Descargar claves públicas - AWS Key Management Service
Consideraciones especiales para descargar claves públicasDescargar una clave pública (consola)Descargar una clave pública (AWS KMS API)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Descargar claves públicas

Puede ver, copiar y descargar la clave pública de un par de claves KMS asimétricas mediante la AWS KMS API AWS Management Console o la misma. Debe tener el permiso kms:GetPublicKey en la clave KMS asimétrica.

Cada par de claves KMS asimétricas consta de una clave privada que nunca sale AWS KMS sin cifrar y una clave pública que puede descargar y compartir.

Puede compartir una clave pública para que otras personas puedan cifrar datos ajenos a los AWS KMS que solo puede descifrar con su clave privada. O bien, para permitir que otros verifiquen una firma digital fuera del AWS KMS que haya generado con su clave privada. O bien, para compartir tu clave pública con un compañero para obtener un secreto compartido.

Si utilizas la clave pública en tu clave KMS asimétrica interna AWS KMS, te beneficias de la autenticación, la autorización y el registro que forman parte de cada AWS KMS operación. También reduce el riesgo de cifrar datos que no se pueden descifrar. Estas funciones no son efectivas fuera de AWS KMS. Para obtener más detalles, consulte Consideraciones especiales para descargar claves públicas.

sugerencia

¿Busca claves de datos o claves SSH? En este tema se explica cómo administrar claves asimétricas en AWS Key Management Service, donde la clave privada no es exportable. Para ver los pares de claves de datos exportables en los que la clave privada está protegida por una clave KMS de cifrado simétrico, consulte. GenerateDataKeyPair Para obtener ayuda con la descarga de la clave pública asociada a una instancia de Amazon EC2, consulte Recuperación de la clave pública en la Guía del usuario de Amazon EC2 y en la Guía del usuario de Amazon EC2.

Consideraciones especiales para descargar claves públicas

Para proteger sus claves de KMS, AWS KMS proporciona controles de acceso, cifrado autenticado y registros detallados de cada operación. AWS KMS también le permite impedir el uso de claves KMS, de forma temporal o permanente. Por último, AWS KMS las operaciones están diseñadas para minimizar el riesgo de cifrar datos que no se pueden descifrar. Estas funciones no están disponibles cuando se utilizan claves públicas descargadas fuera de. AWS KMS

Autorización

Las políticas clave y las políticas de IAM que controlan el acceso a la clave KMS interna no AWS KMS tienen ningún efecto en las operaciones que se realizan fuera de AWS ella. Cualquier usuario que pueda obtener la clave pública puede utilizarla fuera de ella, AWS KMS incluso si no tiene permiso para cifrar datos o verificar las firmas con la clave KMS.

Restricciones de uso de las claves

Las restricciones de uso de claves no entran en vigor fuera de AWS KMS. Si llama a la operación de cifrado con una clave KMS que tiene un KeyUsage deSIGN_VERIFY, se produce un error en la AWS KMS operación. Sin embargo, si cifra datos de forma externa AWS KMS con una clave pública de una clave KMS con un KeyUsage de SIGN_VERIFY oKEY_AGREEMENT, los datos no se pueden descifrar.

Restricciones del algoritmo

Las restricciones a los algoritmos de cifrado y firma que AWS KMS admiten no son efectivas fuera de. AWS KMS Si cifra los datos con la clave pública de una clave de KMS ajena a ella AWS KMS y utiliza un algoritmo de cifrado que AWS KMS no lo admite, los datos no se pueden descifrar.

Desactivar y eliminar claves KMS

Las medidas que puede tomar para impedir el uso de la clave KMS en una operación criptográfica interna AWS KMS no impiden que nadie utilice la clave pública fuera de ella. AWS KMS Por ejemplo, desactivar una clave KMS, programar la eliminación de una clave KMS, eliminar una clave KMS o eliminar el material de claves de una clave KMS no tienen ningún efecto en una clave pública fuera de AWS KMS. Si eliminas una clave KMS asimétrica o eliminas o pierdes su material clave, los datos que no hayas cifrado con una clave pública no se podrán recuperar. AWS KMS

Registro

AWS CloudTrail los registros que registran todas las AWS KMS operaciones, incluidas la solicitud, la respuesta, la fecha, la hora y el usuario autorizado, no registran el uso de la clave pública fuera de ella. AWS KMS

Verificación sin conexión con pares de claves SM2 (solo en las regiones de China)

Para verificar una firma fuera o AWS KMS con una clave pública SM2, debe especificar el identificador distintivo. De forma predeterminada, se AWS KMS utiliza 1234567812345678 como identificador distintivo. Para más información, consulte Verificación sin conexión con pares de claves SM2 (solo en las regiones de China)

Descargar una clave pública (consola)

Puede utilizar el AWS Management Console para ver, copiar y descargar la clave pública desde una clave KMS asimétrica de su. Cuenta de AWS Para descargar la clave pública de una clave KMS asimétrica en otro lugar Cuenta de AWS, utilice la AWS KMS API.

  1. Inicia sesión en la consola AWS Key Management Service (AWS KMS) AWS Management Console y ábrela en https://console.aws.amazon.com/kms.

  2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Elija el alias o el ID de clave de una clave KMS asimétrica.

  5. Elija la pestaña Cryptographic configuration (Configuración criptográfica). Registre los valores de los campos Key spec (Especificación de clave), Key usage (Uso de claves) y Encryption algorithms (Algoritmos de cifrado) o Signing Algorithms (Algoritmos de firma). Deberás usar estos valores para usar la clave pública fuera de. AWS KMS Asegúrese de compartir esta información cuando comparta la clave pública.

  6. Seleccione la pestaña Public key (Clave pública).

  7. Para copiar la clave pública al portapapeles, elija Copy (Copiar). Para descargar la clave pública en un archivo, elija Download (Descargar).

Descargar una clave pública (AWS KMS API)

La GetPublicKeyoperación devuelve la clave pública en una clave KMS asimétrica. También devuelve información crítica que es necesaria para utilizar correctamente la clave pública AWS KMS, como el uso de claves y los algoritmos de cifrado. Asegúrese de guardar estos valores y compartirlos siempre que comparta la clave pública.

En los ejemplos de esta sección, se utiliza la AWS Command Line Interface (AWS CLI), pero puede usar cualquier lenguaje de programación admitido.

Para especificar una clave KMS, utilice el ID de la clave, ARN de la clave, nombre de alias o ARN del alias. Cuando utilice un nombre del alias, utilice el prefijo alias/. Para especificar una clave de KMS en otra Cuenta de AWS, debe usar su clave ARN o su alias ARN.

Antes de ejecutar este comando, sustituya el nombre del alias de ejemplo por un identificador válido para la clave KMS. Para ejecutar este comando, debe tener permisos de kms:GetPublicKey en la clave KMS.

$ aws kms get-public-key --key-id alias/example_RSA_3072

{
    "KeySpec": "RSA_3072",
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyUsage": "ENCRYPT_DECRYPT",
    "EncryptionAlgorithms": [
        "RSAES_OAEP_SHA_1",
        "RSAES_OAEP_SHA_256"
    ],
    "PublicKey": "MIIBojANBgkqhkiG..."
}