | Rotación automática | Precios |
---|---|---|---|---|---|
Clave administrada por clientes | Sí | Sí | Sí | Opcional. | Cuota mensual (prorrateada por hora) Tarifa por uso |
Clave administrada de AWS | Sí | No | Sí | Obligatorio. Cada año (aproximadamente 365 días) | Sin cuota mensual Tarifa por uso (algunos Servicios de AWS pagan esta tarifa por ti) |
Clave propiedad de AWS | No | No | No | Servicio de AWS Gestiona la estrategia de rotación. | Sin cuotas |
AWS los servicios que se integran AWS KMS difieren en su compatibilidad con las claves KMS. Algunos AWS servicios cifran sus datos de forma predeterminada con una Clave propiedad de AWS o una Clave administrada de AWS. Algunos AWS servicios admiten claves administradas por el cliente. Otros AWS servicios admiten todos los tipos de claves de KMS para que pueda acceder fácilmente a una Clave propiedad de AWS clave gestionada por el cliente Clave administrada de AWS, verla o controlarla. Para obtener información detallada sobre las opciones de cifrado que ofrece un AWS servicio, consulte el tema El cifrado en reposo de la guía del usuario o la guía para desarrolladores del servicio.
Claves administradas por el cliente
Las claves KMS que usted crea son claves administradas por el cliente. Las claves administradas por el cliente son claves de KMS Cuenta de AWS que usted crea, posee y administra. Puede controlar por completo estas claves KMS, incluido el establecimiento y el mantenimiento de sus políticas de claves, políticas de IAM y concesiones, su habilitación y deshabilitación, la rotación de su material criptográfico, la adición de etiquetas, la creación de alias que hacen referencia a la clave KMS y la programación de las claves KMS para su eliminación.
Las claves administradas por el cliente aparecen en la página Claves administradas por el cliente de la AWS Management Console
de AWS KMS. Para identificar definitivamente una clave administrada por el cliente, utilice la operación DescribeKey. En el caso de las claves administradas por el cliente, el valor del campo KeyManager
de la respuesta DescribeKey
es CUSTOMER
.
Puede usar su clave administrada por el cliente en operaciones criptográficas y auditar su uso en los registros de AWS CloudTrail . Además, muchos servicios de AWS integrados con AWS KMS le permiten especificar una clave administrada por el cliente para proteger los datos que almacenan y administran para usted.
Las claves administradas por el cliente tienen una tarifa mensual y una tarifa por uso excesivo del nivel gratuito. Se tienen en cuenta para deducir de las AWS KMS cuotas de su cuenta. Consulte los Precios de AWS Key Management Service
Claves administradas por AWS
Claves administradas por AWSson claves de KMS de su cuenta que un AWS servicio integrado
Algunos AWS servicios le permiten elegir una clave Clave administrada de AWS o una clave administrada por el cliente para proteger los recursos de ese servicio. En general, a menos que se le pida que controle la clave de cifrado que protege sus recursos, una Clave administrada de AWS es una buena opción. No tiene que crear ni mantener la clave o su política de claves, y nunca hay una tarifa mensual por una Clave administrada de AWS.
Tiene permiso para consultarlas Claves administradas por AWS en su cuenta, ver sus políticas clave y auditar su uso en AWS CloudTrail los registros. Sin embargo, no puedes cambiar ninguna de sus propiedades Claves administradas por AWS, rotarlas, cambiar sus políticas clave ni programar su eliminación. Además, no puede utilizarlos directamente Claves administradas por AWS en operaciones criptográficas; el servicio que los crea los utiliza en su nombre.
Las políticas de control de recursos de su organización no se aplican a Claves administradas por AWS.
Claves administradas por AWS aparecen en la Claves administradas por AWSpágina del AWS Management Console formulario AWS KMS. También puede identificarlos Claves administradas por AWS por sus alias, que tienen el formatoaws/
, por ejemploservice-name
aws/redshift
. Para identificar definitivamente un Claves administradas por AWS, utilice la DescribeKeyoperación. En el caso de Claves administradas por AWS, el valor del campo KeyManager
de la respuesta DescribeKey
es AWS
.
Todos Claves administradas por AWS se rotan automáticamente cada año. No puede cambiar esta programación de rotación.
nota
En mayo de 2022, AWS KMS cambiamos el programa de rotación Claves administradas por AWS de cada tres años (aproximadamente 1095 días) a cada año (aproximadamente 365 días).
Claves administradas por AWS Los nuevos se rotan automáticamente un año después de su creación y aproximadamente cada año a partir de entonces.
Claves administradas por AWS Los existentes se rotan automáticamente un año después de su rotación más reciente y cada año a partir de entonces.
No hay cuota mensual para Claves administradas por AWS. Pueden estar sujetos a cargos si se utilizan más allá del nivel gratuito, pero algunos AWS servicios cubren estos costes. Para obtener más detalles, consulte el tema Cifrado en reposo en la Guía del usuario o en la Guía para desarrolladores del servicio. Consulte los Precios de AWS Key Management Service
Claves administradas por AWS no se tienen en cuenta las cuotas de recursos en la cantidad de claves de KMS en cada región de su cuenta. Sin embargo, cuando se utilizan en nombre de una entidad principal en su cuenta, estas claves KMS se contabilizan en las cuotas de solicitud. Para obtener más información, consulte Cuotas.
Claves propiedad de AWS
Claves propiedad de AWSson un conjunto de claves de KMS que un AWS servicio posee y administra para su uso en varios Cuentas de AWS. Aunque no Claves propiedad de AWS estén en tus Cuenta de AWS manos, AWS cualquier servicio puede utilizarlas Clave propiedad de AWS para proteger los recursos de tu cuenta.
Algunos AWS servicios le permiten elegir una clave gestionada por el cliente Clave propiedad de AWS o una clave gestionada por el cliente. En general, a menos que tenga que auditar o controlar la clave de cifrado que protege sus recursos, an Clave propiedad de AWS es una buena opción. Claves propiedad de AWS son completamente gratuitos (sin cuotas mensuales ni de uso), no se descuentan de las AWS KMS cuotas de tu cuenta y son fáciles de usar. No es necesario crear ni mantener la clave ni su política de claves.
La rotación Claves propiedad de AWS varía según los servicios. Para obtener información sobre la rotación de un determinado servicio Clave propiedad de AWS, consulte el tema Cifrado en reposo en la guía del usuario o en la guía para desarrolladores del servicio.
AWS KMS key jerarquía
La jerarquía de claves comienza con una clave lógica de nivel superior, una. AWS KMS key Una clave de KMS representa un contenedor para material clave de nivel superior y está definida de forma única dentro del espacio de nombres del servicio de AWS con un nombre de recurso de Amazon (ARN). El ARN incluye un identificador de clave generado de forma única, un ID de clave. Se crea una clave KMS en función de una solicitud iniciada por el usuario mediante. AWS KMS Al recibirla, AWS KMS solicita la creación de una clave de respaldo HSM (HBK) inicial para colocarla en el contenedor de claves KMS. La HBK se genera en un HSM en el dominio y está diseñada para no exportarse nunca del HSM en texto sin formato. En su lugar, la HBK se exporta cifrada con claves de dominio administradas por HSM. Estos elementos exportados se HBKs denominan claves exportadas (EKTs).
El EKT se exporta a un almacenamiento de larga duración y de baja latencia. Por ejemplo, supongamos que recibe un ARN para la clave de KMS lógica. Esto representa la parte superior de una jerarquía de claves, o contexto criptográfico. Puede crear varias claves de KMS en su cuenta y establecer políticas en sus claves de KMS como cualquier otro recurso con AWS nombre.
Dentro de la jerarquía de una clave de KMS específica, la HBK puede considerarse como una versión de la clave de KMS. Cuando desee rotar la clave KMS AWS KMS, se creará un nuevo HBK que se asociará a la clave KMS como el HBK activo de la clave KMS. HBKs Las más antiguas se conservan y se pueden utilizar para descifrar y verificar datos previamente protegidos. Pero solo se puede usar la clave criptográfica activa para proteger nueva información.

Puede realizar solicitudes AWS KMS para usar sus claves de KMS para proteger directamente la información o solicitar claves adicionales generadas por HSM que estén protegidas por su clave de KMS. Estas claves se denominan claves de datos del cliente o. CDKs CDKs se pueden devolver cifradas como texto cifrado (CT), en texto plano o en ambos. Todos los objetos cifrados con una clave KMS (ya sean datos proporcionados por el cliente o claves generadas por HSM) solo se pueden descifrar en un HSM mediante una llamada directa. AWS KMS
El texto cifrado devuelto, o la carga útil descifrada, nunca se almacena en él. AWS KMS La información se le devuelve a través de su conexión TLS a AWS KMS. Esto también se aplica a las llamadas realizadas por los AWS servicios en su nombre.
La jerarquía de claves y las propiedades de clave específicas aparecen en la siguiente tabla.
Clave | Descripción | Ciclo de vida |
---|---|---|
Clave de dominio |
Una clave AES-GCM de 256 bits solo en memoria de un HSM que se utiliza para ajustar versiones de las claves de KMS, las claves de backup de HSM. |
Rotación diaria1 |
Clave de respaldo de HSM |
Una clave simétrica de 256 bits, clave privada RSA o curva elíptica que se utiliza para proteger los datos y las claves del cliente y que se almacena de forma cifrada con claves de dominio. Una o más claves de backup de HSM comprenden la clave de KMS, representada por el keyId. |
Rotación anual2 (config. opcional) |
Clave de cifrado derivada |
Una clave AES-GCM de 256 bits solo en memoria de un HSM que se utiliza para cifrar datos y claves del cliente. Se deriva de una HBK para cada cifrado. |
Se utiliza una vez por cifrado y se regenera al descifrarse. |
Clave de datos del cliente |
Clave simétrica o asimétrica delimitada por el usuario que se exporta desde un HSM en texto sin formato y texto cifrado. Se cifra con una clave de backup de HSM y se devuelve a los usuarios autorizados a través del canal TLS. |
Rotación y uso controlado por aplicación |
De vez en cuando, AWS KMS podría reducir la rotación de claves de dominio a, como máximo, una vez por semana para tener en cuenta las tareas de administración y configuración del dominio.
2 Por defecto, las que Claves administradas por AWS se crean y gestionan AWS KMS en tu nombre se rotan automáticamente una vez al año.
Identificadores clave () KeyId
Los identificadores de clave actúan como nombres para las claves KMS. Le ayudan a reconocer sus claves KMS en la consola. Se utilizan para indicar qué claves KMS desea utilizar en operaciones de la API de AWS KMS , políticas de claves, políticas de IAM y concesiones. Los valores del identificador de clave no están relacionados en absoluto con el material de clave asociado a la clave KMS.
AWS KMS define varios identificadores clave. Al crear una clave de KMS, AWS KMS genera un ARN de clave y un ID de clave, que son propiedades de la clave de KMS. Al crear un alias, AWS KMS genera un ARN de alias en función del nombre de alias que defina. Puede ver los identificadores de clave y alias en la API AWS Management Console y en la AWS KMS misma.
En la AWS KMS consola, puede ver y filtrar las claves de KMS por su ARN de clave, ID de clave o nombre de alias, y ordenar por ID de clave y nombre de alias. Para obtener ayuda para encontrar los identificadores clave en la consola, consulte Encontrar el ID de clave y el ARN de clave.
En la AWS KMS API, los parámetros que se utilizan para identificar una clave de KMS tienen un nombre KeyId
o una variante, como TargetKeyId
oDestinationKeyId
. Sin embargo, los valores de esos parámetros no se limitan a la clave IDs. Algunos pueden tomar cualquier identificador de clave válido. Para obtener información sobre los valores de cada parámetro, consulta la descripción del parámetro en la Referencia de la AWS Key Management Service API.
nota
Cuando utilices la AWS KMS API, ten cuidado con el identificador clave que utilices. APIs Los diferentes requieren identificadores clave diferentes. En general, utilice el identificador de clave más completo que sea práctico para su tarea.
AWS KMS admite los siguientes identificadores clave.
- ARN de clave
-
El ARN de clave es el nombre de recurso de Amazon (ARN) de una clave KMS. Es un identificador único y completo para la clave KMS. Un ARN clave incluye la región y el Cuenta de AWS ID de clave. Para obtener ayuda para encontrar el ARN de clave de una clave KMS, consulte Encontrar el ID de clave y el ARN de clave.
El formato de un ARN de clave es el siguiente:
arn:
<partition>
:kms:<region>
:<account-id>
:key/<key-id>
A continuación, se muestra un ARN de clave para una clave KMS de región única.
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
El
key-id
elemento de la clave ARNs de las claves multirregionales comienza con elmrk-
prefijo. A continuación, se muestra un ARN de clave de ejemplo para una clave de múltiples regiones.arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab
- ID de clave
-
El ID de clave identifica de forma inequívoca una clave KMS dentro de una cuenta y región. Para obtener ayuda para encontrar el ID de clave de una clave KMS, consulte Encontrar el ID de clave y el ARN de clave.
A continuación, se muestra un ID de clave de ejemplo para una clave KMS de región única.
1234abcd-12ab-34cd-56ef-1234567890ab
La clave IDs de las claves multirregionales comienza con el prefijo.
mrk-
A continuación, se muestra un ID de clave de ejemplo para una clave de múltiples regiones.mrk-1234abcd12ab34cd56ef1234567890ab
- ARN de alias
-
El alias ARN es el nombre de recurso de Amazon (ARN) de un alias. AWS KMS Es un identificador único y completamente calificado para el alias, y para la clave KMS que representa. Un ARN de alias incluye la región Cuenta de AWS y el nombre del alias.
En cualquier momento dado, un ARN de alias identifica una clave KMS en particular. Sin embargo, dado que puede cambiar la clave KMS asociada con el alias, el ARN de alias puede identificar diferentes claves KMS en diferentes momentos. Para obtener ayuda para encontrar el ARN de alias de una clave KMS, consulte Búsqueda del nombre del alias y el ARN de alias para una clave de KMS.
El formato de un ARN de alias es el siguiente:
arn:
<partition>
:kms:<region>
:<account-id>
:alias/<alias-name>
A continuación, se muestra el ARN de alias de un
ExampleAlias
ficticio.arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias
- Nombre del alias
-
El nombre de alias es una cadena de hasta 256 caracteres. Identifica de forma inequívoca una clave KMS asociada dentro de una cuenta y región. En la AWS KMS API, los nombres de alias siempre comienzan
alias/
por. Para obtener ayuda para encontrar el nombre de alias de una clave KMS, consulte Búsqueda del nombre del alias y el ARN de alias para una clave de KMS.El formato de un nombre de alias es el siguiente:
alias/
<alias-name>
Por ejemplo:
alias/ExampleAlias
El prefijo
aws/
de un nombre de alias está reservado para Claves administradas por AWS. No se puede crear un alias con este prefijo. Por ejemplo, el nombre de alias Clave administrada de AWS de Amazon Simple Storage Service (Amazon S3) es el siguiente.alias/aws/s3