Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cómo afectan las claves de KMS obsoletas a las claves de datos
Cuando una clave de KMS queda obsoleta, el efecto es casi inmediato (sujeto a la posible coherencia). El estado de clave de la clave de KMS cambia para reflejar su nueva condición y todas las solicitudes para utilizar la clave de KMS en operaciones criptográficas fallan.
Sin embargo, el efecto en las claves de datos cifradas por la clave de KMS, y en los datos cifrados por la clave de datos, se retrasa hasta que se vuelva a utilizar la clave de KMS. Por ejemplo, para descifrar la clave de datos.
Las claves de KMS pueden quedar obsoletas por varios motivos. Entre ellos, se incluyen las siguientes acciones que puede realizar.
-
Eliminar el material de clave de una clave de KMS con material de clave importado o permitir que el material de clave importado caduque.
-
Desconectar el almacén de claves de AWS CloudHSM que aloja la clave de KMS o eliminar la clave del clúster de AWS CloudHSM que sirve como material para la clave de KMS.
-
Desconectar el almacén de claves externo que aloja la clave de KMS o realizar cualquier otra acción que interfiera con las solicitudes de cifrado y descifrado al proxy del almacén de claves externo, incluida la eliminación de la clave externa de su administrador de claves externo.
Este efecto es particularmente importante para muchos Servicios de AWS que utilizan claves de datos para proteger los recursos que administra el servicio. En el ejemplo siguiente se utiliza Amazon Elastic Block Store (Amazon EBS) y Amazon Elastic Compute Cloud (Amazon EC2). Los diferentes Servicios de AWS utilizan las claves de datos de distintas formas. Para obtener más información, consulte la sección de Protección de datos del capítulo de Seguridad del Servicio de AWS.
Por ejemplo, considere esta situación:
-
Usted crea un volumen de EBS cifrado y especifica una clave de KMS para protegerlo. Amazon EBS solicita a AWS KMS que utilice su clave KMS para generar una clave de datos cifrada para el volumen. Amazon EBS almacena la clave de datos cifrada con los metadatos del volumen.
-
Cuando adjunta el volumen de EBS a una instancia EC2, Amazon EC2 utiliza su clave de KMS para descifrar la clave de datos cifrados del volumen de EBS. Amazon EC2 utiliza la clave de datos en el hardware de Nitro, que se encarga de cifrar todas las E/S de disco en el volumen de EBS. La clave de datos persiste en el hardware de Nitro mientras el volumen de EBS esté asociado a la instancia de EC2.
-
Usted realiza una acción que deja a la clave de KMS obsoleta. Esto no tiene un efecto inmediato sobre la instancia EC2 ni el volumen de EBS. Amazon EC2 utiliza la clave de datos, no la clave de KMS, para cifrar todas las E/S de disco mientras el volumen esté asociado a la instancia.
-
Sin embargo, cuando el volumen de EBS cifrado se separa de la instancia de EC2, Amazon EBS elimina la clave de datos del hardware de Nitro. La próxima vez que el volumen EBS cifrado se asocia a una instancia EC2, el accesorio devuelve un error, dado que Amazon EBS no puede utilizar la clave KMS para descifrar la clave de datos cifrada del volumen. Para volver a usar el volumen de EBS, debe hacer que la clave de KMS se pueda utilizar de nuevo.
