Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Uso del AWS KMS cifrado con AWS servicios
<a name="service-integration"></a>

Con AWS Key Management Service, puede proporcionar claves de cifrado para proteger los datos de otros AWS servicios. El uso del AWS KMS cifrado con AWS los servicios se refiere al proceso de integración AWS KMS con otros AWS servicios para cifrar y descifrar los datos en reposo o en tránsito. Los desarrolladores, administradores de sistemas y profesionales de la seguridad podrían estar interesados en este tema para proteger los datos confidenciales almacenados o transmitidos a través de AWS los servicios, cumplir con los requisitos de conformidad normativa o implementar las mejores prácticas de cifrado. Los casos de uso más comunes incluyen el cifrado de volúmenes de Amazon EBS, buckets de Amazon S3 y bases de datos de Amazon RDS. En las siguientes secciones se describen los pasos para configurar y administrar las claves de AWS KMS cifrado para AWS servicios específicos, garantizando la confidencialidad e integridad de los datos en todo el AWS entorno. Para obtener una lista completa de los AWS servicios integrados en ellos AWS KMS, consulte Integración de [AWS servicios](https://aws.amazon.com/kms/features/#AWS_Service_Integration).

En los temas siguientes se describe en detalle cómo utilizan determinados servicios AWS KMS, incluidas las claves de KMS que admiten, cómo administran las claves de datos, los permisos que requieren y cómo realizar un seguimiento del uso de las claves de KMS de su cuenta por parte de cada servicio.

**importante**  
AWS Los [servicios integrados AWS KMS utilizan](https://aws.amazon.com/kms/features/#AWS_Service_Integration) únicamente claves KMS de cifrado simétrico para cifrar los datos. Estos servicios no admiten cifrado con claves de KMS asimétricas. Para obtener ayuda para determinar si una clave KMS es simétrica o asimétrica, consulte [Identificación de diferentes tipos de claves](identify-key-types.md).

**Topics**
+ [Amazon Elastic Block Store (Amazon EBS)](services-ebs.md)
+ [Amazon EMR](services-emr.md)
+ [Amazon Redshift](services-redshift.md)

# Cómo utiliza Amazon Elastic Block Store (Amazon EBS) AWS KMS
<a name="services-ebs"></a>

En este tema se analiza en detalle cómo se AWS KMS utiliza [Amazon Elastic Block Store (Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html)) para cifrar volúmenes e instantáneas. Para obtener instrucciones básicas sobre el cifrado de volúmenes de Amazon EBS, consulte [Cifrado de Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html).

**Topics**
+ [Cifrado de Amazon EBS](#ebs-encrypt)
+ [Uso de claves KMS y claves de datos](#ebs-cmk)
+ [Contexto de cifrado de Amazon EBS](#ebs-encryption-context)
+ [Detección de errores de Amazon EBS](#ebs-failures)
+ [Utilización AWS CloudFormation para crear volúmenes cifrados de Amazon EBS](#ebs-encryption-using-cloudformation)

## Cifrado de Amazon EBS
<a name="ebs-encrypt"></a>

Cuando se asocia un volumen de Amazon EBS cifrado a un [tipo de instancia Amazon Elastic Compute Cloud (Amazon EC2 compatible](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption-requirements.html#ebs-encryption_supported_instances), se cifran los datos almacenados que están en reposo en el volumen, la E/S de disco y las instantáneas creadas a partir del volumen. El cifrado se produce en los servidores que alojan instancias de Amazon EC2.

Esta característica es compatible con todos los [tipos de volúmenes de Amazon EBS](https://docs.aws.amazon.com/ebs-encryption-requirements.html#ebs-encryption-volume-types). A los volúmenes cifrados se obtiene acceso del mismo modo que a otros volúmenes; el cifrado y el descifrado se gestionan de forma transparente y no requieren ninguna acción de su parte, la instancia EC2 o su aplicación. Las instantáneas de los volúmenes cifrados se cifran automáticamente y los volúmenes que se crean a partir de las instantáneas cifradas también se cifran de forma automática.

El estado de cifrado de un volumen de EBS se determina al crear el volumen. No puede cambiar el estado de cifrado de un volumen existente. Sin embargo, puede [migrar datos](https://docs.aws.amazon.com//ebs/latest/userguide/how-ebs-encryption-works.html) entre volúmenes cifrados y no cifrados, y aplicar un nuevo estado de cifrado al copiar una instantánea.

Amazon EBS admite el cifrado opcional de forma predeterminada. Puede activar el cifrado automáticamente en todos los volúmenes y copias instantáneas nuevos de EBS de su región y de su región. Cuenta de AWS Este ajuste de configuración no afecta a los volúmenes o instantáneas existentes. Para más información, consulte [Cifrado de Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) en la *Guía del usuario de Amazon EBS*.

## Uso de claves KMS y claves de datos
<a name="ebs-cmk"></a>

Cuando [crea un volumen Amazon EBS cifrado](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html), se especifica un AWS KMS key. De manera predeterminada, Amazon EBS utiliza la [Clave administrada de AWS](concepts.md#aws-managed-key)para Amazon EBS en su cuenta (`aws/ebs`). Sin embargo, puede especificar una [clave administrada por el cliente](concepts.md#customer-mgn-key) que puede crear y administrar. 

Para utilizar una clave administrada por el cliente, debe dar permiso a Amazon EBS para usar la clave KMS en su nombre. Para obtener más información, consulte [Cómo funciona el cifrado de Amazon EBS](https://docs.aws.amazon.com//ebs/latest/userguide/how-ebs-encryption-works.html) en la *Guía del usuario de Amazon EBS*.

**importante**  
Amazon EBS solo admite [claves KMS simétricas](symm-asymm-choose-key-spec.md#symmetric-cmks). No se puede utilizar una [clave KMS asimétrica](symmetric-asymmetric.md) para cifrar un volumen de Amazon EBS. Para obtener ayuda para determinar si una clave KMS es simétrica o asimétrica, consulte [Identificación de diferentes tipos de claves](identify-key-types.md).

Para cada volumen, Amazon EBS solicita AWS KMS generar una clave de datos única cifrada con la clave de KMS que especifique. Amazon EBS almacena la clave de datos cifrada con el volumen. A continuación, al adjuntar el volumen a una instancia de Amazon EC2, Amazon EBS llama AWS KMS para descifrar la clave de datos. Amazon EBS utiliza la clave de datos de texto simple de la memoria del hipervisor para cifrar todos los discos del I/O volumen. Para obtener más información, consulte *Cómo funciona el cifrado de EBS* en la [Guía del usuario de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#how-ebs-encryption-works) o en la [Guía del usuario de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EBSEncryption.html#how-ebs-encryption-works).

## Contexto de cifrado de Amazon EBS
<a name="ebs-encryption-context"></a>

En sus solicitudes [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext)y en las de [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) AWS KMS, Amazon EBS utiliza un contexto de cifrado con un par nombre-valor que identifica el volumen o la instantánea de la solicitud. El nombre en el contexto de cifrado no varía.

Un [contexto de cifrado](encrypt_context.md) es un conjunto de pares de clave-valor que contienen datos no secretos arbitrarios. Cuando incluye un contexto de cifrado en una solicitud de cifrado de datos, vincula AWS KMS criptográficamente el contexto de cifrado a los datos cifrados. Para descifrar los datos, es necesario pasar el mismo contexto de cifrado.

Para todos los volúmenes y para las instantáneas cifradas creadas con la [CreateSnapshot](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSnapshot.html)operación Amazon EBS, Amazon EBS utiliza el ID del volumen como valor de contexto de cifrado. En el campo `requestParameters` de una entrada de registro de CloudTrail, el contexto de cifrado es similar al siguiente:

```
"encryptionContext": {
  "aws:ebs:id": "vol-0cfb133e847d28be9"
}
```

Para las instantáneas cifradas creadas con la operación Amazon [CopySnapshot](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CopySnapshot.html)EC2, Amazon EBS utiliza el ID de la instantánea como valor de contexto de cifrado. En el campo `requestParameters` de una entrada de registro de CloudTrail, el contexto de cifrado es similar al siguiente:

```
"encryptionContext": {
  "aws:ebs:id": "snap-069a655b568de654f"
}
```

## Detección de errores de Amazon EBS
<a name="ebs-failures"></a>

Para crear un volumen de EBS cifrado o adjuntar el volumen a una instancia EC2, Amazon EBS y la infraestructura de Amazon EC2 deben poder usar la clave KMS especificada para el cifrado del volumen de EBS. Cuando la clave KMS no es utilizable, por ejemplo, cuando su [estado clave](key-state.md) no es `Enabled`: la creación del volumen o el adjunto al volumen fallan.

 En este caso, Amazon EBS envía un *evento* a Amazon EventBridge (anteriormente CloudWatch Events) para notificarle el error. En EventBridge, puede establecer reglas que activen acciones automáticas en respuesta a estos eventos. Para obtener más información, consulte [Amazon CloudWatch Events para Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-cloud-watch-events.html) en la *Guía del usuario de Amazon EBS*, especialmente en las siguientes secciones:
+ [Clave de cifrado no válida al asociar o volver a asociar un volumen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-cloud-watch-events.html#attach-fail-key)
+ [Clave de cifrado no válida al crear el volumen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-cloud-watch-events.html#create-fail-key)

Para solucionar estos errores, compruebe que esté habilitada la clave KMS que ha especificado para el cifrado del volumen de EBS. Para ello, [consulte primero la clave de KMS](viewing-keys.md) para determinar su estado de clave actual (la columna **Estado** de). Consola de administración de AWS A continuación, consulte la información de uno estos enlaces:
+ Si el estado de clave de la clave KMS está deshabilitado, [habilítelo](enabling-keys.md).
+ Si el estado de clave de la clave KMS está pendiente de importación, [importe el material de claves](importing-keys.md).
+ Si el estado de clave de la clave KMS es pendiente de eliminación, [cancele la eliminación de la clave](deleting-keys-scheduling-key-deletion.md).

## Utilización AWS CloudFormation para crear volúmenes cifrados de Amazon EBS
<a name="ebs-encryption-using-cloudformation"></a>

Puede usar [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/) para crear volúmenes de Amazon EBS cifrados. Para obtener más información, consulte [AWS::EC2::Volume](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-ebs-volume.html) en la *Guía del usuario de AWS CloudFormation *.

# Cómo utiliza Amazon EMR AWS KMS
<a name="services-emr"></a>

Cuando utilice un clúster de [Amazon EMR](https://aws.amazon.com/emr/), puede configurarlo para cifrar los datos *en reposo* antes de guardarlos en una ubicación de almacenamiento persistente. Puede cifrar los datos en reposo en el sistema de archivos EMR (EMRFS), en los volúmenes de almacenamiento de nodos del clúster o en ambos. Para cifrar los datos en reposo, puede utilizar una AWS KMS key. En los siguientes temas se explica cómo un clúster Amazon EMR utiliza una clave KMS para cifrar los datos en reposo.

**importante**  
Amazon EMR solo admite [claves KMS simétricas](symm-asymm-choose-key-spec.md#symmetric-cmks). No se puede utilizar una [clave KMS asimétrica](symmetric-asymmetric.md) para cifrar datos en reposo en un clúster de Amazon EMR. Para obtener ayuda para determinar si una clave KMS es simétrica o asimétrica, consulte [Identificación de diferentes tipos de claves](identify-key-types.md).

Los clústeres de Amazon EMR también cifran los datos *en tránsito*, lo que significa que el clúster cifra los datos antes de enviarlos a través de la red. No puede utilizar una clave KMS para cifrar los datos en tránsito. Para obtener más información, consulte [Cifrado de datos en tránsito](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-data-encryption-options.html#emr-encryption-intransit) en la *Guía de administración de Amazon EMR*.

Para obtener más información sobre todas las opciones de cifrado disponibles en Amazon EMR, consulte [Opciones de cifrado](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-data-encryption-options.html) en la *Guía de administración de Amazon EMR*.

**Topics**
+ [Cifrar datos en el sistema de archivos EMR (EMRFS)](#emrfs-encryption)
+ [Cifrar datos en los volúmenes de almacenamiento de los nodos de clúster](#emr-local-disk-encryption)
+ [Contexto de cifrado](#emr-encryption-context)

## Cifrar datos en el sistema de archivos EMR (EMRFS)
<a name="emrfs-encryption"></a>

Los clústeres de Amazon EMR usan dos sistemas de archivos distribuidos:
+ Hadoop Distributed File System (HDFS). El cifrado HDFS no utiliza una clave KMS en AWS KMS.
+ Sistema de archivos EMR (EMRFS). EMRFS es una implementación de HDFS que permite a los clústeres de Amazon EMR almacenar datos en Amazon Simple Storage Service (Amazon S3). EMRFS admite cuatro opciones de cifrado, dos de las cuales utilizan una clave KMS en AWS KMS. Para obtener más información acerca de las cuatro opciones de cifrado de EMRFS, consulte [Opciones de cifrado](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-data-encryption-options.html) en la *Guía de administración de Amazon EMR*.

Las dos opciones de cifrado de EMRFS que utilizan una clave KMS usan las siguientes características de cifrado que ofrece Amazon S3:
+ [Proteja los datos mediante el cifrado del lado del servidor con AWS Key Management Service (SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)). El clúster de Amazon EMR envía datos a Amazon S3. Amazon S3 utiliza una clave KMS para cifrar los datos antes de guardarlos en un bucket de S3. Para obtener más información sobre cómo funciona, consulte [Proceso de cifrar datos en EMRFS con SSE-KMS](#emrfs-encryption-sse-kms).
+ [Protección de datos mediante el cifrado del lado del cliente](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html) (CSE-KMS). Los datos de Amazon EMR de Amazon se cifran bajo un AWS KMS key antes de su envío a Amazon S3 para el almacenamiento. Para obtener más información sobre cómo funciona, consulte [Proceso de cifrar datos en EMRFS con CSE-KMS](#emrfs-encryption-cse-kms).

Al configurar un clúster de Amazon EMR para cifrar datos en EMRFS con una clave KMS, hay que elegir la clave KMS que se desea que utilice Amazon S3 o el clúster de Amazon EMR. Con SSE-KMS, puede elegir la Clave administrada de AWS para Amazon S3 con el alias **aws/s3**, o una clave simétrica administrada por el cliente que haya creado. Con el cifrado del lado del cliente, debe elegir una clave simétrica administrada por el cliente que cree. Si elige una clave administrada por el cliente, debe asegurarse de que el clúster de Amazon EMR tiene permiso para utilizar la clave KMS. Para obtener más información, consulte [Uso AWS KMS keys para el cifrado](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-encryption-enable.html#emr-awskms-keys) en la Guía de *administración de Amazon EMR.*

Tanto para el cifrado del lado del servidor como del lado del cliente, la clave KMS que elija es la clave raíz en un flujo de trabajo de [cifrado de sobre](kms-cryptography.md#enveloping). Los datos se cifran con una [clave de datos](data-keys.md) única que se cifra con la clave KMS in AWS KMS. Los datos cifrados y una copia cifrada de su clave de datos se almacenan juntos como un solo objeto cifrado en un bucket de S3. Para obtener más información sobre cómo funciona, consulte los siguientes temas.

**Topics**
+ [Proceso de cifrar datos en EMRFS con SSE-KMS](#emrfs-encryption-sse-kms)
+ [Proceso de cifrar datos en EMRFS con CSE-KMS](#emrfs-encryption-cse-kms)

### Proceso de cifrar datos en EMRFS con SSE-KMS
<a name="emrfs-encryption-sse-kms"></a>

Al configurar un clúster de Amazon EMR para usar SSE-KMS, el proceso de cifrado funciona del siguiente modo:

1. El clúster envía datos a Amazon S3 para almacenarlos en un bucket de S3.

1. Amazon S3 envía una [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)solicitud a AWS KMS, especificando el ID de clave de KMS que eligió al configurar el clúster para usar SSE-KMS. La solicitud incluye el contexto de cifrado; para obtener más información, consulte [Contexto de cifrado](#emr-encryption-context).

1. AWS KMS genera una clave de cifrado de datos única (clave de datos) y, a continuación, envía dos copias de esta clave de datos a Amazon S3. Una copia está sin cifrar (texto no cifrado) y la otra se cifra con la clave KMS.

1. Amazon S3 utiliza la clave de datos de texto no cifrado para cifrar los datos que ha recibido en el paso 1 y, a continuación, elimina la clave de datos de texto no cifrado de la memoria tan pronto como sea posible después de utilizarla.

1. Amazon S3 almacena los datos cifrados y la copia cifrada de la clave de datos como un solo objeto cifrado en un bucket de S3.

El proceso de descifrado funciona de la siguiente manera:

1. El clúster solicita un objeto de datos cifrado de un bucket de S3.

1. Amazon S3 extrae la clave de datos cifrados del objeto S3 y, a continuación, envía la clave de datos cifrados AWS KMS con una solicitud de [descifrado.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) La solicitud incluye un [contexto de cifrado](encrypt_context.md).

1. AWS KMS descifra la clave de datos cifrada con la misma clave de KMS que se utilizó para cifrarla y, a continuación, envía la clave de datos descifrada (texto sin formato) a Amazon S3.

1. Amazon S3 utiliza la clave de datos de texto no cifrado para descifrar los datos cifrados y, a continuación, elimina la clave de datos de texto no cifrado de la memoria tan pronto como sea posible después de utilizarla.

1. Amazon S3 envía los datos descifrados al clúster.

### Proceso de cifrar datos en EMRFS con CSE-KMS
<a name="emrfs-encryption-cse-kms"></a>

Al configurar un clúster de Amazon EMR para usar CSE-KMS, el proceso de cifrado funciona del siguiente modo:

1. Cuando esté listo para almacenar datos en Amazon S3, el clúster envía una [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)solicitud a AWS KMS la que especifica el ID de clave de la clave de KMS que eligió al configurar el clúster para usar CSE-KMS. La solicitud incluye el contexto de cifrado; para obtener más información, consulte [Contexto de cifrado](#emr-encryption-context).

1. AWS KMS genera una clave de cifrado de datos única (clave de datos) y, a continuación, envía dos copias de esta clave de datos al clúster. Una copia está sin cifrar (texto no cifrado) y la otra copia se cifra con la clave KMS.

1. El clúster utiliza la clave de datos de texto no cifrado para cifrar los datos y, a continuación, elimina la clave de datos de texto no cifrado de la memoria tan pronto como sea posible después de utilizarla.

1. El clúster combina los datos cifrados y la copia cifrada de la clave de datos en un solo objeto cifrado.

1. El clúster envía el objeto cifrado a Amazon S3 para almacenarlo.

El proceso de descifrado funciona de la siguiente manera:

1. El clúster solicita el objeto de datos cifrado de un bucket de S3.

1. Amazon S3 envía el objeto cifrado al clúster.

1. El clúster extrae la clave de datos cifrados del objeto cifrado y, a continuación, envía la clave de datos cifrados AWS KMS con una solicitud de [descifrado.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) La solicitud incluye el [contexto de cifrado](encrypt_context.md).

1. AWS KMS descifra la clave de datos cifrada con la misma clave de KMS que se utilizó para cifrarla y, a continuación, envía la clave de datos descifrada (texto sin formato) al clúster.

1. El clúster utiliza la clave de datos de texto no cifrado para descifrar los datos cifrados y, a continuación, elimina la clave de datos de texto no cifrado de la memoria tan pronto como sea posible después de utilizarla.

## Cifrar datos en los volúmenes de almacenamiento de los nodos de clúster
<a name="emr-local-disk-encryption"></a>

Un clúster de Amazon EMR es una colección de instancias de Amazon Elastic Compute Cloud (Amazon EC2). Cada instancia del clúster se denomina un *nodo de clúster* o *nodo*. Cada nodo puede tener dos tipos de volúmenes de almacenamiento: volúmenes de almacén de instancias y volúmenes de Amazon Elastic Block Store (Amazon EBS). Puede configurar el clúster para utilizar la [Configuración de clave unificada de Linux (LUKS)](https://gitlab.com/cryptsetup/cryptsetup/blob/master/README.md) para cifrar ambos tipos de volúmenes de almacenamiento en los nodos (pero no el volumen de arranque de cada nodo). Se denomina *cifrado de disco local*.

Al habilitar el cifrado de disco local para un clúster, puede cifrar la clave LUKS con una clave KMS en AWS KMS. Debe elegir una [clave administrada por el cliente](concepts.md#customer-mgn-key) que cree; no puede utilizar una [Clave administrada de AWS](concepts.md#aws-managed-key). Si elige una clave administrada por el cliente, debe asegurarse de que el clúster de Amazon EMR tiene permiso para utilizar la clave KMS. Para obtener más información, consulte [Uso AWS KMS keys para el cifrado](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-encryption-enable.html#emr-awskms-keys) en la Guía de *administración de Amazon EMR.*

Si habilita el cifrado del disco local mediante una clave KMS, el proceso de cifrado funciona del siguiente modo:

1. Cuando se lanza cada nodo del clúster, envía una [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)solicitud a AWS KMS la que especifica el ID de clave de la clave de KMS que eligió al habilitar el cifrado del disco local para el clúster.

1. AWS KMS genera una clave de cifrado de datos única (clave de datos) y, a continuación, envía dos copias de esta clave de datos al nodo. Una copia está sin cifrar (texto no cifrado) y la otra se cifra con la clave KMS.

1. El nodo utiliza una versión de la codificación de base64 de la clave de datos de texto no cifrado como la contraseña que protege la clave LUKS. El nodo guarda la copia cifrada de la clave de datos en su volumen de arranque.

1. [Si el nodo se reinicia, el nodo reiniciado envía la clave de datos cifrados AWS KMS con una solicitud de descifrado.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)

1. AWS KMS descifra la clave de datos cifrada con la misma clave KMS que se utilizó para cifrarla y, a continuación, envía la clave de datos descifrada (texto sin formato) al nodo.

1. El nodo utiliza la versión de la codificación de base64 de la clave de datos de texto no cifrado como la contraseña para desbloquear la clave LUKS.

## Contexto de cifrado
<a name="emr-encryption-context"></a>

Cada AWS servicio integrado AWS KMS puede especificar un [contexto de cifrado](encrypt_context.md) cuando el servicio lo utiliza AWS KMS para generar claves de datos o para cifrar o descifrar datos. El contexto de cifrado es información autenticada adicional que se AWS KMS utiliza para comprobar la integridad de los datos. Cuando un servicio especifica el contexto de cifrado para una operación de cifrado, debe especificar el mismo contexto de cifrado para la operación de descifrado correspondiente; de lo contrario, el descifrado no se realizará correctamente. El contexto de cifrado también se escribe en los archivos de AWS CloudTrail registro, lo que puede ayudarle a entender por qué se utilizó una clave KMS específica. 

En la siguiente sección se explica el contexto de cifrado que se utiliza en cada situación de cifrado de Amazon EMR que utiliza una clave KMS.

### Contexto de cifrado para el cifrado de EMRFS con SSE-KMS
<a name="emr-encryption-context-sse-kms"></a>

Con SSE-KMS, el clúster de Amazon EMR envía datos a Amazon S3 y, a continuación, Amazon S3 utiliza una clave KMS para cifrar los datos antes de guardarlos en un bucket de S3. En este caso, Amazon S3 utiliza el nombre de recurso de Amazon (ARN) del objeto S3 como contexto de cifrado para cada [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)solicitud de [Decrypt a](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) la que envía. AWS KMS El siguiente ejemplo muestra una representación JSON del contexto de cifrado que usa Amazon S3.

```
{ "aws:s3:arn" : "arn:aws:s3:::S3_bucket_name/S3_object_key" }
```

### Contexto de cifrado para el cifrado de EMRFS con CSE-KMS
<a name="emr-encryption-context-cse-kms"></a>

Con CSE-KMS, el clúster de Amazon EMR utiliza una clave KMS para cifrar los datos antes de enviarlos a Amazon S3 para almacenarlos. En este caso, el clúster utiliza el nombre de recurso de Amazon (ARN) de la clave de KMS como contexto de cifrado con cada [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)solicitud de [Decrypt a](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) la que envía. AWS KMS El siguiente ejemplo muestra una representación JSON del contexto de cifrado que usa el clúster.

```
{ "kms_cmk_id" : "arn:aws:kms:us-east-2:111122223333:key/0987ab65-43cd-21ef-09ab-87654321cdef" }
```

### Contexto de cifrado para el cifrado de disco local con LUKS
<a name="emr-encryption-context-luks"></a>

Cuando un clúster de Amazon EMR utiliza el cifrado de disco local con LUKS, los nodos del clúster no especifican el contexto de cifrado con las solicitudes [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)y [Decrypt a](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) las que envían. AWS KMS

# Cómo utiliza Amazon Redshift AWS KMS
<a name="services-redshift"></a>

En este tema se describe cómo Amazon Redshift cifra AWS KMS los datos.

**Topics**
+ [Cifrado de Amazon Redshift](#rs-encryption)
+ [Contexto de cifrado](#rs-encryptioncontext)

## Cifrado de Amazon Redshift
<a name="rs-encryption"></a>

Un almacén de datos de Amazon Redshift es una colección de recursos de computación denominados nodos que están organizados en un grupo llamado clúster. Cada clúster ejecuta un motor Amazon Redshift y contiene una o más bases de datos. 

Amazon Redshift usa una arquitectura de cuatro niveles basada en claves para el cifrado. La arquitectura consta de claves de cifrado de datos, una clave de base de datos, una clave de clúster y una clave maestra. Puede utilizar una AWS KMS key como clave raíz.

Las claves de cifrado de datos cifran los bloques de datos del clúster. A cada bloque de datos se le asigna una clave AES-256 generada aleatoriamente. Estas claves se cifran mediante la clave de base de datos del clúster. 

La clave de base de datos cifra las claves de cifrado de datos del clúster. La clave de base de datos es una clave AES-256 generada aleatoriamente. Se almacena en disco en una red diferente del clúster de Amazon Redshift y se pasa al clúster a través de un canal seguro. 

La clave del clúster cifra la clave de base de datos del clúster de Amazon Redshift. Puede usar AWS KMS AWS CloudHSM, o un módulo de seguridad de hardware (HSM) externo para administrar la clave del clúster. Consulte la documentación sobre [cifrado de base de datos de Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-db-encryption.html) para obtener más información. 

Puede solicitar el cifrado marcando la casilla correspondiente en la consola de Amazon Redshift. Puede especificar una [clave administrada por el cliente](concepts.md#customer-mgn-key) para usarla seleccionando una en la lista que aparece debajo del cuadro de cifrado. Si no especifica una clave administrada por el cliente, Amazon Redshift utiliza el [Clave administrada de AWS](concepts.md#aws-managed-key) para Amazon Redshift en tu cuenta. 

**importante**  
Amazon Redshift solo admite claves KMS de cifrado simétricas. No se puede utilizar una clave KMS asimétrica en un flujo de trabajo de Amazon Redshift cifrado. Para obtener ayuda para determinar si una clave KMS es simétrica o asimétrica, consulte [Identificación de diferentes tipos de claves](identify-key-types.md).

## Contexto de cifrado
<a name="rs-encryptioncontext"></a>

Cada servicio integrado AWS KMS especifica un [contexto de cifrado](encrypt_context.md) al solicitar claves de datos, cifrar y descifrar. El contexto de cifrado son datos autenticados adicionales (AAD) que se AWS KMS utilizan para comprobar la integridad de los datos. Es decir, cuando se especifica un contexto de cifrado para una operación de cifrado, el servicio también lo especifica en la operación de descifrado; de lo contrario, el descifrado no se realizará correctamente. Amazon Redshift utiliza el ID de clúster y la hora de creación para el contexto de cifrado. En el `requestParameters` campo de un archivo de CloudTrail registro, el contexto de cifrado tendrá un aspecto similar al siguiente. 

```
"encryptionContext": {
    "aws:redshift:arn": "arn:aws:redshift:region:account_ID:cluster:cluster_name",
    "aws:redshift:createtime": "20150206T1832Z"
},
```

 Puede buscar el nombre del clúster en sus CloudTrail registros para saber qué operaciones se realizaron mediante una AWS KMS key (clave KMS). Las operaciones incluyen el cifrado del clúster, el descifrado del clúster y la generación de claves de datos.