Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección de los datos en AWS Key Management Service

AWS Key Management Service almacena y protege sus claves de cifrado para que estén altamente disponibles al mismo tiempo que le proporciona un control de acceso sólido y flexible.

Rotación del material de claves

De forma predeterminada, AWS KMS genera y protege el material de claves criptográficas para las claves de KMS. Además, AWS KMS ofrece opciones para el material de claves que se crea y protege fuera de AWS KMS.

Protección del material de claves generado en AWS KMS

Al crear una clave de KMS, AWS KMS genera y protege de forma predeterminada el material criptográfico de la clave de KMS.

Para proteger el material de claves de las claves de KMS, AWS KMS confía en una flota distribuida de módulos de seguridad de hardware (HSM) validados por FIPS 140-2 Nivel 3. Cada HSM de AWS KMS es un dispositivo de hardware independiente especialmente diseñado para proporcionar funciones criptográficas dedicadas a fin de cumplir con los requisitos de seguridad y escalabilidad de AWS KMS. (Los HSM que AWS KMS utiliza en las regiones de China cuentan con la certificación de OSCCA y cumplen con todas las normas chinas pertinentes, pero no están validados de acuerdo con el Programa de validación de módulos criptográficos de FIPS 140-2).

El material de claves de una clave de KMS se cifra de forma predeterminada cuando se genera en el HSM. El material de claves se descifra solo en la memoria volátil del HSM y solo durante los pocos milisegundos que se necesitan para usarlo en una operación criptográfica. Siempre que el material de claves no esté en uso activo, se cifra dentro del HSM y se transfiere a un almacenamiento persistente de alta durabilidad (99,999999999 %) y baja latencia, donde permanece separado y aislado de los HSM. El material de claves de texto sin formato nunca sale de los límites de seguridad del HSM; nunca se escribe en un disco ni permanece en ningún medio de almacenamiento. (La única excepción es la clave pública de un par de claves asimétricas, que no es secreta).

AWS afirma como un principio de seguridad fundamental que no hay interacción humana con el material criptográfico de claves de texto sin formato de ningún tipo en ningún Servicio de AWS. No existe ningún mecanismo que permita a nadie, incluidos los operadores del Servicio de AWS, ver, acceder o exportar el material de claves en texto sin formato. Este principio se aplica incluso durante fallos catastróficos y eventos de recuperación de desastres. El material de claves de cliente en texto sin formato en AWS KMS se utiliza para operaciones criptográficas en los HSM validados por FIPS de AWS KMS únicamente en respuesta a las solicitudes autorizadas que el cliente o su delegado hagan al servicio.

En el caso de las claves administradas por el cliente, la Cuenta de AWS que crea la clave es la propietaria única e intransferible de la clave. La cuenta propietaria tiene el control total y exclusivo sobre las políticas de autorización que controlan el acceso a la clave. En el caso de las Claves administradas por AWS, Cuenta de AWS tiene el control total sobre las políticas de IAM que autorizan las solicitudes al Servicio de AWS.

Protección del material de claves generado fuera de AWS KMS

AWS KMS proporciona alternativas al material de claves generado en AWS KMS.

Almacenes de claves personalizados, una característica de AWS KMS opcional, le permite crear claves de KMS respaldadas por el material de claves generado y utilizado fuera de AWS KMS. Las claves de KMS de los almacenes de claves de AWS CloudHSM están respaldadas por las claves de los módulos de seguridad de hardware (AWS CloudHSM) que controla. Estos HSM están certificados por FIPS 140-2 Nivel 3. Las claves de KMS de los almacenes de claves externos están respaldadas por claves de un administrador de claves externo que el usuario controla y administra desde fuera de AWS, como un HSM físico en su centro de datos privado.

Otra característica opcional le permite importar el material de claves para obtener una clave KMS Para proteger el material de claves importado mientras está en tránsito en AWS KMS, tiene que cifrar el material de claves con una clave pública de un par de claves RSA generado en un HSM de AWS KMS. El material de claves importado se descifra en un HSM de AWS KMS y se vuelve a cifrar en una clave simétrica en el HSM. Como todo material de claves de AWS KMS, el material de claves importado de texto sin formato nunca sale de los HSM sin cifrar. Sin embargo, el cliente que proporcionó el material de claves es responsable del uso seguro, la durabilidad y el mantenimiento del material de claves fuera de AWS KMS.

Cifrado de datos

Los datos en AWS KMS constan de AWS KMS keys y el material de claves de cifrado que representan. Este material de claves solo existe en texto sin formato dentro de los módulos de seguridad de hardware (HSM) de AWS KMS y solo cuando estén en uso. De lo contrario, el material de la clave se cifra y se almacena en almacenamiento persistente duradero.

El material de claves que AWS KMS genera para claves KMS nunca sale del límite de los HSM de AWS KMS sin cifrar. No se exporta ni transmite en ninguna operación de la API de AWS KMS. La excepción es para Claves multirregión, donde AWS KMS utiliza un mecanismo de replicación entre regiones para copiar el material de clave de una clave multirregión desde un HSM en una Región de AWS a un HSM en una Región de AWS diferente. Para obtener más información, consulte Proceso de replicación de claves multirregión en Detalles criptográficos de AWS Key Management Service.

Cifrado en reposo

AWS KMS genera material de claves para AWS KMS keys en los módulos de seguridad de hardware (HSM) que cumplen con FIPS 140-2 Nivel 3. La única excepción son las regiones de China, donde los HSM que AWS KMS utiliza para generar las claves KMS cumplen con todas las normas chinas pertinentes, pero no están validados de acuerdo con el Programa de validación de módulos criptográficos de FIPS 140-2. Cuando no se utiliza, el material de claves se cifra mediante una clave de HSM y se escribe en un almacenamiento duradero y persistente. El material de las claves KMS y las claves de cifrado que protegen el material de claves nunca dejan los HSM en forma de texto sin formato.

El cifrado y la administración del material de claves para las claves KMS está completamente a cargo de AWS KMS.

Para obtener más información, consulte Uso de AWS KMS keys en Detalles criptográficos AWS Key Management Service

Cifrado en tránsito

El material de claves que AWS KMS genera para claves KMS nunca se exporta ni transmite en operaciones de la API de AWS KMS. AWS KMS utiliza identificadores clave para representar las claves KMS en las operaciones de API. Del mismo modo, el material de las claves KMS en los almacenes de claves personalizados de AWS KMS no es exportable y nunca se transmite en operaciones de la API AWS KMS o AWS CloudHSM.

Sin embargo, algunas operaciones de la API de AWS KMS devuelven claves de datos. Además, los clientes pueden usar las operaciones de la API para importar material de claves para las claves KMS seleccionadas.

Todas las llamadas a la API de AWS KMS deben firmarse y transmitirse mediante el protocolo de seguridad de la capa de transporte (TLS). AWS KMS requiere TLS 1.2 y recomienda TLS 1.3 en todas las regiones. AWS KMS también es compatible con la TLS poscuántica híbrida para los puntos de conexión del servicio AWS KMS en todas las regiones, excepto en las regiones de China. AWS KMS no admite la TLS poscuántica híbrida para los puntos de conexión FIPS en AWS GovCloud (US). Las llamadas a AWS KMS también requieren un paquete de cifrado moderno que admita secreto perfecto en el futuro, lo que significa que el compromiso de cualquier secreto, como una clave privada, no comprometa también la clave de sesión.

Si necesita módulos criptográficos validados FIPS 140-2 al acceder a AWS a través de una interfaz de línea de comandos o una API, utilice un punto de conexión de FIPS. Para utilizar los puntos de conexión estándar de AWS KMS o los puntos de conexión FIPS de AWS KMS, los clientes deben admitir TLS 1.2 o una versión posterior. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte Estándar de procesamiento de la información federal (FIPS) 140-2. Para obtener una lista de los puntos de conexión FIPS de AWS KMS, consulte AWS Key Management Service endpoints and quotas en la Referencia general de AWS.

Las comunicaciones entre anfitriones de servicios de AWS KMS y los HSM están protegidos mediante la criptografía de curva elíptica (ECC) y el estándar de cifrado avanzado (AES) en un esquema de cifrado autenticado. Para obtener más detalles, consulte Seguridad de la comunicación interna en Detalles criptográficos de AWS Key Management Service

Privacidad del tráfico entre redes

AWS KMS admite una AWS Management Console y un conjunto de operaciones de API que le permiten crear y administrar AWS KMS keys y usarlos en operaciones criptográficas.

AWS KMS admite dos opciones de conectividad de red desde su red privada a AWS.

Todas las llamadas de la API de AWS KMS deben firmarse y transmitirse mediante seguridad de la capa de transporte (TLS). Las llamadas también requieren un paquete de cifrado moderno que admita el secreto perfecto en el futuro. El tráfico a los módulos de seguridad de hardware (HSM) que almacenan material de claves para las claves KMS solo se permite desde anfitriones de la API de AWS KMS a través de la red interna de AWS

Para conectarse directamente a AWS KMS desde su nube virtual privada (VPC) sin enviar tráfico a través del Internet público, use puntos de enlace de la VPC, con AWS PrivateLink. Para obtener más información, consulte Conexión a AWS KMS a través de un punto de conexión de VPC.

AWS KMS admite también una opción de intercambio híbrido postcuántico de claves para el protocolo de cifrado de red Transport Layer Security (TLS). Puede utilizar esta opción de TLS cuando se conecte a los puntos de enlace de la API de AWS KMS.