Crear claves de KMS en un almacén de claves externo - AWS Key Management Service
Requisitos para una clave de KMS en un almacén de claves externoCrear una clave de KMS en un almacén de claves externo (consola)Crear una clave de KMS en un almacén de claves externo (API de AWS KMS)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crear claves de KMS en un almacén de claves externo

Después de crear y conectar el almacén de claves externo, puede crear AWS KMS keys en su almacén de claves. Deben ser claves de KMS de cifrado simétrico con un valor de origen de Almacén de claves externo (EXTERNAL_KEY_STORE). No puede crear claves KMS asimétricas, claves KMS HMAC ni claves KMS con material clave importado en un almacén de claves personalizado. Además, no puede utilizar claves KMS de cifrado simétricas en un almacén de claves personalizado para generar pares de claves de datos asimétricos.

Una clave de KMS de un almacén de claves externo puede tener una latencia, durabilidad y disponibilidad más bajas que una clave de KMS estándar porque depende de componentes ubicados fuera de AWS. Antes de crear o utilizar una clave de KMS en un almacén de claves externo, compruebe que necesita una clave con las propiedades del almacén de claves externo.

nota

Algunos administradores de claves externos proporcionan un método más sencillo para crear claves de KMS en un almacén de claves externo. Para obtener más detalles, consulte la documentación del administrador de claves externo.

Para crear una clave de KMS en su almacén de claves externo, especifique lo siguiente:

  • El ID de su almacén de claves externo.

  • Un origen de material de claves del almacén de claves externo (EXTERNAL_KEY_STORE).

  • El ID de una clave externa existente en el administrador de claves externo asociado al almacén de claves externo. Esta clave externa sirve como material de claves para la clave de KMS. No se puede cambiar el ID de clave externa después de crear la clave de KMS.

    AWS KMS proporciona el identificador de clave externa al proxy del almacén de claves externo en las solicitudes de operaciones de cifrado y descifrado. AWS KMS no puede acceder directamente a su administrador de claves externo ni a ninguna de sus claves criptográficas.

Además de la clave externa, una clave de KMS en un almacén de claves externo también contiene material de claves de AWS KMS. Todos los datos cifrados con la clave de KMS se cifran primero en AWS KMS con el material de claves de la clave de AWS KMS y, a continuación, mediante su administrador de claves externo con su clave externa. Este proceso de doble cifrado garantiza que el texto cifrado protegido por una clave de KMS en un almacén de claves externo sea tan seguro como el texto cifrado protegido solo por AWS KMS. Para obtener más detalles, consulte Cómo funcionan los almacenes de claves externos.

Cuando la operación CreateKey se realiza correctamente, el estado de la clave de la nueva clave de KMS es Enabled. Al ver una clave de KMS en un almacén de claves externo, puede ver las propiedades habituales, como el ID de la clave, la especificación de la clave, el uso de la clave, el estado de la clave y la fecha de creación. Sin embargo, también puede ver el ID y el estado de la conexión del almacén de claves externo y el ID de la clave externa.

Si intenta crear una clave de KMS en su almacén de claves externo sin éxito, utilice el mensaje de error para identificar la causa. Puede indicar que el almacén de claves externo no está conectado (CustomKeyStoreInvalidStateException), que el proxy del almacén de claves externo no puede encontrar una clave externa con el ID de clave externa especificado (XksKeyNotFoundException) o que la clave externa ya está asociada a una clave de KMS en el mismo almacén de claves externo (XksKeyAlreadyInUseException).

.

Para ver un ejemplo del registro de AWS CloudTrail de la operación que crea una clave de KMS en un almacén de claves externo, consulte CreateKey.

Requisitos para una clave de KMS en un almacén de claves externo

Para crear una clave de KMS en un almacén de claves externo, se requieren las siguientes propiedades del almacén de claves externo, la clave de KMS y la clave externa que sirve como material de clave criptográfica externa para la clave de KMS.

Requisitos de almacenes de claves externos

Requisitos de la clave de KMS

No puede cambiar estas propiedades después de crear la clave de KMS.

  • Especificación de clave: SYMMETRIC_DEFAULT

  • Uso de clave: ENCRYPT_DECRYPT

  • Origen del material de claves: EXTERNAL_KEY_STORE

  • Multirregión: FALSE

Requisitos de clave externa

  • Clave criptográfica AES de 256 bits (256 bits aleatorios). El KeySpec de la clave externa debe ser AES_256.

  • Habilitado y disponible para usarse. El Status de la clave externa debe ser ENABLED.

  • Configurado para el cifrado y descifrado. El KeyUsage de la clave externa debe incluir ENCRYPT y DECRYPT.

  • Se usa solo con esta clave de KMS. Cada KMS key de un almacén de claves externo debe estar asociada a una clave externa diferente.

    AWS KMS también recomienda que la clave externa se utilice exclusivamente para el almacén de claves externo. Esta restricción facilita la identificación y la resolución de problemas con la clave.

  • Accesible mediante el proxy del almacén de claves externo para el almacén de claves externo.

    Si el proxy del almacén de claves externo no puede encontrar la clave con el ID de clave externa especificado, se produce un error en la operación CreateKey.

  • Puede manejar el tráfico anticipado que genera el uso de Servicios de AWS. AWS KMS recomienda que las claves externas estén preparadas para manejar hasta 1800 solicitudes por segundo.

Crear una clave de KMS en un almacén de claves externo (consola)

Hay dos formas de crear una clave de KMS en un almacén de claves externo.

  • Método 1 (recomendado): elija un almacén de claves externo y, a continuación, cree una clave de KMS en ese almacén de claves externo.

  • Método 2: cree una clave de KMS y, a continuación, indique que está en un almacén de claves externo.

Si usa el método 1, en el que elige su almacén de claves externo antes de crear su clave, AWS KMS selecciona todas las propiedades de claves de KMS necesarias y rellena el ID de su almacén de claves externo. Este método evita los errores que puede cometer al crear la clave de KMS.

nota

No incluya información confidencial en el alias, la descripción ni las etiquetas. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

Método 1 (recomendado): comience en su almacén de claves externo

Para usar este método, elija su almacén de claves externo y, a continuación, cree una clave de KMS. La consola de AWS KMS selecciona todas las propiedades necesarias y rellena el ID de su almacén de claves externo. Este método evita muchos de los errores que puede cometer al crear la clave de KMS.

  1. Inicie sesión en la AWS Management Console y abra la consola de AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Custom key stores (Almacenes de claves personalizados), External key stores (Almacenes de claves externos).

  4. Elija el nombre del almacén de claves externo.

  5. En la esquina superior derecha, seleccione Create a KMS key in this key store (Crear una clave de KMS en este almacén de claves).

    Si el almacén de claves externo no está conectado, se le pedirá que lo conecte. Si el intento de conexión falla, debe resolver el problema y conectar el almacén de claves externo para poder crear una nueva claves de KMS en él.

    Si el almacén de claves externo está conectado, se redirigirá a la página de Customer managed keys (Claves gestionadas por el cliente) para crear una clave. Los valores de Configuración de claves requeridos ya están seleccionados. Además, se rellena el identificador del almacén de claves personalizado de su almacén de claves externo, aunque puede cambiarlo.

  6. Introduzca el identificador de clave de una clave externa en su administrador de claves externo. Esta clave externa debe cumplir los requisitos para su uso con una clave de KMS. No puede cambiar este valor después de crear la clave.

    Si la clave externa tiene varios identificadores, introduzca el ID de clave que utiliza el proxy del almacén de claves externo para identificar la clave externa.

  7. Confirme que va a crear una clave de KMS en el almacén de claves externo especificado.

  8. Elija Siguiente.

    El resto de este procedimiento es el mismo que para crear una clave de KMS estándar.

  9. Escriba un alias (requerido) y, una descripción (opcional) para la clave de KMS.

  10. (Opcional). En la página agregar etiquetas, añada etiquetas que identifiquen o categoricen la clave KMS.

    Cuando se agregan etiquetas a los recursos de AWS, AWS genera un informe de asignación de costos con el uso y los costos agregados por etiquetas. Las etiquetas también pueden utilizarse para controlar el acceso a una clave KMS. Para obtener información acerca del etiquetado de claves KMS, consulte Etiquetado de claves y ABAC para AWS KMS.

  11. Elija Siguiente.

  12. En la sección administradores de claves, seleccione los usuarios y roles de IAM que pueden administrar la clave KMS. Para obtener más información, consulte Permite que los administradores de claves administren la clave de KMS.

    nota

    Las políticas de IAM pueden otorgar permisos para usar la clave KMS a otros usuarios y roles de IAM.

    Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección Prácticas recomendadas de seguridad de IAM en la Guía del usuario de IAM;.

  13. (Opcional) Para evitar que estos administradores de claves eliminen esta claves de KMS, desactive la casilla Allow key administrators to delete this key (Permitir que los administradores de claves eliminen esta clave).

    Eliminar una clave de KMS es una operación destructiva e irreversible que puede hacer que el texto cifrado sea irrecuperable. No puede volver a crear una clave de KMS simétrica en un almacén de claves externo, aunque disponga del material de claves externas. Sin embargo, eliminar una clave de KMS no afecta a su clave externa asociada. Para obtener información sobre cómo eliminar una clave de KMS de un almacén de claves externo, consulte Programar la eliminación de claves de KMS de un almacén de claves externo.

  14. Elija Siguiente.

  15. En la sección This account (Esta cuenta), seleccione los usuarios y roles de IAM de esta Cuenta de AWS que pueden usar la clave KMS en operaciones criptográficas. Para obtener más información, consulte Permite a los usuarios de claves utilizar la clave de KMS.

    nota

    Las políticas de IAM pueden otorgar permisos para usar la clave KMS a otros usuarios y roles de IAM.

    Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección Prácticas recomendadas de seguridad de IAM en la Guía del usuario de IAM;.

  16. (Opcional) Puede permitir que otras cuentas de Cuentas de AWS usen esta clave de KMS en operaciones criptográficas. Para ello, en la parte inferior de la página de la sección Other Cuentas de AWS (Otra) elija Add another Cuenta de AWS (Agregar otra) e ingrese el ID de Cuenta de AWS de una cuenta externa. Para agregar varias cuentas externas, repita este paso.

    nota

    Los administradores de las otras cuentas de Cuentas de AWS también deben permitir el acceso a la clave KMS mediante la creación de políticas de IAM para sus usuarios. Para obtener más información, consulte Permitir a los usuarios de otras cuentas utilizar una clave KMS.

  17. Seleccione Siguiente.

  18. Revise los ajustes de clave que ha elegido. Aún puede volver atrás y cambiar todos los ajustes.

  19. Cuando haya acabado, elija Finish (Finalizar) para crear la clave.

Mostrar másMostrar menos

Método 2: Comience con las claves gestionadas por el cliente

Este procedimiento es el mismo que el procedimiento para crear una clave de cifrado simétrica con material de claves de AWS KMS. Sin embargo, en este procedimiento, se especifica el ID del almacén de claves personalizado del almacén de claves externo y el ID de clave de la clave externa. También debe especificar los valores de propiedad requeridos para una clave de KMS en un almacén de claves externo, como la especificación de la clave y el uso de la clave.

  1. Inicie sesión en la AWS Management Console y abra la consola de AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Elija Create key.

  5. Seleccione Symmetric (Simétrica).

  6. En Key usage (Uso de claves), se selecciona la opción Encrypt and decrypt (Cifrar y descifrar) para usted. No la cambie.

  7. Elija Advanced options (Opciones avanzadas).

  8. En Key material origin (Origen del material de claves), elija External key store (Almacenes de claves externos).

  9. Confirme que va a crear una clave de KMS en el almacén de claves externo especificado.

  10. Elija Siguiente.

  11. Elija la fila que representa el almacén de claves externo para la nueva clave de KMS.

    No puede elegir un almacén de claves externo desconectado. Para conectar un almacén de claves que está desconectado, elija el nombre del almacén de claves y, a continuación, en Key store actions (Acciones del almacén de claves), elija Connect (Conectar). Para obtener más detalles, consulte Conectar un almacén de claves externo (consola).

  12. Introduzca el identificador de clave de una clave externa en su administrador de claves externo. Esta clave externa debe cumplir los requisitos para su uso con una clave de KMS. No puede cambiar este valor después de crear la clave.

    Si la clave externa tiene varios identificadores, introduzca el ID de clave que utiliza el proxy del almacén de claves externo para identificar la clave externa.

  13. Elija Siguiente.

    El resto de este procedimiento es el mismo que para crear una clave de KMS estándar.

  14. Escriba un alias y, si lo desea, una descripción para la clave KMS.

  15. (Opcional). En la página agregar etiquetas, añada etiquetas que identifiquen o categoricen la clave KMS.

    Cuando se agregan etiquetas a los recursos de AWS, AWS genera un informe de asignación de costos con el uso y los costos agregados por etiquetas. Las etiquetas también pueden utilizarse para controlar el acceso a una clave KMS. Para obtener información acerca del etiquetado de claves KMS, consulte Etiquetado de claves y ABAC para AWS KMS.

  16. Elija Siguiente.

  17. En la sección administradores de claves, seleccione los usuarios y roles de IAM que pueden administrar la clave KMS. Para obtener más información, consulte Permite que los administradores de claves administren la clave de KMS.

    nota

    Las políticas de IAM pueden otorgar permisos para usar la clave KMS a otros usuarios y roles de IAM.

  18. (Opcional) Para evitar que estos administradores de claves eliminen esta claves de KMS, desactive la casilla Allow key administrators to delete this key (Permitir que los administradores de claves eliminen esta clave).

    Eliminar una clave de KMS es una operación destructiva e irreversible que puede hacer que el texto cifrado sea irrecuperable. No puede volver a crear una clave de KMS simétrica en un almacén de claves externo, aunque disponga del material de claves externas. Sin embargo, eliminar una clave de KMS no afecta a su clave externa asociada. Para obtener información sobre cómo eliminar una clave de KMS de un almacén de claves externo, consulte Programar la eliminación de claves de KMS de un almacén de claves externo.

  19. Elija Siguiente.

  20. En la sección This account (Esta cuenta), seleccione los usuarios y roles de IAM de esta Cuenta de AWS que pueden usar la clave KMS en operaciones criptográficas. Para obtener más información, consulte Permite a los usuarios de claves utilizar la clave de KMS.

    nota

    Las políticas de IAM pueden otorgar permisos para usar la clave KMS a otros usuarios y roles de IAM.

  21. (Opcional) Puede permitir que otras cuentas de Cuentas de AWS usen esta clave KMS en operaciones criptográficas. Para ello, en la parte inferior de la página de la sección Other Cuentas de AWS (Otra) elija Add another Cuenta de AWS (Agregar otra) e ingrese el ID de Cuenta de AWS de una cuenta externa. Para agregar varias cuentas externas, repita este paso.

    nota

    Los administradores de las otras cuentas de Cuentas de AWS también deben permitir el acceso a la clave KMS mediante la creación de políticas de IAM para sus usuarios. Para obtener más información, consulte Permitir a los usuarios de otras cuentas utilizar una clave KMS.

  22. Seleccione Siguiente.

  23. Revise los ajustes de clave que ha elegido. Aún puede volver atrás y cambiar todos los ajustes.

  24. Cuando haya acabado, elija Finish (Finalizar) para crear la clave.

Mostrar másMostrar menos

Si el procedimiento se realiza correctamente, la pantalla mostrará la nueva clave de KMS en el almacén de claves externo de su elección. Al elegir el nombre o alias de la nueva clave de KMS, la pantalla Cryptographic configuration (Configuración criptográfica) de su página de detalles mostrará el origen de la clave de KMS (External key store [Almacén de claves externo]), el nombre, el ID y el tipo del almacén de claves personalizados, y el ID, el uso de claves y el estado de la clave externa. Si el procedimiento falla, aparecerá un mensaje de error que describe el motivo del error. Para , consulte Solución de problemas de almacenes de claves externos.

sugerencia

Para facilitar la identificación de las claves de KMS en un almacén de claves personalizado, en la página Customer managed keys (Claves administradas por el cliente), agregue la columna Origin (Origen) y Custom key store ID (ID del almacén de claves personalizado). Para cambiar los campos de la tabla, seleccione el icono de engranaje en la esquina superior derecha de la página. Para obtener más detalles, consulte Personalización de las tablas clave KMS.

Crear una clave de KMS en un almacén de claves externo (API de AWS KMS)

Para crear una nueva clave KMS en un almacén de claves externo, utilice la CreateKeyoperación. Se requieren los siguientes parámetros:

  • El valor Origin debe ser EXTERNAL_KEY_STORE.

  • El parámetro CustomKeyStoreId identifica el almacén de claves externo. El ConnectionState del almacén de claves externo especificado debe ser CONNECTED. Para encontrar el CustomKeyStoreId y ConnectionState, utilice la operación DescribeCustomKeyStores.

  • El parámetro XksKeyId identifica las claves externas. Esta clave externa debe cumplir con los requisitos para la asociación con una clave de KMS.

También puede utilizar cualquiera de los parámetros opcionales de la operación CreateKey, como los parámetros Policy o Tags (Etiquetas).

nota

No incluya información confidencial en los campos Description o Tags. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

En los ejemplos de esta sección, se utiliza la AWS Command Line Interface (AWS CLI), pero puede usar cualquier lenguaje de programación admitido.

Este comando de ejemplo utiliza la CreateKeyoperación para crear una clave KMS en un almacén de claves externo. La respuesta incluye las propiedades de las claves de KMS, el ID del almacén de claves externo y el ID, el uso y el estado de la clave externa. Para obtener información específica acerca de estos campos, consulte Visualización de claves de KMS en un almacén de claves externo.

Antes de ejecutar este comando, reemplace el ID del almacén de claves personalizado de ejemplo por un ID válido.

$ aws kms create-key --origin EXTERNAL_KEY_STORE --custom-key-store-id cks-1234567890abcdef0 --xks-key-id bb8562717f809024
{
  "KeyMetadata": {
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "AWSAccountId": "111122223333",
    "CreationDate": "2022-12-02T07:48:55-07:00",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "CustomKeyStoreId": "cks-1234567890abcdef0",
    "Description": "",
    "Enabled": true,
    "EncryptionAlgorithms": [
      "SYMMETRIC_DEFAULT"
    ],
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeySpec": "SYMMETRIC_DEFAULT",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",
    "MultiRegion": false,
    "Origin": "EXTERNAL_KEY_STORE",
    "XksKeyConfiguration": {
      "Id": "bb8562717f809024"
    }
  }
}