Creación de una clave KMS HMAC - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de una clave KMS HMAC

Puede crear claves KMS HMAC en la consola de AWS KMS, mediante la API de CreateKey o mediante una plantilla de AWS CloudFormation AWS::KMS::Key.

Cuando crea una clave KMS HMAC, debe seleccionar una especificación de clave. AWS KMS admite múltiples especificaciones de clave para claves KMS HMAC. La especificación de clave que seleccione podría estar determinada por requisitos normativos, de seguridad o empresariales. En general, las claves más largas son más resistentes a los ataques de fuerza bruta.

Para obtener información sobre los permisos necesarios para crear claves de KMS, consulte Permisos para crear claves KMS.

Puede utilizar la AWS Management Console para crear claves KMS HMAC. Las claves KMS HMAC son claves simétricas con un uso de claves de Generate and verify MAC (Generar y verificar MAC). También puede crear claves HMAC de varias regiones.

  1. Inicie sesión en la AWS Management Console y abra la consola AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Elija Create key.

  5. En Key type (Tipo de clave), elija Symmetric (Simétrica).

    Las claves KMS HMAC son simétricas. Utilice la misma clave para generar y verificar etiquetas HMAC.

  6. Para Key usage (Uso de claves), elija Generate and verify MAC (Generar y verificar MAC).

    Generar y verificar que MAC es el único uso de clave válido para las claves KMS HMAC.

    nota

    Key usage (Uso de claves) se muestra para las claves simétricas solo cuando las claves KMS HMAC son compatibles en la región seleccionada.

  7. Seleccione una especificación (Key spec [Especificación de clave]) para su clave KMS HMAC.

    La especificación de clave que seleccione se puede determinar mediante requisitos normativos, de seguridad o empresariales. En general, las claves más largas son más seguras.

  8. Para crear una clave HMAC de varias regiones primaria, en Advanced options (Opciones avanzadas), elija Multi-Region key (Clave de varias regiones). Las propiedades compartidas que defina para esta clave KMS, como su tipo de clave y uso de claves, se compartirán con sus claves de réplica.

    No puede utilizar este procedimiento para crear una clave de réplica. Para crear una clave HMAC réplica de varias regiones, siga las instrucciones para crear una clave de réplica.

  9. Elija Siguiente.

  10. Ingrese un alias para la clave KMS El nombre del alias no puede empezar por aws/. El prefijo aws/ está reservado para Amazon Web Services y representa las Claves administradas por AWS de su cuenta.

    Le recomendamos que utilice un alias que identifique la clave KMS como clave HMAC, como HMAC/test-key. Esto le facilitará la identificación de claves HMAC en la consola AWS KMS en la que puede ordenar y filtrar claves por etiquetas y alias, pero no por especificación de la clave o uso de claves.

    Los alias son necesarios para crear una clave de KMS en la AWS Management Console. No puede especificar un alias cuando utilice la operación CreateKey, pero puede utilizar la consola o la operación CreateAlias para crear un alias para una clave KMS existente. Para obtener más información, consulte Alias en AWS KMS.

  11. (Opcional) Ingrese una descripción de la clave KMS.

    Escriba una descripción que explique el tipo de datos que piensa proteger o la aplicación que piensa usar con la clave de KMS.

    Puede agregar una descripción ahora o actualizarla en cualquier momento, a menos que el estado de la clave sea Pending Deletion o Pending Replica Deletion. Para agregar, cambiar o eliminar la descripción de una clave KMS administrada por el cliente existente, edite la descripción en la página de detalles para la clave KMS en la AWS Management Console en la AWS Management Console o utilice la operación UpdateKeyDescription.

  12. (Opcional) Ingrese una clave de etiqueta y un value de etiqueta opcional. Para agregar más de una etiqueta a la clave de KMS, elija Agregar etiqueta.

    Considere agregar una etiqueta que identifique la clave como una clave HMAC, por ejemplo Type=HMAC. Esto le facilitará la identificación de claves HMAC en la consola AWS KMS en la que puede ordenar y filtrar claves por etiquetas y alias, pero no por especificación de clave o uso de claves.

    Cuando se agregan etiquetas a los recursos de AWS, AWS genera un informe de asignación de costos con el uso y los costos agregados por etiquetas. Las etiquetas también pueden utilizarse para controlar el acceso a una clave KMS. Para obtener información acerca del etiquetado de claves KMS, consulte Etiquetas en AWS KMS y ABAC para AWS KMS.

  13. Elija Siguiente.

  14. Seleccione los usuarios y roles de IAM que pueden administrar la clave de KMS.

    nota

    Esta política de claves proporciona a la Cuenta de AWS control total de esta clave KMS. Permite a los administradores de cuentas utilizar las políticas de IAM para dar permiso a otras entidades principales para administrar la clave KMS. Para obtener más información, consulte Política de claves predeterminada.

    Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección Prácticas recomendadas de seguridad de IAM en la Guía del usuario de IAM;.

  15. (Opcional) Para evitar que los usuarios y los roles de IAM seleccionados eliminen esta clave de KMS, en la sección Eliminación de claves situada en la parte inferior de la página, desactive la casilla Permitir que los administradores de claves eliminen esta clave.

  16. Elija Siguiente.

  17. Seleccione los usuarios y roles de IAM que pueden usar la clave de KMS en operaciones criptográficas.

    nota

    Esta política de claves proporciona a la Cuenta de AWS control total de esta clave KMS. Permite a los administradores de cuentas utilizar las políticas de IAM para dar permiso a otras entidades principales para utilizar la clave KMS. Para obtener más información, consulte Política de claves predeterminada.

    Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección Prácticas recomendadas de seguridad de IAM en la Guía del usuario de IAM;.

  18. (Opcional) Puede permitir que otras cuentas de Cuentas de AWS usen esta clave de KMS en operaciones criptográficas. Para ello, en la parte inferior de la página de la sección Other Cuentas de AWS (Otras), elija Add another Cuenta de AWS (Agregar otra) e ingrese el número de identificación de Cuenta de AWS de una cuenta externa. Para agregar varias cuentas externas, repita este paso.

    nota

    Para permitir que las entidades principales de las cuentas externas usen la clave KMS, los administradores de la cuenta externa también deben crear las políticas de IAM que proporcionan estos permisos. Para obtener más información, consulte Permitir a los usuarios de otras cuentas utilizar una clave KMS.

  19. Elija Siguiente.

  20. Revise los ajustes de clave que ha elegido. Aún puede volver atrás y cambiar todos los ajustes.

  21. Elija Finish (Finalizar) para crear la clave KMS HMAC.

No puede usar la operación CreateKey para crear una clave KMS HMAC. En estos ejemplos, se utiliza la AWS Command Line Interface (AWS CLI), pero puede usar cualquier lenguaje de programación admitido.

Al crear una clave KMS HMAC, debe especificar el parámetro KeySpec, que determina el tipo de clave KMS. Además, debe especificar un valor KeyUsage de GENERATE_VERIFY_MAC, aunque sea el único valor de uso de claves válido para claves HMAC. Para crear una clave KMS HMAC de múltiples regiones, agregue el parámetro MultiRegion con un valor de true. No puede cambiar estas propiedades después de que se cree la clave de KMS.

La operación CreateKey no le permite especificar un alias, pero puede usar la operación CreateAlias para crear un alias para la nueva clave KMS. Le recomendamos que utilice un alias que identifique la clave KMS como clave HMAC, como HMAC/test-key. Esto le facilitará la identificación de claves HMAC en la consola de AWS KMS en la que puede ordenar y filtrar claves por alias, pero no por especificación de la clave o uso de claves.

Si intenta crear una clave de KMS HMAC en una Región de AWS en la que no se admiten claves HMAC, la operación CreateKey devuelve una UnsupportedOperationException.

El siguiente ejemplo utiliza la operación CreateKey para crear una clave KMS HMAC de 512 bits.

$ aws kms create-key --key-spec HMAC_512 --key-usage GENERATE_VERIFY_MAC
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": 1669973196.214,
        "MultiRegion": false,
        "KeySpec": "HMAC_512",
        "CustomerMasterKeySpec": "HMAC_512",
        "KeyUsage": "GENERATE_VERIFY_MAC",
        "MacAlgorithms": [
            "HMAC_SHA_512"
        ],
        "AWSAccountId": "111122223333",
        "Origin": "AWS_KMS",
        "Enabled": true
    }
}