Claves KMS en un almacén de claves externo

Para crear, ver, administrar, usar y programar la eliminación de las claves de KMS en un almacén de claves externo, utilice procedimientos que son muy similares a los que usa para otras claves de KMS. Sin embargo, cuando crea una clave de KMS en un almacén de claves externo, especifica un almacén de claves externo y una clave externa. Cuando usa una clave de KMS en un almacén de claves externo, el administrador de claves externo realiza las operaciones de cifrado y descifrado mediante la clave externa especificada.

AWS KMS no puede crear, ver, actualizar ni eliminar ninguna clave criptográfica en su administrador de claves externo. AWS KMS nunca accede directamente a su administrador de claves externo ni a ninguna clave externa. Todas las solicitudes de operaciones criptográficas están mediadas por su proxy del almacén de claves externo. Para usar una clave de KMS en un almacén de claves externo, el almacén de claves externo que aloja la clave de KMS debe estar conectado a su proxy del almacén de claves externo.

Características admitidas

Además de los procedimientos tratados en esta sección, puede hacer lo siguiente con las claves de KMS en un almacén de claves personalizado:

Utilice políticas de claves, políticas de IAM y concesiones para controlar el acceso a las claves de KMS.
Habilite y deshabilite las claves de KMS. Estas acciones no afectan a la clave externa del administrador de claves externo.
Asigne etiquetas, cree alias y utilice el control de acceso basado en atributos (ABAC) para autorizar el acceso a las claves de KMS.
Utilice las claves KMS para realizar las siguientes operaciones criptográficas:
Las operaciones que generan pares de claves asimétricas de datos, GenerateDataKeyPair y GenerateDataKeyPairWithoutPlaintext, no se admiten en un almacén de claves personalizado.
Utilice las claves de KMS con Servicios de AWS que se integran con AWS KMS y que admiten las claves administradas por el cliente.

Características no admitidas

Los almacenes de claves externos solo admiten claves de KMS de cifrado simétrico. No puede crear claves de KMS HMAC ni claves de KMS asimétricas en un almacén de claves externo.
GenerateDataKeyPair y GenerateDataKeyPairWithoutPlaintext no son compatibles con las claves de KMS de un almacén de claves externo.
No puede usar una plantilla de CloudFormation AWS::KMS::Key para crear un almacén de claves externo o una clave KMS en un almacén de claves externo.
Las claves multirregionales no se admiten en un almacén de claves externo.
Las claves de KMS con material de clave importado no se admiten en un almacén de claves externo.
La rotación automática de claves no es compatible con las claves de KMS en un almacén de claves externo.

Uso de claves KMS en un almacén de claves externo

Cuando utilice su clave de KMS en una solicitud, identifique la clave de KMS por su ID de clave, ARN de clave, alias o ARN de alias. No tiene que especificar el almacén de claves externo. La respuesta incluye los mismos campos que se devuelven para cualquier clave KMS de cifrado simétrica. Sin embargo, cuando utiliza una clave de KMS en un almacén de claves externo, el administrador de claves externo realiza las operaciones de cifrado y descifrado mediante la clave externa especificada.

Para garantizar que el texto cifrado con una clave de KMS en un almacén de claves externo sea tan seguro como cualquier texto cifrado con una clave de KMS estándar, AWS KMS utiliza un cifrado doble. Los datos se cifran primero en AWS KMS mediante el uso de material de clave de AWS KMS. A continuación, su administrador de claves externo lo cifra utilizando la clave externa de la clave de KMS. Para descifrar el texto cifrado con doble cifrado, el administrador de claves externo descifra primero el texto cifrado mediante la clave externa de la clave de KMS. Luego se descifra en AWS KMS utilizando el material de clave de AWS KMS para la clave de KMS.

Para ello, se deben cumplir las siguientes condiciones.

El estado de clave de la clave KMS debe ser Enabled. Para encontrar el estado de la clave, consulte el campo Estado de las claves administradas por el cliente en la consola de AWS KMS o el campo KeyState en la respuesta DescribeKey.
El almacén de claves externo que aloja la clave de KMS debe estar conectado a su proxy del almacén de claves externo, es decir, el estado de conexión del almacén de claves externo debe ser CONNECTED.

Puede ver el estado de la conexión en la página External key stores (Almacenes de claves externos) de la consola de AWS KMS o en la respuesta DescribeCustomKeyStores. El estado de la conexión del almacén de claves externo también se muestra en la página de detalles de la clave de KMS en la consola de AWS KMS. En la página de detalles, elija la pestaña Cryptographic configuration (Configuración criptográfica) y consulte el campo Connection state (Estado de la conexión) en la sección Custom key store (Almacén de claves personalizado).

Si el estado de la conexión es DISCONNECTED, primero debe conectarlo. Si el estado de la conexión es FAILED, debe resolver el problema, desconectar el almacén de claves externo y, a continuación, conectarlo. Para obtener instrucciones, consulte Conexión y desconexión de almacenes de claves externos.
El proxy del almacén de claves externo debe poder encontrar la clave externa.
La clave externa debe estar habilitada y debe realizar el cifrado y el descifrado.

El estado de la clave externa es independiente y no se ve afectado por los cambios en el estado de la clave de KMS, incluida la habilitación y deshabilitación de la clave de KMS. Del mismo modo, deshabilitar o eliminar la clave externa no cambia el estado de la clave de KMS, pero las operaciones criptográficas que utilicen la clave de KMS asociada fallarán.

Si no se cumplen estas condiciones, la operación criptográfica dará error y AWS KMS devolverá una excepción KMSInvalidStateException. Puede que tenga que volver a conectar el almacén de claves externo o utilizar las herramientas del administrador de claves externo para reconfigurar o reparar la clave externa. Para obtener ayuda adicional, consulte Solución de problemas de almacenes de claves externos.

Cuando utilice claves de KMS en un almacén de claves externo, tenga en cuenta que las claves de KMS de cada almacén de claves externo comparten una cuota de solicitudes del almacén de claves personalizado para operaciones criptográficas. Si supera la cuota, AWS KMS devuelve una ThrottlingException. Para obtener más información sobre la cuota de solicitudes del almacén de claves personalizado, consulte Cuotas de solicitudes del almacén de claves personalizado.

Más información

Para obtener más información sobre los almacenes de claves externos, consulte Almacenes de claves externos.
Para obtener más información sobre el material de claves de los almacenes de claves externos, consulte Clave externa.
Para crear claves KMS en un almacén de claves externo, consulte Creación de una clave KMS en un almacén de claves externo.
Para identificar y ver las claves KMS de un almacén de claves externo, consulte Identificación de claves KMS en almacenes de claves externos.
Para conocer las consideraciones especiales a la hora de eliminar claves KMS de un almacén de claves externo, consulte Eliminación de claves KMS de un almacén de claves externo.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Claves KMS en un almacén de claves de CloudHSM

Aspectos básicos de la criptografía de AWS KMS