AWS KMS keys - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS KMS keys

Las KMS claves que crea y administra para usarlas en sus propias aplicaciones criptográficas son del tipo conocido como claves administradas por el cliente. Las claves administradas por el cliente también se pueden usar junto con AWS los servicios que usan KMS claves para cifrar los datos que el servicio almacena en su nombre. Las claves administradas por el cliente se recomiendan para los clientes que desean tener un control total sobre el ciclo de vida y el uso de sus claves. Disponer de una clave administrada por el cliente en su cuenta tiene asociado un coste mensual. Además, las solicitudes de uso o administración de la clave conllevan un coste de uso. Para obtener más información, consulte AWS Key Management Service Precios.

Hay casos en los que un cliente puede querer que un AWS servicio cifre sus datos, pero no quiere asumir la sobrecarga que supone administrar las claves y no quiere pagar por una clave. Una Clave administrada de AWSes una KMS clave que existe en tu cuenta, pero que solo se puede usar en determinadas circunstancias. En concreto, solo se puede usar en el contexto del AWS servicio en el que operas y solo la pueden usar los responsables de la cuenta en la que existe la clave. No puedes administrar nada relacionado con el ciclo de vida o los permisos de estas claves. A medida que utilizas las funciones de cifrado en AWS los servicios, es posible que veas Claves administradas por AWS que utilizan un alias con el formato «aws<service code>». Por ejemplo, una aws/ebs clave solo se puede usar para cifrar EBS volúmenes y solo para los volúmenes utilizados por IAM los directores de la misma cuenta que la clave. Piensa en una Clave administrada de AWS que esté restringida para que la usen solo los usuarios de tu cuenta para los recursos de tu cuenta. No puedes compartir recursos cifrados en o Clave administrada de AWS con otras cuentas. Si bien la existencia de una en tu cuenta Clave administrada de AWS es gratuita, el AWS servicio asignado a la clave te cobrará por el uso de este tipo de clave.

Claves administradas por AWS son un tipo de clave heredado que dejará de crearse para nuevos AWS servicios a partir de 2021. En cambio, los AWS servicios nuevos (y antiguos) utilizan lo que se conoce como una Clave propiedad de AWSpara cifrar los datos de los clientes de forma predeterminada. Una Clave propiedad de AWS es una KMS clave que se encuentra en una cuenta gestionada por el AWS servicio, por lo que los operadores del servicio pueden gestionar su ciclo de vida y sus permisos de uso. Al Claves propiedad de AWS utilizarlos, AWS los servicios pueden cifrar sus datos de forma transparente y permiten compartir fácilmente los datos entre cuentas o regiones sin que tenga que preocuparse por los permisos clave. Úselos Claves propiedad de AWS para encryption-by-default cargas de trabajo que proporcionan una protección de datos más sencilla y automatizada. Como estas claves son propiedad de y están administradas por él AWS, no se le cobra por su existencia o su uso, no puede cambiar sus políticas, no puede auditar las actividades relacionadas con estas claves y no puede eliminarlas. Utilice las claves gestionadas por el cliente cuando el control sea importante, pero utilice Claves propiedad de AWS cuando lo más importante sea la comodidad.

Claves administradas por el cliente Claves administradas por AWS Claves propiedad de AWS
Política de claves Controlada exclusivamente por el cliente Controlada por el servicio; visible por el cliente Controladas exclusivamente y solo visibles por el AWS servicio que cifra sus datos
Registro CloudTrail almacén de datos de eventos o registros de clientes CloudTrail almacén de datos de eventos o seguimiento de clientes No visible por el cliente
Administración del ciclo de vida El cliente administra la rotación, la eliminación y la ubicación regional AWS KMS gestiona la rotación (anual), la eliminación y la ubicación regional Servicio de AWS gestiona la rotación, la eliminación y la ubicación regional
Precios

Cuota mensual por existencia de claves (prorrateada

por hora). También se cobra por el uso de claves

Sin cuota mensual, pero se le cobra a la persona que llama por el API uso de estas teclas Sin cargos para el cliente

Las KMS claves que cree son claves administradas por el cliente. Servicios de AWS las que utilizan KMS claves para cifrar los recursos de su servicio suelen crear claves para usted. KMSlas claves que se Servicios de AWS crean en su AWS cuenta son Claves administradas por AWS. KMSlas claves que se Servicios de AWS crean en una cuenta de servicio son Claves propiedad de AWS.

Tipo de KMS clave Puede ver los metadatos KMS clave Puede gestionar la KMS clave Se usa solo para mi Cuenta de AWS Rotación automática Precios
Clave administrada por clientes Opcional.

Cuota mensual (prorrateada por hora)

Tarifa por uso

Clave administrada de AWS No Obligatorio. Cada año (aproximadamente 365 días)

Sin cuota mensual

Tarifa por uso (algunos Servicios de AWS pagan esta tarifa por ti)

Clave propiedad de AWS No No No Servicio de AWS Gestiona la estrategia de rotación. Sin cuotas

AWS los servicios que se integran AWS KMS difieren en su soporte para KMS las claves. Algunos AWS servicios cifran sus datos de forma predeterminada con una Clave propiedad de AWS o una Clave administrada de AWS. Algunos AWS servicios admiten claves administradas por el cliente. Otros AWS servicios admiten todo tipo de KMS claves para facilitar la obtención Clave propiedad de AWS, la visibilidad o el control de una Clave administrada de AWS clave gestionada por el cliente. Para obtener información detallada sobre las opciones de cifrado que ofrece un AWS servicio, consulte el tema Encryption at Rest de la guía del usuario o la guía para desarrolladores del servicio.

Claves administradas por el cliente

Las KMS claves que cree son claves administradas por el cliente. Las claves administradas por el cliente son KMS claves Cuenta de AWS tuyas que tú creas, posees y administras. Usted tiene el control total sobre estas KMS claves, lo que incluye establecer y mantener sus IAMpolíticas, políticas y concesiones clave, habilitarlas y deshabilitarlas, cambiar su material criptográfico, agregar etiquetas, crear alias que hagan referencia a las KMS claves y programar su eliminación KMS.

Las claves administradas por el cliente aparecen en la página Claves administradas por el cliente de la AWS Management Console de AWS KMS. Para identificar definitivamente una clave gestionada por el cliente, utilice la operación. DescribeKey En el caso de las claves administradas por el cliente, el valor del campo KeyManager de la respuesta DescribeKey es CUSTOMER.

Puede usar su clave administrada por el cliente en operaciones criptográficas y auditar su uso en los registros de AWS CloudTrail . Además, muchos servicios de AWS integrados con AWS KMS le permiten especificar una clave administrada por el cliente para proteger los datos que almacenan y administran para usted.

Las claves administradas por el cliente tienen una tarifa mensual y una tarifa por uso excesivo del nivel gratuito. Se tienen en cuenta al calcular las AWS KMS cuotas de su cuenta. Consulte los Precios de AWS Key Management Service y Cuotas para obtener más información.

Claves administradas por AWS

Claves administradas por AWSson KMS claves de su cuenta que un AWS servicio integrado en ella crea, administra y utiliza en su nombre AWS KMS.

Algunos AWS servicios le permiten elegir una clave gestionada por el cliente Clave administrada de AWS o una clave gestionada por el cliente para proteger los recursos de ese servicio. En general, a menos que se le pida que controle la clave de cifrado que protege sus recursos, una Clave administrada de AWS es una buena opción. No tiene que crear ni mantener la clave o su política de claves, y nunca hay una tarifa mensual por una Clave administrada de AWS.

Tiene permiso para consultarlas Claves administradas por AWS en su cuenta, ver sus políticas clave y auditar su uso en AWS CloudTrail los registros. Sin embargo, no puedes cambiar ninguna de sus propiedades Claves administradas por AWS, rotarlas, cambiar sus políticas clave ni programar su eliminación. Además, no puede utilizarlos directamente Claves administradas por AWS en operaciones criptográficas; el servicio que los crea los utiliza en su nombre.

Las políticas de control de recursos de su organización no se aplican a Claves administradas por AWS.

Claves administradas por AWS aparecen en la Claves administradas por AWSpágina del AWS Management Console formulario AWS KMS. También puede identificarlos Claves administradas por AWS por sus alias, que tienen el formatoaws/service-name, por ejemploaws/redshift. Para identificar definitivamente un Claves administradas por AWS, utilice la DescribeKeyoperación. En el caso de Claves administradas por AWS, el valor del campo KeyManager de la respuesta DescribeKey es AWS.

Todos Claves administradas por AWS se rotan automáticamente cada año. No puede cambiar esta programación de rotación.

nota

En mayo de 2022, AWS KMS cambiamos el programa de rotación Claves administradas por AWS de cada tres años (aproximadamente 1.095 días) a cada año (aproximadamente 365 días).

Claves administradas por AWS Los nuevos se rotan automáticamente un año después de su creación y aproximadamente cada año a partir de entonces.

Claves administradas por AWS Los existentes se rotan automáticamente un año después de su rotación más reciente y cada año a partir de entonces.

No hay cuota mensual para Claves administradas por AWS. Pueden estar sujetos a cargos si se utilizan más allá del nivel gratuito, pero algunos AWS servicios cubren estos costes. Para obtener más detalles, consulte el tema Cifrado en reposo en la Guía del usuario o en la Guía para desarrolladores del servicio. Consulte los Precios de AWS Key Management Service para obtener más información.

Claves administradas por AWS no se tienen en cuenta las cuotas de recursos a la hora de calcular el número de KMS claves en cada región de su cuenta. Sin embargo, si se utilizan en nombre del principal de tu cuenta, las KMS claves se tienen en cuenta para descontar las cuotas solicitadas. Para obtener más información, consulte Cuotas.

Claves propiedad de AWS

Claves propiedad de AWSson un conjunto de KMS claves que un AWS servicio posee y administra para su uso en múltiples ocasiones Cuentas de AWS. Aunque no Claves propiedad de AWS estén en tus Cuenta de AWS manos, AWS cualquier servicio puede utilizarlas Clave propiedad de AWS para proteger los recursos de tu cuenta.

Algunos AWS servicios le permiten elegir una clave gestionada por el cliente Clave propiedad de AWS o una clave gestionada por el cliente. En general, a menos que tenga que auditar o controlar la clave de cifrado que protege sus recursos, an Clave propiedad de AWS es una buena opción. Claves propiedad de AWS son completamente gratuitos (sin cuotas mensuales ni de uso), no se descuentan de las AWS KMS cuotas de tu cuenta y son fáciles de usar. No es necesario crear ni mantener la clave ni su política de claves.

La rotación Claves propiedad de AWS varía según los servicios. Para obtener información sobre la rotación de un determinado servicio Clave propiedad de AWS, consulte el tema Cifrado en reposo en la guía del usuario o en la guía para desarrolladores del servicio.

AWS KMS key jerarquía

La jerarquía de claves comienza con una clave lógica de nivel superior, una. AWS KMS key Una KMS clave representa un contenedor para el material clave de nivel superior y se define de forma única en el espacio de nombres del AWS servicio con un nombre de recurso de Amazon (). ARN ARNIncluye un identificador de clave generado de forma única, un ID de clave. Se crea una KMS clave en función de una solicitud iniciada por el usuario mediante AWS KMS. Tras la recepción, AWS KMS solicita la creación de una clave de HSM respaldo inicial (HBK) para colocarla en el contenedor de KMS llaves. HBKSe genera HSM en un dominio y está diseñado para no exportarse nunca desde el HSM texto sin formato. En su lugar, HBK se exporta cifrado con claves HSM de dominio administradas. Estos elementos exportados se HBKs denominan claves exportadas (EKTs).

EKTSe exporta a un almacenamiento de alta durabilidad y baja latencia. Por ejemplo, supongamos que recibe una de ARN las KMS claves lógicas. Esto representa la parte superior de una jerarquía de claves, o contexto criptográfico. Puedes crear varias KMS claves en tu cuenta y establecer políticas para tus KMS claves como cualquier otro recurso con AWS nombre.

Dentro de la jerarquía de una KMS clave específica, se HBK puede considerar una versión de la KMS clave. Cuando se quiere girar la KMS clave AWS KMS, HBK se crea una nueva y se asocia a la KMS clave como la activa HBK de la KMS clave. HBKsLas más antiguas se conservan y se pueden utilizar para descifrar y verificar datos previamente protegidos. Pero solo se puede usar la clave criptográfica activa para proteger nueva información.

AWS KMS key jerarquía.

Puede realizar solicitudes AWS KMS para usar sus KMS claves para proteger directamente la información o solicitar claves adicionales HSM generadas que estén protegidas por su KMS clave. Estas claves se denominan claves de datos del cliente oCDKs. CDKsse pueden devolver cifradas como texto cifrado (CT), en texto plano o en ambos. Todos los objetos cifrados con una KMS clave (ya sean datos proporcionados por el cliente o claves HSM generadas por el cliente) solo se pueden descifrar mediante una llamada directa. HSM AWS KMS

El texto cifrado devuelto, o la carga útil descifrada, nunca se almacena en ella. AWS KMS La información se le devuelve a través de su conexión a. TLS AWS KMS Esto también se aplica a las llamadas realizadas por AWS los servicios en su nombre.

La jerarquía de claves y las propiedades de clave específicas aparecen en la siguiente tabla.

Clave Descripción Ciclo de vida

Clave de dominio

Una GCM clave de 256 bitsAES, solo en memoria y HSM utilizada para envolver versiones de las KMS teclas, las teclas de HSM respaldo.

Rotación diaria1

HSMtecla de respaldo

Una clave simétrica de 256 bits RSA o una clave privada de curva elíptica, que se utiliza para proteger los datos y las claves de los clientes y se almacena cifrada en las claves de dominio. Una o más claves HSM secundarias componen la KMS clave, representada por. keyId

Rotación anual2 (config. opcional)

Clave de cifrado derivada

Una GCM clave de 256 bitsAES: solo se encuentra en la memoria y HSM se utiliza para cifrar los datos y las claves de los clientes. Derivado de un cifrado HBK para cada tipo de cifrado.

Se utiliza una vez por cifrado y se regenera al descifrarse.

Clave de datos del cliente

Clave simétrica o asimétrica definida por el usuario que se exporta en texto plano y cifrado. HSM

Se cifra con una clave de HSM respaldo y se devuelve a los usuarios autorizados a través del canal. TLS

Rotación y uso controlado por aplicación

De vez en cuando, se AWS KMS podría reducir la rotación de claves de dominio a, como máximo, una vez por semana para tener en cuenta las tareas de administración y configuración del dominio.

2 Por defecto, las que Claves administradas por AWS se crean y gestionan AWS KMS en tu nombre se rotan automáticamente una vez al año.

Identificadores clave () KeyId

Los identificadores clave actúan como nombres para las claves. KMS Te ayudan a reconocer tus KMS llaves en la consola. Las usa para indicar qué KMS claves quiere usar en las AWS KMS API operaciones, las políticas clave, las IAM políticas y las subvenciones. Los valores del identificador clave no tienen ninguna relación con el material clave asociado a la KMS clave.

AWS KMS define varios identificadores clave. Al crear una KMS clave, AWS KMS genera una clave ARN y un identificador de clave, que son propiedades de la KMS clave. Al crear un alias, AWS KMS genera un alias en ARN función del nombre de alias que defina. Puede ver los identificadores de clave y alias en AWS Management Console y en. AWS KMS API

En la AWS KMS consola, puede ver y filtrar KMS las claves por su claveARN, identificador de clave o nombre de alias, y ordenarlas por identificador de clave y nombre de alias. Para obtener ayuda para encontrar los identificadores clave en la consola, consulte Encontrar el ID de clave y el ARN de clave.

En el AWS KMS API, los parámetros que se utilizan para identificar una KMS clave tienen un nombre KeyId o una variante, como TargetKeyId oDestinationKeyId. Sin embargo, los valores de esos parámetros no se limitan a la claveIDs. Algunos pueden tomar cualquier identificador de clave válido. Para obtener información sobre los valores de cada parámetro, consulte la descripción del parámetro en la AWS Key Management Service API Referencia.

nota

Cuando utilice el AWS KMS API, tenga cuidado con el identificador clave que utilice. APIsLos diferentes requieren identificadores clave diferentes. En general, utilice el identificador de clave más completo que sea práctico para su tarea.

AWS KMS admite los siguientes identificadores clave.

Clave ARN

La clave ARN es el nombre de recurso de Amazon (ARN) de una KMS clave. Se trata de un identificador único y totalmente cualificado para la KMS clave. Una clave ARN incluye la Cuenta de AWS región y el identificador de la clave. Si necesita ayuda para encontrar la clave ARN de una KMS clave, consulteEncontrar el ID de clave y el ARN de clave.

El formato de una clave ARN es el siguiente:

arn:<partition>:kms:<region>:<account-id>:key/<key-id>

El siguiente es un ejemplo de clave ARN para una KMS clave de región única.

arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

La key-id Los elementos de la clave ARNs de las claves multirregionales comienzan con el mrk- prefijo. El siguiente es un ejemplo de clave ARN para una clave multirregional.

arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab
ID de clave

El ID de clave identifica de forma exclusiva una KMS clave dentro de una cuenta y una región. Si necesitas ayuda para encontrar el identificador de clave de una KMS clave, consultaEncontrar el ID de clave y el ARN de clave.

A continuación se muestra un ejemplo de identificador de clave para una KMS clave de una sola región.

1234abcd-12ab-34cd-56ef-1234567890ab

La clave IDs de las claves multirregionales comienza con el mrk- prefijo. A continuación, se muestra un ID de clave de ejemplo para una clave de múltiples regiones.

mrk-1234abcd12ab34cd56ef1234567890ab
Alias ARN

El alias ARN es el nombre de recurso de Amazon (ARN) de un AWS KMS alias. Es un identificador único y totalmente cualificado para el alias y para la KMS clave que representa. Un alias ARN incluye la Cuenta de AWS región y el nombre del alias.

En un momento dado, un alias ARN identifica una KMS clave en particular. Sin embargo, dado que puede cambiar la KMS clave asociada al alias, el alias ARN puede identificar diferentes KMS claves en distintos momentos. Si necesita ayuda para encontrar el alias ARN de una KMS clave, consulteBusque el nombre del alias y el alias ARN de una KMS clave.

El formato de un alias ARN es el siguiente:

arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>

El siguiente es el alias ARN de un nombre ficticioExampleAlias.

arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias
Nombre del alias

El nombre de alias es una cadena de hasta 256 caracteres. Identifica de forma exclusiva una KMS clave asociada dentro de una cuenta y una región. En el AWS KMS API, los nombres de alias siempre comienzan poralias/. Si necesita ayuda para encontrar el alias de una KMS clave, consulteBusque el nombre del alias y el alias ARN de una KMS clave.

El formato de un nombre de alias es el siguiente:

alias/<alias-name>

Por ejemplo:

alias/ExampleAlias

El prefijo aws/ de un nombre de alias está reservado para Claves administradas por AWS. No se puede crear un alias con este prefijo. Por ejemplo, el nombre de alias Clave administrada de AWS de Amazon Simple Storage Service (Amazon S3) es el siguiente.

alias/aws/s3