Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Protección del material de claves importado
El material de claves que importa está protegido en tránsito y en reposo. Antes de importar el material clave, se cifra (o «envuelve») el material clave con la clave pública de un RSA par de claves generado en los módulos de seguridad de AWS KMS hardware (HSMs) validados según el programa de validación de módulos criptográficos FIPS 140-2
Al recibirlo, AWS KMS descifra el material de la clave con la clave privada correspondiente en un AWS KMS HSM y lo vuelve a cifrar con una clave AES simétrica que solo existe en la memoria volátil del. HSM El material clave nunca sale en texto plano. HSM Se descifra solo mientras está en uso y solo dentro AWS KMS HSMs.
El uso de la KMS clave con material clave importado viene determinado únicamente por las políticas de control de acceso que establezca en la KMS clave. Además, puede utilizar alias y etiquetas para identificar y controlar el acceso a la KMS clave. Puede habilitar y deshabilitar la clave, verla y supervisarla mediante servicios como AWS CloudTrail.
Sin embargo, usted conserva la única copia de seguridad de su material de claves. A cambio de esta medida de control adicional, usted es responsable de la durabilidad y la disponibilidad general del material clave importado. AWS KMS está diseñado para mantener una alta disponibilidad del material clave importado. Sin embargo, AWS KMS no mantiene la durabilidad del material clave importado al mismo nivel que el material clave que se AWS KMS genera.
Esta diferencia relativa a la durabilidad es importante en los casos siguientes:
-
Al establecer una fecha de caducidad para el material clave importado, AWS KMS elimina el material clave una vez que caduque. AWS KMS no elimina la KMS clave ni sus metadatos. Puedes crear una CloudWatch alarma de Amazon que te notifique cuando el material clave importado se acerca a su fecha de caducidad.
No puede eliminar el material clave que se AWS KMS genera para una KMS clave ni puede configurar el material AWS KMS clave para que caduque, aunque puede rotarlo.
-
Al eliminar manualmente el material clave importado, AWS KMS elimina el material clave pero no elimina la KMS clave ni sus metadatos. Por el contrario, programar la eliminación de claves requiere un período de espera de 7 a 30 días, tras el cual se eliminan AWS KMS permanentemente la KMS clave, sus metadatos y su material clave.
-
En el improbable caso de que se produzcan algunos fallos en toda la región AWS KMS (por ejemplo, una pérdida total de energía), AWS KMS no podrá restaurar automáticamente el material clave importado. Sin embargo, AWS KMS puede restaurar la KMS clave y sus metadatos.
Debe conservar una copia del material clave importado fuera del AWS sistema que controle. Se recomienda almacenar una copia exportable del material clave importado en un sistema de gestión de claves, como unHSM. Si el material clave importado se elimina o caduca, la KMS clave asociada quedará inutilizable hasta que vuelva a importar el mismo material clave. Si el material clave importado se pierde permanentemente, cualquier texto cifrado con la clave será irrecuperable. KMS
