Realice operaciones sin conexión con claves públicas
En una clave KMS asimétrica, la clave privada se crea en AWS KMS y nunca deja AWS KMS sin cifrar. Para utilizar la clave privada, tiene que llamar a AWS KMS. Puede utilizar la clave pública en AWS KMS llamando a las operaciones de la API de AWS KMS. También puede descargar la clave pública y compartirla para su uso fuera de AWS KMS.
Puede compartir una clave pública para permitir que otros cifren datos fuera de AWS KMS que puede descifrar solo con su clave privada. O bien, para permitir que otros verifiquen una firma digital fuera del AWS KMS que haya generado con su clave privada. O bien, para compartir su clave pública con un compañero para obtener un secreto compartido.
Cuando utiliza la clave pública en su clave KMS asimétrica dentro de AWS KMS, se beneficia de la autenticación, autorización y registro que forman parte de cada operación de AWS KMS. También reduce el riesgo de cifrar datos que no se pueden descifrar. Estas características no son efectivas fuera de AWS KMS. Para obtener más información, consulte Consideraciones especiales para descargar claves públicas.
sugerencia
¿Busca claves de datos o claves SSH? En este tema se explica cómo administrar claves asimétricas en AWS Key Management Service, donde la clave privada no es exportable. Para ver pares de claves de datos exportables en los que la clave privada está protegida mediante una clave KMS de cifrado simétrica, consulte GenerateDataKeyPair. Para obtener ayuda sobre la descarga de la clave pública asociada a una instancia de Amazon EC2, consulte Recuperar la clave pública en la Guía del usuario de Amazon EC2 y Guía del usuario de Amazon EC2.
Temas
Consideraciones especiales para descargar claves públicas
Para proteger sus claves KMS, AWS KMS proporciona controles de acceso, cifrado autenticado y registros detallados de cada operación. AWS KMS también le permite evitar el uso de claves KMS, temporal o permanentemente. Finalmente, las operaciones de AWS KMS están diseñadas para minimizar el riesgo de cifrar datos que no se pueden descifrar. Estas características no están disponibles cuando utiliza claves públicas descargadas fuera de AWS KMS.
- Autorización
-
Las políticas de claves y las políticas de IAM que controlan el acceso a la clave KMS dentro de AWS KMS no tienen efecto en las operaciones realizadas fuera de AWS. Cualquier usuario que pueda obtener la clave pública puede utilizarla fuera de AWS KMS aunque no tenga permiso para cifrar datos o verificar firmas con la clave KMS.
- Restricciones de uso de las claves
-
Las restricciones de uso de las claves no son efectivas fuera de AWS KMS. Si llama a la operación Encrypt (Cifrado) con una clave KMS que tiene
KeyUsagedeSIGN_VERIFY, la operación de AWS KMS falla. Sin embargo, si cifra datos fuera de AWS KMS con una clave pública de una clave KMS con unKeyUsagedeSIGN_VERIFYoKEY_AGREEMENT, los datos no se pueden descifrar. - Restricciones del algoritmo
-
Las restricciones a los algoritmos de cifrado y firma compatibles con AWS KMS no son efectivas fuera de AWS KMS. Si cifra los datos con la clave pública de una clave KMS fuera de AWS KMS y utiliza un algoritmo de cifrado que no es compatible con AWS KMS, no se pueden descifrar los datos.
- Desactivar y eliminar claves KMS
-
Las acciones que puede tomar para evitar el uso de la clave KMS en una operación criptográfica en AWS KMS no evitan que nadie utilice la clave privada fuera de AWS KMS. Por ejemplo, desactivar una clave KMS, programar la eliminación de una clave KMS, eliminar una clave KMS o eliminar el material de claves de una clave KMS no tienen ningún efecto en una clave pública fuera de AWS KMS. Si elimina una clave KMS asimétrica o elimina o pierde su material de claves, los datos que cifra con una clave pública fuera de AWS KMS son irrecuperables.
- Registro
-
Registros de AWS CloudTrail que registran cada operación de AWS KMS, incluida la solicitud, la respuesta, la fecha, el tiempo y el usuario autorizado, no registran el uso de la clave pública fuera de AWS KMS.
- Verificación sin conexión con pares de claves SM2 (solo en las regiones de China)
-
Para verificar una firma fuera de AWS KMS con una clave pública SM2, debe especificar el identificador distintivo. Por defecto, AWS KMS utiliza
1234567812345678como identificador distintivo. Para más información, consulte Verificación sin conexión con pares de claves SM2 (solo en las regiones de China)
