Creación de claves de KMS de cifrado simétricas - AWS Key Management Service

Creación de claves de KMS de cifrado simétricas

En este tema se explica cómo crear la clave KMS básica, una clave KMS de cifrado simétrica para una única región con material de claves de AWS KMS. Puede utilizar esta clave KMS para proteger sus recursos en un Servicio de AWS.

Puede crear claves KMS de cifrado asimétricas en la consola de AWS KMS, mediante la API CreateKey o mediante la plantilla de AWS CloudFormationAWS::KMS::Key.

La especificación de clave predeterminada, SYMMETRIC_DEFAULT, es la especificación de claves para las claves KMS de cifrado simétricas. Cuando selecciona el tipo de clave Symmetric (Simétrica) y Encrypt and decrypt (Cifrar y descifrar) en la consola de AWS KMS, esta selecciona la especificación de clave SYMMETRIC_DEFAULT. En la operación CreateKey, si no especifica un valor KeySpec, se selecciona SYMMETRIC_DEFAULT. Si no tiene un motivo para utilizar una especificación de clave diferente, SYMMETRIC_DEFAULT es una buena opción.

Para obtener información acerca de las cuotas que se aplican a las claves KMS, consulte Cuotas.

Puede utilizar la AWS Management Console para crear AWS KMS keys (claves KMS).

importante

No incluya información confidencial en el alias, la descripción ni las etiquetas. Estos campos pueden aparecer en texto sin formato en los registros de CloudTrail y en otros resultados.

  1. Inicie sesión en la AWS Management Console y abra la consola AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Elija Create key.

  5. Para crear una clave KMS de cifrado simétrica, para Key type (Tipo de clave) seleccione Symmetric (Simétrica).

  6. En Key usage (Uso de claves), se selecciona la opción Encrypt and decrypt (Cifrar y descifrar) para usted.

  7. Elija Siguiente.

  8. Escriba un alias para la clave KMS. El nombre del alias no puede empezar por aws/. El prefijo aws/ está reservado para Amazon Web Services y representa las Claves administradas por AWS de su cuenta.

    nota

    Agregar, eliminar o actualizar un alias puede permitir o denegar el permiso a la clave KMS. Para más detalles, consulte ABAC para AWS KMS y Uso de alias para controlar el acceso a las claves KMS.

    Un alias es un nombre de visualización que puede usar para identificar a una clave KMS. Le recomendamos que elija un alias que indique el tipo de datos que piensa proteger o la aplicación que piensa usar con la clave KMS.

    Los alias son necesarios para crear una clave KMS en la AWS Management Console. Se emplean en la operación CreateKey.

  9. (Opcional) Escriba una descripción de la clave KMS.

    Puede agregar una descripción ahora o actualizarla en cualquier momento, a menos que el estado de la clave sea Pending Deletion o Pending Replica Deletion. Para agregar, cambiar o eliminar la descripción de una clave administrada por el cliente existente, edite la descripción en la página de detalles relativa a la clave KMS en la AWS Management Console o utilice la operación UpdateKeyDescription.

  10. (Opcional) Escriba una clave de etiqueta y un valor de etiqueta opcional. Para agregar más de una etiqueta a la clave KMS, elija Add tag (Agregar etiqueta).

    nota

    Etiquetar o quitar las etiquetas de la clave KMS puede permitir o denegar permiso a la clave KMS. Para más detalles, consulte ABAC para AWS KMS y Uso de etiquetas para controlar el acceso a las claves KMS.

    Cuando se agregan etiquetas a los recursos de AWS, AWS genera un informe de asignación de costos con el uso y los costos agregados por etiquetas. Las etiquetas también pueden utilizarse para controlar el acceso a una clave KMS. Para obtener información acerca del etiquetado de claves KMS, consulte Etiquetas en AWS KMS y ABAC para AWS KMS.

  11. Elija Siguiente.

  12. Seleccione los usuarios y roles de IAM que pueden administrar la clave de KMS.

    nota

    Esta política de claves proporciona a la Cuenta de AWS control total de esta clave KMS. Permite a los administradores de cuentas utilizar las políticas de IAM para dar permiso a otras entidades principales para administrar la clave KMS. Para obtener más información, consulte Política de claves predeterminada.

     

    Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección Prácticas recomendadas de seguridad de IAM en la Guía del usuario de IAM;.

  13. (Opcional) Para evitar que los usuarios y los roles de IAM seleccionados eliminen esta clave de KMS, en la sección Eliminación de claves situada en la parte inferior de la página, desactive la casilla Permitir que los administradores de claves eliminen esta clave.

  14. Elija Siguiente.

  15. Seleccione los usuarios y roles de IAM que pueden usar la clave en operaciones criptográficas

    nota

    Esta política de claves proporciona a la Cuenta de AWS control total de esta clave KMS. Permite a los administradores de cuentas utilizar las políticas de IAM para dar permiso a otras entidades principales para utilizar la clave KMS. Para obtener más información, consulte Política de claves predeterminada.

     

    Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección Prácticas recomendadas de seguridad de IAM en la Guía del usuario de IAM;.

  16. (Opcional) Puede permitir que otras cuentas de Cuentas de AWS usen esta clave de KMS en operaciones criptográficas. Para ello, en la parte inferior de la página de la sección Other Cuentas de AWS (Otras), elija Add another Cuenta de AWS (Agregar otra) e ingrese el número de identificación de Cuenta de AWS de una cuenta externa. Para agregar varias cuentas externas, repita este paso.

    nota

    Para permitir que las entidades principales de las cuentas externas usen la clave KMS, los administradores de la cuenta externa también deben crear las políticas de IAM que proporcionan estos permisos. Para obtener más información, consulte Permitir a los usuarios de otras cuentas utilizar una clave KMS.

  17. Elija Siguiente.

  18. Revise los ajustes de clave que ha elegido. Aún puede volver atrás y cambiar todos los ajustes.

  19. Elija Finalizar para crear la clave de KMS.

Puede utilizar la operación CreateKey para crear AWS KMS keys de todos los tipos. Estos ejemplos utilizan la AWS Command Line Interface (AWS CLI). Para ver ejemplos en varios lenguajes de programación, consulte Uso de CreateKey con un AWS SDK o una CLI.

importante

No incluya información confidencial en los campos Description o Tags. Estos campos pueden aparecer en texto sin formato en los registros de CloudTrail y en otros resultados.

La siguiente operación crea una clave de cifrado simétrica en una única región respaldada por material de claves generado por AWS KMS. Esta operación no tiene parámetros obligatorios. Sin embargo, es posible que también desee utilizar el parámetro Policy para especificar una política de claves. Puede cambiar la política de claves (PutKeyPolicy) y agregar elementos opcionales como, por ejemplo, una descripción y etiquetas en cualquier momento. También puede crear claves asimétricas, claves de varias regiones, claves con material de claves importado, y claves en almacenes de claves personalizados. Para crear claves de datos para el cifrado del lado del cliente, utilice la operación GenerateDataKey.

La operación CreateKey no le permite especificar un alias, pero puede usar la operación CreateAlias para crear un alias para la nueva clave de KMS.

A continuación se muestra un ejemplo de una llamada a la operación CreateKey sin parámetros. Este comando utiliza todos los valores predeterminados. Crea una clave KMS de cifrado simétrica para con material de claves generado por AWS KMS.

$ aws kms create-key
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1502910355.475,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "MultiRegion": false
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
    }
}

Si no especifica una política de claves para su nueva clave KMS, la política de claves predeterminada que aplica CreateKey es diferente de la política de claves predeterminada que aplica la consola cuando se utiliza para crear una nueva clave KMS.

Por ejemplo, esta llamada a la operación GetKeyPolicy devuelve la política de claves que aplica CreateKey. Le da el acceso de Cuenta de AWS a la clave KMS y le permite crear políticas AWS Identity and Access Management (IAM) para la clave KMS. Para obtener información detallada sobre las políticas de IAM y las políticas de claves para claves KMS, consulte Permisos y acceso a claves KMS

$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text
{
  "Version" : "2012-10-17",
  "Id" : "key-default-1",
  "Statement" : [ {
    "Sid" : "Enable IAM User Permissions",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : "kms:*",
    "Resource" : "*"
  } ]
}