Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS KMS key jerarquía
La jerarquía de claves comienza con una clave lógica de nivel superior, una. AWS KMS key Una clave de KMS representa un contenedor para material clave de nivel superior y está definida de forma única dentro del espacio de nombres del servicio de AWS con un nombre de recurso de Amazon (ARN). El ARN incluye un identificador de clave generado de forma única, un ID de clave. Se crea una clave KMS en función de una solicitud iniciada por el usuario mediante. AWS KMS Al recibirla, AWS KMS solicita la creación de una clave de respaldo HSM (HBK) inicial para colocarla en el contenedor de claves KMS. La HBK se genera en un HSM en el dominio y está diseñada para no exportarse nunca del HSM en texto sin formato. En su lugar, la HBK se exporta cifrada con claves de dominio administradas por HSM. Estos elementos exportados se HBKs denominan claves exportadas (EKTs).
El EKT se exporta a un almacenamiento de larga duración y de baja latencia. Por ejemplo, supongamos que recibe un ARN para la clave de KMS lógica. Esto representa la parte superior de una jerarquía de claves, o contexto criptográfico. Puede crear varias claves de KMS en su cuenta y establecer políticas en sus claves de KMS como cualquier otro recurso con AWS nombre.
Dentro de la jerarquía de una clave de KMS específica, la HBK puede considerarse como una versión de la clave de KMS. Cuando desee rotar la clave KMS AWS KMS, se creará un nuevo HBK que se asociará a la clave KMS como el HBK activo de la clave KMS. HBKs Las más antiguas se conservan y se pueden utilizar para descifrar y verificar datos previamente protegidos. Pero solo se puede usar la clave criptográfica activa para proteger nueva información.
Puede realizar solicitudes AWS KMS para usar sus claves de KMS para proteger directamente la información o solicitar claves adicionales generadas por HSM que estén protegidas por su clave de KMS. Estas claves se denominan claves de datos del cliente o. CDKs CDKs se pueden devolver cifradas como texto cifrado (CT), en texto plano o en ambos. Todos los objetos cifrados con una clave KMS (ya sean datos proporcionados por el cliente o claves generadas por HSM) solo se pueden descifrar en un HSM mediante una llamada directa. AWS KMS
El texto cifrado devuelto, o la carga útil descifrada, nunca se almacena en él. AWS KMS La información se le devuelve a través de su conexión TLS a AWS KMS. Esto también se aplica a las llamadas realizadas por los AWS servicios en su nombre.
La jerarquía de claves y las propiedades de clave específicas aparecen en la siguiente tabla.
| Clave | Descripción | Ciclo de vida |
|---|---|---|
|
Clave de dominio |
Una clave AES-GCM de 256 bits solo en memoria de un HSM que se utiliza para ajustar versiones de las claves de KMS, las claves de backup de HSM. |
Rotación diaria1 |
|
Clave de respaldo de HSM |
Una clave simétrica de 256 bits, clave privada RSA o curva elíptica que se utiliza para proteger los datos y las claves del cliente y que se almacena de forma cifrada con claves de dominio. Una o más claves de backup de HSM comprenden la clave de KMS, representada por el keyId. |
Rotación anual2 (config. opcional) |
|
Clave de cifrado derivada |
Una clave AES-GCM de 256 bits solo en memoria de un HSM que se utiliza para cifrar datos y claves del cliente. Se deriva de una HBK para cada cifrado. |
Se utiliza una vez por cifrado y se regenera al descifrarse. |
|
Clave de datos del cliente |
Clave simétrica o asimétrica delimitada por el usuario que se exporta desde un HSM en texto sin formato y texto cifrado. Se cifra con una clave de backup de HSM y se devuelve a los usuarios autorizados a través del canal TLS. |
Rotación y uso controlado por aplicación |
De vez en cuando, AWS KMS podría reducir la rotación de claves de dominio a, como máximo, una vez por semana para tener en cuenta las tareas de administración y configuración del dominio.
2 Por defecto, las que Claves administradas por AWS se crean y gestionan AWS KMS en tu nombre se rotan automáticamente una vez al año.
