Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Almacenes de claves

Un almacén de claves es una ubicación segura para almacenar y utilizar claves criptográficas. El almacén de claves predeterminado AWS KMS también admite métodos para generar y administrar las claves que almacena. De forma predeterminada, el material de claves criptográficas para el AWS KMS keys que se crea AWS KMS se genera y se protege mediante módulos de seguridad de hardware (HSMs) que forman parte del programa de validación de módulos criptográficos FIPS 140-3. El material clave de sus claves KMS nunca se deja sin cifrar. HSMs

AWS KMS admite varios tipos de almacenes de claves para proteger el material de claves cuando se utiliza AWS KMS para crear y administrar las claves de cifrado. Todas las opciones de almacenamiento de claves que ofrece AWS KMS se validan continuamente según la norma FIPS 140-3 en el nivel de seguridad 3 y están diseñadas para impedir que cualquier persona, incluidos AWS los operadores, acceda a sus claves en texto simple o las utilice sin su permiso.

AWS KMS almacén de claves estándar

De forma predeterminada, se crea una clave KMS mediante el AWS KMS HSM estándar. Este tipo de HSM puede considerarse como una flota multiusuario HSMs que permite disponer del almacén de claves más escalable, económico y fácil de gestionar desde tu perspectiva. Si va a crear una clave KMS para utilizarla en uno o varios Servicios de AWS servidores para que el servicio pueda cifrar sus datos por usted, creará una clave simétrica. Si utiliza una clave KMS para el diseño de su propia aplicación, puede optar por crear una clave de cifrado simétrica, una clave asimétrica o una clave HMAC.

En la opción de almacenamiento de claves estándar, AWS KMS crea la clave y, a continuación, la cifra con las claves que el servicio administra internamente. A continuación, se almacenan varias copias de las versiones cifradas de sus claves en sistemas diseñados para ser duraderos. Al generar y proteger el material de claves en el tipo de almacén de claves estándar, podrá aprovechar al máximo la escalabilidad, la disponibilidad y la durabilidad de los almacenes de AWS claves AWS KMS con la carga operativa y el coste más bajos.

AWS KMS almacén de llaves estándar con material clave importado

En lugar de solicitar AWS KMS que se generen y almacenen las únicas copias de una clave determinada, puede optar por importar el material clave AWS KMS, lo que le permite generar su propia clave de cifrado simétrica de 256 bits, una clave RSA o de curva elíptica (ECC) o una clave de código de autenticación de mensajes basado en hash (HMAC) y aplicarla a un identificador de clave KMS (keyID). A veces, esto se denomina traiga su propia clave (BYOK). El material clave importado de su sistema de administración de claves local debe protegerse mediante una clave pública emitida por AWS KMS, un algoritmo de empaquetado criptográfico compatible y un token de importación basado en el tiempo proporcionado por AWS KMS. Este proceso verifica que un HSM de AWS KMS solo pueda descifrar la clave importada y cifrada una vez que haya salido del entorno.

El material clave importado puede ser útil si tiene requisitos específicos en relación con el sistema que genera las claves o si desea una copia de la clave AWS como copia de seguridad. Sigue siendo responsable de la disponibilidad y la durabilidad generales del material de claves. Si bien AWS KMS tiene una copia de tu clave importada y estará disponible en cualquier momento mientras la necesites, las claves importadas ofrecen una API especial para eliminarla: DeleteImportedKeyMaterial Esta API eliminará inmediatamente todas las copias del material de claves AWS KMS importado que contenga, sin opción de AWS recuperar la clave. Además, puede establecer un período de caducidad para una clave importada, después del cual la clave quedará inutilizable. Para que la clave vuelva a ser útil AWS KMS, tendrás que volver a importar el material clave y asignarlo al mismo KeyID. Esta acción de eliminación de las claves importadas es diferente a la de las claves estándar que se AWS KMS generan y almacenan por ti mismo. En el caso habitual, el proceso de eliminación de claves tiene un período de espera obligatorio en el que primero se bloquea el uso de una clave cuya eliminación está programada. Esta acción te permite ver los errores de acceso denegado en los registros de cualquier aplicación o AWS servicio que pueda necesitar esa clave para acceder a los datos. Si ve dichas solicitudes de acceso, puede optar por cancelar la eliminación programada y volver a habilitar la clave. Tras un período de espera configurable (entre 7 y 30 días), solo entonces KMS eliminará realmente el material clave, el KeyID y todos los metadatos asociados a la clave. Para obtener más información sobre la disponibilidad y la durabilidad, consulte Protección del material clave importado en la Guía para AWS KMS desarrolladores.

Hay que tener en cuenta que el material de claves importado presenta algunas limitaciones adicionales. Como AWS KMS no puede generar material de claves nuevo, no hay forma de configurar la rotación automática de las claves importadas. Deberá crear una nueva clave de KMS con un nuevo keyId y, a continuación, importar el nuevo material de claves para lograr una rotación efectiva. Además, los textos cifrados creados AWS KMS con una clave simétrica importada no se pueden descifrar fácilmente utilizando una copia local de la clave externa a. AWS Esto se debe a que el formato de cifrado autenticado que utiliza AWS KMS agrega metadatos adicionales al texto cifrado para garantizar, durante la operación de descifrado, que el texto cifrado se creó con la clave KMS prevista en una operación de cifrado anterior. La mayoría de los sistemas criptográficos externos no sabrán cómo analizar estos metadatos para acceder al texto cifrado sin procesar y poder utilizar su copia de una clave simétrica. Los textos cifrados creados AWS KMS con claves asimétricas importadas (por ejemplo, RSA o ECC) se pueden utilizar fuera de la parte correspondiente (pública o privada) de la clave, ya que no se añaden metadatos adicionales AWS KMS al texto cifrado.

AWS KMS almacenes de claves personalizados

Sin embargo, si necesita un control aún mayor del HSMs, puede crear un almacén de claves personalizado.

Un almacén de claves personalizado es un almacén de claves interno AWS KMS que está respaldado por un administrador de claves externo AWS KMS, del que usted es propietario y administra. Los almacenes de claves personalizados combinan la práctica y completa interfaz de administración de claves AWS KMS con la capacidad de poseer y controlar el material clave y las operaciones criptográficas. Al utilizar una clave de KMS en un almacén de claves personalizado, el administrador de claves realiza las operaciones criptográficas usando sus claves criptográficas. Como resultado, usted asume una mayor responsabilidad por la disponibilidad y durabilidad de las claves criptográficas y por el funcionamiento de las. HSMs

Ser propietario de la suya HSMs puede resultar útil para cumplir con ciertos requisitos normativos que aún no permiten que los servicios web multiusuario, como el almacén de claves KMS estándar, almacenen sus claves criptográficas. Los almacenes de claves personalizados no son más seguros que los almacenes de claves de KMS que se utilizan de forma AWS gestionada HSMs, pero tienen implicaciones de gestión y costes diferentes (y superiores). Como resultado, usted asume una mayor responsabilidad por la disponibilidad y durabilidad de las claves criptográficas y por el funcionamiento de las. HSMs Independientemente de si utiliza el almacén de claves estándar AWS KMS HSMs o uno personalizado, el servicio está diseñado para que nadie, ni siquiera AWS los empleados, pueda recuperar sus claves en texto simple o utilizarlas sin su permiso. AWS KMS admite dos tipos de almacenes de claves personalizados, los almacenes de AWS CloudHSM claves y los almacenes de claves externos.

Características no admitidas

AWS KMS no admite las siguientes funciones en los almacenes de claves personalizados.

AWS CloudHSM almacén de claves

Puede crear una clave de KMS en un AWS CloudHSMalmacén de claves, donde se generan, almacenan y utilizan las claves de usuario raíz en un AWS CloudHSM clúster que usted posee y administra. Las solicitudes AWS KMS para usar una clave para alguna operación criptográfica se reenvían al AWS CloudHSM clúster para realizar la operación. Si bien un AWS CloudHSM clúster lo aloja AWS, es una solución de un solo inquilino que usted administra y opera directamente. Usted es el propietario de gran parte de la disponibilidad y el rendimiento de las claves de KMS de un AWS CloudHSM clúster. Para ver si un almacén de claves AWS CloudHSM personalizado es adecuado para sus necesidades, consulte ¿Son los almacenes de claves AWS KMS personalizados adecuados para usted? en el blog AWS de seguridad.

Almacén de claves externo

Puede configurarlo AWS KMS para utilizar un almacén de claves externo (XKS), donde las claves del usuario raíz se generan, almacenan y utilizan en un sistema de gestión de claves ajeno al Nube de AWS. Las solicitudes a AWS KMS para utilizar una clave para alguna operación criptográfica se reenvían al sistema alojado externamente para realizar la operación. En concreto, las solicitudes se reenvían a un proxy XKS de su red, que luego las reenvía al sistema criptográfico que usted utilice. El proxy de XKS es una especificación de código abierto con la que cualquiera puede integrarse. Muchos proveedores comerciales de administración de claves admiten la especificación XKS Proxy. Como un almacén de claves externo está alojado por usted o por un tercero, usted es el responsable de toda la disponibilidad, durabilidad y rendimiento de las claves del sistema. Para comprobar si un almacén de claves externo es adecuado para sus necesidades, lea Anunciar el almacén de claves AWS KMS externo (XKS) en el blog de AWS noticias.