Crear una KMS clave con material clave importado - AWS Key Management Service
Permisos para importar material de claveRequisitos para el material de claves importado

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crear una KMS clave con material clave importado

El material clave importado le permite proteger sus AWS recursos con las claves criptográficas que usted genere. El material clave que importe está asociado a una KMS clave concreta. Puede volver a importar el mismo material clave a la misma KMS clave, pero no puede importar material clave diferente a la KMS clave ni convertir una KMS clave diseñada para material clave importado en una KMS clave con material AWS KMS clave.

En la siguiente información general se explica cómo importar el material de claves en AWS KMS. Para obtener más información sobre cada paso del proceso, consulte el tema correspondiente.

  1. Cree una KMS clave sin material clave: el origen debe serEXTERNAL. Un origen de clave de EXTERNAL indica que la clave está diseñada para material clave importado y AWS KMS evita que se genere material clave para la KMS clave. En un paso posterior, importará su propio material clave a esta KMS clave.

    El material clave que importe debe ser compatible con la especificación clave de la clave asociada AWS KMS . Para obtener más información sobre la compatibilidad, consulte Requisitos para el material de claves importado.

  2. Descargar la clave pública de encapsulamiento y el token de importación: después de completar el paso 1, descargue una clave pública de encapsulamiento y un token de importación. Estos elementos protegen el material de claves mientras se importa a AWS KMS.

    En este paso, elige el tipo («especificación clave») de la clave de RSA empaquetado y el algoritmo de empaquetado que utilizará para cifrar los datos en tránsito. AWS KMS Puede elegir una especificación de clave de encapsulamiento y un algoritmo de clave de encapsulamiento diferentes cada vez que importe o vuelva a importar el mismo material de claves.

  3. Cifrar el material de claves: utilice la clave pública de encapsulamiento que ha descargado en el paso 2 para cifrar el material de claves que ha creado en su propio sistema.

  4. Importar el material de claves: cargue el material de claves cifrado que ha creado en el paso 3 y el token de importación que ha descargado en el paso 2.

    En esta etapa, puede establecer una fecha de vencimiento opcional. Cuando el material clave importado caduca, lo AWS KMS elimina y la KMS clave queda inutilizable. Para seguir utilizando la KMS clave, debe volver a importar el mismo material clave.

    Cuando la operación de importación se complete correctamente, el estado de la KMS clave cambiará de PendingImport aEnabled. Ahora puede usar la KMS clave en operaciones criptográficas.

AWS KMS registra una entrada en el AWS CloudTrail registro al crear la KMS clave, descargar la clave pública empaquetadora y el token de importación e importar el material de la clave. AWS KMS también registra una entrada cuando se elimina el material clave importado o cuando se AWS KMS elimina el material clave caducado.

Permisos para importar material de clave

Para crear y gestionar KMS claves con material clave importado, el usuario necesita permiso para realizar las operaciones de este proceso. Puede proporcionar los kms:GetParametersForImport kms:DeleteImportedKeyMaterial permisos y kms:ImportKeyMaterial los permisos en la política de claves al crear la KMS clave. En la AWS KMS consola, estos permisos se añaden automáticamente para los administradores de claves al crear una clave con un origen material de clave externo.

Para crear KMS claves con material clave importado, el director necesita los siguientes permisos.

  • kms: CreateKey (IAMpolítica)

    • Para limitar este permiso a KMS las claves con material clave importado, utilice la condición kms: KeyOrigin policy con un valor deEXTERNAL.

      {
  "Sid": "CreateKMSKeysWithoutKeyMaterial",
  "Effect": "Allow",
  "Resource": "*",
  "Action": "kms:CreateKey",
  "Condition": {
    "StringEquals": {
      "kms:KeyOrigin": "EXTERNAL"
    }
  }
}

  • kms: GetParametersForImport (política o IAM política clave)

    • Para limitar este permiso a las solicitudes que utilizan un algoritmo de empaquetado y una especificación clave de empaquetado determinados, usa las condiciones de la WrappingKeySpec política kms: WrappingAlgorithm y kms:.

  • kms: ImportKeyMaterial (política o IAM política clave)

    • Para permitir o prohibir que el material clave caduque y controlar la fecha de caducidad, utilice las condiciones de la ValidTo política kms: ExpirationModel y kms:.

Para volver a importar el material clave importado, el director necesita los ImportKeyMaterial permisos kms: GetParametersForImport y kms:.

Para eliminar el material clave importado, el director necesita el DeleteImportedKeyMaterial permiso kms:.

Por ejemplo, para dar KMSAdminRole permiso al ejemplo para gestionar todos los aspectos de una KMS clave con material clave importado, incluya una declaración de política clave como la siguiente en la política clave de la KMS clave.

{
  "Sid": "Manage KMS keys with imported key material",
  "Effect": "Allow",
  "Resource": "*",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole"
  },
  "Action": [
    "kms:GetParametersForImport",
    "kms:ImportKeyMaterial",
    "kms:DeleteImportedKeyMaterial"
  ]  
}

Requisitos para el material de claves importado

El material clave que importe debe ser compatible con la especificación clave de la KMS clave asociada. Para los pares de claves asimétricas, importe solo la clave privada del par. AWS KMS deriva la clave pública de la clave privada.

AWS KMS admite las siguientes especificaciones clave para KMS las claves con material clave importado.

KMSespecificación clave Requisitos del material de claves

Claves de cifrado simétricas

SYMMETRIC_DEFAULT

256 bits (32 bytes) de datos binarios

En las regiones de China, debe ser un dato binario de 128 bits (16 bytes).
HMACllaves

HMAC_224

HMAC_256

HMAC_384

HMAC_512

 HMACel material clave debe ajustarse a la norma RFC2104.

La longitud de la clave debe coincidir con la longitud especificada en la especificación de la clave.
RSAclave privada asimétrica

RSA_2048

RSA_3072

RSA_4096

 La clave privada RSA asimétrica que importe debe formar parte de un key pair que cumpla con 3447. RFC

Módulo: 2048 bits, 3072 bits o 4096 bits

Número de números primos: 2 (no se admiten claves con varios primosRSA)

El material de clave asimétrica debe estar BER codificado o codificado en el formato #8 DER de los estándares de criptografía de clave pública (PKCS) que cumpla con la norma 5208. RFC
Clave privada asimétrica de curva elíptica

ECCNIST_ _P256 (secp256r1)

ECC_ _P384 (secp384r1) NIST

ECC_ NIST _P521 (secp521r1)

ECC_ SECG _P256K1 (secp256k1)

La clave privada ECC asimétrica que importe debe formar parte de un key pair que cumpla con 5915. RFC

Curva: NIST P-256, NIST P-384, P-521 o SECP256k1 NIST

Parámetros: solo curvas con nombre (se rechazan las claves con parámetros explícitos) ECC

Coordenadas de puntos públicos: pueden estar comprimidas, descomprimidas o ser proyectivas

El material clave asimétrico debe estar BER codificado o DER codificado en el formato #8 de los estándares de criptografía de clave pública (PKCS) que cumpla con la norma 5208. RFC
SM2clave privada asimétrica (solo para las regiones de China)

La clave privada SM2 asimétrica que importe debe formar parte de un key pair que cumpla con la norma GM/T 0003.

Curva: SM2

Parámetros: solo curva con nombre (se rechazan SM2 las claves con parámetros explícitos)

Coordenadas de puntos públicos: pueden estar comprimidas, descomprimidas o ser proyectivas

El material de clave asimétrica debe estar BER codificado o DER codificado en el formato #8 de los estándares de criptografía de clave pública (PKCS) que cumpla con la norma 5208. RFC