Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Consideraciones especiales en relación con el material de claves importado
Antes de decidir importar material clave a AWS KMS, debe comprender las siguientes características del material clave importado.
- Generar el material de clave
-
Es su responsabilidad generar el material de claves con una fuente de aleatoriedad que cumpla sus requisitos de seguridad.
- Puede eliminar el material de clave
-
Puede eliminar el material clave importado de una KMS clave, lo que inutilizará inmediatamente la KMS clave. Además, al importar material clave a una KMS clave, puede determinar si la clave caduca y establecer su fecha de caducidad. Cuando llegue la hora de caducidad, AWS KMS elimina el material clave. Sin el material clave, la KMS clave no se puede utilizar en ninguna operación criptográfica. Para restaurar la clave, debe volver a importar el mismo material en la clave.
- No puede cambiar el material de claves
-
Al importar material clave a una KMS clave, la KMS clave se asocia permanentemente a ese material clave. Puede volver a importar el mismo material clave, pero no puede importar material clave diferente a esa KMS clave. Además, no puede activar la rotación automática de claves para una KMS clave con material clave importado. Sin embargo, puede girar manualmente una KMS clave con material clave importado.
- No puede cambiar el origen del material de claves
-
KMSlas claves diseñadas para material clave importado tienen un valor de origen
EXTERNALque no se puede cambiar. No puede convertir una KMS clave de material clave importado para utilizar material clave de ninguna otra fuente, ni siquiera AWS KMS. Del mismo modo, no puede convertir una KMS clave con material AWS KMS clave en una diseñada para material clave importado. - No puede exportar el material de claves
-
No puede exportar ningún material clave que haya importado. AWS KMS no puede devolverle el material clave importado de ninguna forma. Debe conservar una copia del material clave importado fuera de AWS, preferiblemente en un administrador de claves, como un módulo de seguridad de hardware (HSM), de modo que pueda volver a importar el material clave si lo elimina o caduca.
- Puede crear claves de varias regiones con material de claves importado
-
Las múltiples regiones con material clave importado tienen las características de KMS las llaves con material clave importado y pueden interoperar entre ellas. Regiones de AWS Para crear una clave multirregional con material clave importado, debe importar el mismo material clave a la clave principal y a cada KMS clave de réplica.
- Las claves y HMAC claves asimétricas son portátiles e interoperables
-
Puede utilizar el material de clave asimétrico y el material de HMAC clave de forma externa AWS para interoperar con AWS KMS llaves del mismo material de clave importado.
A diferencia del texto cifrado AWS KMS simétrico, que está inextricablemente vinculado a la KMS clave utilizada en el algoritmo, AWS KMS utiliza formatos estándar HMAC y asimétricos para el cifrado, la firma y la generación. MAC Como resultado, las claves son portátiles y admiten los escenarios tradicionales de claves de depósito de garantía.
Si la KMS clave tiene material clave importado, puede utilizar el material clave importado fuera de él para realizar las siguientes operaciones. AWS
-
HMACclaves: puede verificar una HMAC etiqueta generada por la HMAC KMS clave con material clave importado. También puede usar la HMAC KMS clave con el material clave importado para verificar una HMAC etiqueta que se haya generado fuera del material clave AWS.
-
Claves de cifrado asimétricas: puede utilizar su clave de cifrado asimétrica privada AWS para descifrar un texto cifrado por la KMS clave con la clave pública correspondiente. También puedes usar tu KMS clave asimétrica para descifrar un texto cifrado asimétrico que se haya generado fuera de. AWS
-
Claves de firma asimétricas: puedes usar tu clave de firma asimétrica con material KMS clave importado para verificar las firmas digitales generadas por tu clave de firma privada fuera de. AWS También puedes usar tu clave de firma pública asimétrica fuera de ella AWS para verificar las firmas generadas por tu clave asimétrica. KMS
-
Claves de acuerdo de clave asimétricas: puedes usar tu clave de acuerdo de clave asimétrica con material KMS clave importado para obtener secretos compartidos con alguien ajeno a él. AWS
Si importas el mismo material de claves en diferentes KMS claves de la misma unidad Región de AWS, esas claves también son interoperables. Para crear KMS claves interoperables en diferentes regiones Regiones de AWS, cree una clave multirregional con material clave importado.
-
- Las claves de cifrado simétricas no son portátiles ni interoperables
-
Los textos cifrados simétricos que AWS KMS produce no son portátiles ni interoperables. AWS KMS no publica el formato de texto cifrado simétrico que requiere la portabilidad y el formato puede cambiar sin previo aviso.
-
AWS KMS no puede descifrar los textos cifrados simétricos que no estén cifrados AWS, incluso si utiliza material clave importado.
-
AWS KMS no admite el descifrado de ningún texto cifrado AWS KMS simétrico que no sea AWS KMS, incluso si el texto cifrado se ha cifrado con una clave con material clave importado. KMS
-
KMSlas claves con el mismo material clave importado no son interoperables. El texto cifrado simétrico que AWS KMS genera el texto cifrado específico de cada clave. KMS Este formato de texto cifrado garantiza que solo la KMS clave con la que se cifran los datos pueda descifrarlos.
Además, no puede utilizar ninguna AWS herramienta, como el cifrado del lado del cliente AWS Encryption SDKo Amazon S3, para descifrar AWS KMS textos cifrados simétricos.
Por lo tanto, no puede utilizar claves con material clave importado para respaldar acuerdos de custodia de claves, en los que un tercero autorizado con acceso condicional al material clave puede descifrar determinados textos cifrados fuera de él. AWS KMS Para admitir el depósito de claves, utilice AWS Encryption SDK para cifrar su mensaje bajo una clave que es independiente de AWS KMS.
-
- Usted es responsable de la disponibilidad y durabilidad
-
AWS KMS está diseñado para mantener una alta disponibilidad del material clave importado. Sin embargo, AWS KMS no mantiene la durabilidad del material clave importado al mismo nivel que el material clave que se AWS KMS genera. Para obtener más información, consulte Protección del material de claves importado.
