Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Rotación de AWS KMS keys
Para crear nuevo material criptográfico para sus claves administradas por el cliente, puede crear nuevas claves KMS y, a continuación, cambiar sus aplicaciones o alias para que utilicen las claves. O bien, puede rotar el material de claves asociado a una clave KMS existente habilitando la rotación automática de claves o realizando la rotación bajo demanda.
De forma predeterminada, cuando habilita la rotación automática de claves para una clave KMS, AWS KMS genera nuevo material criptográfico para la KMS cada año. También puede especificar un rotation-period personalizado para definir el número de días después de habilitar la rotación automática de claves que AWS KMS rotará el material clave y el número de días que transcurrirán entre cada rotación automática a partir de entonces. Si necesita iniciar inmediatamente la rotación del material de claves, puede realizar la rotación bajo demanda, independientemente de si la rotación automática de claves está habilitada o no. Las rotaciones bajo demanda no cambian los programas de rotación automática existentes.
AWS KMS guarda todas las versiones anteriores del material criptográfico a perpetuidad para que pueda descifrar cualquier dato cifrado con esa clave KMS. AWS KMS no elimina ningún material de claves rotado hasta que elimine la clave KMS. Puede realizar el seguimiento de la rotación del material de claves para sus claves KMS en Amazon CloudWatch, AWS CloudTrail y la consola de AWS Key Management Service. También puede utilizar la operación GetKeyRotationStatus para comprobar si la rotación automática está habilitada para una clave KMS e identificar cualquier rotación bajo demanda en curso. Puede utilizar la operación ListKeyRotations para ver los detalles de las rotaciones completadas.
Cuando se utiliza una clave KMS rotada para el cifrado, AWS KMS utiliza la el material de claves actual. Cuando se utiliza la clave KMS rotada para descifrar el texto cifrado, AWS KMS utiliza la misma versión del material de claves utilizado para cifrarlo. No puede seleccionar una versión concreta del material de claves para las operaciones de descifrado; AWS KMS elige automáticamente la versión correcta. Dado que AWS KMS se descifra de forma transparente con el material de claves adecuado, puede utilizar de forma segura una clave KMS rotada en aplicaciones y Servicios de AWS sin cambios de código.
Sin embargo, la rotación de claves automática no afecta a los datos que la clave KMS protege. No rota las claves de datos que ha generado la clave KMS ni vuelve a cifrar los datos protegidos por la clave KMS. Además, no mitiga el efecto de una clave de datos comprometida.
AWS KMS es compatible con la rotación de claves automática y bajo demanda únicamente en el caso de las claves KMS de cifrado simétricas con material de claves creado por AWS KMS. La rotación automática es opcional para las claves KMS administradas por el cliente. AWS KMS siempre rota el material de claves para claves KMS administradas de AWS cada año. La rotación de las claves KMS propiedad de AWS la administra el servicio de AWS propietario de la clave.
nota
El intervalo de rotación de Claves administradas por AWS cambió en mayo de 2022. Para obtener más información, consulte Claves administradas por AWS.
La rotación de claves cambia únicamente el material de claves, que es el secreto criptográfico que se usa en las operaciones de cifrado. La clave KMS es el mismo recurso lógico, independientemente de si el material de claves cambie o de cuántas veces lo haga. Las propiedades de la clave KMS no cambian, tal y como se muestra en la siguiente imagen.
Podría optar por crear una nueva clave KMS y utilizarla en lugar de la clave KMS original. Esto tiene el mismo efecto que rotar el material de claves de una clave KMS existente, así que a menudo se considera una rotación manual de la clave. La rotación manual es una buena opción si quiere rotar las claves KMS que no cumplen los requisitos para la rotación automática de claves, incluidas las claves KMS asimétricas, las claves KMS HMAC, claves KMS en almacenes de claves personalizadas y claves KMS con material de claves importado.
Rotación de claves y precios
AWS KMS factura una cuota mensual por la primera y segunda rotación de material de claves que mantiene para su clave KMS. Este aumento de precio está limitado a la segunda rotación y las rotaciones posteriores no se facturarán. Consulte los Precios de AWS Key Management Service
nota
Puedes usar AWS Cost Explorer Service para ver un desglose de los cargos por almacenamiento de claves. Por ejemplo, puede filtrar la vista para ver los cargos totales de las claves facturadas como claves de KMS actuales y rotadas especificando $REGION-KMS-Keys en Tipo de uso y agrupando los datos por Operación de la API.
Es posible que siga viendo instancias de la operación de la API Unknown heredada para fechas antiguas.
Rotación de claves y cuotas
Cada clave KMS cuenta como una clave para el cálculo de las cuotas de recursos clave, independientemente del número de versiones de material de claves rotadas.
Para obtener información detallada sobre el material de claves y la rotación, consulte los Detalles criptográficos de AWS Key Management Service.
Temas
- ¿Por qué rotar las claves de KMS?
- Cómo funciona la rotación de claves
- Habilitación de la rotación automática de claves
- Deshabilitación de la rotación automática de claves
- Realización de la rotación de claves bajo demanda
- Rotación manual de claves
- Cambio de la clave principal en un conjunto de claves de varias regiones
¿Por qué rotar las claves de KMS?
Las prácticas recomendadas en materia de criptografía desaconsejan la reutilización extensiva de las claves que cifran los datos directamente, como las claves de datos que AWS KMS genera. Cuando las claves de datos de 256 bits cifran millones de mensajes, estas pueden fatigarse y empezar a producir texto cifrado con patrones sutiles que los actores inteligentes pueden aprovechar para descubrir los bits de la clave. Para evitar que las claves se fatiguen, lo mejor es utilizar las claves de datos una vez o solo unas cuantas veces, lo que permite rotar el material de la clave de forma eficaz.
Sin embargo, las claves de KMS se utilizan con mayor frecuencia como claves de encapsulamiento, también conocidas como claves de cifrado de claves. En lugar de cifrar los datos, las claves de encapsulamiento cifran las claves de datos que cifran los datos. Por lo tanto, se utilizan con mucha menos frecuencia que las claves de datos y casi nunca se reutilizan lo suficiente como para correr el riesgo de que se fatiguen las claves.
A pesar de que el riesgo de fatiga es muy bajo, es posible que tenga que cambiar sus claves de KMS debido a normas comerciales o contractuales o a normativas gubernamentales. Cuando se vea en la obligación de rotar las claves de KMS, le recomendamos que utilice la rotación automática de claves cuando se permita y la rotación manual de claves cuando no se admita la rotación automática de claves.
Podría considerar la realización de rotaciones bajo demanda para demostrar las capacidades de rotación de material de claves o para validar los scripts de automatización. Recomendamos utilizar rotaciones bajo demanda para las rotaciones no planificadas y utilizar la rotación automática de claves con un periodo de rotación personalizado siempre que sea posible.
Cómo funciona la rotación de claves
La rotación de claves en AWS KMS está diseñada para ser transparente y fácil de usar. AWS KMS admite la rotación de claves automática y bajo demanda opcional solo para las claves administradas por el cliente.
- Rotación automática de claves
-
AWS KMS rota la clave KMS automáticamente en la siguiente fecha de rotación definida por su periodo de rotación. No necesita recordar ni programar la actualización.
- Rotación bajo demanda
-
Inicie de inmediato la rotación del material de claves asociado a su clave KMS, independientemente de si la rotación automática de claves está habilitada o no.
- Administración de material de claves
-
AWS KMS conserva todo el material de una clave KMS, incluso si la rotación de la clave está desactivada. AWS KMS elimina el material de la clave únicamente cuando se elimina la clave KMS.
- Uso de material de claves
-
Cuando se utiliza una clave KMS rotada para el cifrado, AWS KMS utiliza la el material de claves actual. Cuando se utiliza la clave KMS rotada para descifrar el texto cifrado, AWS KMS utiliza la misma versión del material de claves utilizado para cifrarlo. No puede seleccionar una versión concreta del material de claves para las operaciones de descifrado; AWS KMS elige automáticamente la versión correcta.
- Periodo de rotación
-
El periodo de rotación define el número de días después de habilitar la rotación automática de claves que AWS KMS rotará el material clave y el número de días que transcurrirán entre cada rotación automática a partir de entonces. Si no especifica un valor para
RotationPeriodInDaysal habilitar la rotación automática de claves, el valor predeterminado es de 365 días.También puede usar la clave de condición kms:RotationPeriodInDays para limitar los valores que las entidades principales pueden especificar en el parámetro de
RotationPeriodInDays. - Fecha de rotación
-
AWS KMS rota automáticamente la clave KMS en la fecha de rotación definida por su periodo de rotación. El periodo de rotación predeterminado es de 365 días.
- Claves administradas por el cliente
-
Como la rotación automática de claves es opcional en las claves administradas por el cliente y se puede habilitar y deshabilitar en cualquier momento, la fecha de rotación depende de la fecha en que se habilitó la rotación por última vez. La fecha puede cambiar si modifica el periodo de rotación de una clave en la que anteriormente había habilitado la rotación automática de claves. La fecha de rotación puede cambiar muchas veces durante la vida de la clave.
Por ejemplo, si crea una clave administrada por el cliente el 1 de enero de 2022 y habilita la rotación automática de claves con el periodo de rotación predeterminado de 365 días el 15 de marzo de 2022, AWS KMS rota el material de claves el 15 de marzo de 2023, el 15 de marzo de 2024 y, a partir de entonces, cada 365 días.
En los siguientes ejemplos se supone que la rotación automática de claves estaba habilitada con el periodo de rotación predeterminado de 365 días. Estos ejemplos muestran casos especiales que podrían afectar al periodo de rotación de una clave.
-
Deshabilitar la rotación de claves: si deshabilita la rotación automática de claves en cualquier momento, la clave de KMS seguirá utilizando la versión del material de claves que utilizaba cuando la rotación estaba deshabilitada. Si vuelve a habilitar la rotación automática de claves, AWS KMS rotará el material de claves en función de la nueva fecha de habilitación de claves.
-
Claves de KMS deshabilitadas: cuando una clave de KMS esté deshabilitada, AWS KMS no la rotará. Sin embargo, el estado de rotación de clave no cambia y no puede cambiarlo mientras la clave KMS esté deshabilitada. Cuando la clave KMS se vuelva a habilitar, si el material de claves ha pasado su última fecha de rotación programada, AWS KMS rota de forma inmediata. Si el material de claves no se ha saltado su última fecha de rotación programada, AWS KMS reanuda la programación original de rotación de claves.
-
Claves de KMS pendientes de eliminación: cuando una clave de KMS esté pendiente de eliminación, AWS KMS no la rotará. El estado de rotación de clave se establece en
falsey no puede cambiarla mientras su eliminación está pendiente. Si se cancela la eliminación, se restaura el estado de rotación de clave anterior. Si el material de claves ha pasado su última fecha de rotación programada, AWS KMS rota de forma inmediata. Si el material de claves no se ha saltado su última fecha de rotación programada, AWS KMS reanuda la programación original de rotación de claves.
-
- Claves administradas por AWS
-
AWS KMS rota automáticamente Claves administradas por AWS cada año (aproximadamente 365 días). No puede habilitar ni desactivar la rotación de claves de Claves administradas por AWS.
El material de claves de una Clave administrada de AWS se rota por primera vez un año después de su fecha de creación y, posteriormente, cada año (aproximadamente 365 días después de la última rotación).
nota
En mayo de 2022, AWS KMS ha cambiado la programación de rotación para Claves administradas por AWS de cada tres años (aproximadamente 1095 días) hasta cada año (aproximadamente 365 días).
Las nuevas Claves administradas por AWS rotan automáticamente un año después de su creación y, aproximadamente, cada año a partir de entonces.
Las Claves administradas por AWS existentes rotan automáticamente un año después de su rotación más reciente y cada año a partir de entonces.
- Claves propiedad de AWS
-
No puede habilitar ni desactivar la rotación de claves para Claves propiedad de AWS. La estrategia de rotación de claves para una Clave propiedad de AWS se determina según el servicio de AWS que crea y administra la clave. Para obtener más detalles, consulte el tema Cifrado en reposo en la Guía del usuario o en la Guía para desarrolladores del servicio.
- Tipos de claves KMS compatibles
-
La rotación automática de la clave es compatible únicamente con las claves KMS de cifrado simétricas con material de claves que AWS KMS genera (Origen = AWS_KMS).
La rotación automática de claves no es compatible en los siguientes tipos de claves KMS, pero puede rotar estas claves KMS de forma manual.
-
Claves KMS en almacenes de claves personalizados
-
Claves KMS con material de claves importado
- Rotación de claves de varias regiones
-
Puede habilitar y deshabilitar la rotación automática de claves y realizar la rotación bajo demanda del material de claves en claves de varias regiones de cifrado simétrico. La rotación de claves es una propiedad compartida de claves de varias regiones.
Solo habilita y deshabilita la rotación automática de claves en la clave principal. Inicia la rotación bajo demanda solo en la clave principal.
-
Cuando AWS KMS sincroniza las claves de varias regiones, copia el valor de la propiedad de rotación de claves de la clave principal a todas sus claves de réplica relacionadas.
-
Cuando AWS KMS rota el material clave, crea material clave nuevo para la clave principal y, a continuación, copia el nuevo material clave a través de los límites de región en todas las claves de réplica relacionadas. La clave privada nunca sale de AWS KMS sin cifrar. Este paso se controla cuidadosamente para garantizar que el material clave esté completamente sincronizado antes de utilizar cualquier clave en una operación criptográfica.
-
AWS KMS no cifra ningún dato con el nuevo material de clave hasta que ese material de clave esté disponible en la clave principal y cada una de sus claves de réplica.
-
Cuando se replica una clave principal que se ha rotado, la nueva clave de réplica tiene el material de clave actual y todas las versiones anteriores del material clave para sus claves de varias regiones relacionadas.
Este patrón garantiza que las claves de varias regiones relacionadas sean totalmente interoperables. Cualquier clave de varias regiones puede descifrar cualquier texto cifrado mediante una clave de varias regiones relacionada, incluso si el texto cifrado se cifró antes de que se creara la clave.
-
- Servicios de AWS
-
Puede habilitar la rotación automática de claves en las claves administradas por el cliente que utilice para el cifrado en el lado del servidor en los servicios de AWS. La rotación anual es transparente y compatible con los servicios de AWS.
- Supervisión de la rotación de claves
-
Cuando AWS KMS rota el material de claves para una Clave administrada de AWS o clave administrada por el cliente, escribe un evento
KMS CMK Rotationen Amazon EventBridge y un evento RotateKey en su registro de AWS CloudTrail. Puede usar estos registros para comprobar que la clave KMS se ha rotado.Puede utilizar la consola de AWS Key Management Service para ver el número de rotaciones bajo demanda restantes y una lista de todas las rotaciones de material de claves completadas para una clave KMS.
Puede utilizar la operación ListKeyRotations para ver los detalles de las rotaciones completadas.
- Consistencia final
-
La rotación de claves está sujeta a los mismos efectos de consistencia final que otras operaciones de administración de AWS KMS. Es posible que haya un ligero retraso antes de que el nuevo material de claves esté disponible en AWS KMS. Sin embargo, la rotación de material clave no causa ninguna interrupción o retraso en las operaciones criptográficas. El material clave actual se utiliza en operaciones criptográficas hasta que el nuevo material de claves esté disponible en toda la AWS KMS. Cuando el material de claves para una clave de varias regiones rota automáticamente, AWS KMS utiliza el material de claves actual hasta que el nuevo material de claves esté disponible en todas las regiones con una clave de varias regiones relacionada.
