Creación de una clave de KMS asimétrica - AWS Key Management Service

Creación de una clave de KMS asimétrica

Puede crear claves KMS asimétricas en la consola de AWS KMS, mediante la API CreateKey o mediante una plantilla de AWS::KMS::Key CloudFormation. Una clave KMS asimétrica representa un par de claves pública y privada que se puede utilizar para el cifrado, la firma o la obtención de secretos compartidos. La clave privada se mantiene dentro de la AWS KMS. Para descargar la clave pública para utilizarla fuera de AWS KMS, consulte Descarga de la clave pública.

Cuando crea una clave KMS asimétrica, debe seleccionar una especificación de clave. A menudo, la especificación de clave que seleccione está determinada por requisitos normativos, de seguridad o empresariales. También puede estar influenciado por el tamaño de los mensajes que necesita cifrar o firmar. En general, las claves de cifrado más largas son más resistentes a los ataques de fuerza bruta. Para obtener una descripción detallada de todas las especificaciones de clave admitidas, consulte Referencia de especificaciones de clave.

Los servicios de AWS que se integran con AWS KMS no admiten claves KMS asimétricas. Si desea crear una clave KMS que cifra los datos que almacena o administra en un servicio de AWS, cree una clave KMS de cifrado simétrica.

Para obtener información sobre los permisos necesarios para crear claves de KMS, consulte Permisos para crear claves KMS.

Puede utilizar la Consola de administración de AWS para crear AWS KMS keys asimétricas (claves KMS). Cada clave KMS asimétrica representa un par de claves públicas y privadas.

importante

No incluya información confidencial en el alias, la descripción ni las etiquetas. Estos campos pueden aparecer en texto sin formato en los registros de CloudTrail y en otros resultados.

  1. Inicie sesión en la Consola de administración de AWS y abra la consola AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Elija Crear clave.

  5. Para crear una clave KMS asimétrica, en Key Type (Tipo de clave), seleccione Asymmetric (Asimétrica).

  6. Para crear una clave KMS asimétrica para el cifrado de claves públicas, en Key Usage (Uso de claves), elija Encrypt and decrypt (Cifrar y descifrar).

    Para crear una clave KMS asimétrica para firmar mensajes y verificar firmas, en Key Usage (Uso de claves), elija Sign and verify (Firmar y verificar).

    Para crear una clave de KMS asimétrica para obtener secretos compartidos, en Uso de claves, elija Acuerdo de claves.

    Para obtener ayuda sobre cómo elegir un valor de uso de clave, consulte Elección del tipo de clave KMS que se va a crear.

  7. Seleccione una especificación (Key spec [Especificación de clave]) para su clave KMS asimétrica.

  8. Elija Siguiente.

  9. Escriba un alias para la clave KMS El nombre del alias no puede empezar por aws/. El prefijo aws/ está reservado para Amazon Web Services y representa las Claves administradas por AWS de su cuenta.

    Un alias es un nombre sencillo que puede utilizar para identificar la clave KMS en la consola y en algunos API de AWS KMS. Le recomendamos que elija un alias que indique el tipo de datos que piensa proteger o la aplicación que piensa usar con la clave KMS.

    Los alias son necesarios para crear una clave KMS en la Consola de administración de AWS. No puede especificar un alias cuando utilice la operación CreateKey, pero puede utilizar la consola o la operación CreateAlias para crear un alias para una clave KMS existente. Para obtener más información, consulte Alias en AWS KMS.

  10. (Opcional) Escriba una descripción de la clave KMS.

    Escriba una descripción que explique el tipo de datos que piensa proteger o la aplicación que piensa usar con la clave KMS.

    Puede agregar una descripción ahora o actualizarla en cualquier momento, a menos que el estado de la clave sea Pending Deletion o Pending Replica Deletion. Para agregar, cambiar o eliminar la descripción de una clave administrada por el cliente existente, edite la descripción en la página de detalles relativa a la clave KMS en la Consola de administración de AWS o utilice la operación UpdateKeyDescription.

  11. (Opcional) Escriba una clave de etiqueta y un valor de etiqueta opcional. Para agregar más de una etiqueta a la clave KMS, elija Add tag (Agregar etiqueta).

    Cuando se agregan etiquetas a los recursos de AWS, AWS genera un informe de asignación de costos con el uso y los costos agregados por etiquetas. Las etiquetas también pueden utilizarse para controlar el acceso a una clave KMS. Para obtener información acerca del etiquetado de claves KMS, consulte Etiquetas en AWS KMS y ABAC para AWS KMS.

  12. Elija Siguiente.

  13. Seleccione los usuarios y roles de IAM que pueden administrar la clave de KMS.

    Notas

    Esta política de claves proporciona a la Cuenta de AWS control total de esta clave KMS. Permite a los administradores de cuentas utilizar las políticas de IAM para dar permiso a otras entidades principales para administrar la clave KMS. Para obtener más información, consulte Política de claves predeterminada.

    Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección Prácticas recomendadas de seguridad de IAM en la Guía del usuario de IAM;.

    La consola de AWS KMS agrega administradores de claves a la política de claves bajo el identificador de la declaración "Allow access for Key Administrators". La modificación de este identificador de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.

  14. (Opcional) Para evitar que los usuarios y los roles de IAM seleccionados eliminen esta clave de KMS, en la sección Eliminación de claves situada en la parte inferior de la página, desactive la casilla Permitir que los administradores de claves eliminen esta clave.

  15. Elija Siguiente.

  16. Seleccione los usuarios y roles de IAM que pueden usar la clave de KMS en operaciones criptográficas.

    Notas

    Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección Prácticas recomendadas de seguridad de IAM en la Guía del usuario de IAM;.

    La consola de AWS KMS agrega administradores de claves a la política de claves bajo los identificadores de la declaración "Allow attachment of persistent resources" y "Allow use of the key". La modificación de estos identificadores de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.

  17. (Opcional) Puede permitir que otras cuentas de Cuentas de AWS usen esta clave de KMS en operaciones criptográficas. Para ello, en la parte inferior de la página de la sección Otras Cuentas de AWS, elija Agregar otra Cuenta de AWS e ingrese el número de identificación de Cuenta de AWS de una cuenta externa. Para agregar varias cuentas externas, repita este paso.

    nota

    Para permitir que las entidades principales de las cuentas externas usen la clave KMS, los administradores de la cuenta externa también deben crear las políticas de IAM que proporcionan estos permisos. Para obtener más información, consulte Permitir a los usuarios de otras cuentas utilizar una clave KMS.

  18. Elija Siguiente.

  19. Revise las declaraciones de política de claves para ver la clave. Seleccione Editar para realizar cambios en la política de claves.

  20. Elija Siguiente.

  21. Revise los ajustes de clave que ha elegido. Aún puede volver atrás y cambiar todos los ajustes.

  22. Elija Finalizar para crear la clave de KMS.

Puede utilizar la operación CreateKey para crear una AWS KMS key asimétrica. En estos ejemplos, se utiliza la AWS Command Line Interface (AWS CLI), pero puede usar cualquier lenguaje de programación admitido.

Al crear una clave KMS asimétrica, debe especificar el parámetro KeySpec, que determina el tipo de claves que cree. Además, debe especificar un valor KeyUsage de ENCRYPT_DECRYPT, SIGN_VERIFY o KEY_AGREEMENT. No puede cambiar estas propiedades después de que se cree la clave de KMS.

La operación CreateKey no le permite especificar un alias, pero puede usar la operación CreateAlias para crear un alias para la nueva clave KMS.

importante

No incluya información confidencial en los campos Description o Tags. Estos campos pueden aparecer en texto sin formato en los registros de CloudTrail y en otros resultados.

Creación de una clave KMS asimétrica para el cifrado público

En el siguiente ejemplo se utiliza la operación CreateKey para crear una clave KMS asimétrica de claves RSA de 4096 bits diseñadas para el cifrado de claves públicas.

$ aws kms create-key --key-spec RSA_4096 --key-usage ENCRYPT_DECRYPT
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": 1569973196.214,
        "MultiRegion": false,
        "KeySpec": "RSA_4096",
        "CustomerMasterKeySpec": "RSA_4096",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "EncryptionAlgorithms": [
            "RSAES_OAEP_SHA_1",
            "RSAES_OAEP_SHA_256"
        ],
        "AWSAccountId": "111122223333",
        "Origin": "AWS_KMS",
        "Enabled": true
    }
}
Creación de una clave KMS asimétrica para la firma y la verificación

El comando del siguiente ejemplo crea una clave KMS asimétrica que representa un par de claves ECC utilizadas para la firma y verificación. No se puede crear un par de claves de curva elíptica para el cifrado y el descifrado.

$ aws kms create-key --key-spec ECC_NIST_P521 --key-usage SIGN_VERIFY
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": 1570824817.837,
        "Origin": "AWS_KMS",
        "SigningAlgorithms": [
            "ECDSA_SHA_512"
        ],
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
        "AWSAccountId": "111122223333",
        "KeySpec": "ECC_NIST_P521",
        "CustomerMasterKeySpec": "ECC_NIST_P521",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Enabled": true,
        "MultiRegion": false,
        "KeyUsage": "SIGN_VERIFY"
    }
}
Creación de un par de claves KMS asimétricas para obtener secretos compartidos

El comando del siguiente ejemplo crea una clave KMS asimétrica que representa un par de claves ECDH utilizadas para la obtención de secretos compartidos. No se puede crear un par de claves de curva elíptica para el cifrado y el descifrado.

$ aws kms create-key --key-spec ECC_NIST_P256 --key-usage KEY_AGREEMENT
{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": "2023-12-27T19:10:15.063000+00:00",
        "Enabled": true,
        "Description": "",
        "KeyUsage": "KEY_AGREEMENT",
        "KeyState": "Enabled",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "ECC_NIST_P256",
        "KeySpec": "ECC_NIST_P256",
        "KeyAgreementAlgorithms": [
            "ECDH"
        ],
        "MultiRegion": false
    }
}