AWS KMS keys
Las claves KMS que crea y administra para usarlas en sus propias aplicaciones criptográficas son de un tipo conocido como claves administradas por el cliente. Las claves administradas por el cliente también se pueden usar junto con los servicios de AWS que usan claves KMS para cifrar los datos que el servicio almacena en su nombre. Las claves administradas por el cliente se recomiendan para los clientes que desean tener un control total sobre el ciclo de vida y el uso de sus claves. Disponer de una clave administrada por el cliente en su cuenta tiene asociado un coste mensual. Además, las solicitudes de uso o administración de la clave conllevan un coste de uso. Para obtener más información, consulte AWS Key Management ServicePrecios
Hay casos en los que un cliente puede querer que un servicio de AWS cifre sus datos, pero no quiere la sobrecarga que supone administrar las claves y no quiere pagar por una clave. Una Clave administrada de AWS es una clave de KMS que existe en su cuenta, pero que solo se puede usar en determinadas circunstancias. En concreto, solo puede usarse en el contexto del servicio de AWS en el que opera y solo la pueden usar los responsables de la cuenta en la que existe la clave. No puede administrar nada relacionado con el ciclo de vida o los permisos de estas claves. A medida que utiliza las características de cifrado en los servicios de AWS, puede que vea Claves administradas por AWS, que utilizan un alias con el formato “aws<service code>”. Por ejemplo, una clave aws/ebs solo se puede usar para cifrar los volúmenes de EBS y solo para los volúmenes utilizados por las entidades principales de IAM en la misma cuenta que la clave. Piense en una Clave administrada de AWS que esté restringida para que la usen solo los usuarios de su cuenta para los recursos de su cuenta. No puede compartir recursos cifrados en una Clave administrada de AWS con otras cuentas. Si bien la existencia de una Clave administrada de AWS en su cuenta es gratuita, el servicio de AWS asignado a la clave le cobrará por el uso de este tipo de clave.
Claves administradas por AWS son un tipo de clave antigua que dejará de crearse para nuevos servicios de AWS a partir de 2021. En cambio, los servicios de AWS nuevos (y antiguos) utilizan lo que se conoce como una Clave propiedad de AWS para cifrar los datos de los clientes de forma predeterminada. Una Clave propiedad de AWS es una clave KMS que se encuentra en una cuenta administrada por el servicio de AWS, de manera que los operadores del servicio pueden administrar su ciclo de vida y sus permisos de uso. Al utilizar Claves propiedad de AWS, los servicios de AWS pueden cifrar sus datos de forma transparente y permiten compartir fácilmente los datos entre cuentas o regiones sin que tenga que preocuparse por los permisos de clave. Utilice Claves propiedad de AWS para cargas de trabajo con cifrado predeterminado que proporcionan una protección de datos más fácil y automatizada. Como estas claves son propiedad de AWS, que también se encarga de su administración, no se le cobra por su existencia o su uso, no puede cambiar sus políticas, no puede auditar las actividades relacionadas con estas claves y no puede eliminarlas. Utilice las claves administradas por el cliente cuando el control sea importante, pero utilice Claves propiedad de AWS cuando lo más importante sea la comodidad.
| Claves administradas por el cliente | Claves administradas por AWS | Claves propiedad de AWS | |
| Política de claves | Controlada exclusivamente por el cliente | Controlada por el servicio; visible por el cliente | Controlada exclusivamente y solo visible por el servicio de AWS que cifra sus datos |
| Registro | Almacén de datos de eventos o seguimiento de cliente de CloudTrail | Almacén de datos de eventos o seguimiento de cliente de CloudTrail | No visible por el cliente |
| Administración del ciclo de vida | El cliente administra la rotación, la eliminación y la ubicación regional | AWS KMS administra la rotación (anual), la eliminación y la ubicación regional | Servicio de AWS administra la rotación, la eliminación y la ubicación regional |
| Precios |
Cuota mensual por existencia de claves (prorrateada por hora). También se cobra por el uso de claves |
Sin cuota mensual, pero a la persona que llama se le cobra por el uso de la API en estas claves | Sin cargos para el cliente |
Las claves KMS que usted crea son claves administradas por el cliente. Los Servicios de AWS que utilizan claves KMS para cifrar los recursos de servicio a menudo crean claves para usted. Las claves KMS que los Servicios de AWS crean en su cuenta de AWS son Claves administradas por AWS. Las claves KMS que los Servicios de AWS crean en una cuenta de servicio son Claves propiedad de AWS.
| Tipo de clave KMS | Puede ver los metadatos clave KMS | Puede administrar la clave KMS | Usada solo para mi Cuenta de AWS | Rotación automática | Precios |
|---|---|---|---|---|---|
| Clave administrada por clientes | Sí | Sí | Sí | Opcional. | Cuota mensual (prorrateada por hora) Tarifa por uso |
| Clave administrada de AWS | Sí | No | Sí | Obligatorio. Cada año (aproximadamente 365 días) | Sin cuota mensual Tarifa por uso (algunos Servicios de AWS pagan esta tarifa por usted) |
| Clave propiedad de AWS | No | No | No | El Servicio de AWS administra la estrategia de rotación. | Sin cuotas |
Los servicios de AWS que se integran con AWS KMS difieren en el respaldo de las claves KMS. Algunos servicios de AWS cifran los datos de forma predeterminada con una Clave propiedad de AWS o una Clave administrada de AWS. Algunos servicios de AWS admiten claves administradas por el cliente. Otros servicios de AWS admiten todos los tipos de claves KMS para permitirle la sencillez de una Clave propiedad de AWS, la visibilidad de una Clave administrada de AWS o el control de una clave administrada por el cliente. Para obtener información detallada sobre las opciones de cifrado que ofrece un servicio de AWS, consulte el tema Cifrado en reposo en la guía del usuario o en la guía para desarrolladores del servicio.
Claves administradas por el cliente
Las claves KMS que usted crea son claves administradas por el cliente. Las claves administradas por el cliente son claves KMS de su Cuenta de AWS, que usted ha creado, posee y administra. Puede controlar por completo estas claves KMS, incluido el establecimiento y el mantenimiento de sus políticas de claves, políticas de IAM y concesiones, su habilitación y deshabilitación, la rotación de su material criptográfico, la adición de etiquetas, la creación de alias que hacen referencia a la clave KMS y la programación de las claves KMS para su eliminación.
Las claves administradas por el cliente aparecen en la página Customer managed keys (Claves administradas por el cliente) de la Consola de administración de AWS de AWS KMS. Para identificar definitivamente una clave administrada por el cliente, utilice la operación DescribeKey. En el caso de las claves administradas por el cliente, el valor del campo KeyManager de la respuesta DescribeKey es CUSTOMER.
Puede usar su clave administrada por el cliente en operaciones criptográficas y auditar su uso en los registros de AWS CloudTrail. Además, muchos servicios de AWS integrados con AWS KMS le permiten especificar una clave administrada por el cliente para proteger los datos que almacenan y administran para usted.
Las claves administradas por el cliente tienen una tarifa mensual y una tarifa por uso excesivo del nivel gratuito. Se cuentan contra las cuotas de AWS KMS para su cuenta. Consulte los Precios de AWS Key Management Service
Claves administradas por AWS
Las Claves administradas por AWS son claves de KMS de su cuenta que se crean, administran y utilizan en su nombre por un servicio de AWS integrado con AWS KMS
Algunos de los servicios de AWS le permiten elegir una Clave administrada de AWS o una clave administrada por el cliente para proteger sus recursos en ese servicio. En general, a menos que se le pida que controle la clave de cifrado que protege sus recursos, una Clave administrada de AWS es una buena opción. No tiene que crear ni mantener la clave o su política de claves, y nunca hay una tarifa mensual por una Clave administrada de AWS.
Puede ver las Claves administradas por AWS en su cuenta, ver sus políticas de claves y auditar su uso en los registros de AWS CloudTrail. Sin embargo, no puede cambiar ninguna propiedad de Claves administradas por AWS, rotarlas, cambiar sus políticas de claves o programar su eliminación. No puede usar las Claves administradas por AWS en operaciones criptográficas directamente. El servicio que las crea las usa en su nombre.
Las políticas de control de recursos de su organización no se aplican a las Claves administradas por AWS.
Claves administradas por AWS aparece en la página Claves administradas por AWS de la Consola de administración de AWS para AWS KMS. También puede identificar Claves administradas por AWS a través de sus alias, que tienen el formato aws/; por ejemplo, service-nameaws/redshift. Para identificar definitivamente una Claves administradas por AWS, utilice la operación DescribeKey. En el caso de Claves administradas por AWS, el valor del campo KeyManager de la respuesta DescribeKey es AWS.
Todas las Claves administradas por AWS rotan cada año de forma automática. No puede cambiar esta programación de rotación.
nota
En mayo de 2022, AWS KMS ha cambiado la programación de rotación para Claves administradas por AWS de cada tres años (aproximadamente 1095 días) hasta cada año (aproximadamente 365 días).
No hay cuota mensual por Claves administradas por AWS. Pueden estar sujetas a tarifas por uso excesivo de la capa gratuita, pero algunos servicios de AWS cubren estos costos por usted. Para obtener más detalles, consulte el tema Cifrado en reposo en la Guía del usuario o en la Guía para desarrolladores del servicio. Consulte los Precios de AWS Key Management Service
Claves administradas por AWSLas no se contabilizan en las cuotas de recursos correspondientes al número de claves KMS en cada región de su cuenta. Sin embargo, cuando se utilizan en nombre de una entidad principal en su cuenta, estas claves KMS se contabilizan en las cuotas de solicitud. Para obtener más información, consulte Cuotas.
Claves propiedad de AWS
Las Claves propiedad de AWS son una colección de clave KMS que un servicio de AWS posee y administra para su uso en varias cuentas de Cuentas de AWS. Aunque las Claves propiedad de AWS no están en su Cuenta de AWS, un servicio de AWS puede usar una Clave propiedad de AWS para proteger los recursos de su cuenta.
Algunos servicios de AWS le permiten elegir una Clave propiedad de AWS o una clave administrada por el cliente. En general, a menos que se le pida que audite o controle la clave de cifrado que protege sus recursos, una Clave propiedad de AWS es una buena opción. Las Claves propiedad de AWS son completamente gratuitas (sin cuotas mensuales ni tarifas de uso), no se tienen en cuenta para las cuotas de AWS KMS para su cuenta y son fáciles de usar. No es necesario crear ni mantener la clave ni su política de claves.
La rotación de Claves propiedad de AWS varía según los servicios. Para obtener información acerca de la rotación de un Clave propiedad de AWS en particular, consulte el tema Cifrado en reposo en la guía del usuario o la guía para desarrolladores del servicio.
Jerarquía de AWS KMS key
La jerarquía de claves comienza con una clave lógica de nivel superior, una AWS KMS key. Una clave de KMS representa un contenedor para material clave de nivel superior y está definida de forma única dentro del espacio de nombres del servicio de AWS con un nombre de recurso de Amazon (ARN). El ARN incluye un identificador de clave generado de forma única, un ID de clave. Una clave de KMS se crea en función de una solicitud iniciada por el usuario a través de AWS KMS. En la recepción, AWS KMS solicita la creación de una clave de backup de HSM (HBK) inicial que se colocará en el contenedor de claves de KMS. La HBK se genera en un HSM en el dominio y está diseñada para no exportarse nunca del HSM en texto sin formato. En su lugar, la HBK se exporta cifrada con claves de dominio administradas por HSM. Estas HBK exportadas se conocen como tokens de clave exportados (EKT).
El EKT se exporta a un almacenamiento de larga duración y de baja latencia. Por ejemplo, supongamos que recibe un ARN para la clave de KMS lógica. Esto representa la parte superior de una jerarquía de claves, o contexto criptográfico. Puede crear varias claves de KMS dentro de su cuenta y establecer políticas en sus claves de KMS como cualquier otro recurso de AWS con nombre.
Dentro de la jerarquía de una clave de KMS específica, la HBK puede considerarse como una versión de la clave de KMS. Cuando desea rotar la clave de KMS a través de AWS KMS, se crea una nueva HBK y se la asocia con la clave de KMS como la HBK activa para la clave de KMS. Las HBK antiguas se conservan y se pueden utilizar para descifrar y verificar datos previamente protegidos. Pero solo se puede usar la clave criptográfica activa para proteger nueva información.
Puede realizar solicitudes a través de AWS KMS con el objetivo de utilizar las claves de KMS para proteger directamente la información o solicitar claves adicionales generadas por HSM que estén protegidas con su propia clave de KMS. Estas claves se denominan claves de datos del cliente o CDK. Las CDK se pueden devolver cifradas como texto cifrado (CT), como texto sin formato o de ambas maneras. Todos los objetos cifrados con una clave de KMS (ya sean datos proporcionados por el cliente o claves generadas por HSM) se pueden descifrar solo en un HSM mediante una llamada a través de AWS KMS.
El texto cifrado devuelto, o la carga útil descifrada, nunca se almacena en AWS KMS. La información se le devuelve a través de su conexión TLS a AWS KMS. Esto también se aplica a las llamadas realizadas por servicios de AWS en su nombre.
La jerarquía de claves y las propiedades de clave específicas aparecen en la siguiente tabla.
| Clave | Descripción | Ciclo de vida |
|---|---|---|
|
Clave de dominio |
Una clave AES-GCM de 256 bits solo en memoria de un HSM que se utiliza para ajustar versiones de las claves de KMS, las claves de backup de HSM. |
Rotación diaria1 |
|
Clave de respaldo de HSM |
Una clave simétrica de 256 bits, clave privada RSA o curva elíptica que se utiliza para proteger los datos y las claves del cliente y que se almacena de forma cifrada con claves de dominio. Una o más claves de backup de HSM comprenden la clave de KMS, representada por el keyId. |
Rotación anual2 (config. opcional) |
|
Clave de cifrado derivada |
Una clave AES-GCM de 256 bits solo en memoria de un HSM que se utiliza para cifrar datos y claves del cliente. Se deriva de una HBK para cada cifrado. |
Se utiliza una vez por cifrado y se regenera al descifrarse. |
|
Clave de datos del cliente |
Clave simétrica o asimétrica delimitada por el usuario que se exporta desde un HSM en texto sin formato y texto cifrado. Se cifra con una clave de backup de HSM y se devuelve a los usuarios autorizados a través del canal TLS. |
Rotación y uso controlado por aplicación |
1 AWS KMS puede disminuir de vez en cuando la rotación de claves de dominio a, como máximo, una vez por semana, para tener en cuenta las tareas de gestión y configuración del dominio.
2 Las Claves administradas por AWS predeterminadas que AWS KMS crea y administra en su nombre se rotan anualmente de forma automática.
Identificadores de clave (KeyId)
Los identificadores de clave actúan como nombres para las claves KMS. Le ayudan a reconocer sus claves KMS en la consola. Se utilizan para indicar qué claves KMS desea utilizar en operaciones de la API de AWS KMS, políticas de claves, políticas de IAM y concesiones. Los valores del identificador de clave no están relacionados en absoluto con el material de clave asociado a la clave KMS.
AWS KMS define varios identificadores de clave. Al crear una clave KMS, AWS KMS genera un ARN de clave y un ID de clave, que son propiedades de la clave KMS. Al crear un alias, AWS KMS genera un ARN de alias basado en el nombre de alias que defina. Puede ver los identificadores de clave y alias en la Consola de administración de AWS y en la API de AWS KMS.
En la consola de AWS KMS, puede ver y filtrar las claves KMS por su ARN de clave, ID de clave o nombre de alias, y ordenarlas por ID de clave y nombre de alias. Para obtener ayuda para encontrar los identificadores clave en la consola, consulte Encontrar el ID de clave y el ARN de clave.
En la API de AWS KMS, los parámetros que se utilizan para identificar una clave KMS se denominan KeyId o una variación, como TargetKeyId o DestinationKeyId. Sin embargo, los valores de esos parámetros no se limitan a los ID de clave. Algunos pueden tomar cualquier identificador de clave válido. Para obtener información sobre los valores de cada parámetro, consulte la descripción del parámetro en la Referencia de la API de AWS Key Management Service.
nota
Cuando utilice la API de AWS KMS, preste especial atención al identificador de clave que utilice. Las diferentes API requieren identificadores de clave distintos. En general, utilice el identificador de clave más completo que sea práctico para su tarea.
AWS KMS admite los siguientes identificadores de clave.
- ARN de clave
-
El ARN de clave es el nombre de recurso de Amazon (ARN) de una clave KMS. Es un identificador único y completo para la clave KMS. Un ARN de clave incluye la Cuenta de AWS, la región y el ID de clave. Para obtener ayuda para encontrar el ARN de clave de una clave KMS, consulte Encontrar el ID de clave y el ARN de clave.
El formato de un ARN de clave es el siguiente:
arn:<partition>:kms:<region>:<account-id>:key/<key-id>A continuación, se muestra un ARN de clave para una clave KMS de región única.
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890abEl elemento
key-idde los ARN de claves de las claves de varias regiones comienza con el prefijomrk-. A continuación, se muestra un ARN de clave de ejemplo para una clave de múltiples regiones.arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab
- ID de clave
-
El ID de clave identifica de forma inequívoca una clave KMS dentro de una cuenta y región. Para obtener ayuda para encontrar el ID de clave de una clave KMS, consulte Encontrar el ID de clave y el ARN de clave.
A continuación, se muestra un ID de clave de ejemplo para una clave KMS de región única.
1234abcd-12ab-34cd-56ef-1234567890abLos ID de clave de claves de múltiples regiones comienzan con el prefijo
mrk-. A continuación, se muestra un ID de clave de ejemplo para una clave de múltiples regiones.mrk-1234abcd12ab34cd56ef1234567890ab - ARN de alias
-
El ARN de alias es el nombre de recurso de Amazon (ARN) de un alias de AWS KMS. Es un identificador único y completamente calificado para el alias, y para la clave KMS que representa. Un ARN de alias incluye la Cuenta de AWS, la región y el nombre del alias.
En cualquier momento dado, un ARN de alias identifica una clave KMS en particular. Sin embargo, dado que puede cambiar la clave KMS asociada con el alias, el ARN de alias puede identificar diferentes claves KMS en diferentes momentos. Para obtener ayuda para encontrar el ARN de alias de una clave KMS, consulte Búsqueda del nombre del alias y el ARN de alias para una clave de KMS.
El formato de un ARN de alias es el siguiente:
arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>A continuación, se muestra el ARN de alias de un ficticio
ExampleAlias.arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias - Nombre del alias
-
El nombre de alias es una cadena de hasta 256 caracteres. Identifica de forma inequívoca una clave KMS asociada dentro de una cuenta y región. En la API de AWS KMS, los nombres de alias siempre comienzan por
alias/. Para obtener ayuda para encontrar el nombre de alias de una clave KMS, consulte Búsqueda del nombre del alias y el ARN de alias para una clave de KMS.El formato de un nombre de alias es el siguiente:
alias/<alias-name>Por ejemplo:
alias/ExampleAliasEl prefijo
aws/de un nombre de alias está reservado para Claves administradas por AWS. No se puede crear un alias con este prefijo. Por ejemplo, el nombre de alias de la Clave administrada de AWS para Amazon Simple Storage Service (Amazon S3) es el siguiente.alias/aws/s3
