Claves KMS en un almacén de claves externo

Modo de enfoque

Claves KMS en un almacén de claves externo - AWS Key Management Service

Para crear, ver, administrar, usar y programar la eliminación de las claves de KMS en un almacén de claves externo, utilice procedimientos que son muy similares a los que usa para otras claves de KMS. Sin embargo, cuando crea una clave de KMS en un almacén de claves externo, especifica un almacén de claves externo y una clave externa. Cuando usa una clave de KMS en un almacén de claves externo, el administrador de claves externo realiza las operaciones de cifrado y descifrado mediante la clave externa especificada.

AWS KMS no puede crear, ver, actualizar ni eliminar ninguna clave criptográfica en su administrador de claves externo. AWS KMS nunca accede directamente a su administrador de claves externo ni a ninguna clave externa. Todas las solicitudes de operaciones criptográficas están mediadas por su proxy del almacén de claves externo. Para usar una clave de KMS en un almacén de claves externo, el almacén de claves externo que aloja la clave de KMS debe estar conectado a su proxy del almacén de claves externo.

Características admitidas

Además de los procedimientos tratados en esta sección, puede hacer lo siguiente con las claves de KMS en un almacén de claves personalizado:

Utilice políticas de claves, políticas de IAM y concesiones para controlar el acceso a las claves de KMS.
Habilite y deshabilite las claves de KMS. Estas acciones no afectan a la clave externa del administrador de claves externo.
Asigne etiquetas, cree alias y utilice el control de acceso basado en atributos (ABAC) para autorizar el acceso a las claves de KMS.
Utilice las claves KMS para realizar las siguientes operaciones criptográficas:
Las operaciones que generan pares de claves de datos asimétricos no se admiten en los almacenes de claves personalizados. GenerateDataKeyPair GenerateDataKeyPairWithoutPlaintext
Utilice las claves de KMS con Servicios de AWS que se integran con AWS KMS y que admiten las claves administradas por el cliente.

Características no admitidas

Los almacenes de claves externos solo admiten claves de KMS de cifrado simétrico. No puede crear claves de KMS HMAC ni claves de KMS asimétricas en un almacén de claves externo.
GenerateDataKeyPairy no GenerateDataKeyPairWithoutPlaintextse admiten en las claves de KMS de un almacén de claves externo.
No puede usar una AWS::KMS::Key AWS CloudFormation plantilla para crear un almacén de claves externo ni una clave KMS en un almacén de claves externo.
Las claves multirregionales no se admiten en un almacén de claves externo.
Las claves de KMS con material de clave importado no se admiten en un almacén de claves externo.
La rotación automática de claves no es compatible con las claves de KMS en un almacén de claves externo.

Uso de claves KMS en un almacén de claves externo

Cuando utilice su clave de KMS en una solicitud, identifique la clave de KMS por su ID de clave, ARN de clave, alias o ARN de alias. No tiene que especificar el almacén de claves externo. La respuesta incluye los mismos campos que se devuelven para cualquier clave KMS de cifrado simétrica. Sin embargo, cuando utiliza una clave de KMS en un almacén de claves externo, el administrador de claves externo realiza las operaciones de cifrado y descifrado mediante la clave externa especificada.

Para garantizar que el texto cifrado con una clave KMS en un almacén de claves externo sea al menos tan seguro como cualquier texto cifrado con una clave KMS estándar, AWS KMS utiliza el doble cifrado. Los datos se cifran primero con material clave. AWS KMS AWS KMS A continuación, su administrador de claves externo lo cifra utilizando la clave externa de la clave de KMS. Para descifrar el texto cifrado con doble cifrado, el administrador de claves externo descifra primero el texto cifrado mediante la clave externa de la clave de KMS. A continuación, se descifran AWS KMS utilizando el material AWS KMS clave para la clave KMS.

Para ello, se deben cumplir las siguientes condiciones.

El estado de clave de la clave KMS debe ser Enabled. Para encontrar el estado de la clave, consulte el campo Estado de las claves administradas por el cliente, la AWS KMS consola o el KeyState campo de la DescribeKeyrespuesta.
El almacén de claves externo que aloja la clave de KMS debe estar conectado a su proxy del almacén de claves externo, es decir, el estado de conexión del almacén de claves externo debe ser CONNECTED.

Puede ver el estado de la conexión en la página de almacenes de claves externos de la AWS KMS consola o en la DescribeCustomKeyStoresrespuesta. El estado de la conexión del almacén de claves externo también se muestra en la página de detalles de la clave de KMS en la consola de AWS KMS . En la página de detalles, elija la pestaña Cryptographic configuration (Configuración criptográfica) y consulte el campo Connection state (Estado de la conexión) en la sección Custom key store (Almacén de claves personalizado).

Si el estado de la conexión es DISCONNECTED, primero debe conectarlo. Si el estado de la conexión es FAILED, debe resolver el problema, desconectar el almacén de claves externo y, a continuación, conectarlo. Para obtener instrucciones, consulte Conexión y desconexión de almacenes de claves externos.
El proxy del almacén de claves externo debe poder encontrar la clave externa.
La clave externa debe estar habilitada y debe realizar el cifrado y el descifrado.

El estado de la clave externa es independiente y no se ve afectado por los cambios en el estado de la clave de KMS, incluida la habilitación y deshabilitación de la clave de KMS. Del mismo modo, deshabilitar o eliminar la clave externa no cambia el estado de la clave de KMS, pero las operaciones criptográficas que utilicen la clave de KMS asociada fallarán.

Si no se cumplen estas condiciones, se produce un error en la operación criptográfica y se AWS KMS devuelve una KMSInvalidStateException excepción. Puede que tenga que volver a conectar el almacén de claves externo o utilizar las herramientas del administrador de claves externo para reconfigurar o reparar la clave externa. Para obtener ayuda adicional, consulte Solución de problemas de almacenes de claves externos.

Cuando utilice claves de KMS en un almacén de claves externo, tenga en cuenta que las claves de KMS de cada almacén de claves externo comparten una cuota de solicitudes del almacén de claves personalizado para operaciones criptográficas. Si supera la cuota, AWS KMS devuelve unThrottlingException. Para obtener más información sobre la cuota de solicitudes del almacén de claves personalizado, consulte Cuotas de solicitudes del almacén de claves personalizado.

Más información

Para obtener más información sobre los almacenes de claves externos, consulte Almacenes de claves externos.
Para obtener más información sobre el material de claves de los almacenes de claves externos, consulte Clave externa.
Para crear claves KMS en un almacén de claves externo, consulte Creación de una clave KMS en un almacén de claves externo.
Para identificar y ver las claves KMS de un almacén de claves externo, consulte Identificación de claves KMS en almacenes de claves externos.
Para conocer las consideraciones especiales a la hora de eliminar claves KMS de un almacén de claves externo, consulte Eliminación de claves KMS de un almacén de claves externo.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Claves KMS en un almacén de claves de CloudHSM

AWS KMS elementos básicos de criptografía

Seleccione sus preferencias de cookies

Personalizar preferencias de cookies

Esenciales

De rendimiento

Funcionales

De publicidad

No se pueden guardar las preferencias de cookies

Claves KMS en un almacén de claves externo

¿Le ha servido de ayuda esta página?

Tema siguiente:

Tema anterior:

¿Necesita ayuda?