Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Realice operaciones sin conexión con claves públicas
En una clave asimétrica, la KMS clave privada se crea AWS KMS y nunca se queda sin cifrar. AWS KMS Para usar la clave privada, debe llamar. AWS KMS Puede utilizar la clave pública que contiene AWS KMS llamando a las AWS KMS API operaciones. O bien, puede descargar la clave pública y compartirla para usarla fuera de ella AWS KMS.
Puedes compartir una clave pública para que otros puedan cifrar datos ajenos a los AWS KMS que solo puedes descifrar con tu clave privada. O bien, para permitir que otros verifiquen una firma digital fuera del AWS KMS que haya generado con su clave privada. O bien, para compartir su clave pública con un compañero para obtener un secreto compartido.
Cuando utilizas la clave pública en tu clave asimétrica interna KMS AWS KMS, te beneficias de la autenticación, la autorización y el registro que forman parte de cada operación. AWS KMS También reduce el riesgo de cifrar datos que no se pueden descifrar. Estas funciones no son efectivas fuera de AWS KMS. Para obtener más información, consulte Consideraciones especiales para descargar claves públicas.
sugerencia
¿Busca claves o SSH claves de datos? En este tema se explica cómo administrar claves asimétricas en AWS Key Management Service, donde la clave privada no es exportable. Para ver los pares de claves de datos exportables en los que la clave privada está protegida por una KMS clave de cifrado simétrica, consulte. GenerateDataKeyPair Si necesitas ayuda para descargar la clave pública asociada a una EC2 instancia de Amazon, consulta Cómo recuperar la clave pública en la Guía del EC2usuario de Amazon y en la Guía del EC2usuario de Amazon.
Temas
Consideraciones especiales para descargar claves públicas
Para proteger sus KMS claves, AWS KMS proporciona controles de acceso, cifrado autenticado y registros detallados de cada operación. AWS KMS también le permite impedir el uso de KMS claves, de forma temporal o permanente. Por último, AWS KMS las operaciones están diseñadas para minimizar el riesgo de cifrar datos que no se pueden descifrar. Estas funciones no están disponibles cuando se utilizan claves públicas descargadas fuera de. AWS KMS
- Autorización
-
Las políticas clave y IAMlas políticas que controlan el acceso a la KMS clave interna no AWS KMS tienen ningún efecto en las operaciones realizadas fuera de ella AWS. Cualquier usuario que pueda obtener la clave pública puede utilizarla de forma externa, AWS KMS incluso si no tiene permiso para cifrar datos o verificar las firmas con la KMS clave.
- Restricciones de uso de las claves
-
Las restricciones de uso de claves no entran en vigor fuera de AWS KMS. Si llama a la operación de cifrado con una KMS clave que tiene un
KeyUsagedeSIGN_VERIFY, se produce un error en la AWS KMS operación. Sin embargo, si cifra datos de forma externa o AWS KMS con una clave pública de una KMS clave con unKeyUsageSIGN_VERIFYoKEY_AGREEMENT, los datos no se pueden descifrar. - Restricciones del algoritmo
-
Las restricciones a los algoritmos de cifrado y firma que AWS KMS admiten no son efectivas fuera de. AWS KMS Si cifra los datos con la clave pública desde una KMS clave externa y utiliza un algoritmo de AWS KMS cifrado que no AWS KMS lo admite, los datos no se pueden descifrar.
- Deshabilitar y eliminar claves KMS
-
Las medidas que puede tomar para impedir el uso de la KMS clave en una operación criptográfica interna AWS KMS no impiden que nadie utilice la clave pública fuera de ella. AWS KMS Por ejemplo, deshabilitar una KMS clave, programar la eliminación de una KMS clave, eliminar una KMS clave o eliminar el material clave de una KMS clave no tienen ningún efecto en una clave pública ajena a. AWS KMS Si eliminas una KMS clave asimétrica o eliminas o pierdes su material clave, los datos que no se cifre con una clave pública no se podrán recuperar. AWS KMS
- Registro
-
AWS CloudTrail los registros que registran todas las AWS KMS operaciones, incluidas la solicitud, la respuesta, la fecha, la hora y el usuario autorizado, no registran el uso de la clave pública fuera de ella. AWS KMS
- Verificación fuera de línea con pares de SM2 claves (solo en las regiones de China)
-
Para verificar una firma fuera o AWS KMS con una clave SM2 pública, debes especificar el identificador distintivo. De forma predeterminada,
1234567812345678se AWS KMS utiliza como identificador distintivo. Para obtener más información, consulta Verificación sin conexión con pares de SM2 claves (solo regiones de China).
