Almacén de claves de AWS CloudHSM - AWS Key Management Service
Conceptos del almacén de claves de AWS CloudHSM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Almacén de claves de AWS CloudHSM

Un almacén de claves de AWS CloudHSM es un almacén de claves personalizado respaldado por un clúster de AWS CloudHSM. Al crear unAWS KMS key en un almacén de claves personalizado,AWS KMSgenera y almacena material clave no extraíble para la clave KMS en un clúster de AWS CloudHSM que usted posee y administra. Al utilizar una clave KMS en un almacén de claves personalizado, las operaciones criptográficas se realizan en los HSM del clúster. Esta característica combina la comodidad y la integración generalizada de AWS KMS con el control agregado de un clúster de AWS CloudHSM en su Cuenta de AWS.

AWS KMS proporciona soporte total de la consola y de la API para crear, usar y administrar almacenes de claves personalizados. Puede usar las claves KMS de su almacén de claves personalizado de la misma manera que usa cualquier clave KMS. Por ejemplo, puede usar las claves KMS para generar claves de datos y para cifrar datos. También puede usar las claves KMS de su almacén de claves personalizado con servicios de AWS que admiten las administradas por el cliente.

¿Necesito un almacén de claves personalizado?

Para la mayoría de usuarios, el almacén de claves de AWS KMS predeterminado, protegido por módulos criptográficos validados por FIPS 140-2, cumple sus requisitos de seguridad. No es necesario agregar una capa extra de responsabilidad de mantenimiento o una dependencia de un servicio adicional.

Sin embargo, puede plantearse crear un almacén de claves personalizado si su organización cumple alguno de los siguientes requisitos:

  • Tiene claves que deben protegerse de forma explícita en un HSM de un solo inquilino o en un HSM sobre el que tiene control directo.

  • Necesita la capacidad de eliminar inmediatamente el material de claves de AWS KMS.

  • Debe poder auditar todo el uso de sus claves de forma independiente a AWS KMS o AWS CloudTrail.

¿Cómo funcionan los almacenes de claves personalizados?

Cada almacén de claves personalizado está asociado a un clúster de AWS CloudHSM de su cuenta de Cuenta de AWS. Al conectar el almacén de claves personalizado a su clúster, AWS KMS crea la infraestructura de red para dar soporte a la conexión. Luego se registra en el cliente AWS CloudHSM de la clave en el clúster con las credenciales de un usuario de criptografía dedicado en el clúster.

Cree y administre los almacenes de claves personalizados en AWS KMS y los clústeres de HSM en AWS CloudHSM. Al crear AWS KMS keys en un almacén de claves personalizado de AWS KMS, puede ver y administrar las claves KMS en AWS KMS. Pero también puede ver y administrar su material de claves en AWS CloudHSM, de igual modo que haría con otras claves en el clúster.

Administrar claves KMS en un almacén de claves personalizado

Puede crear claves KMS de cifrado simétricas con material de claves generado por AWS KMS en su almacén de claves personalizado. Puede utilizar las mismas técnicas para ver y administrar las claves KMS de su almacén de claves personalizado que utiliza para las claves KMS del almacén de claves de AWS KMS. Puede controlar el acceso con políticas de claves y de IAM, crear etiquetas y alias, habilitar y desactivar las claves KMS y programar la eliminación de claves. Puede utilizar las claves KMS para operaciones criptográficas y usarlas con servicios de AWS que se integran con AWS KMS.

Además, puede controlar por completo el clúster de AWS CloudHSM, incluida la creación y la eliminación de los HSM y la administración de copias de seguridad. Puede utilizar el cliente de AWS CloudHSM y las bibliotecas de software respaldadas para ver, auditar y administrar el material de claves de sus claves KMS. Mientras el almacén de claves personalizado esté desconectado, AWS KMS no podrá acceder a él y los usuarios no podrán usar las claves KMS del almacén de claves personalizado en operaciones criptográficas. Esta capa de control agregada convierte a los almacenes de claves personalizados en una solución potente para las organizaciones que la necesitan.

¿Por dónde empiezo?

Para crear y administrar un almacén de claves de AWS CloudHSM deberá usar las características de AWS KMS y de AWS CloudHSM.

  1. Comience por AWS CloudHSM. Cree un clúster de AWS CloudHSM activo o seleccione uno existente. El clúster debe tener al menos dos HSM activos en distintas zonas de disponibilidad. A continuación, cree una cuenta de usuario de criptografía (CU) dedicado en dicho clúster para AWS KMS.

  2. En AWS KMS, cree un almacén de claves personalizado que esté asociado al clúster de AWS CloudHSM que ha seleccionado. AWS KMS proporciona una interfaz de administración completa que le permite crear, ver, editar y eliminar sus almacenes de claves personalizados.

  3. Cuando esté preparado para utilizar su almacén de claves personalizado, conéctelo al clúster de AWS CloudHSM asociado. AWS KMS crea la infraestructura de red necesaria para respaldar la conexión. A continuación, se registra en el clúster con las credenciales de la cuenta de usuario de criptografía dedicado para que pueda generar y administrar material de claves en el clúster.

  4. Ahora, puede crear claves KMS de cifrado simétricas en su almacén de claves personalizado. Únicamente debe especificar el almacén de claves personalizado al crear la clave KMS.

Si se queda bloqueado en algún momento, puede buscar ayuda en el tema Resolver problemas de un almacén de claves personalizado. Si su pregunta no tiene respuesta, utilice el enlace de comentarios en la parte inferior de cada página de esta guía o escriba en el Foro de discusión de AWS Key Management Service.

Cuotas

AWS KMS permite hasta 10 almacenes de claves personalizados en cada Cuenta de AWS y región, incluidos almacenes de claves de AWS CloudHSM y almacenes de claves externos, independientemente del estado de su conexión. Además, hay cuotas de solicitudes de AWS KMS sobre el uso de claves KMS en un almacén de claves AWS CloudHSM.

Precios

Para obtener información sobre el costo de los almacenes de claves personalizados de AWS KMS y las claves administradas por el cliente en un almacén de claves personalizado, consulte precios de AWS Key Management Service. Para obtener información sobre el costo de clústeres de AWS CloudHSM y HSM, consulte Precios de AWS CloudHSM.

Regiones

AWS KMS es compatible con almacenes de claves de AWS CloudHSM en todas las Regiones de AWS en donde AWS KMS es compatible, excepto Asia-Pacífico (Melbourne), China (Pekín), China (Ningxia) y Europa (España).

Características no admitidas

AWS KMS no es compatible con las siguientes características en almacenes de claves personalizado.

Conceptos del almacén de claves de AWS CloudHSM

En este tema se explican algunos de los términos y conceptos empleados en los almacenes de claves de AWS CloudHSM.

Almacén de claves de AWS CloudHSM

Un almacén de claves de AWS CloudHSM es un almacén de claves personalizado asociado a un clúster de AWS CloudHSM que usted posee y administra. Los clústeres de AWS CloudHSM están respaldados por módulos de seguridad de hardware (HSM) que tienen el certificado FIPS 140-2 nivel 3.

Al crear una clave de KMS en el almacén de claves de AWS CloudHSM, AWS KMS genera una clave simétrica Advanced Encryption Standard (AES) de 256 bits, persistente y no exportable en el clúster de AWS CloudHSM asociado. Este material de claves nunca sale de los HSM sin cifrar. Al utilizar una clave de KMS en un almacén de claves de AWS CloudHSM, las operaciones criptográficas se realizan en los HSM del clúster.

Los almacenes de claves de AWS CloudHSM combinan la interfaz de administración de claves integral y simple de AWS KMS con controles adicionales proporcionados por un clúster de AWS CloudHSM en su Cuenta de AWS. Esta característica integrada le permite crear, administrar y usar claves KMS en AWS KMS a la vez que controla por completo los HSM que almacenan su material de claves, incluida la administración de clústers, HSM y copias de seguridad. Puede usar la consola de AWS KMS y las API para administrar un almacén de claves de AWS CloudHSM y sus claves de KMS. También puede utilizar la consola de AWS CloudHSM, las API, el software de cliente y las bibliotecas de software asociadas para administrar el clúster asociado.

Puede ver y administrar su almacén de claves de AWS CloudHSM, editar sus propiedades y conectarlo y desconectarlo de su clúster de AWS CloudHSM asociado. Si tiene que eliminar un almacén de claves de AWS CloudHSM, primero deberá eliminar las claves de KMS del almacén de claves de AWS CloudHSM programando su eliminación y esperando a que venza el periodo de gracia. Al eliminar el almacén de claves de AWS CloudHSM, desaparece el recurso de AWS KMS, pero no afecta a su clúster de AWS CloudHSM.

AWS CloudHSMClúster de

Cada almacén de claves de AWS CloudHSM está asociado a un clúster de AWS CloudHSM. Al crear una AWS KMS key en el almacén de claves de AWS CloudHSM, AWS KMS crea su material de claves en el clúster asociado. Al utilizar una clave de KMS en el almacén de claves de AWS CloudHSM, la operación criptográfica se realiza en el clúster asociado.

Cada clúster de AWS CloudHSM solo puede asociarse a un almacén de claves de AWS CloudHSM. El clúster que elija no podrá asociarse con ningún otro almacén de claves de AWS CloudHSM o compartir un historial de copias de seguridad con un clúster asociado a otro almacén de claves de AWS CloudHSM. El clúster debe inicializarse y estar activo y estar en la misma Cuenta de AWS y región que el almacén de claves de AWS CloudHSM. Puede crear un clúster nuevo o utilizar uno existente. AWS KMS no requiere un uso exclusivo del clúster. Para crear las claves de KMS en el almacén de claves de AWS CloudHSM, su clúster asociado debe incluir al menos dos HSM activos. El resto de operaciones solo precisan un HSM.

Debe especificar el clúster de AWS CloudHSM al crear el almacén de claves de AWS CloudHSM y no lo puede cambiar. Sin embargo, puede sustituir cualquier clúster que comparta un historial de copias de seguridad con el clúster original. De este modo podrá eliminar el clúster, en caso necesario, y reemplazarlo por uno creado a partir de una de sus copias de seguridad. Mantendrá todo el control del clúster de AWS CloudHSM asociado, por lo que podrá administrar usuarios y claves, crear y eliminar HSM, y usar y administrar copias de seguridad.

Cuando esté listo para usar el almacén de claves de AWS CloudHSM, deberá conectarlo a su clúster de AWS CloudHSM asociado. Puede conectar y desconectar su almacén de claves personalizado en cualquier momento. Cuando el almacén de claves personalizado está conectado, se pueden crear y utilizar sus claves KMS. Cuando está desconectado, puede ver y administrar el almacén de claves de AWS CloudHSM y sus claves de KMS. Pero no podrá crear claves de KMS nuevas ni usar las claves de KMS en el almacén de claves de AWS CloudHSM en operaciones criptográficas.

Usuario de criptografía de kmsuser

Para crear y administrar material de claves en el clúster de AWS CloudHSM asociado en su nombre, AWS KMS utiliza un usuario de criptografía (CU) de AWS CloudHSM dedicado en el clúster denominado kmsuser. El CU kmsuser es una cuenta de CU estándar que se sincroniza de forma automática con todos los HSM del clúster y se guarda en copias de seguridad del clúster.

Antes de crear el almacén de claves de AWS CloudHSM, cree una cuenta de CU kmsuser en el clúster de AWS CloudHSM con el comando crear usuario en la CLI de CloudHSM. Luego, cuando cree el almacén de claves de AWS CloudHSM, deberá proporcionar la contraseña de la cuenta de kmsuser a AWS KMS. Al conectar el almacén de claves personalizado, AWS KMS inicia sesión en el clúster con el CU kmsuser y rota su contraseña. AWS KMS cifra su contraseña de kmsuser antes de que se almacene de manera segura. Cuando se gira la contraseña, la nueva contraseña se cifra y se almacena de la misma manera.

AWS KMS conserva la sesión como kmsuser siempre y cuando el almacén de claves de AWS CloudHSM esté conectado. No debería usar esta cuenta de CU para otros fines. Sin embargo, conservará el control total de la cuenta del CU kmsuser. Podrá buscar las claves de propiedad de kmsuser en todo momento. Si es necesario, puede desconectar el almacén de claves personalizado, cambiar la contraseña de kmsuser, iniciar sesión en el clúster como kmsuser, y ver y administrar las claves propiedad de kmsuser.

Para obtener instrucciones sobre cómo crear la cuenta del CU kmsuser, consulte Crear el usuario de criptografía kmsuser.

Claves de KMS en un almacén de claves de AWS CloudHSM

Puede utilizar la AWS KMS o la API de AWS KMS para crear un AWS KMS keys en un almacén de claves de AWS CloudHSM. Utilice la misma técnica que utilizaría en cualquier clave KMS. La única diferencia es que debe identificar el almacén de claves de AWS CloudHSM y especificar que el origen del material de claves es el clúster de AWS CloudHSM.

Al crear una clave de KMS en un almacén de claves de AWS CloudHSM, AWS KMS crea una clave de KMS en AWS KMS y genera un material de claves simétrico Advanced Encryption Standard (AES) de 256 bits, persistente y no exportable en su clúster asociado. Cuando utiliza la clave de AWS KMS en una operación criptográfica, la operación se realiza en el clúster de AWS CloudHSM mediante la clave de AES basada en el clúster. Aunque AWS CloudHSM es compatible con claves simétricas y asimétricas de distintos tipos, los almacenes de claves de AWS CloudHSM solo admiten claves de cifrado simétrico AES.

Puede ver las claves de KMS en un almacén de claves de AWS CloudHSM en la consola de AWS KMS y usar las opciones de la consola para visualizar el ID del almacén de claves personalizado. También puede usar la operación DescribeKey para buscar el ID del almacén de claves de AWS CloudHSM y el ID del clúster de AWS CloudHSM.

Las claves de KMS de un almacén de claves de AWS CloudHSM funcionan igual que las claves de KMS en AWS KMS. Los usuarios autorizados necesitan los permisos para usar y administrar las claves KMS. Utilice los mismos procedimientos de consola y operaciones de la API para ver y administrar las claves de KMS en un almacén de claves de AWS CloudHSM. Puede habilitar y desactivar claves KMS, crear y usar etiquetas y alias, y configurar y cambiar las políticas de claves y de IAM. Puede utilizar las claves de KMS en un almacén de claves de AWS CloudHSM en operaciones criptográficas y usarlas con servicios integrados de AWS que sean compatibles con el uso de claves administradas por el cliente. Sin embargo, no puede habilitar la rotación automática de claves o importar material de claves en una clave de KMS de un almacén de claves de AWS CloudHSM.

También puede usar el mismo proceso para programar la eliminación de una clave de KMS de un almacén de claves de AWS CloudHSM. Cuando finaliza el periodo de espera, AWS KMS elimina la clave KMS de KMS. Y se esfuerza por eliminar el material de claves para la clave KMS del clúster de AWS CloudHSM asociado. Sin embargo, es posible que deba eliminar el material de claves huérfano manualmente del clúster y de sus copias de seguridad.