Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Puede crear claves HMAC KMS en la AWS KMS consola mediante el CreateKeyAPI o mediante la AWS::KMS::Key AWS CloudFormation plantilla.
Al crear una clave HMAC KMS, debe seleccionar una especificación clave. AWS KMS admite varias especificaciones clave para las claves HMAC KMS. La especificación de clave que seleccione podría estar determinada por requisitos normativos, de seguridad o empresariales. En general, las claves más largas son más resistentes a los ataques de fuerza bruta.
Para obtener información sobre los permisos necesarios para crear claves de KMS, consulte Permisos para crear claves KMS.
Puede utilizarla AWS Management Console para crear claves HMAC KMS. Las claves KMS HMAC son claves simétricas con un uso de claves de Generate and verify MAC (Generar y verificar MAC). También puede crear claves HMAC de varias regiones.
-
Inicie sesión en la consola AWS Key Management Service (AWS KMS) AWS Management Console y ábrala en https://console.aws.amazon.com/kms.
-
Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
-
En el panel de navegación, elija Claves administradas por el cliente.
-
Elija Crear clave.
-
En Key type (Tipo de clave), elija Symmetric (Simétrica).
Las claves KMS HMAC son simétricas. Utilice la misma clave para generar y verificar etiquetas HMAC.
-
Para Key usage (Uso de claves), elija Generate and verify MAC (Generar y verificar MAC).
Generar y verificar que MAC es el único uso de clave válido para las claves KMS HMAC.
nota
Key usage (Uso de claves) se muestra para las claves simétricas solo cuando las claves KMS HMAC son compatibles en la región seleccionada.
-
Seleccione una especificación (Key spec [Especificación de clave]) para su clave KMS HMAC.
La especificación de clave que seleccione se puede determinar mediante requisitos normativos, de seguridad o empresariales. En general, las claves más largas son más seguras.
-
Para crear una clave HMAC de varias regiones primaria, en Advanced options (Opciones avanzadas), elija Multi-Region key (Clave de varias regiones). Las propiedades compartidas que defina para esta clave KMS, como su tipo de clave y uso de claves, se compartirán con sus claves de réplica.
No puede utilizar este procedimiento para crear una clave de réplica. Para crear una clave HMAC réplica de varias regiones, siga las instrucciones para crear una clave de réplica.
-
Elija Next (Siguiente).
-
Ingrese un alias para la clave KMS El nombre del alias no puede empezar por
aws/
. El prefijoaws/
está reservado para Amazon Web Services y representa las Claves administradas por AWS de su cuenta.Le recomendamos que utilice un alias que identifique la clave KMS como clave HMAC, como
HMAC/test-key
. De este modo, le resultará más fácil identificar las claves HMAC en la AWS KMS consola, donde podrá ordenar y filtrar las claves por etiquetas y alias, pero no por las especificaciones o el uso de las claves.Los alias son necesarios para crear una clave de KMS en la AWS Management Console. No puede especificar un alias al usar la CreateKeyoperación, pero puede usar la consola o la CreateAliasoperación para crear un alias para una clave de KMS existente. Para obtener más información, consulte Alias en AWS KMS.
-
(Opcional) Ingrese una descripción de la clave KMS.
Escriba una descripción que explique el tipo de datos que piensa proteger o la aplicación que piensa usar con la clave de KMS.
Puede agregar una descripción ahora o actualizarla en cualquier momento, a menos que el estado de la clave sea
Pending Deletion
oPending Replica Deletion
. Para añadir, cambiar o eliminar la descripción de una clave gestionada por el cliente existente, edite la descripción en la página de detalles de la clave KMS AWS Management Console en la operación AWS Management Console o utilice la UpdateKeyDescriptionoperación. -
(Opcional) Ingrese una clave de etiqueta y un value de etiqueta opcional. Para agregar más de una etiqueta a la clave de KMS, elija Agregar etiqueta.
Considere agregar una etiqueta que identifique la clave como una clave HMAC, por ejemplo
Type=HMAC
. Esto le permitirá identificar más fácilmente sus claves HMAC en la AWS KMS consola, donde podrá ordenar y filtrar las claves por etiquetas y alias, pero no por especificaciones o uso de las claves.Al añadir etiquetas a AWS los recursos, AWS genera un informe de asignación de costes con el uso y los costes agregados por etiquetas. Las etiquetas también pueden utilizarse para controlar el acceso a una clave KMS. Para obtener información acerca del etiquetado de claves KMS, consulte Etiquetas en AWS KMS y ABAC para AWS KMS.
-
Elija Next (Siguiente).
-
Seleccione los usuarios y roles de IAM que pueden administrar la clave de KMS.
Notas
Esta política clave proporciona el control Cuenta de AWS total de esta clave de KMS. Permite a los administradores de cuentas utilizar las políticas de IAM para dar permiso a otras entidades principales para administrar la clave KMS. Para obtener más información, consulte Política de claves predeterminada.
Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección Prácticas recomendadas de seguridad de IAM en la Guía del usuario de IAM;.
La AWS KMS consola agrega administradores de claves a la política de claves bajo el identificador de la declaración
"Allow access for Key Administrators"
. La modificación de este identificador de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración. -
(Opcional) Para evitar que los usuarios y los roles de IAM seleccionados eliminen esta clave de KMS, en la sección Eliminación de claves situada en la parte inferior de la página, desactive la casilla Permitir que los administradores de claves eliminen esta clave.
-
Elija Next (Siguiente).
-
Seleccione los usuarios y roles de IAM que pueden usar la clave de KMS en operaciones criptográficas.
Notas
Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección Prácticas recomendadas de seguridad de IAM en la Guía del usuario de IAM;.
La AWS KMS consola agrega los usuarios clave a la política clave en los identificadores de la declaración
"Allow use of the key"
y"Allow attachment of persistent resources"
. La modificación de estos identificadores de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración. -
(Opcional) Puede permitir que otras personas Cuentas de AWS usen esta clave KMS para operaciones criptográficas. Para ello, en la parte inferior de la página de la sección Other Cuentas de AWS(Otras), elija Add another Cuenta de AWS(Agregar otra) e ingrese el número de identificación de Cuenta de AWS de una cuenta externa. Para agregar varias cuentas externas, repita este paso.
nota
Para permitir que las entidades principales de las cuentas externas usen la clave KMS, los administradores de la cuenta externa también deben crear las políticas de IAM que proporcionan estos permisos. Para obtener más información, consulte Permitir a los usuarios de otras cuentas utilizar una clave KMS.
-
Elija Next (Siguiente).
-
Revise las principales declaraciones de política de la clave. Para realizar cambios en la política clave, selecciona Editar.
-
Elija Next (Siguiente).
-
Revise los ajustes de clave que ha elegido. Aún puede volver atrás y cambiar todos los ajustes.
-
Elija Finish (Finalizar) para crear la clave KMS HMAC.
Puede utilizar la CreateKeyoperación para crear una clave HMAC KMS. En estos ejemplos, se utiliza la AWS Command Line Interface (AWS CLI)
Al crear una clave KMS HMAC, debe especificar el parámetro KeySpec
, que determina el tipo de clave KMS. Además, debe especificar un valor KeyUsage
de GENERATE_VERIFY_MAC, aunque sea el único valor de uso de claves válido para claves HMAC. Para crear una clave KMS HMAC de múltiples regiones, agregue el parámetro MultiRegion
con un valor de true
. No puede cambiar estas propiedades después de que se cree la clave de KMS.
La CreateKey
operación no le permite especificar un alias, pero puede utilizarla para crear un alias para la CreateAliasnueva clave KMS. Le recomendamos que utilice un alias que identifique la clave KMS como clave HMAC, como HMAC/test-key
. Esto le permitirá identificar sus claves HMAC con más facilidad en la AWS KMS consola, donde podrá ordenar y filtrar las claves por alias, pero no por especificación o uso de claves.
Si intenta crear una clave HMAC KMS Región de AWS en una que no sea compatible con las claves HMAC, la operación devuelve un CreateKey
UnsupportedOperationException
El siguiente ejemplo utiliza la operación CreateKey
para crear una clave KMS HMAC de 512 bits.
$
aws kms create-key --key-spec HMAC_512 --key-usage GENERATE_VERIFY_MAC
{
"KeyMetadata": {
"KeyState": "Enabled",
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyManager": "CUSTOMER",
"Description": "",
"Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"CreationDate": 1669973196.214,
"MultiRegion": false,
"KeySpec": "HMAC_512",
"CustomerMasterKeySpec": "HMAC_512",
"KeyUsage": "GENERATE_VERIFY_MAC",
"MacAlgorithms": [
"HMAC_SHA_512"
],
"AWSAccountId": "111122223333",
"Origin": "AWS_KMS",
"Enabled": true
}
}