Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# AWS KMS keys
<a name="concepts"></a><a name="key-mgmt"></a><a name="kms_keys"></a>

Las claves KMS que crea y administra para usarlas en sus propias aplicaciones criptográficas son de un tipo conocido como *claves administradas por el cliente*. Las claves administradas por el cliente también se pueden usar junto con AWS los servicios que usan claves de KMS para cifrar los datos que el servicio almacena en su nombre. Las claves administradas por el cliente se recomiendan para los clientes que desean tener un control total sobre el ciclo de vida y el uso de sus claves. Disponer de una clave administrada por el cliente en su cuenta tiene asociado un coste mensual. Además, las solicitudes de uso y and/or gestión de la clave conllevan un coste de uso. Para obtener más información, consulte [AWS Key Management Service Precios](https://aws.amazon.com/kms/pricing/).

Hay casos en los que un cliente puede querer un AWS servicio para cifrar sus datos, pero no quiere la sobrecarga que supone administrar las claves y no quiere pagar por una clave. Una *Clave administrada de AWS* es una clave de KMS que existe en su cuenta, pero que solo se puede usar en determinadas circunstancias. En concreto, solo la pueden usar en el contexto del AWS servicio en el que operas y solo la pueden usar los responsables de la cuenta en la que existe la clave. No puede administrar nada relacionado con el ciclo de vida o los permisos de estas claves. A medida que utilizas las funciones de cifrado en AWS los servicios, es posible que veas Claves administradas por AWS que utilizan un alias con el formato «aws<service code>». Por ejemplo, una clave `aws/ebs` solo se puede usar para cifrar los volúmenes de EBS y solo para los volúmenes utilizados por las entidades principales de IAM en la misma cuenta que la clave. Piensa en una Clave administrada de AWS que esté restringida para que solo los usuarios de tu cuenta la usen para los recursos de tu cuenta. No puedes compartir recursos cifrados en o Clave administrada de AWS con otras cuentas. Si bien la existencia de una en tu cuenta Clave administrada de AWS es gratuita, el AWS servicio asignado a la clave te cobrará por el uso de este tipo de clave.

Claves administradas por AWS son un tipo de clave heredado que dejará de crearse para nuevos AWS servicios a partir de 2021. En cambio, los AWS servicios nuevos (y antiguos) utilizan lo que se conoce como una *Clave propiedad de AWS*para cifrar los datos de los clientes de forma predeterminada. An Clave propiedad de AWS es una clave de KMS que se encuentra en una cuenta administrada por el AWS servicio, por lo que los operadores del servicio pueden administrar su ciclo de vida y sus permisos de uso. Al Claves propiedad de AWS utilizarlos, AWS los servicios pueden cifrar sus datos de forma transparente y permiten compartir fácilmente los datos entre cuentas o regiones sin que tenga que preocuparse por los permisos clave. Úselos Claves propiedad de AWS para encryption-by-default cargas de trabajo que proporcionan una protección de datos más sencilla y automatizada. Como estas claves son propiedad de y están administradas por él AWS, no se le cobra por su existencia o su uso, no puede cambiar sus políticas, no puede auditar las actividades relacionadas con estas claves y no puede eliminarlas. Utilice las claves administradas por el cliente cuando el control sea importante, pero utilice Claves propiedad de AWS cuando lo más importante sea la comodidad.


|  |  |  |  | 
| --- |--- |--- |--- |
|  |  Claves administradas por el cliente  |  Claves administradas por AWS  |  Claves propiedad de AWS  | 
|  Política de claves  | Controlada exclusivamente por el cliente | Controlada por el servicio; visible por el cliente | Controladas de forma exclusiva y solo visibles por el AWS servicio que cifra sus datos | 
|  Registro  | CloudTrail almacén de datos de eventos o registros de clientes | CloudTrail almacén de datos de eventos o seguimiento de clientes | No visible por el cliente | 
|  Administración del ciclo de vida  | El cliente administra la rotación, la eliminación y la ubicación regional | AWS KMS gestiona la rotación (anual), la eliminación y la ubicación regional | Servicio de AWS gestiona la rotación, la eliminación y la ubicación regional | 
|  Precios  |  Cuota mensual por existencia de claves (prorrateada por hora). También se cobra por el uso de claves  | Sin cuota mensual, pero a la persona que llama se le cobra por el uso de la API en estas claves | Sin cargos para el cliente | 

Las claves KMS que usted crea son [claves administradas por el cliente](#customer-mgn-key). Los Servicios de AWS que utilizan claves KMS para cifrar los recursos de servicio a menudo crean claves para usted. Las claves KMS que se Servicios de AWS crean en su AWS cuenta son [Claves administradas por AWS](#aws-managed-key). Las claves KMS que se Servicios de AWS crean en una cuenta de servicio son [Claves propiedad de AWS](#aws-owned-key).


| Tipo de clave KMS | Puede ver los metadatos clave KMS | Puede administrar la clave KMS | Se usa solo para mi Cuenta de AWS | [Rotación automática](rotate-keys.md) | [Precios](https://aws.amazon.com/kms/pricing/) | 
| --- | --- | --- | --- | --- | --- | 
| [Clave administrada por clientes](#customer-mgn-key) | Sí | Sí | Sí | Opcional. | Cuota mensual (prorrateada por hora)Tarifa por uso | 
| [Clave administrada de AWS](#aws-managed-key) | Sí | No | Sí | Obligatorio. Cada año (aproximadamente 365 días) | Sin cuota mensualTarifa por uso (algunos Servicios de AWS pagan esta tarifa por ti) | 
| [Clave propiedad de AWS](#aws-owned-key) | No | No | No |  Servicio de AWS Gestiona la estrategia de rotación | Sin cuotas | 

[AWS los servicios que se integran AWS KMS difieren en su compatibilidad con](service-integration.md) las claves KMS. Algunos AWS servicios cifran sus datos de forma predeterminada con una Clave propiedad de AWS o una Clave administrada de AWS. Algunos AWS servicios admiten claves administradas por el cliente. Otros AWS servicios admiten todos los tipos de claves de KMS para que pueda acceder fácilmente a una Clave propiedad de AWS clave gestionada por el cliente Clave administrada de AWS, verla o controlarla. Para obtener información detallada sobre las opciones de cifrado que ofrece un AWS servicio, consulte el tema El *cifrado en reposo* de la guía del usuario o la guía para desarrolladores del servicio.

## Claves administradas por el cliente
<a name="customer-mgn-key"></a>

Las claves KMS que usted crea son *claves administradas por el cliente*. Las claves administradas por el cliente son claves de KMS Cuenta de AWS que usted crea, posee y administra. Puede controlar por completo estas claves KMS, incluido el establecimiento y el mantenimiento de sus [políticas de claves, políticas de IAM y concesiones](control-access.md), [su habilitación y deshabilitación](enabling-keys.md), [la rotación de su material criptográfico](rotate-keys.md), [la adición de etiquetas](tagging-keys.md), [la creación de alias](alias-create.md) que hacen referencia a la clave KMS y la [programación de las claves KMS para su eliminación](deleting-keys.md). 

Las claves administradas por el cliente aparecen en la página **Claves administradas por el cliente** de la Consola de administración de AWS de AWS KMS. Para identificar definitivamente una clave administrada por el cliente, utilice la operación [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html). En el caso de las claves administradas por el cliente, el valor del campo `KeyManager` de la respuesta `DescribeKey` es `CUSTOMER`.

Puede usar su clave administrada por el cliente en operaciones criptográficas y auditar su uso en los registros de AWS CloudTrail . Además, muchos [servicios de AWS integrados con AWS KMS](service-integration.md) le permiten especificar una clave administrada por el cliente para proteger los datos que almacenan y administran para usted. 

Las claves administradas por el cliente tienen una tarifa mensual y una tarifa por uso excesivo del nivel gratuito. Se tienen en cuenta para deducir de las AWS KMS [cuotas](limits.md) de su cuenta. Consulte los [Precios de AWS Key Management Service](https://aws.amazon.com/kms/pricing/) y [Cuotas](limits.md) para obtener más información.

## Claves administradas por AWS
<a name="aws-managed-key"></a>

*Claves administradas por AWS*son claves de KMS de su cuenta que un [AWS servicio integrado](https://aws.amazon.com/kms/features/#AWS_Service_Integration) en ella crea, administra y utiliza en su nombre AWS KMS.

Algunos AWS servicios le permiten elegir una clave gestionada por el cliente Clave administrada de AWS o una clave gestionada por el cliente para proteger los recursos de ese servicio. En general, a menos que se le pida que controle la clave de cifrado que protege sus recursos, una Clave administrada de AWS es una buena opción. No tiene que crear ni mantener la clave o su política de claves, y nunca hay una tarifa mensual por una Clave administrada de AWS.

Tiene permiso para [consultarlas Claves administradas por AWS](viewing-keys.md) en su cuenta, [ver sus políticas clave](key-policy-viewing.md) y [auditar su uso](logging-using-cloudtrail.md) en AWS CloudTrail los registros. Sin embargo, no puedes cambiar ninguna de sus propiedades Claves administradas por AWS, rotarlas, cambiar sus políticas clave ni programar su eliminación. Además, no puede utilizarlos directamente Claves administradas por AWS en operaciones criptográficas; el servicio que los crea los utiliza en su nombre. 

[Las políticas de control de recursos](resource-control-policies.md) de su organización no se aplican a las Claves administradas por AWS.

Claves administradas por AWS aparecen en la **Claves administradas por AWS**página del formulario Consola de administración de AWS . AWS KMS También puede identificarlos Claves administradas por AWS por sus alias, que tienen el formato`aws/service-name`, por ejemplo`aws/redshift`. Para identificar definitivamente un Claves administradas por AWS, utilice la [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operación. En el caso de Claves administradas por AWS, el valor del campo `KeyManager` de la respuesta `DescribeKey` es `AWS`.

Todos Claves administradas por AWS se rotan automáticamente cada año. No puede cambiar esta programación de rotación.

**nota**  
En mayo de 2022, AWS KMS cambiamos el programa de rotación Claves administradas por AWS de cada tres años (aproximadamente 1.095 días) a cada año (aproximadamente 365 días).

No hay una cuota mensual para Claves administradas por AWS. Pueden estar sujetos a cargos si se utilizan más allá del nivel gratuito, pero algunos AWS servicios cubren estos costes. Para obtener más detalles, consulte el tema *Cifrado en reposo* en la Guía del usuario o en la Guía para desarrolladores del servicio. Consulte los [Precios de AWS Key Management Service](https://aws.amazon.com/kms/pricing/) para obtener más información.

Claves administradas por AWS no se tienen en cuenta las cuotas de recursos en la cantidad de claves de KMS en cada región de su cuenta. Sin embargo, cuando se utilizan en nombre de una entidad principal en su cuenta, estas claves KMS se contabilizan en las cuotas de solicitud. Para obtener más información, consulte [Cuotas](limits.md).

## Claves propiedad de AWS
<a name="aws-owned-key"></a>

*Claves propiedad de AWS*son un conjunto de claves de KMS que un AWS servicio posee y administra para su uso en varios Cuentas de AWS. Aunque no Claves propiedad de AWS estén en tus Cuenta de AWS manos, AWS cualquier servicio puede utilizarlas Clave propiedad de AWS para proteger los recursos de tu cuenta.

Algunos AWS servicios le permiten elegir una clave gestionada por el cliente Clave propiedad de AWS o una clave gestionada por el cliente. En general, a menos que tenga que auditar o controlar la clave de cifrado que protege sus recursos, an Clave propiedad de AWS es una buena opción. Claves propiedad de AWS son completamente gratuitos (sin cuotas mensuales ni de uso), no se descuentan de las [AWS KMS cuotas](limits.md) de tu cuenta y son fáciles de usar. No es necesario crear ni mantener la clave ni su política de claves.

La rotación Claves propiedad de AWS varía según los servicios. Para obtener información sobre la rotación de un determinado servicio Clave propiedad de AWS, consulte el tema *Cifrado en reposo* en la guía del usuario o en la guía para desarrolladores del servicio.

## AWS KMS key jerarquía
<a name="key-hierarchy"></a>

La jerarquía de claves comienza con una clave lógica de nivel superior, una. AWS KMS key Una clave de KMS representa un contenedor para material clave de nivel superior y está definida de forma única dentro del espacio de nombres del servicio de AWS con un nombre de recurso de Amazon (ARN). El ARN incluye un identificador de clave generado de forma única, un *ID de clave.* Se crea una clave KMS en función de una solicitud iniciada por el usuario mediante. AWS KMS Al recibirla, AWS KMS solicita la creación de una clave de respaldo HSM (HBK) inicial para colocarla en el contenedor de claves KMS. La HBK se genera en un HSM en el dominio y está diseñada para no exportarse nunca del HSM en texto sin formato. En su lugar, la HBK se exporta cifrada con claves de dominio administradas por HSM. Estos elementos exportados se HBKs denominan claves exportadas (EKTs).

El EKT se exporta a un almacenamiento de larga duración y de baja latencia. Por ejemplo, supongamos que recibe un ARN para la clave de KMS lógica. Esto representa la parte superior de una jerarquía de claves, o contexto criptográfico. Puede crear varias claves de KMS en su cuenta y establecer políticas en sus claves de KMS como cualquier otro recurso con AWS nombre.

Dentro de la jerarquía de una clave de KMS específica, la HBK puede considerarse como una versión de la clave de KMS. Cuando desee rotar la clave KMS AWS KMS, se creará un nuevo HBK que se asociará a la clave KMS como el HBK activo de la clave KMS. HBKs Las más antiguas se conservan y se pueden utilizar para descifrar y verificar datos previamente protegidos. Pero solo se puede usar la clave criptográfica activa para proteger nueva información. 

![\[AWS KMS key jerarquía.\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/CMK-Hierarchy.png)


Puede realizar solicitudes AWS KMS para usar sus claves de KMS para proteger directamente la información o solicitar claves adicionales generadas por HSM que estén protegidas por su clave de KMS. Estas claves se denominan claves de datos del cliente o. CDKs CDKs se pueden devolver cifradas como texto cifrado (CT), en texto plano o en ambos. Todos los objetos cifrados con una clave KMS (ya sean datos proporcionados por el cliente o claves generadas por HSM) solo se pueden descifrar en un HSM mediante una llamada directa. AWS KMS

El texto cifrado devuelto, o la carga útil descifrada, nunca se almacena en él. AWS KMS La información se le devuelve a través de su conexión TLS a AWS KMS. Esto también se aplica a las llamadas realizadas por los AWS servicios en su nombre. 

La jerarquía de claves y las propiedades de clave específicas aparecen en la siguiente tabla.


| Clave | Description (Descripción) | Ciclo de vida | 
| --- | --- | --- | 
|  **Clave de dominio**  |  Una clave AES-GCM de 256 bits solo en memoria de un HSM que se utiliza para ajustar versiones de las claves de KMS, las claves de backup de HSM.  |  Rotación diaria1  | 
|  **Clave de respaldo de HSM**  |  Una clave simétrica de 256 bits, clave privada RSA o curva elíptica que se utiliza para proteger los datos y las claves del cliente y que se almacena de forma cifrada con claves de dominio. Una o más claves de backup de HSM comprenden la clave de KMS, representada por el keyId.  |  Rotación anual2 (config. opcional)  | 
|  **Clave de cifrado derivada**  |  Una clave AES-GCM de 256 bits solo en memoria de un HSM que se utiliza para cifrar datos y claves del cliente. Se deriva de una HBK para cada cifrado.  |  Se utiliza una vez por cifrado y se regenera al descifrarse.   | 
|  **Clave de datos del cliente**  |  Clave simétrica o asimétrica delimitada por el usuario que se exporta desde un HSM en texto sin formato y texto cifrado. Se cifra con una clave de backup de HSM y se devuelve a los usuarios autorizados a través del canal TLS.  |  Rotación y uso controlado por aplicación  | 

De vez en cuando, AWS KMS podría reducir la rotación de claves de dominio a, como máximo, una vez por semana para tener en cuenta las tareas de administración y configuración del dominio.

2 Por defecto, las que Claves administradas por AWS se crean y gestionan AWS KMS en tu nombre se rotan automáticamente una vez al año.

## Identificadores clave () KeyId
<a name="key-id"></a>

Los identificadores de clave actúan como nombres para las claves KMS. Le ayudan a reconocer sus claves KMS en la consola. Se utilizan para indicar qué claves KMS desea utilizar en operaciones de la API de AWS KMS , políticas de claves, políticas de IAM y concesiones. Los valores del identificador de clave no están relacionados en absoluto con el material de clave asociado a la clave KMS.

AWS KMS define varios identificadores clave. Al crear una clave de KMS, AWS KMS genera un ARN de clave y un ID de clave, que son propiedades de la clave de KMS. Al crear un [alias](kms-alias.md), AWS KMS genera un ARN de alias en función del nombre de alias que defina. Puede ver los identificadores de clave y alias en la API Consola de administración de AWS y en la AWS KMS misma. 

En la AWS KMS consola, puede ver y filtrar las claves de KMS por su ARN de clave, ID de clave o nombre de alias, y ordenar por ID de clave y nombre de alias. Para obtener ayuda para encontrar los identificadores clave en la consola, consulte [Encontrar el ID de clave y el ARN de clave](find-cmk-id-arn.md).

En la AWS KMS API, los parámetros que se utilizan para identificar una clave de KMS tienen un nombre `KeyId` o una variante, como `TargetKeyId` o`DestinationKeyId`. Sin embargo, los valores de esos parámetros no se limitan a la clave IDs. Algunos pueden tomar cualquier identificador de clave válido. Para obtener información sobre los valores de cada parámetro, consulta la descripción del parámetro en la Referencia de la AWS Key Management Service API.

**nota**  
Cuando utilices la AWS KMS API, ten cuidado con el identificador clave que utilices. APIs Los diferentes requieren identificadores clave diferentes. En general, utilice el identificador de clave más completo que sea práctico para su tarea.

AWS KMS admite los siguientes identificadores clave.

**ARN de clave**  <a name="key-id-key-ARN"></a>
El ARN de clave es el nombre de recurso de Amazon (ARN) de una clave KMS. Es un identificador único y completo para la clave KMS. Un ARN clave incluye la región y el Cuenta de AWS ID de clave. Para obtener ayuda para encontrar el ARN de clave de una clave KMS, consulte [Encontrar el ID de clave y el ARN de clave](find-cmk-id-arn.md).  
El formato de un ARN de clave es el siguiente:  

```
arn:<partition>:kms:<region>:<account-id>:key/<key-id>
```
A continuación, se muestra un ARN de clave para una clave KMS de región única.  

```
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
```
El *key-id* elemento de la clave ARNs de las [claves multirregionales](multi-region-keys-overview.md) comienza con el `mrk-` prefijo. A continuación, se muestra un ARN de clave de ejemplo para una clave de múltiples regiones.  

```
arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab
```

**ID de clave**  <a name="key-id-key-id"></a>
El ID de clave identifica de forma inequívoca una clave KMS dentro de una cuenta y región. Para obtener ayuda para encontrar el ID de clave de una clave KMS, consulte [Encontrar el ID de clave y el ARN de clave](find-cmk-id-arn.md).  
A continuación, se muestra un ID de clave de ejemplo para una clave KMS de región única.  

```
1234abcd-12ab-34cd-56ef-1234567890ab
```
La clave IDs de las claves [multirregionales](multi-region-keys-overview.md) comienza con el prefijo. `mrk-` A continuación, se muestra un ID de clave de ejemplo para una clave de múltiples regiones.  

```
mrk-1234abcd12ab34cd56ef1234567890ab
```

**ARN de alias**  <a name="key-id-alias-ARN"></a>
El alias ARN es el nombre de recurso de Amazon (ARN) de un alias. AWS KMS Es un identificador único y completamente calificado para el alias, y para la clave KMS que representa. Un ARN de alias incluye la región Cuenta de AWS y el nombre del alias.  
En cualquier momento dado, un ARN de alias identifica una clave KMS en particular. Sin embargo, dado que puede cambiar la clave KMS asociada con el alias, el ARN de alias puede identificar diferentes claves KMS en diferentes momentos. Para obtener ayuda para encontrar el ARN de alias de una clave KMS, consulte [Búsqueda del nombre del alias y el ARN de alias para una clave de KMS](alias-view.md).  
El formato de un ARN de alias es el siguiente:  

```
arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>
```
A continuación, se muestra el ARN de alias de un `ExampleAlias` ficticio.  

```
arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias
```

**Nombre del alias**  <a name="key-id-alias-name"></a>
El nombre de alias es una cadena de hasta 256 caracteres. Identifica de forma inequívoca una clave KMS asociada dentro de una cuenta y región. En la AWS KMS API, los nombres de alias siempre comienzan `alias/` por. Para obtener ayuda para encontrar el nombre de alias de una clave KMS, consulte [Búsqueda del nombre del alias y el ARN de alias para una clave de KMS](alias-view.md).  
El formato de un nombre de alias es el siguiente:  

```
alias/<alias-name>
```
Por ejemplo:   

```
alias/ExampleAlias
```
El prefijo `aws/` de un nombre de alias está reservado para [Claves administradas por AWS](#aws-managed-key). No se puede crear un alias con este prefijo. Por ejemplo, el nombre de alias Clave administrada de AWS de Amazon Simple Storage Service (Amazon S3) es el siguiente.  

```
alias/aws/s3
```

# Teclas asimétricas en AWS KMS
<a name="symmetric-asymmetric"></a>

Una *clave KMS asimétrica* representa un par de claves privadas y públicas relacionadas matemáticamente. Puede entregar la clave pública a cualquiera, aunque no sea de confianza, pero la clave privada debe ser secreta. 

En una clave KMS asimétrica, la clave privada se crea AWS KMS y nunca se queda AWS KMS sin cifrar. Para usar la clave privada, debe llamar. AWS KMS Puedes usar la clave pública que contiene AWS KMS llamando a las operaciones de la AWS KMS API. O bien, puedes [descargar la clave pública](download-public-key.md) y utilizarla fuera de ella AWS KMS.

Si tu caso de uso requiere que los usuarios que no puedan llamar AWS los cifren fuera del sistema AWS KMS, las claves KMS asimétricas son una buena opción. Sin embargo, si va a crear una clave KMS para cifrar los datos que almacena o administra en un AWS servicio, utilice una clave KMS de cifrado simétrico. [AWS los servicios integrados AWS KMS utilizan](https://aws.amazon.com/kms/features/#AWS_Service_Integration) únicamente claves KMS de cifrado simétrico para cifrar los datos. Estos servicios no admiten cifrado con claves de KMS asimétricas.

Al firmar mensajes de más de 4 KB AWS KMS, debe aplicar un hash al mensaje AWS KMS antes de firmarlo. AWS KMS ofrece tres `MessageType` opciones para gestionar la introducción de mensajes: `RAW` para los mensajes de texto simple (donde se AWS KMS realiza el hash), `DIGEST` para los mensajes precodificados (donde se AWS KMS omite el paso de la codificación) y, `EXTERNAL_MU` específicamente, para las especificaciones clave del KMS de ML-DSA, en las que la entrada es un valor μm representativo de 64 bytes. [https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html)

AWS KMS admite varios tipos de claves KMS asimétricas. 

**Claves KMS de RSA**  
Una clave KMS con un par de claves RSA para el cifrado y el descifrado o para la firma y la verificación (pero no ambos). AWS KMS admite varias longitudes de clave para distintos requisitos de seguridad.  
Para obtener información técnica sobre los algoritmos de cifrado y firma AWS KMS compatibles con las claves KMS de RSA, consulte las especificaciones de las claves de [RSA](symm-asymm-choose-key-spec.md#key-spec-rsa).

**Claves KMS de curva elíptica (ECC)**  
Una clave KMS con un par de claves de curva elíptica para firmar y verificar o derivar secretos compartidos (pero no ambos). AWS KMS admite varias curvas de uso común.  
Para obtener información técnica sobre los algoritmos de firma AWS KMS compatibles con las claves KMS de ECC, consulte las especificaciones de las claves de curva [elíptica](symm-asymm-choose-key-spec.md#key-spec-ecc).

**Claves de KMS de ML-DSA**  
Una clave de KMS con un par de claves de ML-DSA para firma y verificación. El ML-DSA es un estándar de criptografía poscuántica desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. para proteger contra las amenazas a la seguridad que plantea la computación cuántica. El ML-DSA es el algoritmo de firma digital recomendado para las organizaciones que están realizando el cambio de los algoritmos de firma digital RSA o de curva elíptica a la criptografía segura poscuántica.  
AWS KMS admite varias longitudes de clave para diferentes requisitos de seguridad. Para obtener información técnica sobre los algoritmos de firma AWS KMS compatibles con las claves KMS de ML-DSA, consulte las especificaciones de claves de [ML-DSA](symm-asymm-choose-key-spec.md#key-spec-mldsa).

**SM2 Claves KMS (solo regiones de China)**  
Una clave KMS con un par de SM2 claves para el cifrado y el descifrado, la firma y la verificación o la obtención de secretos compartidos (debe elegir un [Key usage](create-keys.md#key-usage) tipo).  
Para obtener información técnica sobre los algoritmos de cifrado y firma AWS KMS compatibles con las claves SM2 KMS (solo en las regiones de China), consulta las [especificaciones de las SM2 claves](symm-asymm-choose-key-spec.md#key-spec-sm).

Para obtener ayuda para elegir la configuración de clave asimétrica, consulte [Elección del tipo de clave KMS que se va a crear](create-keys.md#symm-asymm-choose). 

**Regiones**

Las claves KMS asimétricas y los pares de claves de datos asimétricas son compatibles con todos Regiones de AWS los soportes. AWS KMS 

**Más información**
+ Para crear claves KMS asimétricas, consulte [Creación de una clave de KMS asimétrica](asymm-create-key.md). 
+ Para crear claves KMS asimétricas de varias regiones, consulte [Creación de claves primarias de varias regiones](create-primary-keys.md).
+ Para aprender a firmar mensajes y verificar firmas con las claves KMS asimétricas, consulte [Firma digital con la nueva función de claves asimétricas de AWS KMS](https://aws.amazon.com/blogs/security/digital-signing-asymmetric-keys-aws-kms/) en el *Blog de seguridad de AWS *.
+ Para obtener más información sobre las consideraciones especiales a la hora de eliminar claves KMS asimétricas, consulte [Deleting asymmetric KMS keys](deleting-keys.md#deleting-asymmetric-cmks).
+ Para identificar y ver las claves KMS asimétricas, consulte [Identificación de claves KMS asimétricas](identify-key-types.md#identify-asymm-keys).

# Teclas HMAC en AWS KMS
<a name="hmac"></a>

Las claves KMS del código de autenticación de mensajes basado en hash (HMAC) son claves simétricas que se utilizan para generar y verificar su contenido. HMACs AWS KMS El material de claves exclusivo de cada clave HMAC de KMS proporciona la clave secreta que requieren los algoritmos HMAC. Puede utilizar una clave KMS HMAC con las operaciones `[GenerateMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html)` y [https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html) para verificar la integridad y autenticidad de los datos dentro de AWS KMS.

Los algoritmos HMAC combinan una función hash criptográfica y una clave secreta compartida. Toman un mensaje y una clave secreta, como el material clave de una clave KMS HMAC, y devuelven un código o una *etiqueta*únicos de tamaño fijo. Si cambia incluso un carácter del mensaje, o si la clave secreta no es idéntica, la etiqueta resultante es totalmente diferente. Al requerir una clave secreta, el HMAC también proporciona autenticidad; es imposible generar una etiqueta HMAC idéntica sin la clave secreta. HMACs a veces se denominan *firmas simétricas* porque funcionan como firmas digitales, pero utilizan una sola clave tanto para la firma como para la verificación.

[Las claves HMAC KMS y los algoritmos HMAC que se AWS KMS utilizan cumplen con los estándares del sector definidos en el RFC 2104.](https://datatracker.ietf.org/doc/html/rfc2104) La AWS KMS [GenerateMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html)operación genera etiquetas HMAC estándar. Las claves HMAC KMS se generan en módulos de seguridad de AWS KMS hardware que están certificados según el [Programa de validación de módulos criptográficos FIPS 140-3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884) (excepto en las regiones de China (Beijing) y China (Ningxia)) y nunca se dejan sin cifrar. AWS KMS Para utilizar una clave KMS HMAC, tiene que llamar a AWS KMS.

Puede utilizar claves KMS HMAC para determinar la autenticidad de un mensaje, como un token web JSON (JWT), información de tarjeta de crédito tokenizada o una contraseña enviada. También se pueden utilizar como funciones de derivación de claves seguras (KDFs), especialmente en aplicaciones que requieren claves deterministas.

Las claves HMAC KMS ofrecen una ventaja respecto HMACs a las del software de aplicación, ya que el material de claves se genera y se utiliza íntegramente desde dentro AWS KMS, sujeto a los controles de acceso que se establezcan en la clave.

**sugerencia**  
Las prácticas recomendadas indican limitar el tiempo durante el cual cualquier mecanismo de firma, incluido un HMAC, es efectivo. Esto impide un ataque en el que el actor utiliza un mensaje firmado para establecer la validez repetidamente o mucho después de que se sustituya el mensaje. Las etiquetas del HMAC no incluyen una marca de hora, pero puede incluir una marca de hora en el token o mensaje para ayudarlo a detectar cuándo es hora de actualizar el HMAC. 

**Operaciones criptográficas admitidas**  
Las claves KMS HMAC solo admiten las operaciones criptográficas [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html) y [https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html). No puede utilizar claves KMS HMAC para cifrar datos o firmar mensajes, ni utilizar ningún otro tipo de clave KMS en las operaciones de HMAC. Cuando utiliza la operación `GenerateMac`, proporciona un mensaje de hasta 4096 bytes, una clave KMS HMAC y el algoritmo MAC compatible con la especificación de clave HMAC, y `GenerateMac` computa la etiqueta HMAC. Para verificar una etiqueta HMAC, debe proporcionar la etiqueta HMAC y el mismo mensaje, clave KMS HMAC y algoritmo MAC que `GenerateMac` utilizó para computar la etiqueta HMAC original. La operación `VerifyMac` computa la etiqueta HMAC y verifica que es idéntica a la etiqueta HMAC suministrada. Si la entrada y las etiquetas HMAC calculadas no son idénticas, la verificación falla.   
Las claves HMAC de KMS *no* admiten [rotación automática de claves](rotate-keys.md) y no se puede crear una clave de KMS HMAC en un [almacén de claves personalizado](key-store-overview.md#custom-key-store-overview).  
Si va a crear una clave KMS para cifrar los datos de un AWS servicio, utilice una clave de cifrado simétrica. No puede utilizar una clave KMS HMAC.

**Regiones**  
Las claves HMAC KMS son compatibles con todos Regiones de AWS los soportes. AWS KMS 

**Más información**
+ Para crear una clave KMS HMAC, consulte [Creación de una clave KMS HMAC](hmac-create-key.md).
+ Para crear claves KMS HMAC de varias regiones, consulte [Claves multirregionales en AWS KMS](multi-region-keys-overview.md).
+ Para examinar la diferencia en la política de claves predeterminada que la AWS KMS consola establece para las claves HMAC KMS, consulte. [Permite a los usuarios de claves utilizar una clave KMS para las operaciones criptográficas](key-policy-default.md#key-policy-users-crypto)
+ Para identificar y ver claves KMS HMAC, consulte [Identificación de claves KMS HMAC](identify-key-types.md#hmac-view).
+ Para obtener más información sobre HMACs cómo crear tokens web JSON, consulte [Cómo proteger HMACs su interior AWS KMS](https://aws.amazon.com/blogs/security/how-to-protect-hmacs-inside-aws-kms/) en el *blog AWS de seguridad*.
+ Escuche un podcast: [Introducing HMACs for AWS Key Management Service](https://aws.amazon.com/podcasts/introducing-hmacs-apis-in-aws-key-management-service) en *The Official AWS Podcast*.

# ML-DSA entra AWS KMS
<a name="mldsa"></a>

AWS Key Management Service (AWS KMS) admite el algoritmo de firma digital Module-Lattice (ML-DSA) para firmas criptográficas poscuánticas. Esta implementación sigue el [estándar 204 de los Estándares Federales de Procesamiento de Información (FIPS)](https://csrc.nist.gov/pubs/fips/204/final) para ayudar a estar protegido contra las futuras amenazas de la computación cuántica. AWS KMS crea y protege todas las claves y operaciones de firma ML-DSA en módulos de seguridad de hardware validados por el FIPS 140-3 de nivel de seguridad 3. Para ayudar a equilibrar la seguridad con el rendimiento, el ML-DSA in AWS KMS ofrece tres niveles de seguridad distintos con diferentes especificaciones clave: ML\$1DSA\$144, ML\$1DSA\$165 y ML\$1DSA\$187.

AWS KMS admite firmas de clave asimétricas `RAW` para mensajes de hasta 4 KB según el tipo de mensaje. Para mensajes más grandes, debe calcular externamente la μ de representación del mensaje de 64 bytes utilizada en la firma ML-DSA, tal como se define en la sección 6.2 del NIST FIPS 204. Utilice el tipo de `EXTERNAL_MU` mensaje de la operación de AWS KMS [firma](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) para especificar este mensaje de 64 bytes preprocesado. Las firmas generadas por la μ calculada externamente son las mismas las de `RAW` cuando se utiliza el mismo mensaje y la misma clave privada. Tenga en cuenta que esta firma es diferente del MLDSA “previo al hash” o del HashML-DSA definido en la sección 5.4 de NIST FIPS 204.

Para obtener más información sobre el uso de ML-DSA y el tipo de mensaje EXTERNAL\$1MU, consulte [Especificaciones clave del ML-DSA](symm-asymm-choose-key-spec.md#key-spec-mldsa).

Para ver un ejemplo del uso de ML-DSA y el tipo de mensaje EXTERNAL\$1MU, consulte [Verificación fuera de línea con pares de claves ML-DSA](offline-operations.md#mldsa-offline-verification).

# Claves multirregionales en AWS KMS
<a name="multi-region-keys-overview"></a>

AWS KMS admite *claves multirregionales*, que son AWS KMS keys diferentes Regiones de AWS y se pueden usar indistintamente, como si tuvieras la misma clave en varias regiones. Cada conjunto de claves multirregionales *relacionadas* tiene el mismo material de clave y el mismo [identificador de clave](concepts.md#key-id-key-id), por lo que puede cifrar los datos en uno Región de AWS y descifrarlos en otro diferente Región de AWS sin necesidad de volver a cifrarlos ni de realizar llamadas entre regiones. AWS KMS

Como todas las claves de KMS, las claves multirregionales nunca se quedan sin cifrar. AWS KMS Puede crear claves de varias regiones simétricas o asimétricas para el cifrado o la firma, y crear claves de varias regiones HMAC para generar y verificar etiquetas HMAC, y crear [claves de varias regiones con material de claves importado](importing-keys.md) o material de claves que AWS KMS genera. Debe administrar cada clave de varias regiones de forma independiente, incluida la creación de alias y etiquetas, el establecimiento de sus políticas y concesiones clave, y la habilitación y deshabilitación selectivas. Puede utilizar claves de varias regiones en todas las operaciones criptográficas que puede realizar con claves de una sola región.

Las claves de varias regiones son una solución flexible y potente para muchos escenarios comunes de seguridad de datos.

**Recuperación ante desastres **  
En una arquitectura de copia de seguridad y recuperación, las claves multirregionales permiten procesar los datos cifrados sin interrupciones, incluso en caso de que se produzca una interrupción. Región de AWS Los datos mantenidos en las regiones de copia de seguridad se pueden descifrar en la región de copia de seguridad, y los datos recién cifrados en la región de copia de seguridad se pueden descifrar en la región principal cuando se restaura esa región.

**Administración de datos global**  
Las empresas que operan en todo el mundo necesitan datos distribuidos globalmente que estén disponibles de manera consistente en Regiones de AWS. Puede crear claves de varias regiones en todas las regiones donde residen los datos y, a continuación, utilizar las claves como si fueran una clave de una sola región sin la latencia de una llamada entre regiones o el costo de volver a cifrar datos bajo una clave diferente en cada región.

**Aplicaciones de firma distribuidas**  
Las aplicaciones que requieren capacidades de firma entre regiones pueden utilizar claves de firma asimétricas de varias regiones para generar firmas digitales idénticas de forma consistente y repetida en diferentes Regiones de AWS.   
Si utiliza el encadenamiento de certificados con un único almacén de confianza global (para una única entidad emisora de certificados (CA) raíz y un intermediario regional CAs firmado por la entidad emisora de certificados raíz, no necesitará claves multirregionales. Sin embargo, si su sistema no admite las certificaciones intermedias CAs, como la firma de solicitudes, puede utilizar claves multirregionales para dar coherencia a las certificaciones regionales.

**Aplicaciones activa-activa que abarcan varias regiones**  
Algunas cargas de trabajo y aplicaciones pueden abarcar varias regiones en arquitecturas activa-activa. Para estas aplicaciones, las claves de varias regiones pueden reducir la complejidad al proporcionar el mismo material clave para operaciones simultáneas de cifrado y descifrado en datos que podrían estar moviéndose a través de los límites de la región.

Puede utilizar claves de varias regiones con bibliotecas de cifrado del cliente, como la [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/), el [SDK de cifrado de base de datos de AWS](https://docs.aws.amazon.com/dynamodb-encryption-client/latest/devguide/) y el [Cifrado del cliente de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html). 

La mayoría de [AWS los servicios que se integran AWS KMS](https://aws.amazon.com/kms/features/) para el cifrado en reposo o las firmas digitales actualmente tratan las claves multirregionales como si fueran claves de una sola región. Es posible que vuelvan a envolver o cifrar los datos que se mueven entre regiones. Por ejemplo, la replicación entre regiones de Amazon S3 descifra y vuelve a cifrar los datos de una clave de KMS en la región de destino, incluso cuando se replican objetos protegidos por una clave de varias regiones. Consulte la documentación específica del servicio para saber cómo un servicio replica los datos cifrados y si trata las claves multirregionales de forma diferente.

Las claves de varias regiones no son globales. Cree una clave principal de varias regiones y, a continuación, replíquela en las regiones que seleccione dentro de una [partición de AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html). Luego, administre la clave de varias regiones en cada región de forma independiente. Ni crea AWS ni replica automáticamente claves multirregionales en AWS KMS ninguna región en tu nombre. [Claves administradas por AWS](concepts.md#aws-managed-key), las claves de KMS que AWS los servicios crean en su cuenta para usted, son siempre claves de una sola región.

En las regiones de China, se puede utilizar la característica clave multirregión para replicar las claves de KMS dentro de la partición de las regiones de China (`aws-cn`). Por ejemplo, se puede replicar una clave de la región de China (Pekín) en la región de China (Ningxia) o al revés. Al replicar una clave de una región de China a otra, aceptas usar la AWS Key Management Service de la región de destino y cumplir con todos los términos del acuerdo aplicables a la región de destino. No puede replicar una clave de las regiones de Beijing y Ningxia en una AWS región fuera de la partición de las regiones de China. De manera similar, no puede replicar una clave de una región por fuera de la partición de regiones de China en las regiones de Pekín y Ningxia.

No puede convertir una clave de región única existente en una clave de varias regiones. Este diseño garantiza que todos los datos protegidos con claves de una sola región existentes mantengan las mismas propiedades de residencia y soberanía de datos.

Para la mayoría de las necesidades de seguridad de los datos, el aislamiento regional y la tolerancia a errores de los recursos regionales hacen que las claves de una AWS KMS sola región estándar sean la solución más adecuada. Sin embargo, cuando necesite cifrar o firmar datos en aplicaciones del cliente en varias regiones, es posible que las claves de varias regiones sean la solución.



**Regiones**

Las claves multirregionales son compatibles con todos Regiones de AWS los soportes. AWS KMS 

**Precios y cuotas**

Cada clave de un conjunto de claves de varias regiones relacionadas cuenta como una clave KMS para precios y cuotas. Las [cuotas de AWS KMS](limits.md) se calculan por separado por cada región de una cuenta. El uso y la administración de las claves de varias regiones en cada Región cuenta para las cuotas de dicha Región.

**Tipos de claves KMS compatibles**

Puede crear los siguientes tipos de claves KMS para varias regiones:
+ Claves de KMS de cifrado simétrico
+ Claves de KMS asimétricas
+ Claves KMS HMAC
+ Claves KMS con material de claves importado

No puede crear claves de varias regiones en un almacén de claves personalizado.

**Más información**
+ Para obtener información sobre cómo controlar el acceso a las claves KMS de varias regiones, consulte [Control del acceso a claves de varias regiones](multi-region-keys-auth.md).
+ Para crear claves KMS principales de varias regiones de cualquier tipo, consulte [Creación de claves primarias de varias regiones](create-primary-keys.md).
+ Para crear claves KMS de réplica de varias regiones, consulte [Creación de claves de réplica de varias regiones](multi-region-keys-replicate.md).
+ Para. actualizar la región principal, consulte [Cambio de la clave principal en un conjunto de claves de varias regiones](multi-region-update.md).
+ Para identificar y ver las claves KMS de varias regiones, consulte [Identificación de claves KMS HMAC](identify-key-types.md#hmac-view).
+ Para conocer las consideraciones especiales a la hora de eliminar claves KMS de varias regiones, consulte [Deleting multi-Region keys](deleting-keys.md#deleting-mrks).

## Terminología y conceptos
<a name="multi-region-concepts"></a>

Los siguientes términos y conceptos se utilizan con claves de varias regiones.

### Clave de varias regiones
<a name="multi-Region-concept"></a>

Una *clave de varias regiones* es una de un conjunto de claves KMS con el mismo ID de clave y material de claves (y otras [propiedades compartidas](#mrk-replica-key)) en diferentes Regiones de AWS. Cada clave de varias regiones es una clave KMS que funciona completamente que se puede utilizar independientemente de sus claves de varias regiones relacionadas. Como todas las claves multirregionales *relacionadas* tienen el mismo identificador de clave y el mismo material de clave, son *interoperables*, es decir, cualquier clave multirregional relacionada de una de ellas Región de AWS puede descifrar el texto cifrado por cualquier otra clave multirregional relacionada.

Usted configura la propiedad de varias regiones de una clave KMS cuando la crea. No se puede cambiar esta propiedad de varias regiones en una clave existente. No se puede convertir una clave de región única en clave de varias regiones ni convertir una clave de varias regiones en una clave de región única. Para mover cargas de trabajo existentes a escenarios de varias regiones, debe volver a cifrar los datos o crear nuevas firmas con nuevas claves de varias regiones.

[Una clave multirregional puede ser [simétrica o asimétrica y puede utilizar material clave o material](symmetric-asymmetric.md) clave importado. AWS KMS](importing-keys.md) No puede crear claves de varias regiones en un [almacén de claves personalizado](key-store-overview.md#custom-key-store-overview).

En un conjunto de claves de varias regiones relacionadas, hay exactamente una [clave principal](#mrk-primary-key) en cualquier momento. Puede crear [claves de réplica](#mrk-replica-key) de esa clave principal en otras Regiones de AWS. También puede [actualizar la región principal](multi-region-update.md#update-primary-console), que cambia la clave principal a una clave de réplica y cambia una clave de réplica especificada a la clave principal. Sin embargo, solo puede mantener una clave principal o una clave de réplica en cada una. Región de AWS Todas las regiones deben estar en la misma [partición de AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).

Puede tener varios conjuntos de claves de varias regiones relacionadas en la misma o diferentes Regiones de AWS. Aunque las claves de varias regiones relacionadas son interoperables, las claves de varias regiones no relacionadas no son interoperables.

### Clave principal
<a name="mrk-primary-key"></a>

Una *clave principal* multirregional es una clave de KMS que se puede replicar Regiones de AWS en otra de la misma partición. Cada conjunto de claves de varias regiones tiene una sola clave principal.

Una clave principal difiere de una clave de réplica en las siguientes formas:
+ Solo se puede [replicar](multi-region-keys-replicate.md) una clave principal.
+ La clave principal es el origen de [propiedades compartidas](#mrk-replica-key) de su [claves de réplica](#mrk-replica-key), incluido el material de la clave y el ID de la clave. 
+ Puede habilitar y desactivar la [rotación automática de claves](rotate-keys.md) solo en una clave principal.
+ Puede [programar la eliminación de una clave principal](deleting-keys.md#deleting-mrks) en cualquier momento. Sin embargo, no AWS KMS eliminará una clave principal hasta que se eliminen todas sus claves de réplica.

Sin embargo, las claves primarias y de réplica no difieren en ninguna propiedad criptográfica. Puede utilizar una clave principal y sus claves de réplica de forma intercambiable. 

No es necesario replicar una clave principal. Puede usarla como lo haría con cualquier clave KMS y replicarla cuando sea útil. Sin embargo, dado que las claves de varias regiones tienen propiedades de seguridad diferentes a las claves de una sola región, se recomienda crear una clave de varias regiones solo cuando planee replicarla.

### Clave de réplica
<a name="mrk-replica-key"></a>

Una *clave de réplica* de varias regiones es una clave KMS que tiene el mismo [ID de clave](concepts.md#key-id-key-id) y material de claves que su [clave principal](#mrk-primary-key) y las claves de réplica relacionadas, pero existe en una Región de AWS diferente. 

Una clave de réplica es una clave KMS completamente funcional con su propia política de clave, concesiones, alias, etiquetas y otras propiedades. No es una copia ni un puntero a la clave principal ni a ninguna otra clave. Puede utilizar una clave de réplica incluso si su clave principal y todas las claves de réplica relacionadas están deshabilitadas. También puede convertir una clave de réplica en una clave principal y una clave principal en una clave de réplica. Una vez creada, una clave de réplica se basa en su clave principal solo para la [rotación de claves](rotate-keys.md#multi-region-rotate) y la [actualización de la región principal](multi-region-update.md). 

Las claves principales y de réplica no difieren en ninguna propiedad criptográfica. Puede utilizar una clave principal y sus claves de réplica de forma intercambiable. Los datos cifrados por una clave principal o de réplica se pueden descifrar con la misma clave o mediante cualquier clave principal o de réplica relacionada.

### Replicación
<a name="replicate"></a>

Puede *replicar* una [clave principal](#mrk-primary-key) multirregional Región de AWS en otra diferente de la misma partición. Al hacerlo, AWS KMS crea una [clave de réplica](#mrk-replica-key) multirregional en la región especificada con el mismo [ID de clave](concepts.md#key-id-key-id) y otras [propiedades compartidas](#mrk-sync-properties) que su clave principal. En el caso de las claves de KMS con `AWS_KMS` origen, transporta de AWS KMS forma segura el material clave a través de los límites de la región y lo asocia a la nueva clave de réplica, todo ello dentro de él. AWS KMS En el caso de las claves KMS con `EXTERNAL` origen, debe importar el mismo material clave que importó a la clave de región principal para cada réplica de clave de región de forma individual.

### Propiedades compartidas
<a name="mrk-sync-properties"></a>

*Las propiedades compartidas* son propiedades de una clave principal multirregional que se comparten con sus claves de réplica. AWS KMS crea las claves de réplica con los mismos valores de propiedad compartidos que los de la clave principal. A continuación, sincroniza periódicamente los valores de propiedad compartida de la clave principal con sus claves de réplica. No puede establecer estas propiedades en una clave de réplica. 

Las siguientes son las propiedades compartidas de claves de varias regiones. 
+ [ID de clave](concepts.md#key-id-key-id): (el elemento de la `Region` del [ARN de clave](concepts.md#key-id-key-ARN) difiere).
+ [Material clave](create-keys.md#key-origin): las claves principal y réplica de un conjunto de claves multirregionales relacionadas comparten el mismo material clave. En el caso de las claves multirregionales cuyo material clave se genera por AWS KMS (`AWS_KMS`origen), transporta de AWS KMS forma segura todos los materiales clave de la principal a cada réplica cuando se crea la réplica o cuando se crea un nuevo material clave mediante rotación automática o bajo demanda. En el caso de las claves multirregionales con material clave importado (`EXTERNAL`origen), AWS KMS sincroniza el identificador del material clave con la clave principal, pero debe importar el material clave a cada clave de réplica de forma independiente. 
+ [Origen del material de claves](create-keys.md#key-origin)
+ [Especificación de clave](create-keys.md#key-spec) y algoritmos de cifrado
+ [Uso de claves](create-keys.md#key-usage)
+ [Rotación automática de claves](rotating-keys-enable.md): solo puede habilitar y desactivar la rotación automática de claves en la clave principal. Las nuevas claves de réplica se crean con todas las versiones del material de claves compartido. Para obtener más información, consulte [Rotating multi-Region keys](rotate-keys.md#multi-region-rotate).
+ [Rotación bajo demanda](rotating-keys-on-demand.md): solo puede realizar la rotación bajo demanda en la clave principal. En el caso de las claves multirregionales cuyo material clave se genera por AWS KMS (`AWS_KMS`origen), AWS KMS crea réplicas de claves con todas las versiones del material clave compartido. En el caso de las claves multirregionales con material clave importado (`EXTERNAL`origen), AWS KMS propaga el identificador del material clave y la descripción del material clave desde la clave principal a las claves de réplica, pero no al material clave. Debe importar el material clave correcto a cada clave de réplica de forma individual. Para obtener más información, consulte [Rotating multi-Region keys](rotate-keys.md#multi-region-rotate).

También puede pensar en las designaciones primarias y de réplica de claves de varias regiones relacionadas como propiedades compartidas. Al [crear nuevas claves de réplica](#mrk-replica-key) o [actualizar la clave principal](multi-region-update.md#update-primary-console), AWS KMS sincroniza el cambio con todas las claves multirregionales relacionadas. Cuando se completan estos cambios, todas las claves de varias regiones relacionadas muestran su clave principal y las claves de réplica con precisión.

[Todas las demás propiedades de las claves multirregionales son *propiedades independientes*, incluidas la descripción de la clave, la [política de claves](key-policies.md), las [concesiones](grants.md), [los estados clave habilitados y deshabilitados, los](enabling-keys.md)[alias](kms-alias.md) y las etiquetas.](tagging-keys.md) Puede establecer los mismos valores para estas propiedades en todas las claves de varias regiones relacionadas, pero si cambia el valor de una propiedad independiente, AWS KMS no lo sincroniza.

Puede realizar un seguimiento de la sincronización de las propiedades compartidas de las claves de varias regiones. En su AWS CloudTrail registro, busque el [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md)evento.

# Consideraciones sobre seguridad para claves de varias regiones
<a name="mrk-when-to-use"></a>

Usa una clave AWS KMS multirregional solo cuando la necesites. Las claves de varias regiones proporcionan una solución flexible y escalable para cargas de trabajo que mueven datos cifrados entre Regiones de AWS o necesitan acceso entre regiones. Considere una clave de varias regiones si debe compartir, mover o hacer una copia de seguridad de datos protegidos entre regiones o necesita crear firmas digitales idénticas de aplicaciones que operan en regiones diferentes.

Sin embargo, el proceso de creación de una clave de varias regiones mueve el material clave a través de límites Región de AWS dentro de AWS KMS. El texto cifrado generado por una clave de varias regiones se puede descifrar potencialmente mediante varias claves relacionadas en varias ubicaciones geográficas. También se ofrecen importantes beneficios para los servicios y los recursos aislados a nivel regional. Cada Región de AWS es independiente y está aislada de las demás regiones. Las regiones proporcionar tolerancia a errores, estabilidad y resistencia, y también pueden reducir la latencia. Le permiten crear recursos redundantes que sigan estando disponibles y no resulten afectados por una interrupción en otra región. En AWS KMS, también se aseguran de que cada texto cifrado se pueda descifrar con una sola clave.

Las claves de varias regiones también plantean nuevas consideraciones de seguridad:
+ Controlar el acceso y aplicar la política de seguridad de datos es más complejo con las claves de varias regiones. Debe asegurarse de que la política se auditará de forma coherente en clave en varias regiones aisladas. Y debe usar la política para imponer límites, en lugar de depender de claves separadas.

  Por ejemplo, debe establecer condiciones de política en los datos para evitar que los equipos de nómina de una Región puedan leer los datos de nómina de una Región diferente. Además, debe usar el control de acceso para evitar un escenario en el que una clave de varias regiones en una región proteja los datos de un inquilino y una clave de varias regiones relacionada en otra región proteja los datos de un inquilino diferente.
+ La auditoría de claves entre regiones también es más compleja. Con las claves de varias regiones, debe examinar y conciliar las actividades de auditoría en varias regiones para obtener una comprensión completa de las actividades clave en los datos protegidos.
+ La conformidad de los mandatos de residencia de datos puede ser más complejo. Con Regiones aisladas, puede garantizar la residencia de datos y la conformidad de la soberanía de datos. Las claves KMS de una región determinada solo pueden descifrar información confidencial en esa región. Los datos cifrados en una región pueden permanecer completamente protegidos e inaccesibles en cualquier otra región.

  Para verificar la residencia y la soberanía de los datos con claves multirregionales, debe implementar políticas de acceso y compilar AWS CloudTrail eventos en varias regiones.

Para facilitar la administración del control de acceso de las claves multirregionales, el permiso para replicar una clave multirregional ([kms: ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)) es independiente del permiso estándar para crear claves ([kms](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html):). CreateKey Además, AWS KMS admite varias condiciones políticas para las claves multirregionales`kms:MultiRegion`, como permitir o denegar el permiso para crear, usar o administrar claves multirregionales y `kms:ReplicaRegion` restringir las regiones en las que se puede replicar una clave multiregional. Para obtener más información, consulte [Control del acceso a claves de varias regiones](multi-region-keys-auth.md).

# Funcionamiento de las claves de varias regiones
<a name="mrk-how-it-works"></a>

Se empieza por crear una [clave principal multirregional](multi-region-keys-overview.md#mrk-primary-key) simétrica o asimétrica en una Región de AWS que AWS KMS sea compatible, como US East (Virginia del Norte). Usted decide si una clave es de una región o de varias regiones únicamente cuando la crea; no puede cambiar esta propiedad más adelante. Al igual que con cualquier clave KMS, debe establecer una política de clave para la clave de varias regiones, y se pueden crear concesiones y agregar alias y etiquetas para la categorización y autorización. (Estas son [propiedades independientes](multi-region-keys-overview.md#mrk-sync-properties) que no están compartidas ni sincronizadas con otras claves). Puede utilizar la clave principal de varias regiones en operaciones criptográficas para el cifrado o la firma.

Puede [crear una clave principal multirregional](create-primary-keys.md) en la AWS KMS consola o mediante la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API con el `MultiRegion` parámetro establecido en. `true` Observe que las claves de varias regiones tienen un ID de clave distintivo que comienza con `mrk-`. Puede usar el `mrk-` prefijo para MRKs identificarse mediante programación.

![\[Multi-Region primary key icon with red key symbol and sample key ID format.\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/multi-region-primary-key.png)


Si lo desea, puede [replicar](multi-region-keys-overview.md#replicate) la clave principal multirregional en una o más unidades diferentes Regiones de AWS de la misma [AWS partición](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html), como Europa (Irlanda). Al hacerlo, AWS KMS crea una [clave de réplica](multi-region-keys-overview.md#mrk-replica-key) en la región especificada con el mismo ID de clave y otras [propiedades compartidas](multi-region-keys-overview.md#mrk-sync-properties) que la clave principal. El resultado son dos claves de varias regiones *relacionadas* (una clave principal y una clave de réplica) que se pueden utilizar de forma intercambiable.

Puede [crear una clave de réplica multirregional](multi-region-keys-replicate.md) en la AWS KMS consola o mediante la [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)API. 

![\[Diagram showing multi-Region primary and replica keys in US East and EU regions with key IDs.\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/multi-region-replica-key.png)


El resultado de la [clave de réplica de varias regiones](multi-region-keys-overview.md#mrk-replica-key) es una clave KMS completamente funcional con las mismas [propiedades compartidas](multi-region-keys-overview.md#mrk-sync-properties) que la clave principal. En todos los demás aspectos, es una clave KMS independiente con su propia descripción, política de clave, concesiones, alias y etiquetas. La habilitación o deshabilitación de una clave de varias regiones no tiene ningún efecto en las claves de varias regiones relacionadas. Puede utilizar las claves principal y de réplica de forma independiente en operaciones criptográficas o coordinar su uso. Por ejemplo, puede cifrar datos con la clave principal en la región EE .UU. Este (Norte de Virginia), mover los datos a la región Europa (Irlanda) y usar la clave de réplica para descifrar los datos. 

Las claves de varias regiones relacionadas tienen el mismo ID de clave. Su clave ARNs (Amazon Resource Names) solo difiere en el campo Región. Por ejemplo, la clave principal multirregional y las claves de réplica pueden tener la siguiente clave ARNs de ejemplo. El ID de clave, que es el último elemento de la clave ARN, es idéntico. Ambas claves tienen el ID de clave distintivo de las claves de varias regiones, que comienza con **mrk-**.

```
Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
```

Se requiere tener el mismo ID de clave para lograr interoperabilidad. Al cifrar, AWS KMS vincula el identificador de clave de la clave KMS al texto cifrado para que el texto cifrado solo se pueda descifrar con esa clave de KMS o con una clave de KMS con el mismo identificador de clave. Esta característica también facilita el reconocimiento de las claves de varias regiones relacionadas y facilita su uso de forma intercambiable. Por ejemplo, cuando se utilizan en una aplicación, puede hacer referencia a las claves de varias regiones relacionadas por su ID de clave compartida. A continuación, si es necesario, especifique la Región o ARN para distinguirlos. 

A medida que cambien sus necesidades de datos, puede replicar la clave principal Regiones de AWS en otra de la misma partición, como EE. UU. oeste (Oregón) y Asia Pacífico (Sídney). El resultado son cuatro claves multirregionales *relacionadas* con el mismo material de clave y clave IDs, como se muestra en el siguiente diagrama. Administra las claves de forma independiente. En el caso de las claves multirregionales con material clave importado, usted es responsable de importar el material clave a cada clave relacionada de forma individual. Puede usarlas de forma independiente o coordinada. Por ejemplo, puede cifrar datos con la clave de réplica en Asia-Pacífico (Sídney), mover los datos a EE. UU. Oeste (Oregón) y descifrarlos con la clave de réplica en EE. UU. Oeste (Oregón). 

![\[Las claves principal y de réplica en una clave de varias regiones\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/multi-region-keys.png)


Otras consideraciones para las claves de varias regiones son las siguientes.

*Sincronización de propiedades compartidas*[: si una [propiedad compartida](multi-region-keys-overview.md#mrk-sync-properties) de las claves multirregionales cambia, sincroniza AWS KMS automáticamente el cambio de la [clave principal a todas sus claves](multi-region-keys-overview.md#mrk-primary-key) de réplica.](multi-region-keys-overview.md#mrk-replica-key) No puede solicitar ni forzar la sincronización de las propiedades compartidas. AWS KMS detecta y sincroniza todos los cambios por usted. Sin embargo, puede auditar la sincronización utilizando el [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md)evento en los CloudTrail registros.

Por ejemplo, si habilitas la rotación automática de claves en una clave principal simétrica multirregional con `AWS_KMS` origen, AWS KMS copia esa configuración en todas sus réplicas de claves. Cuando se gira el material clave, la rotación se sincroniza entre todas las claves de varias regiones relacionadas, de modo que sigan teniendo el mismo material clave actual y acceso a todas las versiones anteriores del material clave. Si crea una nueva clave de réplica, tiene el mismo material de clave actual de todas las claves de varias regiones relacionadas y acceso a todas las versiones anteriores del material claves. Para obtener más información, consulte [Rotating multi-Region keys](rotate-keys.md#multi-region-rotate).

*Cambio de la clave principal*: cada conjunto de claves de varias regiones debe tener exactamente una clave principal. La [clave principal](multi-region-keys-overview.md#mrk-primary-key) es la única clave que se puede replicar. También es el origen de las propiedades compartidas de sus claves de réplica. Sin embargo, puede cambiar la clave principal a una réplica y promover una de las claves de réplica a primaria. Puede hacerlo para eliminar una clave principal de varias regiones de una región determinada o ubicar la clave principal en una región más cercana a los administradores del proyecto. Para obtener más información, consulte [Cambio de la clave principal en un conjunto de claves de varias regiones](multi-region-update.md).

*Eliminar claves multirregionales*: al igual que todas las claves de KMS, debe programar la eliminación de claves multirregionales antes de eliminarlas. AWS KMS Mientras la clave está pendiente de eliminación, no puede utilizarla en ninguna operación criptográfica. Sin embargo, no AWS KMS eliminará una clave principal multirregional hasta que se eliminen todas sus claves de réplica. Para obtener información, consulte [Deleting multi-Region keys](deleting-keys.md#deleting-mrks).

# Importación de material clave para AWS KMS llaves
<a name="importing-keys"></a>

Puede crear una AWS KMS keys (clave KMS) con el material clave que suministre. 

Una clave KMS es una representación lógica de una clave de datos. Los metadatos de una clave KMS incluyen el ID del material de claves que se utiliza para llevar a cabo operaciones criptográficas. Al [crear una clave de KMS](create-keys.md), de forma predeterminada, se AWS KMS genera el material clave para esa clave de KMS. Pero puede crear una clave KMS sin material de claves y, a continuación, importar su propio material de claves en esa clave KMS, una característica que se conoce a menudo como "bring your own key" (BYOK) ("utilice su propia clave").

![\[Icono de clave que resalta el material de claves que representa.\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/import-key.png)


**nota**  
AWS KMS no admite el descifrado de ningún AWS KMS texto cifrado mediante una clave KMS de cifrado simétrico fuera de ella AWS KMS, incluso si el texto cifrado se cifró con una clave KMS con material clave importado. AWS KMS no publica el formato de texto cifrado que requiere esta tarea y el formato puede cambiar sin previo aviso.

Cuando utiliza material clave importado, sigue siendo responsable del material clave y permite AWS KMS utilizar una copia del mismo. Puede hacerlo por uno o varios de los motivos siguientes:
+ Para demostrar que ha generado el material de claves con un origen de entropía que cumple sus requisitos. 
+ Para utilizar el material clave de su propia infraestructura con AWS los servicios y AWS KMS para gestionar el ciclo de vida de ese material clave interno AWS.
+ Para utilizar claves existentes y bien establecidas, como las claves para la firma de código AWS KMS, la firma de certificados de PKI y las aplicaciones con certificados anclados
+ Establecer una fecha de caducidad para el material clave AWS y [eliminarlo manualmente](importing-keys-delete-key-material.md), pero también hacer que vuelva a estar disponible en el futuro. Por el contrario, [programar la eliminación de claves](deleting-keys.md#deleting-keys-how-it-works) requiere un periodo de espera de 7 a 30 días, transcurrido el cual no puede recuperar la clave KMS eliminada.
+ Ser propietario de la copia original del material clave y mantenerla fuera de ella AWS para garantizar una mayor durabilidad y recuperación ante desastres durante todo el ciclo de vida del material clave.
+ En el caso de las claves asimétricas y las claves HMAC, la importación crea claves compatibles e interoperables que funcionan dentro y fuera de ellas. AWS

**Tipos de claves KMS compatibles**

AWS KMS admite material clave importado para los siguientes tipos de claves KMS. No puede importar material de claves a una clave de KMS de [almacenes de claves personalizados](key-store-overview.md#custom-key-store-overview).
+ [Claves de KMS de cifrado simétrico](symm-asymm-choose-key-spec.md#symmetric-cmks)
+ [Claves de KMS asimétricas (excepto claves de ML-DSA)](symmetric-asymmetric.md)
+ [Claves KMS HMAC](hmac.md)
+ [Claves de varias regiones](multi-region-keys-overview.md) de todos los tipos compatibles.

**Regiones**

El material clave importado es compatible con todos Regiones de AWS los AWS KMS soportes.

En las regiones de China, los requisitos de material de claves en relación con claves KMS de cifrado simétrico difieren de los de otras regiones. Para obtener más información, consulte [Paso 3: Cifrar el material de claves](importing-keys-encrypt-key-material.md).

**Más información**
+ Para crear claves KMS con material de claves importado, consulte [Creación de una clave KMS con material de claves importado](importing-keys-conceptual.md).
+ Para crear una alarma de que le notifique cuando el material de claves importado en una clave KMS se acerca a su fecha de caducidad, consulte [Cree una CloudWatch alarma de caducidad del material clave importado](imported-key-material-expiration-alarm.md).
+ Para volver a importar el material de claves en una clave KMS, consulte [Volver a importar material de claves](importing-keys-import-key-material.md#reimport-key-material).
+ Para importar material de claves nuevo a una clave de KMS para su rotación bajo demanda, consulte [Importación de nuevo material de claves](importing-keys-import-key-material.md#import-new-key-material) y [Realización de la rotación de claves bajo demanda](rotating-keys-on-demand.md). 
+ Para identificar y ver claves KMS con material de claves importado, consulte [Identificación de claves KMS con material de claves importado](identify-key-types.md#identify-imported-keys).
+ Para obtener información acerca de las consideraciones especiales a la hora de eliminar claves KMS con material de claves importado, consulte [Deleting KMS keys with imported key material](deleting-keys.md#import-delete-key).

# Consideraciones especiales en relación con el material de claves importado
<a name="importing-keys-considerations"></a>

Antes de decidir importar material clave a AWS KMS, debe comprender las siguientes características del material clave importado.

**Generar el material de clave**  
Es su responsabilidad generar el material de claves con una fuente de aleatoriedad que cumpla sus requisitos de seguridad.

**Usted es responsable de la disponibilidad y durabilidad**  
AWS KMS está diseñado para mantener una alta disponibilidad del material clave importado. Sin embargo, AWS KMS no mantiene la durabilidad del material clave importado al mismo nivel que el material clave que se AWS KMS genera. Para obtener más información, consulte [Protección del material de claves importado](import-keys-protect.md).

**Puede eliminar el material de clave**  
Puede [eliminar el material de claves importado](importing-keys-delete-key-material.md) de una clave de KMS, al inutilizar inmediatamente la clave de KMS. Además, al importar material de claves en una clave de KMS, puede determinar si la clave vence y [establecer su fecha de vencimiento](importing-keys-import-key-material.md#importing-keys-expiration). Cuando llegue el momento de caducidad, AWS KMS [elimina el material clave.](importing-keys-delete-key-material.md) Sin material de claves, la clave KMS no puede utilizarse en ninguna operación criptográfica. Para restaurar la clave, debe volver a importar el mismo material en la clave. 

**No puede cambiar el material de la clave para las claves asimétricas y HMAC**  
Al importar el material de claves en una clave de KMS, la clave de KMS se asocia de forma permanente a dicho material de claves. Puede [volver a importar el mismo material de claves](importing-keys-import-key-material.md#reimport-key-material), pero no puede importar material de claves diferente en esa clave KMS. Además, no puede [habilitar la rotación automática de claves](rotate-keys.md) para una clave KMS con material de claves importado. Sin embargo, puede [rotar manualmente una clave KMS](rotate-keys-manually.md) con material de claves importado. 

**Puede realizar la rotación bajo demanda en claves de cifrado simétricas**  
Las claves de cifrado simétricas con material clave importado admiten la rotación bajo demanda. Puede [importar varios materiales de claves](importing-keys-import-key-material.md#import-new-key-material) a estas claves y utilizar la [rotación bajo demanda](rotating-keys-on-demand.md) para actualizar el material de claves actual. El material de claves actual se utiliza tanto para el cifrado como para el descifrado, pero otros materiales de claves (no actuales) solo se pueden utilizar para el descifrado. 

**No puede cambiar el origen del material de claves**  
Las claves KMS diseñadas para el material de claves importado tienen un valor de [origen](create-keys.md#key-origin) de `EXTERNAL` que no se puede cambiar. No puede convertir una clave KMS para material clave importado para utilizar material clave de ninguna otra fuente, ni siquiera. AWS KMS Del mismo modo, no puede convertir una clave KMS con material AWS KMS clave en una diseñada para material clave importado.

**No puede exportar el material de claves**  
No puede exportar ningún material clave que haya importado. AWS KMS no puede devolverle el material clave importado de ninguna forma. Debe conservar una copia del material clave importado fuera de AWS, preferiblemente, en un administrador de claves, como un módulo de seguridad de hardware (HSM), de modo que pueda volver a importar el material clave si lo elimina o si caduca.

**Puede crear claves de varias regiones con material de claves importado**  
Las múltiples regiones con material de claves importado tienen las características de las claves de KMS con material de claves importado y pueden interoperar entre Regiones de AWS. Para crear una clave de varias regiones con material de claves importado, debe importar el mismo material de claves en la clave de KMS principal y en cada clave de réplica. Para obtener más información sobre la importación de materiales clave para claves multirregionales, consulte. [Importación de nuevo material de claves](importing-keys-import-key-material.md#import-new-key-material)

**Las claves asimétricas y las claves HMAC son portátiles e interoperables**  
Puede utilizar el material de clave asimétrico y el material de clave HMAC de forma externa AWS para interoperar con AWS KMS llaves del mismo material de clave importado.   
A diferencia del texto cifrado AWS KMS simétrico, que está inextricablemente vinculado a la clave KMS utilizada en el algoritmo, AWS KMS utiliza formatos HMAC estándar y asimétricos para el cifrado, la firma y la generación de MAC. Como resultado, las claves son portátiles y admiten los escenarios tradicionales de claves de depósito de garantía.  
Si su clave KMS tiene material clave importado, puede usar el material clave importado fuera de él para realizar las siguientes operaciones. AWS   
+ Claves HMAC: puede verificar una etiqueta HMAC generada por la clave HMAC de KMS con material de claves importado. También puede usar la clave HMAC KMS con el material clave importado para verificar una etiqueta HMAC generada por el material clave externo. AWS
+ Claves de cifrado asimétricas: puede utilizar su clave de cifrado asimétrica privada AWS para descifrar un texto cifrado mediante la clave KMS con la clave pública correspondiente. También puedes usar tu clave KMS asimétrica para descifrar un texto cifrado asimétrico que se haya generado fuera de. AWS
+ Claves de firma asimétrica: puedes usar tu clave KMS de firma asimétrica con material clave importado para verificar las firmas digitales generadas por tu clave de firma privada fuera de. AWS También puedes usar tu clave de firma pública asimétrica fuera de ella AWS para verificar las firmas generadas por tu clave KMS asimétrica.
+ Claves de acuerdo de clave asimétrica: puede usar la clave KMS de acuerdo de clave asimétrica con material de claves importado para obtener secretos compartidos con un homólogo fuera de AWS.
Si importa el mismo material de claves en claves de KMS diferentes de la misma Región de AWS, esas claves son también interoperables. Para crear claves KMS interoperables en diferentes regiones Regiones de AWS, cree una clave multirregional con material clave importado.  

**Claves privadas RSA**
+ AWS KMS requiere que las claves privadas de RSA importadas tengan factores primos que cumplan con la prueba descrita en la sección A. 1.3 de la [FIPS 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf). Es posible que otros programas o dispositivos utilicen algoritmos diferentes para validar estos factores principales de las claves privadas de RSA. En raras ocasiones, es posible que las claves validadas con otros algoritmos no sean aceptadas por AWS KMS.

**Las claves de cifrado simétricas no son portátiles ni interoperables**  
Los textos cifrados simétricos que se AWS KMS producen no son portátiles ni interoperables. AWS KMS no publica el formato de texto cifrado simétrico que requiere la portabilidad y el formato puede cambiar sin previo aviso.   
+ AWS KMS no puede descifrar los textos cifrados simétricos que no estén cifrados AWS, incluso si utiliza material clave importado. 
+ AWS KMS no admite el descifrado de ningún texto cifrado AWS KMS simétrico que no sea AWS KMS, incluso si el texto cifrado se ha cifrado con una clave KMS con material clave importado.
+ Las claves de KMS con el mismo material de claves importado no son interoperables. El texto cifrado simétrico que AWS KMS genera el texto cifrado específico de cada clave KMS. Este formato de texto cifrado garantiza que solo la clave de KMS que cifró los datos pueda descifrarlos. 
Además, no puede utilizar ninguna AWS herramienta, como el [cifrado del lado del cliente [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)o Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html), para descifrar AWS KMS textos cifrados simétricos.  
Por lo tanto, no puede utilizar claves con material clave importado para respaldar acuerdos de custodia de claves, en los que un tercero autorizado con acceso condicional al material clave puede descifrar determinados textos cifrados fuera de él. AWS KMS Para admitir el depósito de claves, utilice [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/java-example-code.html#java-example-multiple-providers) para cifrar su mensaje bajo una clave que es independiente de AWS KMS.

# Protección del material de claves importado
<a name="import-keys-protect"></a>

El material de claves que importa está protegido en tránsito y en reposo. Antes de importar el material clave, cifra (o «envuelve») el material clave con la clave pública de un par de claves RSA generado en módulos de seguridad de AWS KMS hardware (HSMs) validados según el programa de validación de módulos [criptográficos FIPS 140-3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884). Puede cifrar el material de claves directamente con la clave pública que envuelve o cifrar el material de claves con una clave simétrica AES y, a continuación, cifrar la clave simétrica AES con la clave pública RSA.

Al recibirlo, AWS KMS descifra el material de claves con la clave privada correspondiente en un AWS KMS HSM y lo vuelve a cifrar con una clave simétrica AES que solo existe en la memoria volátil del HSM. El material de claves nunca sale del HSM en texto sin formato. Solo se descifra mientras está en uso y solo dentro. AWS KMS HSMs

El uso de la clave de KMS con el material de claves importado viene determinado únicamente por las [políticas de control de acceso](control-access.md) que se establezcan en la clave de KMS. Además, puede usar [alias](kms-alias.md) y [etiquetas](tagging-keys.md) para identificar y [controlar el acceso](abac.md) a la clave de KMS. Puede [habilitar y deshabilitar](enabling-keys.md) la clave, [verla](viewing-keys.md) y [supervisarla](monitoring-overview.md) mediante servicios como AWS CloudTrail. 

Sin embargo, usted conserva la única copia de seguridad de su material de claves. A cambio de esta medida de control adicional, usted es responsable de la durabilidad y la disponibilidad general del material clave importado. AWS KMS está diseñado para mantener una alta disponibilidad del material clave importado. Sin embargo, AWS KMS no mantiene la durabilidad del material clave importado al mismo nivel que el material clave que se AWS KMS genera.

Esta diferencia relativa a la durabilidad es importante en los casos siguientes:
+ Al [establecer una fecha de caducidad](importing-keys-import-key-material.md#importing-keys-expiration) para el material clave importado, AWS KMS elimina el material clave una vez que caduque. AWS KMS no elimina la clave KMS ni sus metadatos. Puedes [crear una CloudWatch alarma de Amazon](imported-key-material-expiration-alarm.md) que te notifique cuando el material clave importado se acerca a su fecha de caducidad.

  No puede eliminar el material clave que se AWS KMS genera para una clave de KMS ni puede configurar el material AWS KMS clave para que caduque.
+ Al [eliminar manualmente el material clave importado](importing-keys-delete-key-material.md), AWS KMS elimina el material clave pero no elimina la clave KMS ni sus metadatos. Por el contrario, [programar la eliminación de claves](deleting-keys.md#deleting-keys-how-it-works) requiere un período de espera de 7 a 30 días, tras el cual se eliminan AWS KMS permanentemente la clave de KMS, sus metadatos y su material clave.
+ En el improbable caso de que se produzcan algunos fallos en toda la región AWS KMS (por ejemplo, una pérdida total de energía), AWS KMS no podrá restaurar automáticamente el material clave importado. Sin embargo, AWS KMS puede restaurar la clave KMS y sus metadatos.

*Debe* conservar una copia del material clave importado fuera del AWS sistema que controle. Se recomienda almacenar una copia exportable del material de claves importado en un sistema de administración de claves, como un HSM. Como práctica recomendada, debe almacenar una referencia al ARN de la clave de KMS y al ID del material de claves generado por AWS KMS junto con la copia exportable del material de claves. Si el material de claves importado se elimina o vence, la clave de KMS asociada quedará inutilizable hasta que vuelva a importar el mismo material de claves. Si el material de claves importado se pierde de forma permanente, cualquier texto cifrado con la clave de KMS será irrecuperable. 

**importante**  
Las claves de cifrado simétricas pueden tener varios materiales clave asociados. La clave KMS completa queda inutilizable en cuanto se elimina uno de esos materiales clave o si alguno de esos materiales clave caduca (a menos que el material clave eliminado o que caduque). `PENDING_ROTATION` `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` Debe volver a importar cualquier material de claves caducado o eliminado asociado a dicha clave antes de que la clave pueda utilizarse para operaciones criptográficas. 

# Claves KMS en un almacén de claves de CloudHSM
<a name="manage-cmk-keystore"></a>

Puede crear, ver, administrar, usar y programar su eliminación AWS KMS keys en un almacén de AWS CloudHSM claves. Los procedimientos son muy similares a los que usaría para otras claves de KMS. La única diferencia es que se especifica un almacén de AWS CloudHSM claves al crear la clave KMS. A continuación, AWS KMS crea material de claves no extraíble para la clave de KMS del AWS CloudHSM clúster que está asociado al almacén de AWS CloudHSM claves. Cuando se utiliza una clave KMS en un almacén de AWS CloudHSM claves, las [operaciones criptográficas](#use-cmk-keystore) se realizan HSMs en el clúster.

**Características admitidas**  
Además de los procedimientos descritos en esta sección, puede hacer lo siguiente con las claves KMS de un AWS CloudHSM almacén de claves:  
+ Utilice políticas de claves, políticas de IAM y concesiones para [autorizar el acceso](control-access.md) a las claves de KMS.
+ [Habilite y deshabilite](enabling-keys.md) las claves de KMS. 
+ Asigne [etiquetas](tagging-keys.md), cree [alias](kms-alias.md) y utilice el control de acceso basado en atributos (ABAC) para autorizar el acceso a las claves de KMS.
+ Utilice las claves KMS para realizar las siguientes operaciones criptográficas:
  + [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
  + [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
  + [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)
  + [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)
  + [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)

  Las operaciones que generan pares de claves de datos asimétricos *no [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)*se admiten en los almacenes de claves personalizados. [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)
+ Utilice las claves de KMS con [servicios de AWS que se integran con AWS KMS](service-integration.md) y que admiten las claves administradas por el cliente.
+ Realice un seguimiento del uso de sus claves de KMS en [AWS CloudTrail los registros](logging-using-cloudtrail.md) y en las [herramientas CloudWatch de supervisión de Amazon](monitoring-overview.md).

**Características no admitidas**  
+ AWS CloudHSM Los almacenes de claves solo admiten claves KMS de cifrado simétrico. No puede crear claves HMAC KMS, claves KMS asimétricas ni pares de claves de datos asimétricas en un almacén de claves. AWS CloudHSM 
+ No puede [importar material clave](importing-keys.md) a una clave KMS de un almacén de claves. AWS CloudHSM AWS KMS genera el material clave para la clave KMS del AWS CloudHSM clúster.
+ No puede habilitar ni deshabilitar la [rotación automática](rotate-keys.md) del material clave de una clave KMS en un almacén de AWS CloudHSM claves.

**Uso de claves KMS en un almacén de AWS CloudHSM claves**  
Cuando utilice la clave de KMS en una solicitud, identifique la clave de KMS por su ID o alias; no es necesario que especifique el almacén de AWS CloudHSM claves o el AWS CloudHSM clúster. La respuesta incluye los mismos campos que se devuelven para cualquier clave KMS de cifrado simétrica.  
Sin embargo, cuando se utiliza una clave KMS en un almacén de AWS CloudHSM claves, la operación criptográfica se realiza íntegramente dentro del AWS CloudHSM clúster asociado al almacén de AWS CloudHSM claves. La operación utiliza el material de claves del clúster asociado con la clave KMS elegida.  
Para ello, se deben cumplir las siguientes condiciones.  
+ El [estado de clave](key-state.md) de la clave KMS debe ser `Enabled`. Para encontrar el estado de la clave, utilice el campo **Estado** de la [AWS KMS consola](finding-keys.md#viewing-console-details) o el `KeyState` campo de la [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)respuesta.
+ El almacén de AWS CloudHSM claves debe estar conectado a su AWS CloudHSM clúster. Su **estado** en la [AWS KMS consola](view-keystore.md) o `ConnectionState` en la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)respuesta debe ser`CONNECTED`.
+ El AWS CloudHSM clúster asociado al almacén de claves personalizado debe contener al menos un HSM activo. Para encontrar el número de activos HSMs en el clúster, utilice la [AWS KMS consola](view-keystore.md), la AWS CloudHSM consola o la [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operación.
+ El AWS CloudHSM clúster debe contener el material clave de la clave KMS. Si se ha eliminado el material de claves del clúster, o se ha creado un HSM a partir de una copia de seguridad que no incluía el material de claves, la operación criptográfica dará error.
Si no se cumplen estas condiciones, se produce un error en la operación criptográfica y se AWS KMS devuelve una `KMSInvalidStateException` excepción. Por lo general, solo tiene que [volver a conectar el almacén de AWS CloudHSM claves](connect-keystore.md). Para obtener ayuda adicional, consulte [¿Cómo arreglar una clave KMS que produce error?](fix-keystore.md#fix-cmk-failed).  
Cuando utilice las claves de KMS en un almacén de AWS CloudHSM claves, tenga en cuenta que las claves de KMS de cada almacén de AWS CloudHSM claves comparten una [cuota de solicitud de almacén de claves personalizada](requests-per-second.md#rps-key-stores) para las operaciones criptográficas. Si superas la cuota, AWS KMS devuelve un`ThrottlingException`. Si el AWS CloudHSM clúster asociado al almacén de AWS CloudHSM claves procesa numerosos comandos, incluidos los que no están relacionados con el almacén de AWS CloudHSM claves, es posible que obtenga `ThrottlingException` a una velocidad aún menor. Si recibe una excepción `ThrottlingException` para cualquier solicitud, baje la velocidad de solicitud e intente ejecutar los comandos de nuevo. Para obtener más información sobre la cuota de solicitudes del almacén de claves personalizado, consulte [Cuotas de solicitudes del almacén de claves personalizado](requests-per-second.md#rps-key-stores).

**Más información**  
+ Para obtener más información sobre los almacenes de AWS CloudHSM claves, consulte[AWS CloudHSM tiendas clave](keystore-cloudhsm.md).
+ Para crear claves de KMS en un almacén de AWS CloudHSM claves, consulte[Crear una clave KMS en un almacén de AWS CloudHSM claves](create-cmk-keystore.md).
+ Para identificar y ver las claves de KMS en un almacén de AWS CloudHSM claves, consulte[Identifique las claves de KMS en los almacenes de AWS CloudHSM claves](identify-key-types.md#identify-key-hsm-keystore).
+ Para encontrar las claves y el material clave de KMS en un almacén de AWS CloudHSM claves, consulte[Encuentre las claves y el material clave de KMS en un almacén de AWS CloudHSM claves](find-key-material.md).
+ Para obtener más información sobre las consideraciones especiales a la hora de eliminar claves de KMS de un almacén de AWS CloudHSM claves, consulte [Eliminar claves de KMS de un almacén de AWS CloudHSM claves](deleting-keys.md#delete-cmk-keystore).

# Claves KMS en un almacén de claves externo
<a name="keystore-external-key-manage"></a>

Para crear, ver, administrar, usar y programar la eliminación de las claves de KMS en un almacén de claves externo, utilice procedimientos que son muy similares a los que usa para otras claves de KMS. Sin embargo, cuando crea una clave de KMS en un almacén de claves externo, especifica un [almacén de claves externo](keystore-external.md#concept-external-key-store) y una [clave externa](keystore-external.md#concept-external-key). Cuando usa una clave de KMS en un almacén de claves externo, el administrador de claves externo realiza [las operaciones de cifrado y descifrado](keystore-external.md#xks-how-it-works) mediante la clave externa especificada. 

AWS KMS no puede crear, ver, actualizar ni eliminar ninguna clave criptográfica en su administrador de claves externo. AWS KMS nunca accede directamente a su administrador de claves externo ni a ninguna clave externa. Todas las solicitudes de operaciones criptográficas están mediadas por su [proxy del almacén de claves externo](keystore-external.md#concept-xks-proxy). Para usar una clave de KMS en un almacén de claves externo, el almacén de claves externo que aloja la clave de KMS debe estar [conectado](xks-connect-disconnect.md) a su proxy del almacén de claves externo.

**Características admitidas**  
Además de los procedimientos tratados en esta sección, puede hacer lo siguiente con las claves de KMS en un almacén de claves personalizado:   
+ Utilice [políticas de claves](key-policies.md), [políticas de IAM](iam-policies.md) y [concesiones](grants.md) para controlar el acceso a las claves de KMS.
+ [Habilite y deshabilite](enabling-keys.md) las claves de KMS. Estas acciones no afectan a la clave externa del administrador de claves externo.
+ Asigne [etiquetas](tagging-keys.md), cree [alias](kms-alias.md) y utilice el [control de acceso basado en atributos](abac.md) (ABAC) para autorizar el acceso a las claves de KMS.
+ Utilice las claves KMS para realizar las siguientes operaciones criptográficas:
  + [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
  + [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
  + [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)
  + [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)
  + [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)

  Las operaciones que generan pares de claves de datos asimétricos *no* se admiten en los almacenes de claves personalizados. [GenerateDataKeyPair[GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)
+ Utilice las claves de KMS con [Servicios de AWS que se integran con AWS KMS](https://aws.amazon.com/kms/features/#AWS_Service_Integration) y que admiten las [claves administradas por el cliente](concepts.md#customer-mgn-key).

**Características no admitidas**  
+ Los almacenes de claves externos solo admiten [claves de KMS de cifrado simétrico](symm-asymm-choose-key-spec.md#symmetric-cmks). No puede crear claves de KMS HMAC ni claves de KMS asimétricas en un almacén de claves externo.
+ [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)y no [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)se admiten en las claves de KMS de un almacén de claves externo.
+ No puede usar una [AWS::KMS::Key CloudFormation plantilla](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html) para crear un almacén de claves externo ni una clave KMS en un almacén de claves externo.
+ [Las claves multirregionales](multi-region-keys-overview.md) no se admiten en un almacén de claves externo.
+ Las claves de KMS con [material de clave importado](importing-keys.md) no se admiten en un almacén de claves externo.
+ [La rotación automática de claves](rotate-keys.md) no es compatible con las claves de KMS en un almacén de claves externo.

**Uso de claves KMS en un almacén de claves externo**  
Cuando utilice su clave de KMS en una solicitud, identifique la clave de KMS por su [ID de clave, ARN de clave, alias o ARN de alias](concepts.md#key-id). No tiene que especificar el almacén de claves externo. La respuesta incluye los mismos campos que se devuelven para cualquier clave KMS de cifrado simétrica. Sin embargo, cuando utiliza una clave de KMS en un almacén de claves externo, el administrador de claves externo realiza las operaciones de cifrado y descifrado mediante la clave externa especificada.  
[Para garantizar que el texto cifrado con una clave KMS en un almacén de claves externo sea al menos tan seguro como cualquier texto cifrado con una clave KMS estándar, AWS KMS utiliza el doble cifrado.](keystore-external.md#concept-double-encryption) Los datos se cifran primero con material clave. AWS KMS AWS KMS A continuación, su administrador de claves externo lo cifra utilizando la clave externa de la clave de KMS. Para descifrar el texto cifrado con doble cifrado, el administrador de claves externo descifra primero el texto cifrado mediante la clave externa de la clave de KMS. Luego se descifra AWS KMS utilizando el material AWS KMS clave para la clave KMS.  
Para ello, se deben cumplir las siguientes condiciones.  
+ El [estado de clave](key-state.md) de la clave KMS debe ser `Enabled`. Para encontrar el estado de la clave, consulte el campo **Estado** de las claves administradas por el cliente, la [AWS KMS consola](finding-keys.md#viewing-console-details) o el `KeyState` campo de la [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)respuesta.
+ El almacén de claves externo que aloja la clave de KMS debe estar conectado a su [proxy del almacén de claves externo](keystore-external.md#concept-xks-proxy), es decir, el [estado de conexión](xks-connect-disconnect.md#xks-connection-state) del almacén de claves externo debe ser `CONNECTED`. 

  Puede ver el estado de la conexión en la página de **almacenes de claves externos** de la AWS KMS consola o en la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)respuesta. El estado de la conexión del almacén de claves externo también se muestra en la página de detalles de la clave de KMS en la consola de AWS KMS . En la página de detalles, elija la pestaña **Cryptographic configuration** (Configuración criptográfica) y consulte el campo **Connection state** (Estado de la conexión) en la sección **Custom key store** (Almacén de claves personalizado).

  Si el estado de la conexión es `DISCONNECTED`, primero debe conectarlo. Si el estado de la conexión es `FAILED`, debe resolver el problema, desconectar el almacén de claves externo y, a continuación, conectarlo. Para obtener instrucciones, consulte [Conexión y desconexión de almacenes de claves externos](xks-connect-disconnect.md).
+ El proxy del almacén de claves externo debe poder encontrar la clave externa. 
+ La clave externa debe estar habilitada y debe realizar el cifrado y el descifrado. 

  El estado de la clave externa es independiente y no se ve afectado por los cambios en el [estado de la clave de KMS](key-state.md), incluida la habilitación y deshabilitación de la clave de KMS. Del mismo modo, deshabilitar o eliminar la clave externa no cambia el estado de la clave de KMS, pero las operaciones criptográficas que utilicen la clave de KMS asociada fallarán.
Si no se cumplen estas condiciones, se produce un error en la operación criptográfica y se AWS KMS devuelve una `KMSInvalidStateException` excepción. Puede que tenga que [volver a conectar el almacén de claves externo](xks-connect-disconnect.md) o utilizar las herramientas del administrador de claves externo para reconfigurar o reparar la clave externa. Para obtener ayuda adicional, consulte [Solución de problemas de almacenes de claves externos](xks-troubleshooting.md).  
Cuando utilice claves de KMS en un almacén de claves externo, tenga en cuenta que las claves de KMS de cada almacén de claves externo comparten una [cuota de solicitudes del almacén de claves personalizado](requests-per-second.md#rps-key-stores) para operaciones criptográficas. Si supera la cuota, AWS KMS devuelve un`ThrottlingException`. Para obtener más información sobre la cuota de solicitudes del almacén de claves personalizado, consulte [Cuotas de solicitudes del almacén de claves personalizado](requests-per-second.md#rps-key-stores).

**Más información**  
+ Para obtener más información sobre los almacenes de claves externos, consulte [Almacenes de claves externos](keystore-external.md).
+ Para obtener más información sobre el material de claves de los almacenes de claves externos, consulte [Clave externa](keystore-external.md#concept-external-key).
+ Para crear claves KMS en un almacén de claves externo, consulte [Creación de una clave KMS en un almacén de claves externo](create-xks-keys.md).
+ Para identificar y ver las claves KMS de un almacén de claves externo, consulte [Identificación de claves KMS en almacenes de claves externos](identify-key-types.md#view-xks-key).
+ Para conocer las consideraciones especiales a la hora de eliminar claves KMS de un almacén de claves externo, consulte [Eliminación de claves KMS de un almacén de claves externo](deleting-keys.md#delete-xks-key).