Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Introducción a los detalles criptográficos de AWS KMS
<a name="intro"></a>

AWS Key Management Service (AWS KMS) proporciona una interfaz web para generar y administrar claves criptográficas y funciona como proveedor de servicios criptográficos para proteger los datos. AWS KMS ofrece servicios de administración de claves tradicionales integrados con otros AWS servicios para proporcionar una visión uniforme de las claves de los clientes en todas sus áreas AWS, con administración y auditoría centralizadas. Este documento técnico proporciona una descripción detallada de las operaciones criptográficas AWS KMS para ayudarlo a evaluar las funciones que ofrece el servicio.

AWS KMS [incluye una interfaz web a través de la Consola de administración de AWS interfaz de línea de comandos y las operaciones de RESTful API para solicitar las operaciones criptográficas de una flota distribuida de módulos de seguridad de hardware validados por el FIPS 140-3 () [1]. HSMs](kms-bibliography.md#fips-hsms) El AWS KMS HSM es un dispositivo criptográfico de hardware independiente y multichip diseñado para proporcionar funciones criptográficas dedicadas a cumplir con los requisitos de seguridad y escalabilidad de. AWS KMS Puede establecer su propia jerarquía criptográfica basada en el HSM con claves que administra como AWS KMS keys. Estas claves están disponibles únicamente en la memoria HSMs y solo en ella durante el tiempo necesario para procesar su solicitud criptográfica. Puede crear varias claves de KMS, cada una representada por su ID de clave. Solo en las funciones de AWS IAM y las cuentas administradas por cada cliente se pueden crear, eliminar o utilizar las claves KMS del cliente para cifrar, descifrar, firmar o verificar datos. Puede definir los controles de acceso sobre quién puede administrar el and/or uso de las claves de KMS mediante la creación de una política adjunta a la clave. Estas políticas permiten definir usos específicos de la aplicación para las claves en cada operación de la API.

Además, la mayoría de AWS los servicios admiten el cifrado de datos en reposo mediante claves KMS. Esta capacidad permite a los clientes controlar cómo y cuándo AWS los servicios pueden acceder a los datos cifrados al controlar cómo y cuándo se puede acceder a las claves KMS. 

![\[AWS KMS arquitectura.\]](http://docs.aws.amazon.com/es_es/kms/latest/cryptographic-details/images/KMS-Architecture.png)


AWS KMS es un servicio por niveles que consta de AWS KMS hosts orientados a la web y un nivel de. HSMs La agrupación de estos hosts en niveles forma la pila. AWS KMS Todas las solicitudes AWS KMS deben realizarse a través del protocolo de seguridad de la capa de transporte (TLS) y terminar en un host. AWS KMS AWS KMS [los hosts solo permiten el TLS con un conjunto de cifrado que proporciona un secreto directo perfecto.](http://dx.doi.org/10.6028/NIST.SP.800-52r2) AWS KMS autentica y autoriza sus solicitudes utilizando los mismos mecanismos de credenciales y políticas AWS Identity and Access Management (IAM) que están disponibles para todas las demás operaciones de la API. AWS 

# Conceptos básicos
<a name="basic-concepts"></a>

Aprender algunos términos y conceptos básicos le ayudará a sacarles el máximo provecho AWS Key Management Service. 

**AWS KMS key**  
AWS KMS está sustituyendo el término *clave maestra del cliente (CMK)* por *clave KMS*. *AWS KMS key* El concepto no ha cambiado. Para evitar cambios importantes, AWS KMS mantiene algunas variaciones de este término.
Una clave lógica que representa la parte superior de la jerarquía de claves. Una clave de KMS se le asigna un nombre de recurso de Amazon (ARN) que incluye un identificador de clave único o un ID de clave. AWS KMS keys tienen tres tipos:  
+ **Clave administrada por clientes**: los clientes crean y controlan el ciclo de vida y las políticas clave de las claves administradas por el cliente. Todas las solicitudes realizadas con estas claves se registran como CloudTrail eventos.
+ **Claves administradas por AWS**— AWS crea y controla el ciclo de vida y las Claves administradas por AWS políticas clave de los recursos de un cliente Cuenta de AWS. Los clientes pueden ver las políticas de acceso y CloudTrail los eventos de estas claves Claves administradas por AWS, pero no pueden administrarlas en ningún aspecto. Todas las solicitudes realizadas con estas claves se registran como CloudTrail eventos.
+ **Claves propiedad de AWS**— Estas claves se crean y utilizan exclusivamente AWS para operaciones de cifrado internas en diferentes AWS servicios. Los clientes no tienen visibilidad de las políticas clave ni Clave propiedad de AWS de su uso CloudTrail.

**Alias**  
Un nombre fácil de utilizar que se encuentra asociado a una clave de KMS. El alias se puede usar indistintamente con el identificador clave en muchas de las operaciones de la AWS KMS API.

**Permisos**  
Una política adjunta a una clave de KMS que define permisos en la clave. La política predeterminada permite utilizar cualquier entidad principal que usted defina, además de añadir políticas de IAM que hagan referencia Cuenta de AWS a la clave.

**Concesiones**  
El permiso delegado para utilizar una clave de KMS cuando las entidades principales de IAM o la duración de uso previstas no se conocen desde el principio y, por lo tanto, no se pueden agregar a una clave o política de IAM. Uno de los usos de las concesiones es definir permisos restringidos sobre la forma en que un servicio puede usar una AWS clave de KMS. Es posible que el servicio necesite utilizar su clave para realizar un trabajo asincrónico en su nombre en datos cifrados en ausencia de una llamada a la API firmada de forma directa por usted.

**Claves de datos**  
Claves criptográficas generadas en HSMs, protegidas por una clave KMS. AWS KMS permite a las entidades autorizadas obtener claves de datos protegidas por una clave KMS. Se pueden devolver como claves de datos de texto sin formato (sin cifrar) y como claves de datos cifradas. Las claves de datos pueden ser simétricas o asimétricas (con las partes públicas y privadas devueltas).

**Textos cifrados**  
La salida cifrada de AWS KMS, a veces denominada texto cifrado del cliente, para evitar confusiones. El texto cifrado contiene datos cifrados con información adicional que identifica la clave de KMS que se utilizará en el proceso de descifrado. Las claves de datos cifradas son un ejemplo común de texto cifrado producido cuando se utiliza una clave de KMS, pero cualquier dato de menos de 4 KB de tamaño se puede cifrar bajo una clave de KMS para producir un texto cifrado.

**Contexto de cifrado**  
Un mapa de pares clave-valor de información adicional asociada a la información protegida. AWS KMS AWS KMS utiliza un cifrado autenticado para proteger las claves de datos. El contexto de cifrado se incorpora al AAD del cifrado autenticado en AWS KMS textos cifrados. Esta información de contexto es opcional y no se devuelve cuando se solicita una clave (o una operación de cifrado). Pero si se utiliza, este valor de contexto es necesario para completar una operación de descifrado con éxito. Un uso previsto del contexto de cifrado es proporcionar información autenticada adicional. Esta información puede ayudarle a hacer cumplir las políticas y a incluirse en los registros. AWS CloudTrail Por ejemplo, podría utilizar un par de valor de clave de \$1"key name":"satellite uplink key"\$1 para nombrar la clave de datos. El uso posterior de la clave crea una AWS CloudTrail entrada que incluye el «nombre de la clave»: «clave de enlace ascendente del satélite». Esta información adicional puede proporcionar un contexto útil para comprender por qué se utilizó una clave de KMS determinada.

**Clave pública**  
Cuando se utilizan cifrados asimétricos (RSA o curva elíptica), la clave pública es el “componente público” de un par de claves público-privado. La clave pública se puede compartir y distribuir a entidades que necesitan cifrar datos para el propietario del par de claves público-privado. Para las operaciones de firma digital, la clave pública se utiliza a fin de verificar la firma.

**Clave privada**  
Cuando se utilizan cifrados asimétricos (RSA o curva elíptica), la clave privada es el “componente privado” de un par de claves público-privado. La clave privada se utiliza para descifrar los datos o crear firmas digitales. Al igual que las claves KMS simétricas, las claves privadas se cifran. HSMs Solo se descifran en la memoria a corto plazo del HSM y únicamente durante el tiempo necesario para procesar su solicitud criptográfica.

# AWS KMS objetivos de diseño
<a name="design-goals"></a>

AWS KMS está diseñado para cumplir los siguientes requisitos.

**Durabilidad**  
La durabilidad de las claves criptográficas está diseñada para ser igual a la de los servicios de mayor durabilidad. AWS Una única clave criptográfica puede cifrar grandes volúmenes de datos acumulados durante mucho tiempo. 

**Confiabilidad**  
El uso de las claves está protegido por las políticas de control de acceso que usted define y administra. No existe ningún mecanismo para exportar claves de KMS de texto no cifrado. La confidencialidad de las claves criptográficas es crucial. Se requieren varios empleados de Amazon con acceso específico a los controles de acceso basados en quórums para realizar acciones administrativas en el. HSMs 

**Baja latencia y alto rendimiento**  
AWS KMS proporciona operaciones criptográficas con niveles de latencia y rendimiento adecuados para su uso en otros servicios en. AWS

**Regiones independientes**  
AWS proporciona regiones independientes para los clientes que necesitan restringir el acceso a los datos en diferentes regiones. El uso de claves se puede aislar dentro de una Región de AWS.

**Fuente segura de números aleatorios**  
Debido a que la criptografía rigurosa depende de la generación de números aleatorios verdaderamente impredecibles, AWS KMS proporciona una fuente de alta calidad y con validación de números aleatorios. 

**Auditoría**  
AWS KMS registra el uso y la administración de las claves criptográficas en AWS CloudTrail los registros. Puede utilizar AWS CloudTrail los registros para inspeccionar el uso de sus claves criptográficas, incluido el uso de las claves por parte de los AWS servicios que actúan en su nombre.

Para lograr estos objetivos, el AWS KMS sistema incluye un conjunto de AWS KMS operadores y operadores de hospedaje de servicios (denominados colectivamente «operadores») que administran los «dominios». Un dominio es un conjunto de AWS KMS servidores y operadores definido regionalmente. HSMs Cada AWS KMS operador tiene un token de hardware que contiene un key pair de claves pública y privada que se utiliza para autenticar sus acciones. HSMsTienen un par de claves públicas y privadas adicionales para establecer claves de cifrado que protegen la sincronización de estados del HSM.

Este paper ilustra cómo AWS KMS protege sus claves y otros datos que desee cifrar. A lo largo de este documento, las claves de cifrado o los datos que desea cifrar se denominan “secretos” o “material secreto”.