Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Claves KMS en un almacén de claves de CloudHSM
Puede crear, ver, administrar, usar y programar la eliminación de AWS KMS keys en un almacén de claves de AWS CloudHSM. Los procedimientos son muy similares a los que usaría para otras claves de KMS. La única diferencia es que debe especificar un almacén de claves de AWS CloudHSM al crear la clave de KMS. A continuación, AWS KMS crea un material de claves no extraíble para la clave de KMS en el clúster de AWS CloudHSM que está asociado al almacén de claves de AWS CloudHSM. Al utilizar una clave de KMS en un almacén de claves de AWS CloudHSM, las operaciones criptográficas se realizan en los HSM del clúster.
- Características admitidas
-
Además de los procedimientos tratados en esta sección, puede hacer lo siguiente con las claves de KMS en un almacén de claves de AWS CloudHSM:
-
Utilice políticas de claves, políticas de IAM y concesiones para autorizar el acceso a las claves de KMS.
-
Habilite y deshabilite las claves de KMS.
-
Asigne etiquetas, cree alias y utilice el control de acceso basado en atributos (ABAC) para autorizar el acceso a las claves de KMS.
-
Utilice las claves KMS para realizar las siguientes operaciones criptográficas:
Las operaciones que generan pares de claves asimétricas de datos, GenerateDataKeyPair y GenerateDataKeyPairWithoutPlaintext, no se admiten en un almacén de claves personalizado.
-
Utilice las claves de KMS con servicios de AWS que se integran con AWS KMS y que admiten las claves administradas por el cliente.
-
Realice un seguimiento del uso de las claves de KMS en registros de AWS CloudTrail y herramientas de monitoreo de Amazon CloudWatch.
-
- Características no admitidas
-
-
Los almacenes de claves personalizados de AWS CloudHSM solo admiten claves de KMS de cifrado simétrico. No puede crear claves de KMS con HMAC, claves de KMS asimétricas ni pares de claves de datos asimétricas en un almacén de claves de AWS CloudHSM.
-
No se puede importar material de claves a una clave de KMS en un almacén de claves de AWS CloudHSM. AWS KMS genera el material de claves para la clave de KMS en el clúster de AWS CloudHSM.
-
No puede habilitar ni deshabilitar la rotación automática del material clave para una clave de KMS en un almacén de claves de AWS CloudHSM.
-
- Uso de las claves KMS en un almacén de claves de AWS CloudHSM
-
Cuando utilice la clave de KMS en una solicitud, identifique la clave de KMS por su ID o alias. No es necesario especificar el almacén de claves de AWS CloudHSM ni el clúster de AWS CloudHSM. La respuesta incluye los mismos campos que se devuelven para cualquier clave KMS de cifrado simétrica.
Sin embargo, cuando se utiliza una clave de KMS en un almacén de claves de AWS CloudHSM, la operación criptográfica se realiza completamente dentro del clúster de AWS CloudHSM asociado con el almacén de claves de AWS CloudHSM. La operación utiliza el material de claves del clúster asociado con la clave KMS elegida.
Para ello, se deben cumplir las siguientes condiciones.
-
El estado de clave de la clave KMS debe ser
Enabled. Para buscar el estado de la clave, use el campo Status (Estado) en la consola de AWS KMS o el campoKeyStateen la respuesta DescribeKey. -
El almacén de claves de AWS CloudHSM debe estar conectado a su clúster de AWS CloudHSM. Su Status (Estado) en la consola de AWS KMS o
ConnectionStateen la respuesta DescribeCustomKeyStores debe serCONNECTED. -
El clúster de AWS CloudHSM asociado al almacén de claves personalizado debe incluir al menos un HSM activo. Para encontrar el número de HSM activos en el clúster, use la consola de AWS KMS, la consola de AWS CloudHSM o la operación DescribeClusters.
-
El clúster de AWS CloudHSM debe incluir el material de claves para la clave KMS. Si se ha eliminado el material de claves del clúster, o se ha creado un HSM a partir de una copia de seguridad que no incluía el material de claves, la operación criptográfica dará error.
Si no se cumplen estas condiciones, la operación criptográfica dará error y AWS KMS devolverá una excepción
KMSInvalidStateException. Normalmente, bastará con que vuelva a conectar el almacén de claves de AWS CloudHSM. Para obtener ayuda adicional, consulte ¿Cómo arreglar una clave KMS que produce error?.Cuando utilice las claves de KMS en un almacén de claves de AWS CloudHSM, tenga en cuenta que las claves de KMS de cada almacén de claves de AWS CloudHSM comparten una cuota de solicitudes del almacén de claves personalizado para operaciones criptográficas. Si supera la cuota, AWS KMS devuelve una
ThrottlingException. Si el clúster de AWS CloudHSM que está asociado al almacén de claves de AWS CloudHSM procesa numerosos comandos, incluidos los no relacionados con el almacén de claves de AWS CloudHSM, es posible que obtenga unaThrottlingExceptiona un velocidad aún inferior. Si recibe una excepciónThrottlingExceptionpara cualquier solicitud, baje la velocidad de solicitud e intente ejecutar los comandos de nuevo. Para obtener más información sobre la cuota de solicitudes del almacén de claves personalizado, consulte Cuotas de solicitudes del almacén de claves personalizado. -
- Más información
-
-
Para obtener más información sobre los almacenes de claves de AWS CloudHSM, consulte Almacén de claves de AWS CloudHSM.
-
Para crear claves KMS en un almacén de claves de AWS CloudHSM, consulte Creación de una clave KMS en un almacén de claves de AWS CloudHSM.
-
Para identificar y ver las claves KMS de un almacén de claves de AWS CloudHSM, consulte Identificación de claves KMS en almacenes de claves de AWS CloudHSM.
-
Para buscar claves KMS y material de claves en un almacén de claves de AWS CloudHSM, consulte Encuentra KMS llaves y material clave en un almacén de AWS CloudHSM llaves.
-
Para conocer las consideraciones especiales a la hora de eliminar claves KMS de un almacén de claves de AWS CloudHSM, consulte Eliminación de claves KMS de un almacén de claves de AWS CloudHSM.
-
