Almacenes de claves externos - AWS Key Management Service
Conceptos del almacén de claves externoCómo funcionan los almacenes de claves externos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Almacenes de claves externos

Los almacenes de claves externos le permiten proteger sus recursos de AWS utilizando claves criptográficas externas a AWS. Esta función avanzada está diseñada para cargas de trabajo reguladas que debe proteger con claves de cifrado almacenadas en un sistema de administración de claves externo controlado por usted. Los almacenes de claves externos respaldan el compromiso de soberanía digital de AWS de proporcionarle un control soberano sobre sus datos en AWS, incluida la posibilidad de cifrarlos con el material de clave que posea y controle fuera de AWS.

Un almacén de claves externo es un almacén de claves personalizado respaldado por un administrador de claves externo del que usted es propietario y administra fuera de AWS. Su administrador de claves externo puede ser un módulo de seguridad de hardware (HSM) físico o virtual, o cualquier sistema basado en hardware o software capaz de generar y utilizar claves criptográficas. El administrador de claves externo realiza operaciones de cifrado y descifrado que utilizan una clave de KMS en un almacén de claves externo mediante el material de claves criptográficas, una función conocida como guardar sus propias claves (HYOK).

AWS KMS nunca interactúa directamente con su administrador de claves externo y no puede crear, ver, administrar ni eliminar sus claves. En su lugar, AWS KMS solo interactúa con el software proxy del almacén de claves externo (proxy XKS) que usted proporcione. Su proxy del almacén de claves externo es el intermediario de toda la comunicación entre AWS KMS y su administrador de claves externo. Transmite todas las solicitudes de AWS KMS a su administrador de claves externo y devuelve las respuestas de su administrador de claves externo a AWS KMS. El proxy del almacén de claves externo también traduce las solicitudes genéricas de AWS KMS a un formato específico del proveedor que el administrador de claves externo pueda entender, lo que le permite utilizar almacenes de claves externos con administradores de claves de diversos proveedores.

Puede utilizar las claves de KMS en un almacén de claves externo para el cifrado del cliente, incluso con el AWS Encryption SDK. Sin embargo, los almacenes de claves externos son un recurso importante para el cifrado del lado del servidor, ya que le permiten proteger sus recursos de AWS en múltiples Servicios de AWS con sus claves criptográficas fuera de AWS. Los Servicios de AWS que admiten claves administradas por el cliente para el cifrado simétrico también admiten claves KMS en un almacén de claves externo. Para obtener más información sobre el soporte, consulte la Integración de servicios de AWS.

Los almacenes de claves externos le permiten usar los AWS KMS para cargas de trabajo reguladas en las que las claves de cifrado deben almacenarse y usarse fuera de AWS. Sin embargo, representan una desviación importante del modelo estándar de responsabilidad compartida y requieren cargas operativas adicionales. Para la mayoría de los clientes, el mayor riesgo para la disponibilidad y la latencia superará los beneficios de seguridad de los almacenes de claves externos.

Los almacenes de claves externos le permiten controlar la raíz de la confianza. Los datos cifrados con las claves de KMS de su almacén de claves externo solo se pueden descifrar mediante el administrador de claves externo que usted controle. Si revoca temporalmente el acceso a su administrador de claves externo, (por ejemplo, si desconecta el almacén de claves externo o el administrador de claves externo del proxy del almacén de claves externo), AWS pierde todo el acceso a sus claves criptográficas hasta que lo restaure. Durante ese intervalo, el texto cifrado encriptado con las claves de KMS no se puede descifrar. Si revoca permanentemente el acceso al administrador de claves externo, todo el texto cifrado encriptado con una clave de KMS en su almacén de claves externo no se podrá recuperar. Las únicas excepciones son los servicios de AWS que almacenan brevemente en caché las claves de datos protegidas por las claves de KMS. Estas claves de datos seguirán en funcionamiento hasta que desactive el recurso o caduque la memoria caché. Para obtener más información, consulte Cómo afectan las claves de KMS obsoletas a las claves de datos.

Los almacenes de claves externos desbloquean los pocos casos de uso de cargas de trabajo reguladas en las que las claves de cifrado deben permanecer únicamente bajo su control e inaccesibles para AWS. Sin embargo, se trata de un cambio importante en la forma en que opera la infraestructura basada en la nube y un cambio significativo en el modelo de responsabilidad compartida. Para la mayoría de las cargas de trabajo, la carga operativa adicional y los mayores riesgos para la disponibilidad y el rendimiento superarán los beneficios de seguridad de los almacenes de claves externos.

¿Necesito un almacén de claves externo?

Para la mayoría de los usuarios, el almacén de claves de AWS KMS predeterminado, protegido por los módulos de seguridad de hardware validados por FIPS 140-2 Security Nivel 3, cumple sus requisitos reglamentarios, de seguridad y de control. Los usuarios de almacenes de claves externos incurren en altos costos, cargas de mantenimiento y solución de problemas, además de riesgos para la latencia, la disponibilidad y la fiabilidad.

Al considerar un almacén de claves externo, tómese un tiempo para entender las alternativas. Estas incluyen un almacén de claves de AWS CloudHSM respaldado por un clúster de AWS CloudHSM del que es propietario y administra, y claves de KMS con material de clave importado generado en sus propios HSM y que pueda eliminar de las claves de KMS a pedido. En particular, la importación de material de clave con un intervalo de caducidad muy breve podría proporcionar un nivel de control similar sin los riesgos de rendimiento o disponibilidad.

Un almacén de claves externo puede ser la solución adecuada para su organización si tiene los siguientes requisitos:

  • Debe utilizar claves criptográficas en su administrador de claves en las instalaciones o un administrador de claves fuera del AWS que usted controla.

  • Debe demostrar que sus claves criptográficas se conservan únicamente bajo su control fuera de la nube.

  • Debe cifrar y descifrar mediante claves criptográficas con autorización independiente.

  • El material de claves debe estar sujeto a una ruta de auditoría secundaria e independiente.

Si elige un almacén de claves externo, limite su uso a las cargas de trabajo que requieran protección con claves criptográficas fuera de AWS.

Modelo de responsabilidad compartida

Las claves de KMS estándar utilizan material de clave que se genera y utiliza en los HSM que AWS KMS posee y administra. Establece las políticas de control de acceso en sus claves de KMS y configura los Servicios de AWS que utilizan las claves de KMS para proteger sus recursos. AWS KMS asume la responsabilidad de la seguridad, la disponibilidad, la latencia y la durabilidad del material de clave de sus claves de KMS.

Las claves de KMS de los almacenes de claves externos se basan en el material de clave y las operaciones de su administrador de claves externo. Como tal, el equilibrio de responsabilidades cambia en su dirección. Usted es responsable de la seguridad, la fiabilidad, la durabilidad y el rendimiento de las claves criptográficas de su administrador de claves externo. AWS KMS es responsable de responder con prontitud a las solicitudes y de comunicarse con el proxy de su almacén de claves externo, así como de mantener nuestros estándares de seguridad. Para garantizar que todo el texto cifrado del almacén de claves externo sea al menos tan seguro como el texto cifrado de AWS KMS estándar, AWS KMS primero cifra todo el texto sin formato con material de claves de AWS KMS específico de su clave KMS y, a continuación, lo envía a su administrador de claves externo para que lo cifre con su clave externa, un procedimiento que se conoce como doble cifrado. Como resultado, ni AWS KMS ni el propietario del material de clave externo pueden descifrar por sí solos el texto cifrado con doble cifrado.

Usted es responsable de mantener un administrador de claves externo que cumpla con sus estándares reglamentarios y de rendimiento. También es responsable de proporcionar y mantener un proxy del almacén de claves externo que cumpla con la especificación de la API del proxy del almacén de claves externo de AWS KMS y de garantizar la disponibilidad y la durabilidad del material de claves. También debe crear, configurar y mantener un almacén de claves externo. Cuando surjan errores causados por componentes que usted mantiene, debe estar preparado para identificar y resolver los errores, de modo que los servicios de AWS puedan acceder a sus recursos sin interrupciones indebidas. AWS KMS proporciona una guía de soluciones de problemas para ayudar a determinar la causa de los problemas y las soluciones más probables.

Revise las métricas y dimensiones de Amazon CloudWatch que AWS KMS registra para los almacenes de claves externos. AWS KMS le recomienda encarecidamente que cree alarmas de CloudWatch para monitorear su almacén de claves externo, de modo que pueda detectar los primeros signos de problemas operativos y de rendimiento antes de que se produzcan.

¿Qué está cambiando?

Los almacenes de claves externos solo admiten claves de KMS de cifrado simétrico. En AWS KMS, se utilizan y administran las claves de KMS en un almacén de claves externo de la misma manera que se administran otras claves administradas por el cliente, lo que incluye la configuración de políticas de control de acceso y el monitoreo del uso de las claves. Utiliza las mismas API con los mismos parámetros para solicitar una operación criptográfica con una clave de KMS en un almacén de claves externo que utilice para cualquier clave de KMS. El precio también es el mismo que el de las claves de KMS estándar. Para obtener más información, consulte Claves KMS en un almacén de claves externo y Precios de AWS Key Management Service.

Sin embargo, con los almacenes de claves externos cambian los siguientes principios:

  • Usted es responsable de la disponibilidad, la durabilidad y la latencia de las operaciones de claves.

  • Usted es responsable de todos los costos de desarrollo, compra, operación y licencias de su sistema de administración de claves externo.

  • Puede implementar la autorización independiente de todas las solicitudes que se realizan desde AWS KMS a su proxy del almacén de claves externo.

  • Puede monitorear, auditar y registrar todas las operaciones de su proxy del almacén de claves externo y todas las operaciones de su administrador de claves externo relacionadas con las solicitudes de AWS KMS.

¿Por dónde empiezo?

Para crear y administrar un almacén de claves externo, debe elegir la opción de conectividad proxy del almacén de claves externo, reunir los requisitos previos y crear y configurar el almacén de claves externo.

Cuotas

AWS KMS permite hasta 10 almacenes de claves personalizados en cada Cuenta de AWS y región, incluidos almacenes de claves de AWS CloudHSM y almacenes de claves externos, independientemente del estado de su conexión. Además, hay cuotas de solicitudes de AWS KMS sobre el uso de claves KMS en un almacén de claves externo.

Si elige la conectividad de proxy de VPC para su proxy de almacén de claves externo, es posible que también haya cuotas en los componentes necesarios, como las VPC, las subredes y los equilibradores de carga de red. Para obtener más información sobre estas cuotas, utilice la consola de Service Quotas.

Regiones

Para minimizar la latencia de la red, cree los componentes del almacén de claves externo en la Región de AWS más cercana a su administrador de claves externo. Si es posible, elija una región con un tiempo de ida y vuelta (RTT) de la red de 35 milisegundos o menos.

Los almacenes de claves externos se admiten en todas Regiones de AWS en las que AWS KMS se admita, excepto en China (Pekín) y China (Ningxia).

Características no admitidas

AWS KMS no es compatible con las siguientes características en almacenes de claves personalizado.

Más información:

Conceptos del almacén de claves externo

Conozca los términos y conceptos básicos que se utilizan en almacenes de claves externos.

Almacén de claves externo

Un almacén de claves externo es un almacén de claves personalizado de AWS KMS respaldado por un administrador de claves externo ajeno a AWS que usted posee y administra. Cada clave de KMS de un almacén de claves externo está asociada a una clave externa del administrador de claves externo. Cuando utiliza una clave de KMS en un almacén de claves externo para el cifrado o el descifrado, la operación se realiza en el administrador de claves externo mediante su clave externa, una función conocida como Guardar sus propias claves (HYOK). Esta función está diseñada para organizaciones que deben mantener las claves criptográficas en su propio administrador de claves externo.

Los almacenes de claves externos garantizan que las claves criptográficas y las operaciones que protegen los recursos de AWS permanezcan en su administrador de claves externo bajo su control. AWS KMS envía solicitudes a su administrador de claves externo para cifrar y descifrar datos, pero AWS KMS no puede crear, eliminar ni administrar ninguna clave externa. Todas las solicitudes de AWS KMS enviadas a su administrador de claves externo están mediadas por un componente de software proxy del almacén de claves externo que usted ofrece, posee y administra.

Los servicios de AWS que admiten claves administradas por el cliente de AWS KMS pueden usar las claves de KMS en su almacén de claves externo para proteger sus datos. Como resultado, sus datos se protegen en última instancia mediante sus claves mediante las operaciones de cifrado de su administrador de claves externo.

Las claves de KMS de un almacén de claves externo tienen modelos de confianza, acuerdos de responsabilidad compartida y expectativas de rendimiento fundamentalmente diferentes a los de las claves de KMS estándar. Con los almacenes de claves externos, usted es responsable de la seguridad e integridad del material de clave y de las operaciones criptográficas. La disponibilidad y la latencia de las claves de KMS en un almacén de claves externo se ven afectadas por el equipo, el software, los componentes de red y la distancia entre AWS KMS y el administrador de claves externo. También es probable que incurra en costos adicionales para su administrador de claves externo y para la infraestructura de redes y equilibrio de carga que necesita para que su administrador de claves externo se comunique con AWS KMS

Puede utilizar su almacén de claves externo como parte de una estrategia más abarcativa de protección de datos. Para cada recurso de AWS que proteja, puede decidir cuáles requieren una clave de KMS en un almacén de claves externo y cuáles pueden protegerse con una clave de KMS estándar. Esto le brinda la flexibilidad de elegir claves de KMS para clasificaciones de datos, aplicaciones o proyectos específicos.

Administrador de claves externo

Un administrador de claves externo es un componente ajeno a AWS que puede generar claves simétricas AES de 256 bits y realizar un cifrado y descifrado simétricos. El administrador de claves externo para un almacén de claves externo puede ser un módulo de seguridad de hardware (HSM) físico, un HSM virtual o un administrador de claves de software con o sin un componente de HSM. Puede estar ubicado en cualquier lugar fuera de AWS, en sus instalaciones, en un centro de datos local o remoto o en cualquier nube. Su almacén de claves externo puede estar respaldado por un único administrador de claves externo o por varias instancias de administrador de claves relacionadas que compartan claves criptográficas, como un clúster de HSM. Los almacenes de claves externos están diseñados para dar soporte a una variedad de administradores externos de diferentes proveedores. Para obtener más información sobre la conexión a su administrador de claves externo, consulte Elección de una opción de conectividad proxy del almacén de claves externo.

Clave externa

Cada clave de KMS de un almacén de claves externo está asociada a una clave criptográfica del administrador de claves externo conocida como clave externa. Al cifrar o descifrar con una clave de KMS en su almacén de claves externo, la operación criptográfica se realiza en su administrador de claves externo utilizando su clave externa.

aviso

La clave externa es esencial para el funcionamiento de la clave de KMS. Si se pierde o se elimina la clave externa, el texto cifrado con la clave KMS asociada será irrecuperable.

Para los almacenes de claves externos, la clave externa debe ser una clave AES de 256 bits que esté habilitada y pueda realizar el cifrado y el descifrado. Para obtener información detallada sobre los requisitos de clave externa, consulte Requisitos para una clave de KMS en un almacén de claves externo.

AWS KMS no puede crear, eliminar ni administrar ninguna clave externa. El material de claves criptográficas nunca sale de su administrador de claves externo. Cuando crea una clave de KMS en un almacén de claves externo, proporciona el ID de una clave externa (XksKeyId). No puede cambiar el ID de clave externa asociado a una clave de KMS, aunque el administrador de claves externo puede cambiar el material de clave asociado al ID de clave externa.

Además de la clave externa, una clave de KMS en un almacén de claves externo también contiene material de clave de AWS KMS. Los datos protegidos por la clave de KMS se cifran primero con AWS KMS mediante el material de clave de AWS KMS y, a continuación, mediante el administrador de claves externo con su clave externa. Este proceso de doble cifrado garantiza que el texto cifrado protegido por su clave de KMS esté siempre tan seguro como el texto cifrado protegido solo por AWS KMS.

Muchas claves criptográficas tienen diferentes tipos de identificadores. Al crear una clave de KMS en un almacén de claves externo, proporcione el ID de la clave externa que el proxy del almacén de claves externo utiliza para hacer referencia a la clave externa. Si utiliza un identificador incorrecto, el intento de crear una clave de KMS en su almacén de claves externo no tendrá éxito.

Proxy del almacén de claves externo

El proxy del almacén de claves externo (“proxy XKS”) es una aplicación de software propiedad del cliente y administrada por el cliente que actúa de intermediaria de toda la comunicación entre AWS KMS y su administrador de claves externo. También traduce las solicitudes de AWS KMS genéricas a un formato que el administrador de claves externo específico del proveedor comprenda. Se necesita un proxy del almacén de claves externo para un almacén de claves externo. Cada almacén de claves externo está asociado a un proxy del almacén de claves externo.

Proxy del almacén de claves externo

AWS KMS no puede crear, eliminar ni administrar ninguna clave externa. El material de claves criptográficas nunca sale de su administrador de claves externo. Toda la comunicación entre AWS KMS y su administrador de claves externo está mediada por su proxy del almacén de claves externo. AWS KMS envía solicitudes al proxy del almacén de claves externo y recibe respuestas del proxy del almacén de claves externo. El proxy del almacén de claves externo es responsable de transmitir las solicitudes desde AWS KMS a su administrador de claves externo y transmitir las respuestas de su administrador de claves externo a AWS KMS.

Usted posee y administra el proxy del almacén de claves externo de su almacén de claves externo, y es responsable de su mantenimiento y funcionamiento. Puede desarrollar su proxy del almacén de claves externo basándose en la especificación de la API de proxy del almacén de claves externo de código abierto que publica AWS KMS o puede comprar una aplicación de proxy de un proveedor. Su proxy del almacén de claves externo puede estar incluido en su administrador de claves externo. Para facilitar el desarrollo de proxy, AWS KMS también ofrece un ejemplo de proxy del almacén de claves externo (aws-kms-xks-proxy) y un cliente de prueba (xks-kms-xksproxy-test-client) que verifica que su proxy del almacén de claves externo cumple con la especificación.

Para autenticarse en AWS KMS, el proxy usa certificados TLS del servidor. Para autenticarse en su proxy, AWS KMS firma todas las solicitudes en su proxy del almacén de claves externo con una credencial de autenticación de proxy SigV4. Si lo desea, su proxy puede habilitar el TLS mutuo (mTLS) para tener una garantía adicional de que solo acepta solicitudes de AWS KMS.

El proxy del almacén de claves externo debe ser compatible con HTTP/1.1 o posterior y TLS 1.2 o posterior con al menos uno de los siguientes conjuntos de cifrado:

  • TLS_AES_256_GCM_SHA384 (TLS 1.3)

  • TLS_CHACHA20_POLY1305_SHA256 (TLS 1.3)

    nota

    La región AWS GovCloud (US) Region no admite TLS_CHACHA20_POLY1305_SHA256.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (TLS 1.2)

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (TLS 1.2)

Para crear y utilizar las claves de KMS en el almacén de claves externo, primero debe conectar el almacén de claves externo a su proxy del almacén de claves externo. También puede desconectar el almacén de claves externo de su proxy cuando lo solicite. Cuando lo haga, todas las claves de KMS del almacén de claves externo dejarán de estar disponibles; no se podrán utilizar en ninguna operación criptográfica.

Conectividad proxy del almacén de claves externo

La conectividad proxy del almacén de claves externo (“conectividad de proxy XKS”) describe el método que AWS KMS utiliza para comunicarse con el proxy del almacén de claves externo.

Especifica la opción de conectividad de proxy al crear el almacén de claves externo y pasa a ser una propiedad del almacén de claves externo. Puede cambiar la opción de conectividad del proxy al actualizar la propiedad del almacén de claves personalizado, pero debe asegurarse de que el proxy del almacén de claves externo pueda seguir accediendo a las mismas claves externas.

AWS KMS es compatible con las siguientes opciones de conectividad:

  • Conectividad de punto de conexión público: AWS KMS envía solicitudes para el proxy de su almacén de claves externo a través de Internet a un punto de conexión público que usted controla. Esta opción es fácil de crear y mantener, pero es posible que no cumpla los requisitos de seguridad de todas las instalaciones.

  • Conectividad de servicio de punto de conexión de VPC: AWS KMS envía solicitudes a un punto de conexión de Amazon Virtual Private Cloud (Amazon VPC) que usted crea y mantiene. Puede alojar su proxy del almacén de claves externo dentro de su Amazon VPC, o alojar su proxy del almacén de claves externo fuera de AWS y usar Amazon VPC únicamente para la comunicación.

Para obtener más información sobre las opciones de conectividad de proxy del almacén de claves externo, consulte Elección de una opción de conectividad proxy del almacén de claves externo.

Credencial de autenticación de proxy del almacén de claves externo

Para autenticarse en su proxy del almacén de claves externo, AWS KMS firma todas las solicitudes en su proxy del almacén de claves externo con una credencial de autenticación Signature V4 (SigV4). Establece y mantiene la credencial de autenticación en su proxy y, a continuación, proporciona esta credencial a AWS KMS al crear su almacén externo.

nota

La credencial SigV4 que utiliza AWS KMS para firmar las solicitudes al proxy XKS no está relacionada con ninguna credencial de SigV4 asociada a las entidades principales de AWS Identity and Access Management de su Cuentas de AWS. No reutilice ninguna credencial SigV4 de IAM para su proxy del almacén de claves externo.

Cada credencial de autenticación del proxy tiene dos partes. Debe proporcionar ambas partes al crear un almacén de claves externo o actualizar la credencial de autenticación del almacén de claves externo.

  • ID de clave de acceso: identifica la clave de acceso secreta. Puede proporcionar este ID en texto sin formato.

  • Clave de acceso secreta: la parte secreta de la credencial. AWS KMS cifra la clave de acceso secreta de la credencial antes de almacenarla.

Puede editar la configuración de la credencial en cualquier momento, por ejemplo, al introducir valores incorrectos, al cambiar la credencial en el proxy o cuando el proxy rota la credencial. Para obtener detalles técnicos sobre la autenticación de AWS KMS en el proxy del almacén de claves externo, consulte Autenticación en la especificación de la API de proxy del almacén de claves externo de AWS KMS.

Para permitirle rotar sus credenciales sin interrumpir los Servicios de AWS que utilizan claves de KMS en su almacén de claves externo, le recomendamos que el proxy del almacén de claves externo admita al menos dos credenciales de autenticación válidas para AWS KMS. Esto garantiza que la credencial anterior siga funcionando mientras usted proporciona su nueva credencial a AWS KMS.

Para ayudarlo a rastrear la antigüedad de su credencial de autenticación de proxy, AWS KMS define la métrica de Amazon CloudWatch XksProxyCredentialAge. Puede usar esta métrica para crear una alarma de CloudWatch que le notifique cuando la antigüedad de su credencial alcance el umbral que haya establecido.

Para garantizar aún más la seguridad de que AWS KMS solo responde el proxy de su almacén de claves externo, algunos proxy de claves externos admiten la seguridad mutua de la capa de transporte (mTLS). Para obtener más información, consulte Autenticación mTLS (opcional).

API de proxy

Para admitir un almacén de claves externo de AWS KMS, un proxy del almacén de claves externo debe implementar las API de proxy necesarias, tal como se describe en la especificación de la API de proxy del almacén de claves externo de AWS KMS. Estas solicitudes de API de proxy son las únicas solicitudes que AWS KMS envía al proxy. Aunque nunca envíe estas solicitudes directamente, conocerlas puede ayudarlo a solucionar cualquier problema que pueda surgir con el almacén de claves externo o el proxy. Por ejemplo, AWS KMS incluye información sobre la latencia y las tasas de éxito de estas llamadas a la API en sus métricas de Amazon CloudWatch para almacenes de claves externos. Para obtener más información, consulte Monitoreo de almacenes de claves externos.

En la siguiente tabla se enumeran y describen todas las API de proxy. También incluye las operaciones de AWS KMS que activan una llamada a la API de proxy y cualquier excepción de operaciones de AWS KMS relacionada con la API de proxy.

API de proxy Descripción Operaciones de AWS KMS relacionadas
Decrypt AWS KMS envía el texto cifrado que se va a descifrar y el ID de la clave externa que se va a utilizar. El algoritmo de cifrado requerido es AES_GCM. Decrypt, ReEncrypt
Encrypt AWS KMS envía los datos para cifrarlos y el ID de la clave externa que se va a utilizar. El algoritmo de cifrado requerido es AES_GCM. Encrypt, GenerateDataKey, GenerateDataKeyWithoutPlaintext, ReEncrypt
GetHealthStatus AWS KMS solicita información sobre el estado del proxy y su administrador de claves externo.

El estado de cada administrador de claves externo puede ser uno de los siguientes.

  • Active: en buen estado; puede servir al tráfico

  • Degraded: en mal estado, pero puede servir al tráfico

  • Unavailable: en mal estado; no sirve para el tráfico

 CreateCustomKeyStore (para la conectividad de puntos de conexión públicos), ConnectCustomKeyStore (para la conectividad de servicios de punto de conexión de VPC)

Si todas las instancias del administrador de claves externo tienen estado Unavailable, fallan los intentos de crear o conectar el almacén de claves con XksProxyUriUnreachableException.
GetKeyMetadata AWS KMS solicita información sobre la clave externa asociada a una clave de KMS en su almacén de claves externo.

La respuesta incluye la especificación de la clave (AES_256), el uso de la clave ([ENCRYPT, DECRYPT]) y si la clave externa está ENABLED o DISABLED.

 CreateKey

Si la especificación de la clave no es AES_256, el uso de la clave no es [ENCRYPT, DECRYPT] ni el estado es DISABLED, la operación de CreateKey fallará con XksKeyInvalidConfigurationException.

Cifrado doble

Los datos cifrados por una clave de KMS en un almacén de claves externo se cifran dos veces. Primero, AWS KMS cifra los datos con material de clave de AWS KMS específico para la clave de KMS. A continuación, su administrador de claves externo cifra el texto cifrado por AWS KMS con su clave externa. Este proceso se conoce como doble cifrado.

El doble cifrado garantiza que los datos cifrados por una clave de KMS en un almacén de claves externo sean tan seguros como el texto cifrado con una clave de KMS estándar. También protege el texto sin formato en tránsito desde AWS KMS al proxy del almacén de claves externo. Con el doble cifrado, conserva el control total de sus textos cifrados. Si revoca el acceso de AWS a su clave externa de forma permanente a través de su proxy externo, todo el texto cifrado que quede en AWS se destruirá mediante una operación criptográfica.

Doble cifrado de datos protegidos por una clave de KMS en un almacén de claves externo

Para habilitar el doble cifrado, cada clave de KMS de un almacén de claves externo tiene dos claves de respaldo criptográficas:

  • Un material de clave exclusivo de AWS KMS de la clave de KMS. Este material de claves se genera y se utiliza únicamente en los módulos de seguridad de hardware (HSM) certificados por FIPS 140-2 Security Nivel 3 de AWS KMS.

  • Una clave externa de su administrador de claves externo.

El doble cifrado tiene los siguientes efectos:

  • AWS KMS no puede descifrar ningún texto cifrado encriptado con una clave de KMS en un almacén de claves externo sin acceder a sus claves externas a través del proxy del almacén de claves externo.

  • No puede descifrar ningún texto cifrado encriptado con una clave de KMS en un almacén de claves externo fuera de AWS, incluso si tiene su material de clave externa.

  • No puede volver a crear una clave de KMS que se haya eliminado de un almacén de claves externo, aunque disponga de su material de claves externas. Cada clave de KMS tiene metadatos únicos que incluye en el texto cifrado simétrico. Una nueva clave de KMS no podría descifrar el texto cifrado con la clave original, incluso si utilizara el mismo material de clave externa.

Para ver un ejemplo de doble cifrado en la práctica, consulte Cómo funcionan los almacenes de claves externos.

Cómo funcionan los almacenes de claves externos

El almacén de claves externo, el proxy del almacén de claves externo y el administrador de claves externo trabajan en conjunto para proteger los recursos de AWS. El siguiente procedimiento muestra el flujo de trabajo de cifrado típico de Servicio de AWS que cifra cada objeto con una clave de datos única protegida por una clave de KMS. En este caso, ha elegido una clave de KMS en un almacén de claves externo para proteger el objeto. El ejemplo muestra cómo AWS KMS utiliza el doble cifrado para proteger la clave de datos en tránsito y garantizar que el texto cifrado generado por una clave de KMS en un almacén de claves externo sea siempre tan seguro como el texto cifrado mediante una clave de KMS simétrica estándar con material de clave incluido en AWS KMS.

Los métodos de cifrado utilizados por cada Servicio de AWS que se integran con AWS KMS varían. Para obtener más información, consulte el tema “Protección de datos” del capítulo Seguridad de la documentación de los Servicio de AWS.

Cómo funcionan los almacenes de claves externos

  1. Usted agrega un objeto nuevo a su recurso de Servicio de AWS. Para cifrar el objeto, Servicio de AWS envía una solicitud de GenerateDataKey a AWS KMS mediante una clave de KMS en su almacén de claves externo.

  2. AWS KMS genera una clave de datos simétrica de 256 bits y se prepara para enviar una copia de la clave de datos en texto sin formato a su administrador de claves externo a través del proxy del almacén de claves externo. AWS KMS inicia el proceso de doble cifrado al cifrar la clave de datos en texto sin formato con el material clave de AWS KMS asociado a la clave de KMS del almacén de claves externo.

  3. AWS KMS envía una solicitud de cifrado al proxy del almacén de claves externo asociado al almacén de claves externo. La solicitud incluye el texto cifrado de la clave de datos que se va a cifrar y el ID de la clave externa que está asociada a la clave de KMS. AWS KMS firma la solicitud con la credencial de autenticación del proxy de su proxy del almacén de claves externo.

    La copia en texto sin formato de la clave de datos no se envía al proxy del almacén de claves externo.

  4. El proxy del almacén de claves externo autentica la solicitud y, a continuación, la pasa a su administrador de claves externo.

    Algunos servidores proxy de almacenes de claves externos también implementan una política de autorización opcional que permite que solo las entidades principales seleccionadas realicen operaciones en condiciones específicas.

  5. El administrador de claves externo cifra el texto cifrado de la clave de datos mediante la clave externa especificada. El administrador de claves externo devuelve la clave de datos con doble cifrado al proxy del almacén de claves externo, que la devuelve a AWS KMS.

  6. AWS KMS devuelve la clave de datos de texto sin formato y la copia con doble cifrado de esa clave de datos al Servicio de AWS.

  7. El Servicio de AWS utiliza la clave de datos de texto sin formato para cifrar el objeto de recurso, destruye la clave de datos de texto sin formato y almacena la clave de datos cifrada con el objeto cifrado.

    Algunos Servicios de AWS pueden almacenar en caché la clave de datos en texto sin formato para usarla en varios objetos o para reutilizarla mientras el recurso está en uso. Para obtener más información, consulte Cómo afectan las claves de KMS obsoletas a las claves de datos.

Para descifrar el objeto cifrado, Servicio de AWS debe enviar la clave de datos cifrada a AWS KMS en una solicitud Decrypt. Para descifrar la clave de datos cifrada, AWS KMS debe enviar la clave de datos cifrada de vuelta a su proxy del almacén de claves externo con el ID de la clave externa. Si la solicitud de descifrado realizada al proxy del almacén de claves externo no funciona por algún motivo, AWS KMS no puede descifrar la clave de datos cifrada y Servicio de AWS no puede descifrar el objeto cifrado.