Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Generación de claves de datos
<a name="data-keys"></a>

Las *claves de datos* son las claves simétricas que puede utilizar para cifrar los datos, incluidas grandes cantidades de datos y otras claves de cifrado de datos. A diferencia de las claves KMS simétricas, que no se pueden descargar, las claves de datos se le devuelven para su uso fuera de AWS KMS. 

Cuando AWS KMS genera claves de datos, devuelve una clave de datos en texto simple para su uso inmediato (opcional) y una copia cifrada de la clave de datos que puede almacenar de forma segura junto con los datos. Cuando esté listo para descifrar los datos, primero pida AWS KMS que se descifre la clave de datos cifrada. 

AWS KMS genera, cifra y descifra las claves de datos. Sin embargo, AWS KMS no almacena, administra ni rastrea las claves de datos, ni realiza operaciones criptográficas con las claves de datos. Debe usar y administrar las claves de datos fuera de AWS KMS. Para obtener ayuda para utilizar las claves de datos de forma segura, consulte el [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/).

**Topics**
+ [

## Crear una clave de datos
](#data-keys-create)
+ [

## Cómo funcionan las operaciones criptográficas con claves de datos
](#use-data-keys)
+ [

# Cómo afectan las claves de KMS obsoletas a las claves de datos
](unusable-kms-keys.md)

## Crear una clave de datos
<a name="data-keys-create"></a>

Para crear una clave de datos, llame a la [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)operación. AWS KMS genera la clave de datos. Luego, cifra una copia de la clave de datos en una [clave KMS de cifrado simétrica](symm-asymm-choose-key-spec.md#symmetric-cmks) que especifique. Esta operación devuelve una copia de texto no cifrado de la clave de datos y una copia de la clave de datos que está cifrada con la clave KMS. En la imagen siguiente, se muestra esta operación.

![\[Generar una clave de datos\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/generate-data-key.png)


AWS KMS también admite la [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)operación, que devuelve solo una clave de datos cifrada. Cuando necesite usar la clave de datos, solicite AWS KMS [descifrarla.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)

## Cómo funcionan las operaciones criptográficas con claves de datos
<a name="use-data-keys"></a>

En los temas siguientes se explica cómo funcionan las claves de datos generadas por una [GenerateDataKey[GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)operación.

### Cifrar los datos con una clave de datos
<a name="data-keys-encrypt"></a>

AWS KMS no puede usar una clave de datos para cifrar datos. Sin embargo, puede utilizar la clave de datos fuera de AWS KMS, por ejemplo, mediante OpenSSL o una biblioteca criptográfica como la. [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)

Después de utilizar la clave de datos en texto no cifrado para cifrar los datos, elimínela de la memoria tan pronto como sea posible. Puede almacenar de forma segura la clave de datos cifrada con los datos cifrados para que esté disponible para descifrar los datos.

![\[Cifre los datos de los usuarios fuera de AWS KMS\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/encrypt-with-data-key.png)


### Descifrar los datos con una clave de datos
<a name="data-keys-decrypt"></a>

Para descifrar los datos, pase la clave de datos cifrados a la operación de [descifrado](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html). AWS KMS utiliza la clave KMS para descifrar la clave de datos y, a continuación, devuelve la clave de datos en texto plano. Utilice la clave de datos de texto no cifrado para descifrar los datos y, a continuación, elimine la clave de datos de texto no cifrado de la memoria tan pronto como sea posible.

En el siguiente diagrama, se muestra cómo se utiliza la operación `Decrypt` para descifrar una clave de datos cifrada.

![\[Descifrando una clave de datos\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/decrypt.png)


# Cómo afectan las claves de KMS obsoletas a las claves de datos
<a name="unusable-kms-keys"></a>

Cuando una clave de KMS queda obsoleta, el efecto es casi inmediato (sujeto a la posible coherencia). El [estado de clave](key-state.md) de la clave de KMS cambia para reflejar su nueva condición y todas las solicitudes para utilizar la clave de KMS en [operaciones criptográficas](kms-cryptography.md#cryptographic-operations) fallan.

Sin embargo, el efecto en las claves de datos cifradas por la clave de KMS, y en los datos cifrados por la clave de datos, se retrasa hasta que se vuelva a utilizar la clave de KMS. Por ejemplo, para descifrar la clave de datos.

Las claves de KMS pueden quedar obsoletas por varios motivos. Entre ellos, se incluyen las siguientes acciones que puede realizar.
+ [Desactivar la clave de KMS](enabling-keys.md)
+ [Programar la clave de KMS para eliminarla](deleting-keys.md)
+ [Eliminar el material de clave](importing-keys-delete-key-material.md) de una clave de KMS con material de clave importado o permitir que el material de clave importado caduque. Si una clave de KMS con origen `EXTERNAL` tiene varios materiales clave asociados, la eliminación o caducidad de cualquier material clave hará que la clave quede inutilizable.
+ [Desconectar el almacén de AWS CloudHSM claves](disconnect-keystore.md) que aloja la clave de KMS o [eliminar la clave del AWS CloudHSM clúster](fix-keystore.md#fix-cmk-failed) que sirve de material clave para la clave de KMS.
+ [Desconectar el almacén de claves externo](about-xks-disconnecting.md) que aloja la clave de KMS o realizar cualquier otra acción que interfiera con las solicitudes de cifrado y descifrado al proxy del almacén de claves externo, incluida la eliminación de la clave externa de su administrador de claves externo.

Este efecto es especialmente importante para las muchas personas Servicios de AWS que utilizan claves de datos para proteger los recursos que administra el servicio. El siguiente ejemplo utiliza Amazon Elastic Block Store (Amazon EBS) y Amazon Elastic Compute Cloud ( EC2Amazon). Los diferentes Servicios de AWS utilizan las claves de datos de diferentes maneras. Para obtener más información, consulte la sección de Protección de datos del capítulo de Seguridad del Servicio de AWS.

Por ejemplo, considere esta situación:

1. [Usted crea un volumen de EBS cifrado](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html) y especifica una clave de KMS para protegerlo. Amazon EBS solicita a AWS KMS que utilice su clave KMS para [generar una clave de datos cifrada](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) para el volumen. Amazon EBS almacena la clave de datos cifrada con los metadatos del volumen.

1. Cuando adjuntas el volumen de EBS a una EC2 instancia, Amazon EC2 utiliza tu clave de KMS para descifrar la clave de datos cifrados del volumen de EBS. Amazon EC2 utiliza la clave de datos del hardware Nitro, que se encarga de cifrar todos los discos I/O en el volumen de EBS. La clave de datos permanece en el hardware Nitro mientras el volumen de EBS esté conectado a la instancia. EC2 

1. Usted realiza una acción que deja a la clave de KMS obsoleta. Esto no tiene ningún efecto inmediato en la EC2 instancia ni en el volumen de EBS. Amazon EC2 usa la clave de datos (no la clave KMS) para cifrar todo el disco I/O mientras el volumen está conectado a la instancia.

1. Sin embargo, cuando el volumen de EBS cifrado se separa de la EC2 instancia, Amazon EBS elimina la clave de datos del hardware de Nitro. La próxima vez que el volumen de EBS cifrado se adjunte a una EC2 instancia, se producirá un error en el adjunto, ya que Amazon EBS no podrá utilizar la clave de KMS para descifrar la clave de datos cifrados del volumen. Para volver a usar el volumen de EBS, debe hacer que la clave de KMS se pueda utilizar de nuevo.