Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS KMS keys
Las claves KMS que crea y administra para usarlas en sus propias aplicaciones criptográficas son de un tipo conocido como claves administradas por el cliente. Las claves administradas por el cliente también se pueden usar junto con AWS los servicios de que usan claves KMS para cifrar los datos que el servicio almacena en su nombre. Las claves administradas por el cliente se recomiendan para los clientes que desean tener un control total sobre el ciclo de vida y el uso de sus claves. Disponer de una clave administrada por el cliente en su cuenta tiene asociado un coste mensual. Además, las solicitudes de uso o administración de la clave conllevan un coste de uso. Para obtener más información, consulte AWS Key Management Service Precios
Hay casos en los que un cliente puede querer que un AWS servicio de cifre sus datos, pero no quiere la sobrecarga que supone administrar las claves y no quiere pagar por una clave. Una Clave administrada de AWS es una clave de KMS que existe en su cuenta, pero que solo se puede usar en determinadas circunstancias. En concreto, solo puede usarse en el contexto del AWS servicio de en el que opera y solo la pueden usar los responsables de la cuenta en la que existe la clave. No puede administrar nada relacionado con el ciclo de vida o los permisos de estas claves. A medida que utiliza las características de cifrado en AWS los servicios de, puede que vea Claves administradas por AWS, que utilizan un alias con el formato «aws<service code>». Por ejemplo, una clave aws/ebs solo se puede usar para cifrar los volúmenes de EBS y solo para los volúmenes utilizados por las entidades principales de IAM en la misma cuenta que la clave. Piense en una Clave administrada de AWS que esté restringida para que la usen solo los usuarios de su cuenta para los recursos de su cuenta. No puede compartir recursos cifrados en una Clave administrada de AWS con otras cuentas. Si bien la existencia de una en su cuenta Clave administrada de AWS es gratuita, el AWS servicio de asignado a la clave le cobrará por el uso de este tipo de clave.
Claves administradas por AWS son un tipo de clave antigua que dejará de crearse para nuevos AWS servicios de a partir de 2021. En cambio, los AWS servicios de nuevos (y antiguos) utilizan lo que se conoce como una Clave propiedad de AWSpara cifrar los datos de los clientes de forma predeterminada. Una Clave propiedad de AWS es una clave KMS que se encuentra en una cuenta administrada por el AWS servicio de, de manera que los operadores del servicio pueden administrar su ciclo de vida y sus permisos de uso. Al utilizar Claves propiedad de AWS, AWS los servicios de pueden cifrar sus datos de forma transparente y permiten compartir fácilmente los datos entre cuentas o regiones sin que tenga que preocuparse por los permisos de clave. Utilice Claves propiedad de AWS para encryption-by-default cargas de trabajo que proporcionan una protección de datos más fácil y automatizada. Como estas claves son propiedad de AWS, que también se encarga de su administración, no se le cobra por su existencia o su uso, no puede cambiar sus políticas, no puede auditar las actividades relacionadas con estas claves y no puede eliminarlas. Utilice las claves administradas por el cliente cuando el control sea importante, pero utilice Claves propiedad de AWS cuando lo más importante sea la comodidad.
| Claves administradas por el cliente | Claves administradas por AWS | Claves propiedad de AWS | |
| Política de claves | Controlada exclusivamente por el cliente | Controlada por el servicio; visible por el cliente | Controlada exclusivamente y solo visible por el AWS servicio de que cifra sus datos |
| Registro | CloudTrail Almacén de datos de eventos o seguimiento de cliente | CloudTrail Almacén de datos de eventos o seguimiento de cliente | No visible por el cliente |
| Administración del ciclo de vida | El cliente administra la rotación, la eliminación y la ubicación regional | AWS KMS administra la rotación (anual), la eliminación y la ubicación regional | Servicio de AWS administra la rotación, la eliminación y la ubicación regional |
| Precios |
Cuota mensual por existencia de claves (prorrateada por hora). También se cobra por el uso de claves |
Sin cuota mensual, pero a la persona que llama se le cobra por el uso de la API en estas claves | Sin cargos para el cliente |
Las claves KMS que usted crea son claves administradas por el cliente. Los Servicios de AWS que utilizan claves KMS para cifrar los recursos de servicio a menudo crean claves para usted. Las claves KMS que se Servicios de AWS crean en su AWS cuenta son Claves administradas por AWS. Las claves KMS que se Servicios de AWS crean en una cuenta de servicio son Claves propiedad de AWS.
| Tipo de clave KMS | Puede ver los metadatos clave KMS | Puede administrar la clave KMS | Usada solo para mi Cuenta de AWS | Rotación automática | Precios |
|---|---|---|---|---|---|
| Clave administrada por clientes | Sí | Sí | Sí | Opcional. | Cuota mensual (prorrateada por hora) Tarifa por uso |
| Clave administrada de AWS | Sí | No | Sí | Obligatorio. Cada año (aproximadamente 365 días) | Sin cuota mensual Tarifa por uso (algunos Servicios de AWS pagan esta tarifa por usted) |
| Clave propiedad de AWS | No | No | No | El Servicio de AWS gestiona la estrategia de rotación. | Sin cuotas |
AWS Los servicios de que se integran con AWS KMS difieren en el respaldo de las claves KMS. Algunos AWS servicios cifran sus datos de forma predeterminada con una Clave propiedad de AWS o una Clave administrada de AWS. Algunos AWS servicios de admiten claves administradas por el cliente. Otros AWS servicios de admiten todos los tipos de claves KMS para permitirle la sencillez de una Clave propiedad de AWS, la visibilidad de una Clave administrada de AWS o el control de una clave administrada por el cliente. Para obtener información detallada sobre las opciones de cifrado que ofrece un AWS servicio de, consulte el tema de cifrado en reposo en la guía del usuario o la guía para desarrolladores del servicio.
Claves administradas por el cliente
Las claves KMS que usted crea son claves administradas por el cliente. Las claves administradas por el cliente son claves KMS de su, Cuenta de AWS que usted ha creado, posee y administra. Puede controlar por completo estas claves KMS, incluido el establecimiento y el mantenimiento de sus políticas de claves, políticas de IAM y concesiones, su habilitación y deshabilitación, la rotación de su material criptográfico, la adición de etiquetas, la creación de alias que hacen referencia a la clave KMS y la programación de las claves KMS para su eliminación.
Las claves administradas por el cliente aparecen en la página Claves administradas por el cliente de la AWS Management Console
de AWS KMS. Para identificar definitivamente una clave administrada por el cliente, utilice la operación DescribeKey. En el caso de las claves administradas por el cliente, el valor del campo KeyManager de la respuesta DescribeKey es CUSTOMER.
Puede usar su clave administrada por el cliente en operaciones criptográficas y auditar su uso en los registros de AWS CloudTrail . Además, muchos servicios de AWS integrados con AWS KMS le permiten especificar una clave administrada por el cliente para proteger los datos que almacenan y administran para usted.
Las claves administradas por el cliente tienen una tarifa mensual y una tarifa por uso excesivo del nivel gratuito. Se cuentan contra las AWS KMS cuotas de para su cuenta. Consulte los Precios de AWS Key Management Service
Claves administradas por AWS
Claves administradas por AWSLas son claves KMS que aparecen en su cuenta y que un servicio de integrado con crea, administra y utiliza en su nombre en su nombre por un AWS servicio de integrado con AWS KMS
Algunos de AWS los servicios de le permiten elegir una Clave administrada de AWS o una clave administrada por el cliente para proteger sus recursos en ese servicio. En general, a menos que se le pida que controle la clave de cifrado que protege sus recursos, una Clave administrada de AWS es una buena opción. No tiene que crear ni mantener la clave o su política de claves, y nunca hay una tarifa mensual por una Clave administrada de AWS.
Tiene permiso para consultarlas Claves administradas por AWS en su cuenta, ver sus políticas clave y auditar su uso en AWS CloudTrail los registros. Sin embargo, no puede cambiar ninguna propiedad de Claves administradas por AWS, rotarlas, cambiar sus políticas de claves o programar su eliminación. No puede usar las Claves administradas por AWS en operaciones criptográficas directamente. El servicio que las crea las usa en su nombre.
Las políticas de control de recursos de su organización no se aplican a Claves administradas por AWS.
Claves administradas por AWS aparecen en la Claves administradas por AWSpágina del AWS Management Console formulario AWS KMS. También puede identificarlos Claves administradas por AWS por sus alias, que tienen el formatoaws/, por ejemploservice-nameaws/redshift. Para identificar definitivamente un Claves administradas por AWS, utilice la DescribeKeyoperación. En el caso de Claves administradas por AWS, el valor del campo KeyManager de la respuesta DescribeKey es AWS.
Todas Claves administradas por AWS las rotan cada año de forma automática. No puede cambiar esta programación de rotación.
nota
En mayo de 2022, AWS KMS ha cambiado la programación Claves administradas por AWS de rotación para de cada tres años (aproximadamente 1095 días) hasta cada año (aproximadamente 365 días).
Claves administradas por AWS Las nuevas rotan automáticamente un año después de su creación y, aproximadamente, cada año a partir de entonces.
Claves administradas por AWS Las existentes rotan automáticamente un año después de su rotación más reciente y cada año a partir de entonces.
No hay cuota mensual por Claves administradas por AWS. Pueden estar sujetos a cargos si se utilizan más allá del nivel gratuito, pero algunos AWS servicios cubren estos costes. Para obtener más detalles, consulte el tema Cifrado en reposo en la Guía del usuario o en la Guía para desarrolladores del servicio. Consulte los Precios de AWS Key Management Service
Claves administradas por AWS Las no se contabilizan en las cuotas de recursos correspondientes al número de claves KMS en cada región de su cuenta. Sin embargo, cuando se utilizan en nombre de una entidad principal en su cuenta, estas claves KMS se contabilizan en las cuotas de solicitud. Para obtener más información, consulte Cuotas.
Claves propiedad de AWS
Claves propiedad de AWSLas son una colección de claves KMS que un AWS servicio de posee y administra para su uso en varias cuentas de Cuentas de AWS. Aunque no Claves propiedad de AWS estén en tus Cuenta de AWS manos, AWS cualquier servicio puede utilizarlas Clave propiedad de AWS para proteger los recursos de tu cuenta.
Algunos AWS servicios de le permiten elegir una Clave propiedad de AWS o una clave administrada por el cliente. En general, a menos que se le pida que audite o controle la clave de cifrado que protege sus recursos, una Clave propiedad de AWS es una buena opción. Claves propiedad de AWS Las son completamente gratuitas (sin cuotas mensuales ni tarifas de uso), no se tienen en cuenta para las AWS KMS cuotas de para su cuenta y son fáciles de usar. No es necesario crear ni mantener la clave ni su política de claves.
La rotación de Claves propiedad de AWS varía según los servicios. Para obtener información acerca de la rotación de un en particular Clave propiedad de AWS, consulte el tema Cifrado en reposo en la guía del usuario o la guía para desarrolladores del servicio.
AWS KMS key jerarquía
La jerarquía de claves comienza con una clave lógica de nivel superior, una AWS KMS key. Una clave de KMS representa un contenedor para material clave de nivel superior y está definida de forma única dentro del espacio de nombres del servicio de AWS con un nombre de recurso de Amazon (ARN). El ARN incluye un identificador de clave generado de forma única, un ID de clave. Una clave KMS se crea en función de una solicitud iniciada por el usuario a través de AWS KMS. En la recepción, AWS KMS solicita la creación de una clave de backup de HSM (HBK) inicial que se colocará en el contenedor de claves de KMS. La HBK se genera en un HSM en el dominio y está diseñada para no exportarse nunca del HSM en texto sin formato. En su lugar, la HBK se exporta cifrada con claves de dominio administradas por HSM. Estas exportadas HBKs se conocen como tokens de clave exportados (EKTs).
El EKT se exporta a un almacenamiento de larga duración y de baja latencia. Por ejemplo, supongamos que recibe un ARN para la clave de KMS lógica. Esto representa la parte superior de una jerarquía de claves, o contexto criptográfico. Puede crear varias claves de KMS dentro de su cuenta y establecer políticas en sus claves de KMS como cualquier otro recurso de con AWS nombre.
Dentro de la jerarquía de una clave de KMS específica, la HBK puede considerarse como una versión de la clave de KMS. Cuando desea rotar la clave de KMS a través de AWS KMS, se crea una nueva HBK y se la asocia con la clave de KMS como la HBK activa para la clave de KMS. Las antiguas HBKs se conservan y se pueden utilizar para descifrar y verificar datos previamente protegidos. Pero solo se puede usar la clave criptográfica activa para proteger nueva información.
Puede realizar solicitudes AWS KMS a través de con el objetivo de utilizar las claves de KMS para proteger directamente la información o solicitar claves adicionales generadas por HSM que estén protegidas con su propia clave de KMS. Estas claves se denominan claves de datos del cliente o CDKs. CDKs se puede devolver cifrada como texto cifrado (CT), como texto sin formato o de ambas maneras. Todos los objetos cifrados con una clave de KMS (ya sean datos proporcionados por el cliente o claves generadas por HSM) se pueden descifrar solo en un HSM mediante una llamada a través de. AWS KMS
El texto cifrado devuelto, o la carga útil descifrada, nunca se almacena en. AWS KMS La información se le devuelve a través de su conexión TLS a AWS KMS. Esto también se aplica a las llamadas realizadas por AWS servicios de en su nombre.
La jerarquía de claves y las propiedades de clave específicas aparecen en la siguiente tabla.
| Clave | Descripción | Ciclo de vida |
|---|---|---|
|
Clave de dominio |
Una clave AES-GCM de 256 bits solo en memoria de un HSM que se utiliza para ajustar versiones de las claves de KMS, las claves de backup de HSM. |
Rotación diaria1 |
|
Clave de respaldo de HSM |
Una clave simétrica de 256 bits, clave privada RSA o curva elíptica que se utiliza para proteger los datos y las claves del cliente y que se almacena de forma cifrada con claves de dominio. Una o más claves de backup de HSM comprenden la clave de KMS, representada por el keyId. |
Rotación anual2 (config. opcional) |
|
Clave de cifrado derivada |
Una clave AES-GCM de 256 bits solo en memoria de un HSM que se utiliza para cifrar datos y claves del cliente. Se deriva de una HBK para cada cifrado. |
Se utiliza una vez por cifrado y se regenera al descifrarse. |
|
Clave de datos del cliente |
Clave simétrica o asimétrica delimitada por el usuario que se exporta desde un HSM en texto sin formato y texto cifrado. Se cifra con una clave de backup de HSM y se devuelve a los usuarios autorizados a través del canal TLS. |
Rotación y uso controlado por aplicación |
1 AWS KMS puede disminuir de vez en cuando la rotación de claves de dominio a, como máximo, una vez por semana, para tener en cuenta las tareas de gestión y configuración del dominio.
2 Las predeterminadas que Claves administradas por AWS crea y administra AWS KMS en su nombre se rotan anualmente de forma automática.
Identificadores clave () KeyId
Los identificadores de clave actúan como nombres para las claves KMS. Le ayudan a reconocer sus claves KMS en la consola. Se utilizan para indicar qué claves KMS desea utilizar en operaciones de la API de AWS KMS , políticas de claves, políticas de IAM y concesiones. Los valores del identificador de clave no están relacionados en absoluto con el material de clave asociado a la clave KMS.
AWS KMS define varios identificadores clave. Al crear una clave KMS, AWS KMS genera un ARN de clave y un ID de clave, que son propiedades de la clave KMS. Al crear un alias, AWS KMS genera un ARN de alias basado en el nombre de alias que defina. Puede ver los identificadores de clave y alias en la API AWS Management Console y en la AWS KMS misma.
En la AWS KMS consola de, puede ver y filtrar las claves KMS por su ARN de clave, ID de clave o nombre de alias, y ordenarlas por ID de clave y nombre de alias. Para obtener ayuda para encontrar los identificadores clave en la consola, consulte Encontrar el ID de clave y el ARN de clave.
En la AWS KMS API, los parámetros que se utilizan para identificar una clave de KMS tienen un nombre KeyId o una variante, como TargetKeyId oDestinationKeyId. Sin embargo, los valores de esos parámetros no se limitan a la clave IDs. Algunos pueden tomar cualquier identificador de clave válido. Para obtener información sobre los valores de cada parámetro, consulte la descripción del parámetro en la Referencia de la AWS Key Management Service API de.
nota
Cuando utilice la AWS KMS API de, preste especial atención al identificador de clave que utilice. APIs Los diferentes requieren identificadores clave diferentes. En general, utilice el identificador de clave más completo que sea práctico para su tarea.
AWS KMS admite los siguientes identificadores clave.
- ARN de clave
-
El ARN de clave es el nombre de recurso de Amazon (ARN) de una clave KMS. Es un identificador único y completo para la clave KMS. Un ARN de clave incluye la Cuenta de AWS, la región y el ID de clave. Para obtener ayuda para encontrar el ARN de clave de una clave KMS, consulte Encontrar el ID de clave y el ARN de clave.
El formato de un ARN de clave es el siguiente:
arn:<partition>:kms:<region>:<account-id>:key/<key-id>A continuación, se muestra un ARN de clave para una clave KMS de región única.
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890abEl
key-idelemento de la clave ARNs de las claves multirregionales comienza con elmrk-prefijo. A continuación, se muestra un ARN de clave de ejemplo para una clave de múltiples regiones.arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab
- ID de clave
-
El ID de clave identifica de forma inequívoca una clave KMS dentro de una cuenta y región. Para obtener ayuda para encontrar el ID de clave de una clave KMS, consulte Encontrar el ID de clave y el ARN de clave.
A continuación, se muestra un ID de clave de ejemplo para una clave KMS de región única.
1234abcd-12ab-34cd-56ef-1234567890abLa clave IDs de las claves multirregionales comienza con el prefijo.
mrk-A continuación, se muestra un ID de clave de ejemplo para una clave de múltiples regiones.mrk-1234abcd12ab34cd56ef1234567890ab - ARN de alias
-
El ARN de alias es el nombre de recurso de Amazon (ARN) de un alias. AWS KMS Es un identificador único y completamente calificado para el alias, y para la clave KMS que representa. Un ARN de alias incluye la Cuenta de AWS, la región y el nombre del alias.
En cualquier momento dado, un ARN de alias identifica una clave KMS en particular. Sin embargo, dado que puede cambiar la clave KMS asociada con el alias, el ARN de alias puede identificar diferentes claves KMS en diferentes momentos. Para obtener ayuda para encontrar el ARN de alias de una clave KMS, consulte Búsqueda del nombre del alias y el ARN de alias para una clave de KMS.
El formato de un ARN de alias es el siguiente:
arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>A continuación, se muestra el ARN de alias de un
ExampleAliasficticio.arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias - Nombre del alias
-
El nombre de alias es una cadena de hasta 256 caracteres. Identifica de forma inequívoca una clave KMS asociada dentro de una cuenta y región. En la AWS KMS API de, los nombres de alias siempre empiezan por
alias/. Para obtener ayuda para encontrar el nombre de alias de una clave KMS, consulte Búsqueda del nombre del alias y el ARN de alias para una clave de KMS.El formato de un nombre de alias es el siguiente:
alias/<alias-name>Por ejemplo:
alias/ExampleAliasEl prefijo
aws/de un nombre de alias está reservado para Claves administradas por AWS. No se puede crear un alias con este prefijo. Por ejemplo, el nombre de alias de la Clave administrada de AWS para Amazon Simple Storage Service (Amazon S3) es el siguiente.alias/aws/s3
