Protección del material de claves importado
El material de claves que importa está protegido en tránsito y en reposo. Antes de importar el material de claves, cifre (o “envuelva”) el material de claves con la clave pública de un par de claves RSA generado en módulos de seguridad de hardware (HSM) de AWS KMS validados según el programa de validación de módulos criptográficos FIPS 140-3
Al recibirlo, AWS KMS descifra el material de claves con la clave privada correspondiente en un HSM de AWS KMS y lo vuelve a cifrar con una clave simétrica AES que solo existe en la memoria volátil del HSM. El material de claves nunca sale del HSM en texto sin formato. Solo se descifra mientras está en uso y solo dentro de los HSM de AWS KMS.
El uso de la clave de KMS con el material de claves importado viene determinado únicamente por las políticas de control de acceso que se establezcan en la clave de KMS. Además, puede usar alias y etiquetas para identificar y controlar el acceso a la clave de KMS. Puede habilitar y deshabilitar la clave, verla y supervisarla mediante servicios como AWS CloudTrail.
Sin embargo, usted conserva la única copia de seguridad de su material de claves. A cambio de esta medida de control adicional, usted es responsable de la disponibilidad y durabilidad generales del material de claves. AWS KMS se ha diseñado para mantener un alto nivel de disponibilidad del material de claves importado. Pero AWS KMS no mantiene la durabilidad del material de claves importado al mismo nivel que el material de claves que genera AWS KMS.
Esta diferencia relativa a la durabilidad es importante en los casos siguientes:
-
Al configurar una fecha de vencimiento para el material de claves importado, AWS KMS lo elimina después de que venza. AWS KMS no elimina la clave KMS ni sus metadatos. Puede crear una alarma de Amazon CloudWatch que le notifique cuando el material de claves importado se acerca a su fecha de caducidad.
No puede eliminar el material de claves que genera AWS KMS a partir de una clave de KMS ni puede configurar material de claves de AWS KMS para que venza, aunque puede rotarlo.
-
Al eliminar manualmente el material de claves importado, AWS KMS lo elimina sin quitar la clave KMS ni sus metadatos. Por el contrario, programar la eliminación de claves requiere un periodo de espera de 7 a 30 días, después de lo cual AWS KMS elimina permanentemente la clave KMS, sus metadatos y su material de claves.
-
En el caso improbable de que determinados errores en toda la región que repercutan en AWS KMS (como la pérdida total de energía), AWS KMS no puede restaurar automáticamente el material de claves importado. Sin embargo, AWS KMS puede restaurar la clave de KMS y sus metadatos.
Debe retener una copia del material de claves importado fuera de AWS en un sistema que controle. Se recomienda almacenar una copia exportable del material de claves importado en un sistema de administración de claves, como un HSM. Como práctica recomendada, debe almacenar una referencia al ARN de la clave de KMS y al ID del material de claves generado por AWS KMS junto con la copia exportable del material de claves. Si el material de claves importado se elimina o vence, la clave de KMS asociada quedará inutilizable hasta que vuelva a importar el mismo material de claves. Si el material de claves importado se pierde de forma permanente, cualquier texto cifrado con la clave de KMS será irrecuperable.
importante
Las claves de cifrado simétricas y de una sola región pueden tener varios materiales de claves asociados. La clave de KMS completa queda inutilizable en cuanto se elimina uno de esos materiales de claves o si alguno de esos materiales de claves caduca (a menos que el material de claves eliminado o caducado esté PENDING_ROTATION). Debe volver a importar cualquier material de claves caducado o eliminado asociado a dicha clave antes de que la clave pueda utilizarse para operaciones criptográficas.
