Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad de AWS Key Management Service
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de un centro de datos y una arquitectura de red diseñados para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre usted AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad de la nube y seguridad en la nube:
+ **Seguridad *de* la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la AWS nube. AWS también le proporciona servicios que puede utilizar de forma segura. Los auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los [AWS programas](https://aws.amazon.com/compliance/programs/) de de . Para obtener más información sobre los programas de cumplimiento aplicables a AWS Key Management Service (AWS KMS), consulte [AWS Servicios incluidos en el ámbito de aplicación por programa de conformidad AWS Servicios incluidos](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Seguridad *en* la nube**: su responsabilidad viene determinada por el AWS servicio que utilice. Además de su configuración y uso AWS KMS keys, usted es responsable de otros factores, como la confidencialidad de sus datos, los requisitos de su empresa y las leyes y reglamentos aplicables AWS KMS
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando lo utilice AWS Key Management Service. Le muestra cómo configurarlo para AWS KMS cumplir sus objetivos de seguridad y conformidad.
**Topics**
+ [Protección de datos](data-protection.md)
+ [Identity and Access Management](security-iam.md)
+ [Registro y supervisión](security-logging-monitoring.md)
+ [Validación de conformidad](kms-compliance.md)
+ [Resiliencia](disaster-recovery-resiliency.md)
+ [Seguridad de la infraestructura](infrastructure-security.md)
# Protección de datos en AWS Key Management Service
AWS Key Management Service almacena y protege sus claves de cifrado para que estén altamente disponibles y, al mismo tiempo, le proporciona un control de acceso sólido y flexible.
**Topics**
+ [Rotación del material de claves](#encryption-key-mgmt)
+ [Cifrado de datos](#data-encryption)
+ [Privacidad del tráfico entre redes](#inter-network-privacy)
## Rotación del material de claves
De forma predeterminada, AWS KMS genera y protege el material de claves criptográficas para las claves KMS. Además, AWS KMS ofrece opciones para el material clave que se crea y protege fuera de AWS KMSél.
### Protegiendo el material clave generado en AWS KMS
Al crear una clave KMS, de forma predeterminada, se AWS KMS genera y protege el material criptográfico de la clave KMS.
Para proteger el material clave de las claves KMS, AWS KMS utiliza una flota distribuida de módulos de seguridad de hardware [validados por el FIPS 140-3 de nivel de seguridad 3 ()](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884). HSMs Cada AWS KMS HSM es un dispositivo de hardware dedicado e independiente diseñado para proporcionar funciones criptográficas específicas a fin de cumplir con los requisitos de seguridad y escalabilidad de. AWS KMS(Los HSMs que se AWS KMS utilizan en las regiones de China están certificados por la [OSCCA](https://www.oscca.gov.cn/) y cumplen con todas las normas chinas pertinentes, pero no están validados según el Programa de validación de módulos criptográficos FIPS 140-3).
El material de claves de una clave de KMS se cifra de forma predeterminada cuando se genera en el HSM. El material de claves se descifra solo en la memoria volátil del HSM y solo durante los pocos milisegundos que se necesitan para usarlo en una operación criptográfica. Siempre que el material clave no esté en uso activo, se cifra en el HSM y se transfiere a un almacenamiento persistente de baja latencia y [alta durabilidad](https://docs.aws.amazon.com/kms/latest/cryptographic-details/durability-protection.html) (99,19%), donde permanece separado y aislado del. HSMs El material de claves de texto sin formato nunca sale de los [límites de seguridad](https://docs.aws.amazon.com/kms/latest/cryptographic-details/internal-communication-security.html#hsm-security-boundary) del HSM; nunca se escribe en un disco ni permanece en ningún medio de almacenamiento. (La única excepción es la clave pública de un par de claves asimétricas, que no es secreta).
AWS afirma como principio de seguridad fundamental que no hay interacción humana con el material clave criptográfico de texto simple, sea cual sea su tipo. Servicio de AWS No existe ningún mecanismo que permita a nadie, ni siquiera a Servicio de AWS los operadores, ver, acceder o exportar el material clave en texto plano. Este principio se aplica incluso durante fallos catastróficos y eventos de recuperación de desastres. El material clave de cliente en texto simple AWS KMS se utiliza para operaciones criptográficas dentro del marco del AWS KMS FIPS 140-3 y HSMs solo se valida en respuesta a las solicitudes autorizadas que el cliente o su delegado realicen al servicio.
En el caso de [las claves administradas por el cliente](concepts.md#customer-mgn-key), el Cuenta de AWS que crea la clave es el propietario único e intransferible de la clave. La cuenta propietaria tiene el control total y exclusivo sobre las políticas de autorización que controlan el acceso a la clave. Pues Claves administradas por AWS, Cuenta de AWS tiene el control total sobre las políticas de IAM que autorizan las solicitudes al. Servicio de AWS
### Protegiendo el material clave generado fuera de AWS KMS
AWS KMS proporciona alternativas al material clave generado en AWS KMS.
Los [almacenes de claves personalizados](key-store-overview.md#custom-key-store-overview), una AWS KMS función opcional, permiten crear claves de KMS respaldadas por material clave generado y utilizado fuera de ellos AWS KMS. Las claves de KMS de los [almacenes de AWS CloudHSM claves](keystore-cloudhsm.md) están respaldadas por claves de los módulos de seguridad de AWS CloudHSM hardware que usted controla. HSMs Están certificadas con el nivel de [seguridad FIPS 140-2 de nivel 3 o el 140-3 de nivel de seguridad](https://docs.aws.amazon.com/cloudhsm/latest/userguide/compliance.html) 3. Las claves de KMS de los [almacenes de claves externos](keystore-external.md) están respaldadas por las claves de un administrador de claves externo que usted controla y administra desde fuera AWS, como un HSM físico en su centro de datos privado.
Otra característica opcional le permite [importar el material de claves](importing-keys.md) para obtener una clave KMS Para proteger el material clave importado mientras está en tránsito AWS KMS, se cifra el material clave con una clave pública de un par de claves RSA generado en un AWS KMS HSM. El material clave importado se descifra en un AWS KMS HSM y se vuelve a cifrar con una clave simétrica en el HSM. Como todo el material AWS KMS clave, el material clave importado en texto plano nunca sale del archivo sin cifrar. HSMs Sin embargo, el cliente que proporcionó el material de claves es responsable del uso seguro, la durabilidad y el mantenimiento del material de claves fuera de AWS KMS.
## Cifrado de datos
Los datos se AWS KMS componen del material clave de cifrado que representan AWS KMS keys y del material que representan. Este material clave solo existe en texto plano en los módulos de seguridad de AWS KMS hardware (HSMs) y solo cuando está en uso. De lo contrario, el material de la clave se cifra y se almacena en almacenamiento persistente duradero.
El material clave que se AWS KMS genera para las claves de KMS nunca AWS KMS HSMs deja de estar cifrado. No se exporta ni transmite en ninguna operación de AWS KMS API. La excepción son [las claves multirregionales](multi-region-keys-overview.md), donde se AWS KMS utiliza un mecanismo de replicación entre regiones para copiar el material clave de una clave multirregional de un HSM Región de AWS a un HSM de otro. Región de AWS Para obtener más información, consulte el [proceso de replicación de claves multirregionales en Detalles criptográficos](https://docs.aws.amazon.com/kms/latest/cryptographic-details/replicate-key-details.html). AWS Key Management Service
**Topics**
+ [Cifrado en reposo](#encryption-at-rest)
+ [Cifrado en tránsito](#encryption-in-transit)
### Cifrado en reposo
AWS KMS genera material clave para los módulos de seguridad AWS KMS keys de hardware compatibles con el [nivel de seguridad 3 de la norma FIPS 140-3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884) (). HSMs La única excepción son las regiones de China, donde las HSMs que se AWS KMS utilizan para generar las claves KMS cumplen con todas las regulaciones chinas pertinentes, pero no están validadas según el Programa de validación de módulos criptográficos FIPS 140-3. Cuando no se utiliza, el material de claves se cifra mediante una clave de HSM y se escribe en un almacenamiento duradero y persistente. El material clave de las claves KMS y las claves de cifrado que protegen el material clave nunca están HSMs en formato de texto plano.
El cifrado y la administración del material de claves para las claves KMS está completamente a cargo de AWS KMS.
Para obtener más información, consulte Cómo [trabajar con AWS KMS keys](https://docs.aws.amazon.com/kms/latest/cryptographic-details/kms-keys.html) detalles AWS Key Management Service criptográficos.
### Cifrado en tránsito
El material clave que se AWS KMS genera para las claves de KMS nunca se exporta ni transmite en las operaciones de la AWS KMS API. AWS KMS utiliza [identificadores clave](concepts.md#key-id) para representar las claves de KMS en las operaciones de la API. Del mismo modo, el material clave de las claves de KMS en los [almacenes de claves AWS KMS personalizados](key-store-overview.md#custom-key-store-overview) no se puede exportar y nunca se transmite a las operaciones de API AWS KMS ni AWS CloudHSM a través de ellas.
Sin embargo, algunas operaciones de AWS KMS API devuelven claves de [datos](data-keys.md). Además, los clientes pueden usar las operaciones de la API para [importar material de claves](importing-keys.md) para las claves KMS seleccionadas.
Todas las llamadas a la AWS KMS API deben firmarse y transmitirse mediante Transport Layer Security (TLS). AWS KMS requiere TLS 1.2 y recomienda TLS 1.3 en todas las regiones. AWS KMS también es compatible con el TLS poscuántico híbrido para los puntos finales AWS KMS de servicio en todas las regiones, excepto en las regiones de China. AWS KMS no admite el TLS poscuántico híbrido para los terminales FIPS en. AWS GovCloud (US) Las llamadas a AWS KMS también requieren un paquete de cifrado moderno que admita *secreto perfecto en el futuro*, lo que significa que el compromiso de cualquier secreto, como una clave privada, no comprometa también la clave de sesión.
Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para utilizar puntos de conexión estándar o AWS KMS puntos de conexión AWS KMS FIPS, los clientes deben admitir TLS 1.2 o una versión posterior. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/). [Para obtener una lista de los puntos finales de AWS KMS FIPS, consulte AWS Key Management Service los puntos de enlace y las cuotas en.](https://docs.aws.amazon.com/general/latest/gr/kms.html) Referencia general de AWS
Las comunicaciones entre los hosts del AWS KMS servicio HSMs están protegidas mediante criptografía de curva elíptica (ECC) y el estándar de cifrado avanzado (AES) en un esquema de cifrado autenticado. Para obtener más información, consulte [Seguridad de las comunicaciones internas](https://docs.aws.amazon.com/kms/latest/cryptographic-details/internal-communication-security.html) en Detalles criptográficos. AWS Key Management Service
## Privacidad del tráfico entre redes
AWS KMS admite un Consola de administración de AWS conjunto de operaciones de API que permiten crearlas, administrarlas AWS KMS keys y utilizarlas en operaciones criptográficas.
AWS KMS admite dos opciones de conectividad de red, desde su red privada hasta AWS.
+ Una conexión IPSec VPN a través de Internet
+ [AWS Direct Connect](https://aws.amazon.com/directconnect/), que conecta la red interna a una Direct Connect ubicación a través de un cable Ethernet de fibra óptica estándar.
Todas las llamadas a la AWS KMS API deben estar firmadas y transmitirse mediante Transport Layer Security (TLS). Las llamadas también requieren un paquete de cifrado moderno que admita el [secreto perfecto en el futuro](https://en.wikipedia.org/wiki/Forward_secrecy). El tráfico a los módulos de seguridad de hardware (HSMs) que almacenan el material clave para las claves de KMS solo está permitido desde hosts de AWS KMS API conocidos a través de la red AWS interna.
Para conectarse directamente AWS KMS desde su nube privada virtual (VPC) sin enviar tráfico a través de la Internet pública, utilice los puntos de conexión de la VPC, con la tecnología de. [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/) Para obtener más información, consulte [Conéctese a AWS KMS través de un punto final de VPC](kms-vpc-endpoint.md).
AWS KMS también es compatible con una opción [híbrida de intercambio de claves poscuántico](pqtls.md) para el protocolo de cifrado de red Transport Layer Security (TLS). Puede usar esta opción con TLS cuando se conecte a AWS KMS los puntos finales de la API.
# Gestión de identidad y acceso para AWS Key Management Service
AWS Identity and Access Management (IAM) le ayuda a controlar de forma segura el acceso a AWS los recursos. Los administradores controlan quién puede *autenticarse (iniciar* sesión) y quién puede *autorizarse* (tener permisos) para usar AWS KMS los recursos. Para obtener más información, consulte [Uso de políticas de IAM con AWS KMS](iam-policies.md).
Las [políticas clave](key-policies.md) son el mecanismo principal para controlar el acceso a las claves de KMS. AWS KMS Cada clave de KMS debe tener una política de claves. También puede utilizar [políticas de IAM](iam-policies.md) y [concesiones](grants.md), junto con las políticas de claves para controlar el acceso a sus claves KMS. Para obtener más información, consulte [Permisos y acceso a claves KMS](control-access.md).
Si utiliza una Amazon Virtual Private Cloud (Amazon VPC), puede [crear una interfaz de punto final de VPC](kms-vpc-endpoint.md) con tecnología. AWS KMS [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/) También puedes usar las políticas de punto final de la VPC para determinar qué entidades principales pueden acceder a tu AWS KMS punto final, qué llamadas a la API pueden realizar y a qué clave de KMS pueden acceder.
**Topics**
+ [AWS políticas gestionadas para AWS Key Management Service](security-iam-awsmanpol.md)
+ [Uso de roles vinculados a servicios para AWS KMS](using-service-linked-roles.md)
# AWS políticas gestionadas para AWS Key Management Service
Una política AWS administrada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
## AWS política gestionada: AWSKey ManagementServicePowerUser
Puede asociar la política `AWSKeyManagementServicePowerUser` a las identidades de IAM.
Puede utilizar la política administrada de `AWSKeyManagementServicePowerUser` para dar a las entidades principales de IAM en su cuenta los permisos de un usuario avanzado. Los usuarios avanzados pueden crear claves KMS, usar y administrar las claves KMS que crean y ver todas las claves KMS e identidades de IAM. Las entidades principales que tienen la política administrada `AWSKeyManagementServicePowerUser` también pueden obtener permisos de otras fuentes, incluidas las políticas de claves, otras políticas de IAM y las concesiones.
`AWSKeyManagementServicePowerUser`es una política de IAM AWS gestionada. Para obtener más información sobre las políticas AWS gestionadas, consulte las [políticas AWS gestionadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la Guía del *usuario de IAM*.
**nota**
Los permisos de esta política que son específicos para una clave KMS, como `kms:TagResource` y `kms:GetKeyRotationStatus`, solo son efectivos cuando la política de la clave para esa clave KMS [permite explícitamente que la Cuenta de AWS utilice las políticas de IAM](key-policy-default.md#key-policy-default-allow-root-enable-iam) para controlar el acceso a la clave. Para determinar si un permiso es específico para una clave KMS, consulte [AWS KMS permisos](kms-api-permissions-reference.md) y busque un valor de **clave KMS** en la columna **Resources** (Recursos).
Esta política proporciona al usuario avanzado permisos sobre cualquier clave KMS con una política de claves que permita la operación. En el caso de los permisos entre cuentas, como `kms:DescribeKey` y `kms:ListGrants`, esto podría incluir las claves KMS en Cuentas de AWS no confiables. Para más detalles, consulte [Prácticas recomendadas para las políticas de IAM](iam-policies-best-practices.md) y [Permitir a los usuarios de otras cuentas utilizar una clave KMS](key-policy-modifying-external-accounts.md). Para determinar si un permiso es válido en las claves KMS de otras cuentas, consulte [AWS KMS permisos](kms-api-permissions-reference.md) y busque un valor **Yes** (Sí) en la columna **Cross-account use** (Uso entre cuentas).
Para que los directores puedan ver la AWS KMS consola sin errores, el director necesita la [etiqueta: GetResources permission](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html), que no está incluida en la `AWSKeyManagementServicePowerUser` política. Puede autorizar este permiso en una política de IAM independiente.
La política de IAM administrada [AWSKeyManagementServicePowerUser](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSKeyManagementServicePowerUser) debe incluir los siguientes permisos.
+ Permite a las entidades principales crear claves KMS. Dado que este proceso incluye la configuración de la política de claves, los usuarios avanzados pueden concederse a sí mismos y a otros permisos para usar y administrar las claves KMS que crean.
+ Permite a las entidades principales crear y eliminar [alias](kms-alias.md) y [etiquetas](tagging-keys.md) en todas las claves KMS. Si cambia una etiqueta o un alias, puede permitir o denegar el permiso para usar y administrar la clave KMS. Para obtener más información, consulte [ABAC para AWS KMS](abac.md).
+ Permite a las entidades principales obtener información detallada sobre todas las claves KMS, incluyendo su ARN clave, configuración criptográfica, política de claves, alias, etiquetas y [estado de rotación](rotate-keys.md).
+ Permite a las entidades principales enumerar usuarios, grupos y roles de IAM.
+ Esta política no permite a las entidades principales utilizar o administrar claves KMS que no hayan creado. Sin embargo, pueden cambiar los alias y las etiquetas de todas las claves KMS, lo que podría permitirles o denegarles el permiso para utilizar o administrar una clave KMS.
Para ver los permisos de esta política, consulte la Referencia [AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)de políticas AWS administradas.
## AWS política gestionada: AWSService RoleForKeyManagementServiceCustomKeyStores
No puede asociar `AWSServiceRoleForKeyManagementServiceCustomKeyStores` a sus entidades IAM. Esta política está asociada a un rol vinculado a un servicio que permite AWS KMS ver los AWS CloudHSM clústeres asociados a su almacén de AWS CloudHSM claves y crear la red que permita una conexión entre su almacén de claves personalizado y su AWS CloudHSM clúster. Para obtener más información, consulte [Autorización AWS KMS para gestionar los recursos AWS CloudHSM de Amazon EC2](authorize-kms.md).
## AWS política gestionada: AWSService RoleForKeyManagementServiceMultiRegionKeys
No puede asociar `AWSServiceRoleForKeyManagementServiceMultiRegionKeys` a sus entidades IAM. Esta política se adjunta a un rol vinculado a un servicio que otorga permiso de AWS KMS para sincronizar los cambios realizados en el material de claves de una clave principal de varias regiones con las claves de réplica. Para obtener más información, consulte [Autoriza la sincronización de claves AWS KMS multirregionales](multi-region-auth-slr.md).
## AWS KMS actualizaciones de las políticas AWS gestionadas
Consulte los detalles sobre las actualizaciones de las políticas AWS administradas AWS KMS desde que este servicio comenzó a rastrear estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de AWS KMS [Historial de documentos](dochistory.md).
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy](multi-region-auth-slr.md): actualización de una política actual | AWS KMS se agregó un campo de ID de declaración (`Sid`) a la política administrada en la versión v2 de la política. | 21 de noviembre de 2024 |
| [AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy](authorize-kms.md): actualización de una política actual | AWS KMS agregó los `ec2:DescribeNetworkInterfaces` permisos `ec2:DescribeVpcs``ec2:DescribeNetworkAcls`, y para monitorear los cambios en la VPC que contiene el AWS CloudHSM clúster, de modo que AWS KMS puedan proporcionar mensajes de error claros en caso de fallas. | 10 de noviembre de 2023 |
| AWS KMS comenzó a rastrear los cambios | AWS KMS comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas. | 10 de noviembre de 2023 |
# Uso de roles vinculados a servicios para AWS KMS
AWS Key Management Service [usa roles vinculados al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. AWS KMS Los roles vinculados al servicio se definen AWS KMS e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.
Un rol vinculado a un servicio facilita la configuración AWS KMS , ya que no es necesario añadir manualmente los permisos necesarios. AWS KMS define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS KMS puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
Solo puede eliminar un rol vinculado a servicios después de eliminar los recursos relacionados. Esto protege sus AWS KMS recursos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.
Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Sí** en la columna **Rol vinculado a un servicio**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
Para consultar los detalles sobre las actualizaciones de las funciones vinculadas al servicio, consulte [AWS KMS actualizaciones de las políticas AWS gestionadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
**Topics**
+ [Autorización AWS KMS para gestionar los recursos AWS CloudHSM de Amazon EC2](authorize-kms.md)
+ [Autoriza la sincronización de claves AWS KMS multirregionales](multi-region-auth-slr.md)
# Autorización AWS KMS para gestionar los recursos AWS CloudHSM de Amazon EC2
Para respaldar sus almacenes de AWS CloudHSM claves, AWS KMS necesita permiso para obtener información sobre sus AWS CloudHSM clústeres. También necesita permiso para crear la infraestructura de red que conecta el almacén de AWS CloudHSM claves con su AWS CloudHSM clúster. Para obtener estos permisos, AWS KMS crea el rol **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculado al servicio en su. Cuenta de AWS Los usuarios que crean almacenes de AWS CloudHSM claves deben tener el `iam:CreateServiceLinkedRole` permiso que les permita crear roles vinculados a servicios.
Para ver los detalles sobre las actualizaciones de la política **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**gestionada, consulte. [AWS KMS actualizaciones de las políticas AWS gestionadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)
**Topics**
+ [Acerca de la función AWS KMS vinculada al servicio](#about-key-store-slr)
+ [Creación del rol vinculado a servicios](#create-key-store-slr)
+ [Editar la descripción del rol vinculado a un servicio](#edit-key-store-slr)
+ [Eliminar el rol vinculado a servicios](#delete-key-store-slr)
## Acerca de la función AWS KMS vinculada al servicio
Un [rol vinculado a un servicio es un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) de IAM que da permiso a un AWS servicio para llamar a otros AWS servicios en tu nombre. Está diseñado para facilitar el uso de las funciones de varios AWS servicios integrados sin tener que crear y mantener políticas de IAM complejas. Para obtener más información, consulte [Uso de roles vinculados a servicios para AWS KMS](using-service-linked-roles.md).
En el AWS CloudHSM caso de los almacenes clave, AWS KMS crea la función **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculada al servicio con la **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**política gestionada. Esta política concede los siguientes permisos al rol:
+ [CloudHSM:Describe\$1](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html): detecta los cambios en el AWS CloudHSM clúster adjunto a su almacén de claves personalizado.
+ [ec2: CreateSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSecurityGroup.html) — se utiliza cuando se [conecta un almacén de AWS CloudHSM claves](connect-keystore.md) para crear el grupo de seguridad que permite el flujo de tráfico de red entre el clúster y el clúster. AWS KMS AWS CloudHSM
+ [ec2: AuthorizeSecurityGroupIngress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AuthorizeSecurityGroupIngress.html) — se utiliza cuando se [conecta un almacén de AWS CloudHSM claves](connect-keystore.md) para permitir el acceso a la red desde AWS KMS la VPC que contiene AWS CloudHSM el clúster.
+ [ec2: CreateNetworkInterface](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNetworkInterface.html) — se utiliza cuando se [conecta un almacén de AWS CloudHSM claves](connect-keystore.md) para crear la interfaz de red que se utiliza para la comunicación entre el clúster AWS KMS y el clúster. AWS CloudHSM
+ [ec2: RevokeSecurityGroupEgress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RevokeSecurityGroupEgress.html) — se utiliza cuando se [conecta un almacén de AWS CloudHSM claves](connect-keystore.md) para eliminar todas las reglas de salida del grupo de seguridad que lo creó. AWS KMS
+ [ec2: DeleteSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteSecurityGroup.html) — se utiliza cuando se [desconecta un almacén de AWS CloudHSM claves](disconnect-keystore.md) para eliminar los grupos de seguridad que se crearon al conectar el AWS CloudHSM almacén de claves.
+ [ec2: DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html) — se usa para monitorear los cambios en el grupo de seguridad que se AWS KMS creó en la VPC que contiene AWS CloudHSM el clúster, de modo AWS KMS que pueda proporcionar mensajes de error claros en caso de fallas.
+ [ec2: DescribeVpcs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcs.html) — se usa para monitorear los cambios en la VPC que contiene AWS CloudHSM el clúster, de modo AWS KMS que pueda proporcionar mensajes de error claros en caso de fallas.
+ [ec2: DescribeNetworkAcls](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkAcls.html) — se usa para monitorear los cambios en la red ACLs de la VPC que contiene AWS CloudHSM el clúster, de modo AWS KMS que pueda proporcionar mensajes de error claros en caso de fallas.
+ [ec2: DescribeNetworkInterfaces](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html) — se utiliza para supervisar los cambios en las interfaces de red que se AWS KMS crearon en la VPC que contiene AWS CloudHSM el clúster, de modo AWS KMS que puedan proporcionar mensajes de error claros en caso de que se produzcan errores.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudhsm:Describe*",
"ec2:CreateNetworkInterface",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:DescribeVpcs",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces"
],
"Resource": "*"
}
]
}
```
------
Como el rol **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculado al servicio solo es de confianza`cks.kms.amazonaws.com`, solo AWS KMS puede asumir este rol vinculado al servicio. Esta función se limita a las operaciones necesarias para AWS KMS ver los AWS CloudHSM clústeres y conectar un almacén de AWS CloudHSM claves al clúster asociado. AWS CloudHSM No otorga AWS KMS ningún permiso adicional. Por ejemplo, AWS KMS no tiene permiso para crear, administrar o eliminar sus AWS CloudHSM clústeres o copias de seguridad. HSMs
**Regiones**
Al igual que la función de almacenes de AWS CloudHSM claves, la **AWSServiceRoleForKeyManagementServiceCustomKeyStores**función es compatible en todas Regiones de AWS partes AWS KMS y AWS CloudHSM está disponible. Para obtener una lista de los elementos Regiones de AWS que admite cada servicio, consulte [AWS Key Management Service Puntos finales y cuotas](https://docs.aws.amazon.com/general/latest/gr/kms.html) y [AWS CloudHSM puntos finales y cuotas](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) en. *Referencia general de Amazon Web Services*
Para obtener más información sobre cómo AWS los servicios utilizan las funciones vinculadas a servicios, consulte [Uso de funciones vinculadas a servicios en la Guía del usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html).
## Creación del rol vinculado a servicios
AWS KMS crea automáticamente el rol **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculado al servicio en usted Cuenta de AWS al crear un almacén de AWS CloudHSM claves, si el rol aún no existe. No puede crear o volver a crear este rol vinculado a un servicio directamente.
## Editar la descripción del rol vinculado a un servicio
No puede editar el nombre del rol o las instrucciones de la política en el rol vinculado a un servicio **AWSServiceRoleForKeyManagementServiceCustomKeyStores**, aunque sí puede editar la descripción del rol. Para obtener más información, consulte [Editar un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar el rol vinculado a servicios
AWS KMS no elimina el rol **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculado al servicio de su cuenta, Cuenta de AWS incluso si ha [eliminado todos sus almacenes de claves](delete-keystore.md). AWS CloudHSM Aunque actualmente no existe ningún procedimiento para eliminar la función **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculada al servicio, AWS KMS no la asume ni utiliza sus permisos a menos que tenga almacenes de claves activos. AWS CloudHSM
# Autoriza la sincronización de claves AWS KMS multirregionales
Para admitir [claves multirregionales](multi-region-keys-auth.md), AWS KMS necesita permiso para sincronizar las [propiedades compartidas](multi-region-keys-overview.md#mrk-sync-properties) de una clave principal multirregional con sus claves de réplica. Para obtener estos permisos, AWS KMS crea el rol vinculado al **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**servicio en su. Cuenta de AWS Los usuarios que crean claves de varias regiones deben tener el permiso `iam:CreateServiceLinkedRole` que les permite crear roles vinculados a un servicio.
Puede ver el [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) CloudTrail evento que registra la AWS KMS sincronización de propiedades compartidas en sus registros. AWS CloudTrail
Para ver los detalles sobre las actualizaciones de la política **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy**gestionada, consulte[AWS KMS actualizaciones de las políticas AWS gestionadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
**Topics**
+ [Acerca del rol vinculado a un servicio para claves de varias regiones](#about-multi-region-slr)
+ [Creación del rol vinculado a servicios](#create-mrk-slr)
+ [Editar la descripción del rol vinculado a un servicio](#edit-mrk-slr)
+ [Eliminar el rol vinculado a servicios](#delete-mrk-slr)
## Acerca del rol vinculado a un servicio para claves de varias regiones
Una [función vinculada a un servicio es una función](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) de IAM que permite a un AWS servicio llamar a otros AWS servicios en su nombre. Está diseñado para facilitar el uso de las funciones de varios AWS servicios integrados sin tener que crear y mantener políticas de IAM complejas.
En el caso de las claves multirregionales, AWS KMS crea el rol **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**vinculado al servicio con la política gestionada. **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy** Esta política le confiere al rol el permiso `kms:SynchronizeMultiRegionKey`, que le permite sincronizar las propiedades compartidas de claves de varias regiones.
Como el rol **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**vinculado al servicio solo es de confianza`mrk.kms.amazonaws.com`, solo AWS KMS puede asumir este rol vinculado al servicio. Esta función se limita a las operaciones que se AWS KMS necesitan para sincronizar las propiedades compartidas de varias regiones. No otorga AWS KMS ningún permiso adicional. Por ejemplo, AWS KMS no tiene permiso para crear, replicar ni eliminar ninguna clave de KMS.
Para obtener más información sobre cómo AWS los servicios utilizan las funciones vinculadas a servicios, consulte [Uso de funciones vinculadas a servicios en la Guía del usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) de IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "KMSSynchronizeMultiRegionKey",
"Effect" : "Allow",
"Action" : [
"kms:SynchronizeMultiRegionKey"
],
"Resource" : "*"
}
]
}
```
------
## Creación del rol vinculado a servicios
AWS KMS crea automáticamente el rol **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**vinculado al servicio en usted Cuenta de AWS al crear una clave multirregional, si el rol aún no existe. No puede crear o volver a crear este rol vinculado a un servicio directamente.
## Editar la descripción del rol vinculado a un servicio
No puede editar el nombre del rol ni las declaraciones de política del rol **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**vinculado al servicio, pero sí puede editar la descripción del rol. Para obtener más información, consulte [Editar un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar el rol vinculado a servicios
AWS KMS no elimina el rol **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**vinculado al servicio de su cuenta Cuenta de AWS y usted no puede eliminarlo. Sin embargo, AWS KMS no asume el **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**rol ni usa ninguno de sus permisos a menos que tenga claves multirregionales en su Cuenta de AWS región.
# Inicio de sesión y supervisión AWS Key Management Service
La monitorización es una parte importante de la comprensión de la disponibilidad, el estado y el uso de su AWS KMS keys en AWS KMS. La supervisión ayuda a mantener la seguridad, la confiabilidad, la disponibilidad y el rendimiento de sus AWS soluciones. AWS proporciona varias herramientas para supervisar las claves de KMS.
**AWS CloudTrail Registros**
Cada llamada a una operación de AWS KMS API se captura como un evento en un AWS CloudTrail registro. Estos registros registran todas las llamadas a la API desde la AWS KMS consola, así como las llamadas realizadas por AWS KMS otros AWS servicios. Las llamadas a la API entre cuentas, como las llamadas para usar una clave de KMS en otra Cuenta de AWS, se registran en los CloudTrail registros de ambas cuentas.
Al solucionar problemas o auditar, puede utilizar el registro para reconstruir el ciclo de vida de una clave KMS. También puede ver su administración y uso de la clave KMS en operaciones criptográficas. Para obtener más información, consulte [Registrar llamadas a la AWS KMS API con AWS CloudTrail](logging-using-cloudtrail.md).
**Amazon CloudWatch Logs**
Supervise, almacene y acceda a sus archivos de registro desde AWS CloudTrail y otras fuentes. Para obtener más información, consulta la [Guía del CloudWatch usuario de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
Pues AWS KMS, CloudWatch almacena información útil que le ayuda a evitar problemas con sus claves de KMS y los recursos que protegen. Para obtener más información, consulte [Supervise las claves de KMS con Amazon CloudWatch](monitoring-cloudwatch.md).
**Amazon EventBridge**
AWS KMS genera EventBridge eventos cuando se [rota](rotate-keys.md) o se [elimina](deleting-keys.md) su clave de KMS o cuando caduca el [material de clave importado](importing-keys.md) de su clave de KMS. Busque AWS KMS eventos (operaciones de API) y diríjalos a una o más funciones o flujos de destino para capturar información de estado. Para obtener más información, consulta [Supervise las claves de KMS con Amazon EventBridge](kms-events.md) la [Guía del EventBridge usuario de Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
** CloudWatch Métricas de Amazon**
Puede supervisar sus claves de KMS mediante CloudWatch métricas, que recopilan y procesan datos sin procesar para AWS KMS convertirlos en métricas de rendimiento. Los datos se registran en intervalos de dos semanas para que pueda ver las tendencias de la información actual e histórica. Esto le ayuda a comprender cómo se utilizan sus claves KMS y cómo su uso cambia con el tiempo. Para obtener información sobre el uso de CloudWatch métricas para supervisar las claves de KMS, consulte[AWS KMS métricas y dimensiones](monitoring-cloudwatch.md#kms-metrics).
** CloudWatch Alarmas Amazon**
Vea solo un cambio de alarma durante el periodo especificado. Luego, realice una o varias acciones según el valor de la métrica con respecto a un umbral durante varios períodos. Por ejemplo, puede crear una CloudWatch alarma que se active cuando alguien intente usar una clave de KMS que está programada para eliminarse en una operación criptográfica. Esto indica que la clave KMS todavía se está utilizando y probablemente no debería eliminarse. Para obtener más información, consulte [Creación de una alarma que detecte el uso de una eliminación pendiente de una clave KMS](deleting-keys-creating-cloudwatch-alarm.md).
**AWS Security Hub CSPM**
Puede supervisar su AWS KMS uso para comprobar si cumple con AWS Security Hub CSPM los estándares del sector de la seguridad y las mejores prácticas. Security Hub CSPM utiliza controles de seguridad para evaluar las configuraciones de los recursos y los estándares de seguridad para ayudarlo a cumplir con varios marcos de conformidad. Para obtener más información, consulte [AWS Key Management Service controls](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html) en la *Guía del usuario de AWS Security Hub *.
# Validación de conformidad para AWS Key Management Service
Los auditores externos evalúan la seguridad y el cumplimiento AWS Key Management Service como parte de varios programas de AWS cumplimiento. Estos incluyen SOC, PCI, FedRAMP, HIPAA y otros.
**Topics**
+ [Documentos de conformidad y seguridad](#compliance-documents)
+ [Más información](#compliance-more)
## Documentos de conformidad y seguridad
Los siguientes documentos de cumplimiento y seguridad cubren AWS KMS. Para verlos, utilice [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html).
+ Catálogo de controles de conformidad de informática en la nube (C5)
+ Declaración de aplicabilidad (SoA) de ISO 27001:2013
+ Certificación ISO 27001:2013
+ Declaración de aplicabilidad (SoA) de ISO 27017:2015
+ Certificación ISO 27017:2015
+ Declaración de aplicabilidad (SoA) de ISO 27018:2015
+ Certificación ISO 27018:2014
+ Certificación ISO 9001:2015
+ Declaración de conformidad (AOC) PCI DSS y resumen de responsabilidad
+ Informe de controles de organizaciones de servicios (SOC) 1
+ Informe de controles de organizaciones de servicios (SOC) 2
+ Informe de controles de organizaciones de servicios (SOC) 2 para la confidencialidad
+ FedRAMP-High
Para obtener ayuda al AWS Artifact respecto, consulta [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
## Más información
Su responsabilidad de cumplimiento al AWS KMS utilizarlos viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. Si su uso de AWS KMS está sujeto al cumplimiento de una norma publicada, AWS proporciona recursos que le ayudarán a:
+ [AWS Servicios incluidos en el ámbito de aplicación del programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/): en esta página se enumeran AWS los servicios que se encuentran dentro del ámbito de aplicación de programas de conformidad específicos. Para obtener información general, consulte [Programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/).
+ [Guías de inicio rápido sobre seguridad y cumplimiento](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance): estas guías de implementación analizan las consideraciones arquitectónicas y proporcionan los pasos para implementar entornos básicos centrados en la seguridad y el cumplimiento. AWS
+ [AWS Recursos de conformidad](https://aws.amazon.com/compliance/resources/): esta colección de libros de trabajo y guías puede aplicarse a su sector y ubicación.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)— Este AWS servicio evalúa en qué medida las configuraciones de sus recursos cumplen con las prácticas internas, las directrices del sector y las normativas.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Este AWS servicio proporciona una visión completa del estado de su seguridad interior AWS. Security Hub CSPM utiliza controles de seguridad para evaluar sus AWS recursos y comprobar su conformidad con los estándares y las mejores prácticas del sector de la seguridad. Para obtener una lista de los servicios y controles compatibles, consulte la [Referencia de controles de Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-controls-reference.html).
# Resiliencia en AWS Key Management Service
La infraestructura AWS global se basa en zonas Regiones de AWS de disponibilidad. Regiones de AWS proporcionan varias zonas de disponibilidad aisladas y separadas físicamente, que están conectadas mediante redes de baja latencia, alto rendimiento y alta redundancia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre zonas de disponibilidad sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de centros de datos únicos o múltiples.
Además de la infraestructura AWS global, AWS KMS ofrece varias funciones para ayudarlo a satisfacer sus necesidades de respaldo y resiliencia de datos. Para obtener más información sobre las zonas de disponibilidad Regiones de AWS y las zonas de disponibilidad, consulte [Infraestructura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
## Aislamiento regional
AWS Key Management Service (AWS KMS) es un servicio regional autosuficiente que está disponible en todos Regiones de AWS. El diseño aislado regionalmente AWS KMS garantiza que un problema de disponibilidad en una región Región de AWS no pueda afectar al AWS KMS funcionamiento en ninguna otra región. AWS KMS está diseñado para garantizar que no haya ningún tiempo de *inactividad planificado*, ya que todas las actualizaciones de software y las operaciones de escalado se realizan de forma fluida e imperceptible.
El [acuerdo AWS KMS de nivel de servicio](https://aws.amazon.com/kms/sla/) (SLA) incluye un compromiso de servicio del 99,999% para todos los KMS. APIs Para cumplir este compromiso, AWS KMS garantiza que todos los datos y la información de autorización necesarios para ejecutar una solicitud de la API estén disponibles en todos los hosts regionales que reciben la solicitud.
La AWS KMS infraestructura se replica en al menos tres zonas de disponibilidad (AZs) en cada región. Para garantizar que los fallos en varios hosts no afecten al AWS KMS rendimiento, AWS KMS está diseñado para atender el tráfico de clientes desde cualquier parte AZs de una región.
Los cambios realizados en las propiedades o permisos de una clave de KMS se replican en todos los hosts de la región para garantizar que cualquier host de la región pueda procesar de manera correcta la solicitud posterior. Las solicitudes de [operaciones criptográficas](kms-cryptography.md#cryptographic-operations) que utilizan la clave KMS se reenvían a una flota de módulos de seguridad de AWS KMS hardware (HSMs), cualquiera de los cuales puede realizar la operación con la clave KMS.
## Diseño de varios inquilinos
El diseño multiusuario AWS KMS le permite cumplir con el SLA de disponibilidad del 99,999% y mantener altas tasas de solicitudes, al tiempo que protege la confidencialidad de sus claves y datos.
Se implementan varios mecanismos de cumplimiento de la integridad para garantizar que la clave de KMS especificada para la operación criptográfica sea siempre la que se utiliza.
El material de clave de texto sin formato para las claves de KMS está ampliamente protegido. El material de clave se cifra en el HSM tan pronto como se crea y el material de clave cifrado se mueve de inmediato al almacenamiento seguro y de baja latencia. La clave cifrada se recupera y se descifra dentro del HSM justo a tiempo para su uso. La clave de texto sin formato permanece en la memoria HSM solo durante el tiempo necesario para completar la operación criptográfica. Luego se vuelve a cifrar en el HSM y la clave cifrada se devuelve al almacenamiento. El material clave en texto simple nunca sale del archivo HSMs; nunca se escribe en un almacenamiento persistente.
## Mejores prácticas de resiliencia en AWS KMS
Para optimizar la resiliencia de sus AWS KMS recursos, considere las siguientes estrategias.
+ Para respaldar la estrategia de copia de seguridad y recuperación de desastres, considere las *claves de varias regiones*, que son claves de KMS creadas en una Región de AWS y se replican solo en las regiones que especifique. Con las claves multirregionales, puede mover los recursos cifrados Regiones de AWS (dentro de la misma partición) sin exponer nunca el texto sin formato, y descifrar el recurso, cuando sea necesario, en cualquiera de sus regiones de destino. Las claves de varias regiones relacionadas son interoperables porque comparten el mismo material de clave y el mismo ID de clave, pero tienen políticas de clave independientes para el control de acceso de alta resolución. Para obtener más información, consulte [Claves de varias regiones en AWS KMS](multi-region-keys-overview.md).
+ [Para proteger sus claves en un servicio multiusuario, por ejemplo AWS KMS, asegúrese de utilizar los controles de acceso, incluidas [las políticas clave y las políticas](key-policies.md) de IAM.](iam-policies.md) Además, puede enviar sus solicitudes a AWS KMS un *punto final de interfaz de VPC* con tecnología. AWS PrivateLink Cuando lo haga, toda la comunicación entre su VPC de Amazon y AWS KMS se realizará íntegramente dentro de la AWS red mediante un AWS KMS punto de conexión dedicado restringido a su VPC. Puede proteger aún más estas solicitudes al crear una capa de autorización adicional mediante [políticas de punto de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#edit-vpc-endpoint-policy). Para obtener más información, consulte [Conexión a AWS KMS mediante un punto de conexión de VPC](kms-vpc-endpoint.md).
# Seguridad de la infraestructura en AWS Key Management Service
Como servicio gestionado, AWS Key Management Service (AWS KMS) está protegido por los procedimientos de seguridad de la red AWS global que se describen en [Amazon Web Services: Descripción general de los procesos de seguridad](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Para acceder a AWS KMS través de la red, puede llamar a las operaciones de la AWS KMS API que se describen en la [referencia de la AWS Key Management Service API](https://docs.aws.amazon.com/kms/latest/APIReference/). AWS KMS requiere TLS 1.2 y recomienda TLS 1.3 en todas las regiones. AWS KMS también es compatible con el TLS poscuántico híbrido para los puntos finales AWS KMS de servicio en todas las regiones, excepto en las regiones de China. AWS KMS no admite el TLS poscuántico híbrido para los puntos finales FIPS en. AWS GovCloud (US) Para utilizar los [puntos de conexión estándar de AWS KMS](https://docs.aws.amazon.com/general/latest/gr/kms.html) o los [puntos de conexión FIPS de AWS KMS](https://docs.aws.amazon.com/general/latest/gr/kms.html), los clientes deben admitir TLS 1.2 o una versión posterior. Los clientes también deben ser compatibles con conjuntos de cifrado con confidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La mayoría de los sistemas modernos, como Java 7 y posteriores, son compatibles con estos modos.
Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad principal de IAM. También puedes utilizar [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.
Puede llamar a estas operaciones de API desde cualquier ubicación de red, pero AWS KMS admite condiciones de política global que le permiten controlar el acceso a una clave de KMS en función de la dirección IP de origen, la VPC y el punto final de la VPC. Puede utilizar estas claves de condición en políticas de claves y en políticas de IAM. Sin embargo, estas condiciones pueden AWS impedir que utilices la clave de KMS en tu nombre. Para obtener más información, consulte [AWS claves de condición globales](conditions-aws.md).
Por ejemplo, la siguiente declaración de política clave permite a los usuarios que pueden asumir la `KMSTestRole` función utilizarla AWS KMS key para las [operaciones criptográficas](kms-cryptography.md#cryptographic-operations) especificadas, a menos que la dirección IP de origen sea una de las direcciones IP especificadas en la política.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {"AWS":
"arn:aws:iam::111122223333:role/KMSTestRole"},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
}
```
------
## Aislamiento de Hosts físicos
La seguridad de la infraestructura física que se AWS KMS utiliza está sujeta a los controles descritos en la sección **Seguridad física y ambiental** de [Amazon Web Services: Descripción general de los procesos de seguridad](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf). Puede encontrar más detalles en los informes de conformidad y los resultados de auditoría de terceros enumerados en la sección anterior.
AWS KMS está respaldado por módulos de seguridad de hardware reforzados dedicados (HSMs) diseñados con controles específicos para resistir los ataques físicos. HSMs Se trata de dispositivos físicos que *no* tienen una capa de virtualización, como un hipervisor, que comparte el dispositivo físico entre varios elementos lógicos. El material clave AWS KMS keys se almacena únicamente en la memoria volátil del HSMs KMS y solo mientras esté en uso. Esta memoria se borra cuando el HSM sale del estado operativo, incluidos los cierres y reinicios previstos e imprevistos. Para obtener información detallada sobre el funcionamiento de AWS KMS HSMs, consulte [Detalles AWS Key Management Service criptográficos](https://docs.aws.amazon.com/kms/latest/cryptographic-details/).