Generación de claves de datos - AWS Key Management Service
Crear una clave de datosCómo funcionan las operaciones criptográficas con claves de datos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Generación de claves de datos

Las claves de datos son las claves simétricas que puede utilizar para cifrar los datos, incluidas grandes cantidades de datos y otras claves de cifrado de datos. A diferencia de las claves KMS simétricas, que no se pueden descargar, las claves de datos se le devuelven para su uso fuera de AWS KMS.

Cuando AWS KMS genera claves de datos, devuelve una clave de datos de texto no cifrado para su uso inmediato (opcional) y una copia cifrada de la clave de datos que puede almacenar de forma segura con los datos. Cuando esté listo para descifrar los datos, primero pídale a AWS KMS que descifre la clave de datos cifrada.

Los AWS KMS generan, cifran y descifran claves de datos. Sin embargo, AWS KMS no almacena, administra o realiza el seguimiento de las claves de datos, ni realiza operaciones criptográficas con claves de datos. Debe utilizar y administrar claves de datos fuera de AWS KMS. Para obtener ayuda para utilizar las claves de datos de forma segura, consulte el AWS Encryption SDK.

Temas

Crear una clave de datos

Para crear una clave de datos, llame a la operación GenerateDataKeyPair. AWS KMS genera la clave de datos. Luego, cifra una copia de la clave de datos en una clave KMS de cifrado simétrica que especifique. Esta operación devuelve una copia de texto no cifrado de la clave de datos y una copia de la clave de datos que está cifrada con la clave KMS. En la imagen siguiente, se muestra esta operación.

Generar una clave de datos

AWS KMS también admite la operación GenerateDataKeyWithoutPlaintext, que devuelve solo una clave de datos cifrada. Cuando tenga que utilizar la clave de datos, solicite a AWS KMS que la descifre.

Cómo funcionan las operaciones criptográficas con claves de datos

En los temas siguientes se explican cómo funcionan las claves de datos generadas por una operación GenerateDataKey o GenerateDataKeyWithoutPlaintext.

Cifrar los datos con una clave de datos

AWS KMS no puede utilizar una clave de datos para cifrar los datos. Sin embargo, la clave de datos puede utilizarse fuera de AWS KMS; por ejemplo, con OpenSSL o una biblioteca criptográfica, como AWS Encryption SDK.

Después de utilizar la clave de datos en texto no cifrado para cifrar los datos, elimínela de la memoria tan pronto como sea posible. Puede almacenar de forma segura la clave de datos cifrada con los datos cifrados para que esté disponible para descifrar los datos.

Cifrar datos de usuario fuera de AWS KMS

Descifrar los datos con una clave de datos

Para descifrar los datos, pase la clave de datos cifrada a la operación Decrypt. AWS KMS utiliza la clave KMS para descifrar la clave de datos y, a continuación, devuelve la clave en texto sin cifrar. Utilice la clave de datos de texto no cifrado para descifrar los datos y, a continuación, elimine la clave de datos de texto no cifrado de la memoria tan pronto como sea posible.

En el siguiente diagrama, se muestra cómo se utiliza la operación Decrypt para descifrar una clave de datos cifrada.

Descifrando una clave de datos