Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Las claves de datos son las claves simétricas que puede utilizar para cifrar los datos, incluidas grandes cantidades de datos y otras claves de cifrado de datos. A diferencia de las claves KMS simétricas, que no se pueden descargar, las claves de datos se le devuelven para su uso fuera de AWS KMS.
Cuando AWS KMS genera claves de datos, devuelve una clave de datos en texto plano para su uso inmediato (opcional) y una copia cifrada de la clave de datos que puede almacenar de forma segura con los datos. Cuando esté listo para descifrar los datos, primero pida AWS KMS que se descifre la clave de datos cifrada.
AWS KMS genera, cifra y descifra las claves de datos. Sin embargo, AWS KMS no almacena, administra ni rastrea las claves de datos, ni realiza operaciones criptográficas con las claves de datos. Debe usar y administrar las claves de datos fuera de AWS KMS. Para obtener ayuda para utilizar las claves de datos de forma segura, consulte el AWS Encryption SDK.
Temas
Crear una clave de datos
Para crear una clave de datos, llame a la GenerateDataKeyoperación. AWS KMS genera la clave de datos. Luego, cifra una copia de la clave de datos en una clave KMS de cifrado simétrica que especifique. Esta operación devuelve una copia de texto no cifrado de la clave de datos y una copia de la clave de datos que está cifrada con la clave KMS. En la imagen siguiente, se muestra esta operación.
AWS KMS también admite la GenerateDataKeyWithoutPlaintextoperación, que devuelve solo una clave de datos cifrada. Cuando necesite usar la clave de datos, solicite AWS KMS descifrarla.
Cómo funcionan las operaciones criptográficas con claves de datos
En los temas siguientes se explica cómo funcionan las claves de datos generadas por una GenerateDataKeyGenerateDataKeyWithoutPlaintextoperación.
Cifrar los datos con una clave de datos
AWS KMS no puede usar una clave de datos para cifrar datos. Sin embargo, puede utilizar la clave de datos fuera de AWS KMS, por ejemplo, mediante OpenSSL o una biblioteca criptográfica como la. AWS Encryption SDK
Después de utilizar la clave de datos en texto no cifrado para cifrar los datos, elimínela de la memoria tan pronto como sea posible. Puede almacenar de forma segura la clave de datos cifrada con los datos cifrados para que esté disponible para descifrar los datos.
Descifrar los datos con una clave de datos
Para descifrar los datos, pase la clave de datos cifrados a la operación de descifrado. AWS KMS utiliza la clave KMS para descifrar la clave de datos y, a continuación, devuelve la clave de datos en texto plano. Utilice la clave de datos de texto no cifrado para descifrar los datos y, a continuación, elimine la clave de datos de texto no cifrado de la memoria tan pronto como sea posible.
En el siguiente diagrama, se muestra cómo se utiliza la operación Decrypt para descifrar una clave de datos cifrada.
