Cree una clave de cifrado simétrica KMS - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cree una clave de cifrado simétrica KMS

En este tema se explica cómo crear la KMS clave básica, una KMSclave de cifrado simétrica para una sola región con material clave de. AWS KMS Puede utilizar esta KMS clave para proteger sus recursos en un Servicio de AWS.

Puede crear KMS claves de cifrado simétricas en la AWS KMS consola mediante la CreateKeyAPIplantilla::: :Key o la plantilla AWS:KMS: :Key AWS CloudFormation.

La especificación de clave predeterminada, SYMMETRIC_ DEFAULT, es la especificación de clave para las claves de cifrado simétricas. KMS Al seleccionar el tipo de clave simétrica y el uso de claves de cifrado y descifrado en la AWS KMS consola, se selecciona la especificación de clave. SYMMETRIC_DEFAULT En la CreateKeyoperación, si no se especifica ningún KeySpec valor, SYMMETRIC se selecciona _. DEFAULT Si no tiene motivos para usar una especificación clave diferente, SYMMETRIC _ DEFAULT es una buena opción.

Para obtener información sobre las cuotas que se aplican a KMS las claves, consulteCuotas.

Puede usar el AWS Management Console para crear AWS KMS keys (KMSclaves).

importante

No incluya información confidencial en el alias, la descripción ni las etiquetas. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

  1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) AWS Management Console y ábrala en https://console.aws.amazon.com/kms.

  2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Elija Create key.

  5. Para crear una clave de cifrado simétrica, en Tipo de KMS clave, elija Simétrica.

  6. En Key usage (Uso de claves), se selecciona la opción Encrypt and decrypt (Cifrar y descifrar) para usted.

  7. Elija Next (Siguiente).

  8. Escriba un alias para la KMS clave. El nombre del alias no puede empezar por aws/. Amazon Web Services se reserva el aws/ prefijo para representarlo Claves administradas por AWS en su cuenta.

    nota

    Añadir, eliminar o actualizar un alias puede permitir o denegar el acceso a la KMS clave. Para más detalles, consulte ABAC para AWS KMS y Utilice alias para controlar el acceso a las claves KMS.

    Un alias es un nombre para mostrar que se puede usar para identificar la KMS clave. Le recomendamos que elija un alias que indique el tipo de datos que planea proteger o la aplicación que planea usar con la KMS clave.

    Los alias son obligatorios al crear una KMS clave en. AWS Management Console Son opcionales cuando se utiliza la CreateKeyoperación.

  9. (Opcional) Escriba una descripción para la KMS clave.

    Puede agregar una descripción ahora o actualizarla en cualquier momento, a menos que el estado de la clave sea Pending Deletion o Pending Replica Deletion. Para añadir, cambiar o eliminar la descripción de una clave gestionada por el cliente existente, edite la descripción de la KMS clave en la página de detalles AWS Management Console o utilice la UpdateKeyDescriptionoperación.

  10. (Opcional) Escriba una clave de etiqueta y un valor de etiqueta opcional. Para añadir más de una etiqueta a la KMS clave, seleccione Añadir etiqueta.

    nota

    Etiquetar o desetiquetar una KMS clave puede permitir o denegar el permiso a la clave. KMS Para más detalles, consulte ABAC para AWS KMS y Utilice etiquetas para controlar el acceso a KMS las teclas.

    Al añadir etiquetas a AWS los recursos, AWS genera un informe de asignación de costes con el uso y los costes agregados por etiquetas. Las etiquetas también se pueden usar para controlar el acceso a una KMS clave. Para obtener información sobre el etiquetado de KMS claves, consulte Etiquetas en AWS KMS yABAC para AWS KMS.

  11. Elija Next (Siguiente).

  12. Seleccione los IAM usuarios y roles que pueden administrar la KMS clave.

    Notas

    Esta política clave proporciona el control Cuenta de AWS total de esta KMS clave. Permite a los administradores de cuentas usar IAM políticas para dar permiso a otros directores para administrar la KMS clave. Para obtener más información, consulte Política de claves predeterminada.

    IAMlas mejores prácticas desaconsejan el uso de IAM usuarios con credenciales de larga duración. Siempre que sea posible, utilice IAM roles, que proporcionan credenciales temporales. Para obtener más información, consulte las prácticas recomendadas de seguridad IAM en la Guía del IAM usuario.

    La AWS KMS consola agrega administradores clave a la política clave bajo el identificador de la declaración"Allow access for Key Administrators". La modificación de este identificador de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.

  13. (Opcional) Para evitar que IAM los usuarios y roles seleccionados eliminen esta KMS clave, en la sección Eliminación de claves de la parte inferior de la página, desactive la casilla de verificación Permitir que los administradores de claves eliminen esta clave.

  14. Elija Next (Siguiente).

  15. Seleccione los IAM usuarios y roles que pueden usar la clave en las operaciones criptográficas

    Notas

    IAMlas mejores prácticas desalientan el uso de IAM usuarios con credenciales de larga duración. Siempre que sea posible, utilice IAM roles, que proporcionan credenciales temporales. Para obtener más información, consulte las prácticas recomendadas de seguridad IAM en la Guía del IAM usuario.

    La AWS KMS consola agrega los usuarios clave a la política clave bajo los identificadores de la declaración "Allow use of the key" y"Allow attachment of persistent resources". La modificación de estos identificadores de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.

  16. (Opcional) Puede permitir que otras personas Cuentas de AWS usen esta KMS clave para operaciones criptográficas. Para ello, en la Cuentas de AWS sección Otros, en la parte inferior de la página, selecciona Añadir otra Cuenta de AWS e introduce el número de Cuenta de AWS identificación de una cuenta externa. Para agregar varias cuentas externas, repita este paso.

    nota

    Para permitir que los directores de las cuentas externas usen la KMS clave, los administradores de la cuenta externa deben crear IAM políticas que proporcionen estos permisos. Para obtener más información, consulte Permitir a los usuarios de otras cuentas utilizar una clave KMS.

  17. Elija Next (Siguiente).

  18. Revise las declaraciones de políticas clave para ver la clave. Para realizar cambios en la política clave, selecciona Editar.

  19. Elija Next (Siguiente).

  20. Revise los ajustes de clave que ha elegido. Aún puede volver atrás y cambiar todos los ajustes.

  21. Seleccione Finalizar para crear la KMS clave.

Puede utilizar la CreateKeyoperación para crear AWS KMS keys de todo tipo. Estos ejemplos utilizan la AWS Command Line Interface (AWS CLI). Para ver ejemplos en varios lenguajes de programación, consulte Úselo CreateKey con un AWS SDK o CLI.

importante

No incluya información confidencial en los campos Description o Tags. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

La siguiente operación crea una clave de cifrado simétrica en una única región respaldada por material de claves generado por AWS KMS. Esta operación no tiene parámetros obligatorios. Sin embargo, es posible que también desee utilizar el parámetro Policy para especificar una política de claves. Puede cambiar la política clave (PutKeyPolicy) y añadir elementos opcionales, como una descripción y etiquetas, en cualquier momento. También puede crear claves asimétricas, claves de varias regiones, claves con material de claves importado, y claves en almacenes de claves personalizados. Para crear claves de datos para el cifrado del lado del cliente, utilice la GenerateDataKeyoperación.

La CreateKey operación no le permite especificar un alias, pero puede utilizarla para crear un alias para la CreateAliasnueva KMS clave.

A continuación se muestra un ejemplo de una llamada a la operación CreateKey sin parámetros. Este comando utiliza todos los valores predeterminados. Crea una KMS clave de cifrado simétrica con el material clave generado por AWS KMS.

$ aws kms create-key
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1502910355.475,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "MultiRegion": false
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
    }
}

Si no especifica una política de claves para la nueva KMS clave, la política de claves predeterminada que CreateKey se aplica es diferente de la política de claves predeterminada que aplica la consola cuando se usa para crear una nueva KMS clave.

Por ejemplo, esta llamada a la GetKeyPolicyoperación devuelve la política de claves que CreateKey se aplica. Da Cuenta de AWS acceso a la KMS clave y le permite crear AWS Identity and Access Management (IAM) políticas para la KMS clave. Para obtener información detallada sobre IAM las políticas y las políticas clave para KMS las claves, consulte KMSacceso y permisos clave

$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text
{
  "Version" : "2012-10-17",
  "Id" : "key-default-1",
  "Statement" : [ {
    "Sid" : "Enable IAM User Permissions",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : "kms:*",
    "Resource" : "*"
  } ]
}