¿Por qué rotar las claves de KMS?Cómo funciona la rotación de claves

Rotación de AWS KMS keys

Para crear nuevo material criptográfico para sus claves administradas por el cliente, puede crear nuevas claves KMS y, a continuación, cambiar sus aplicaciones o alias para que utilicen las claves. O bien, puede rotar el material de claves asociado a una clave KMS existente habilitando la rotación automática de claves o realizando la rotación bajo demanda.

De forma predeterminada, cuando habilita la rotación automática de claves para una clave KMS, AWS KMS genera nuevo material criptográfico para la KMS cada año. También puede especificar un rotation-period personalizado para definir el número de días después de habilitar la rotación automática de claves que AWS KMS rotará el material clave y el número de días que transcurrirán entre cada rotación automática a partir de entonces. Si necesita iniciar inmediatamente la rotación del material de claves, puede realizar la rotación bajo demanda, independientemente de si la rotación automática de claves está habilitada o no. Las rotaciones bajo demanda no cambian los programas de rotación automática existentes.

Puede realizar el seguimiento de la rotación del material de claves para sus claves KMS en Amazon CloudWatch, AWS CloudTrail y la consola de AWS Key Management Service. También puede utilizar la operación GetKeyRotationStatus para comprobar si la rotación automática está habilitada para una clave KMS e identificar cualquier rotación bajo demanda en curso. Puede utilizar la operación ListKeyRotations para ver los detalles de las rotaciones completadas.

La rotación de claves cambia únicamente el material de claves actual, que es el secreto criptográfico que se usa en las operaciones de cifrado. Cuando se utiliza la clave de KMS rotada para descifrar el texto cifrado, AWS KMS utiliza la misma versión del material de claves empleado para cifrarlo. No puede seleccionar un material de claves concreto para las operaciones de descifrado; AWS KMS elige automáticamente el material de claves correcto. Dado que AWS KMS se descifra de forma transparente con el material de claves adecuado, puede utilizar de forma segura una clave KMS rotada en aplicaciones y Servicios de AWS sin cambios de código.

La clave KMS es el mismo recurso lógico, independientemente de si el material de claves cambie o de cuántas veces lo haga. Las propiedades de la clave KMS no cambian, tal y como se muestra en la siguiente imagen.

Key rotation process showing key material change while Key ID remains constant.

Podría optar por crear una nueva clave KMS y utilizarla en lugar de la clave KMS original. Esto tiene el mismo efecto que rotar el material de claves de una clave KMS existente, así que a menudo se considera una rotación manual de la clave. La rotación manual es una buena opción si quiere rotar las claves de KMS que no cumplen los requisitos para la rotación automática o bajo demanda de claves, incluidas las claves de KMS asimétricas, las claves de KMS HMAC, las claves de KMS en almacenes de claves personalizadas y claves de KMS con material de claves importado.

nota

La rotación de claves automática no afecta a los datos que la clave de KMS protege. No rota las claves de datos que ha generado la clave de KMS ni vuelve a cifrar los datos protegidos por la clave de KMS. La rotación de claves no mitigará el efecto de una clave de datos comprometida.

Rotación de claves y precios

AWS KMS factura una cuota mensual por la primera y segunda rotación de material de claves que mantiene para su clave KMS. Este aumento de precio está limitado a la segunda rotación y las rotaciones posteriores no se facturarán. Consulte los Precios de AWS Key Management Service para obtener más información.

nota

Puedes usar AWS Cost Explorer Service para ver un desglose de los cargos por almacenamiento de claves. Por ejemplo, puede filtrar la vista para ver los cargos totales de las claves facturadas como claves de KMS actuales y rotadas especificando $REGION-KMS-Keys en Tipo de uso y agrupando los datos por Operación de la API.

Es posible que siga viendo instancias de la operación de la API Unknown heredada para fechas antiguas.

Rotación de claves y cuotas

Cada clave KMS cuenta como una clave para el cálculo de las cuotas de recursos clave, independientemente del número de versiones de material de claves rotadas.

Para obtener información detallada sobre el material de claves y la rotación, consulte los Detalles criptográficos de AWS Key Management Service.

Temas

¿Por qué rotar las claves de KMS?

Las prácticas recomendadas en materia de criptografía desaconsejan la reutilización extensiva de las claves que cifran los datos directamente, como las claves de datos que AWS KMS genera. Cuando las claves de datos de 256 bits cifran millones de mensajes, estas pueden fatigarse y empezar a producir texto cifrado con patrones sutiles que los actores inteligentes pueden aprovechar para descubrir los bits de la clave. Lo mejor es utilizar las claves de datos una vez o solo unas cuantas veces para mitigar el agotamiento de las claves.

Sin embargo, las claves de KMS se utilizan con mayor frecuencia como claves de encapsulamiento, también conocidas como claves de cifrado de claves. En lugar de cifrar los datos, las claves de encapsulamiento cifran las claves de datos que cifran los datos. Por lo tanto, se utilizan con mucha menos frecuencia que las claves de datos y casi nunca se reutilizan lo suficiente como para correr el riesgo de que se fatiguen las claves.

A pesar de que el riesgo de fatiga es muy bajo, es posible que tenga que cambiar sus claves de KMS debido a normas comerciales o contractuales o a normativas gubernamentales. Cuando se vea en la obligación de rotar las claves de KMS, le recomendamos que utilice la rotación automática de claves cuando se permita, la rotación bajo demanda si la rotación automática no se admite y la rotación manual de claves cuando no se admita la rotación automática de claves ni la rotación bajo demanda.

Podría considerar la realización de rotaciones bajo demanda para demostrar las capacidades de rotación de material de claves o para validar los scripts de automatización. Recomendamos utilizar rotaciones bajo demanda para las rotaciones no planificadas y utilizar la rotación automática de claves con un periodo de rotación personalizado siempre que sea posible.

Cómo funciona la rotación de claves

La rotación de claves deAWS KMS está diseñada para ser transparente y fácil de usar. AWS KMS admite la rotación de claves automática y bajo demanda opcional solo para las claves administradas por el cliente.

Rotación automática de claves

AWS KMS rota la clave KMS automáticamente en la siguiente fecha de rotación definida por su periodo de rotación. No necesita recordar ni programar la actualización.

La rotación automática de la clave es compatible únicamente con las claves de KMS de cifrado simétricas con material de claves que AWS KMS genera (origen AWS_KMS).

La rotación automática es opcional para las claves de KMS administradas por el cliente. AWS KMS siempre rota el material de claves para claves de KMS administradas de AWS cada año. La rotación de las claves de KMS propiedad de AWS la administra el servicio de Servicio de AWS que es propietario de la clave.

Rotación bajo demanda

Inicie de inmediato la rotación del material de claves asociado a su clave KMS, independientemente de si la rotación automática de claves está habilitada o no.

La rotación de claves bajo demanda se admite en las claves de KMS de cifrado simétrico con material de clave que AWS KMS genera (origen AWS_KMS) y en las claves de KMS de cifrado simétrico de una sola región con material de clave importado (origen EXTERNAL).

Rotación manual

La rotación automática de claves no es compatible en los siguientes tipos de claves de KMS, pero puede rotar estas claves de KMS de forma manual.

Claves de KMS asimétricas
Claves KMS HMAC
Claves KMS en almacenes de claves personalizados
Claves de KMS de varias regiones con material de claves importado

Administración de material de claves

AWS KMS conserva todo el material de una clave de KMS con un origen AWS_KMS, incluso si la rotación de la clave está desactivada. AWS KMS elimina el material de la clave únicamente cuando se elimina la clave de KMS.

Usted administra los materiales clave de las claves de cifrado simétrico con origen EXTERNAL. Puede eliminar cualquier material de claves mediante la operación DeleteImportedKeyMaterial o establecer una fecha de caducidad al importar el material. La clave de KMS deja de poder utilizarse en cuanto alguno de sus materiales caduca o se elimina.

Uso de material de claves

Cuando se utiliza una clave KMS rotada para el cifrado, AWS KMS utiliza la el material de claves actual. Cuando se utiliza la clave KMS rotada para descifrar el texto cifrado, AWS KMS utiliza la misma versión del material de claves utilizado para cifrarlo. No puede seleccionar una versión concreta del material de claves para las operaciones de descifrado; AWS KMS elige automáticamente la versión correcta.

Periodo de rotación

El periodo de rotación define el número de días después de habilitar la rotación automática de claves que AWS KMS rotará el material clave y el número de días que transcurrirán entre cada rotación automática a partir de entonces. Si no especifica un valor para RotationPeriodInDays al habilitar la rotación automática de claves, el valor predeterminado es de 365 días.

También puede usar la clave de condición kms:RotationPeriodInDays para limitar los valores que las entidades principales pueden especificar en el parámetro de RotationPeriodInDays.

Fecha de rotación

La fecha de rotación refleja la fecha en que se actualizó el material clave actual de una clave de KMS, ya sea como resultado de una rotación automática (programada) o de una rotación de clave bajo demanda.

Fecha de rotación

AWS KMS rota automáticamente la clave KMS en la fecha de rotación definida por su periodo de rotación. El periodo de rotación predeterminado es de 365 días.

Claves administradas por el cliente

Como la rotación automática de claves es opcional en las claves administradas por el cliente y se puede habilitar y deshabilitar en cualquier momento, la fecha de rotación depende de la fecha en que se habilitó la rotación por última vez. La fecha puede cambiar si modifica el periodo de rotación de una clave en la que anteriormente había habilitado la rotación automática de claves. La fecha de rotación puede cambiar muchas veces durante la vida de la clave.

Por ejemplo, si crea una clave administrada por el cliente el 1 de enero de 2022 y habilita la rotación automática de claves con el periodo de rotación predeterminado de 365 días el 15 de marzo de 2022, AWS KMS rota el material de claves el 15 de marzo de 2023, el 15 de marzo de 2024 y, a partir de entonces, cada 365 días.

En los siguientes ejemplos se supone que la rotación automática de claves estaba habilitada con el periodo de rotación predeterminado de 365 días. Estos ejemplos muestran casos especiales que podrían afectar al periodo de rotación de una clave.

Deshabilitar la rotación de claves: si deshabilita la rotación automática de claves en cualquier momento, la clave de KMS seguirá utilizando la versión del material de claves que utilizaba cuando la rotación estaba deshabilitada. Si vuelve a habilitar la rotación automática de claves, AWS KMS rotará el material de claves en función de la nueva fecha de habilitación de claves.
Claves de KMS deshabilitadas: cuando una clave de KMS esté deshabilitada, AWS KMS no la rotará. Sin embargo, el estado de rotación de clave no cambia y no puede cambiarlo mientras la clave KMS esté deshabilitada. Cuando la clave KMS se vuelva a habilitar, si el material de claves ha pasado su última fecha de rotación programada, AWS KMS rota de forma inmediata. Si el material de claves no se ha saltado su última fecha de rotación programada, AWS KMS reanuda la programación original de rotación de claves.
Claves de KMS pendientes de eliminación: cuando una clave de KMS esté pendiente de eliminación, AWS KMS no la rotará. El estado de rotación de clave se establece en false y no puede cambiarla mientras su eliminación está pendiente. Si se cancela la eliminación, se restaura el estado de rotación de clave anterior. Si el material de claves ha pasado su última fecha de rotación programada, AWS KMS rota de forma inmediata. Si el material de claves no se ha saltado su última fecha de rotación programada, AWS KMS reanuda la programación original de rotación de claves.

Claves administradas por AWS

AWS KMS rota automáticamente Claves administradas por AWS cada año (aproximadamente 365 días). No puede habilitar ni desactivar la rotación de claves de Claves administradas por AWS.

El material de claves de una Clave administrada de AWS se rota por primera vez un año después de su fecha de creación y, posteriormente, cada año (aproximadamente 365 días después de la última rotación).

nota

En mayo de 2022, AWS KMS ha cambiado la programación de rotación para Claves administradas por AWS de cada tres años (aproximadamente 1095 días) hasta cada año (aproximadamente 365 días).

Claves propiedad de AWS

No puede habilitar ni desactivar la rotación de claves para Claves propiedad de AWS. La estrategia de rotación de claves para una Clave propiedad de AWS se determina según el servicio de AWS que crea y administra la clave. Para obtener más detalles, consulte el tema Cifrado en reposo en la Guía del usuario o en la Guía para desarrolladores del servicio.

Rotación de claves de varias regiones

Puede habilitar y deshabilitar la rotación automática de claves y realizar la rotación bajo demanda del material de claves en claves de varias regiones con origen AWS_KMS. La rotación de claves es una propiedad compartida de claves de varias regiones.

Solo habilita y deshabilita la rotación automática de claves en la clave principal. Inicia la rotación bajo demanda solo en la clave principal.

Cuando AWS KMS sincroniza las claves de varias regiones, copia el valor de la propiedad de rotación de claves de la clave principal a todas sus claves de réplica relacionadas.
Cuando AWS KMS rota el material clave, crea material clave nuevo para la clave principal y, a continuación, copia el nuevo material clave a través de los límites de región en todas las claves de réplica relacionadas. La clave privada nunca sale de AWS KMS sin cifrar. Este paso se controla cuidadosamente para garantizar que el material clave esté completamente sincronizado antes de utilizar cualquier clave en una operación criptográfica.
AWS KMS no cifra ningún dato con el nuevo material de clave hasta que ese material de clave esté disponible en la clave principal y cada una de sus claves de réplica.
Cuando se replica una clave principal que se ha rotado, la nueva clave de réplica tiene el material de clave actual y todas las versiones anteriores del material clave para sus claves de varias regiones relacionadas.

Este patrón garantiza que las claves de varias regiones relacionadas sean totalmente interoperables. Cualquier clave de varias regiones puede descifrar cualquier texto cifrado mediante una clave de varias regiones relacionada, incluso si el texto cifrado se cifró antes de que se creara la clave.

AWSServicios de

Puede habilitar la rotación automática de claves en las claves administradas por el cliente que utilice para el cifrado en el lado del servidor en los servicios de AWS. La rotación anual es transparente y compatible con los servicios de AWS.

Supervisión de la rotación de claves

Cuando AWS KMS rota el material de claves para una Clave administrada de AWS o clave administrada por el cliente, escribe un evento KMS CMK Rotation en Amazon EventBridge y un evento RotateKey en su registro de AWS CloudTrail. Puede usar estos registros para comprobar que la clave KMS se ha rotado.

Puede utilizar la consola de AWS Key Management Service para ver el número de rotaciones bajo demanda restantes y una lista de todas las rotaciones de material de claves completadas para una clave de KMS.

Puede utilizar la operación ListKeyRotations para ver los detalles de las rotaciones completadas.

Consistencia final

La rotación de claves está sujeta a los mismos efectos de consistencia final que otras operaciones de administración de AWS KMS. Es posible que haya un ligero retraso antes de que el nuevo material de claves esté disponible en AWS KMS. Sin embargo, la rotación de material clave no causa ninguna interrupción o retraso en las operaciones criptográficas. El material clave actual se utiliza en operaciones criptográficas hasta que el nuevo material de claves esté disponible en toda la AWS KMS. Cuando el material de claves para una clave de varias regiones rota automáticamente, AWS KMS utiliza el material de claves actual hasta que el nuevo material de claves esté disponible en todas las regiones con una clave de varias regiones relacionada.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Habilitar y deshabilitar claves

Habilitación de la rotación automática de claves