- Seguridad, identidad y conformidad›
- AWS Key Management Service›
- Preguntas frecuentes
Preguntas frecuentes de AWS Key Management Service
La siguiente sección de preguntas frecuentes no se aplica a AWS Key Management Service (KMS) en la región China (Pekín) de AWS, a cargo de Sinnet, ni en la región China (Ningxia) de AWS, a cargo de NWCD. Consulte este enlace de preguntas frecuentes si desea leer contenido relevante para estas dos regiones de China.
Aspectos generales
¿Qué es AWS KMS?
AWS KMS es un servicio administrado que ayuda a crear y controlar más fácilmente las claves utilizadas para las operaciones criptográficas. El servicio proporciona una solución de generación de claves, almacenamiento, administración y auditoría de alta disponibilidad para que pueda cifrar o firmar digitalmente datos dentro de sus propias aplicaciones o controlar el cifrado de datos a través de los servicios de AWS.
¿Por qué debo usar AWS KMS?
Si es responsable de proteger sus datos en los servicios de AWS, debe usarlo para administrar centralmente las claves de cifrado que controlan el acceso a sus datos. Si es desarrollador y necesita cifrar datos en las aplicaciones, debe utilizar el SDK de cifrado de AWS con AWS KMS para generar, utilizar y proteger más fácilmente las claves de cifrado simétricas en el código. Si es un desarrollador que necesita firmar digitalmente o verificar datos con claves asimétricas, debe usar el servicio para crear y administrar las claves privadas que necesitará. Si busca una infraestructura escalable para la administración de claves para ofrecer soporte a los desarrolladores y al número cada vez más elevado de aplicaciones que utilizan, debe usar AWS KMS para reducir los costos de licencias y la carga operativa. Si es responsable de probar la seguridad de los datos con fines reglamentarios o de cumplimiento, debe usarlos porque facilita la prueba de que sus datos están protegidos de manera consistente. También está dentro del alcance de un amplio conjunto de regímenes de cumplimiento industrial y regional.
¿Cómo puedo comenzar a utilizar AWS KMS?
La forma más fácil de comenzar a utilizar AWS KMS es cifrar los datos con un servicio de AWS que utilice claves maestras propiedad de AWS creadas automáticamente por cada servicio. Si desea tener control total sobre la administración de sus claves, incluida la capacidad para compartir el acceso a claves en las cuentas o servicios, puede crear sus propias claves administradas del cliente de AWS KMS en AWS KMS. También puede utilizar las claves de KMS que cree directamente dentro de sus propias aplicaciones. Se puede acceder a AWS KMS desde la consola de KMS que se agrupa en Seguridad, identidad y conformidad, en la página de inicio de los servicios de AWS de la consola de AWS KMS. También se puede acceder a las API de AWS KMS directamente a través de la interfaz de línea de comando (CLI) de AWS KMS o AWS SDK para el acceso mediante programación. Puede utilizar las API de AWS KMS indirectamente para cifrar datos dentro de sus propias aplicaciones mediante el SDK de cifrado de AWS. Visite la página Introducción para obtener más información.
¿En qué regiones de AWS está disponible AWS KMS?
La disponibilidad se indica en la página global de Productos y servicios por región.
¿Qué características de administración de claves se encuentran disponibles en AWS KMS?
Puede ejecutar las siguientes funciones de administración de claves:
- Crear claves simétricas, asimétricas y HMAC en las que el material de claves solo se utiliza dentro del servicio
- Crear claves simétricas en las que el material de claves se genera y se usa en un almacén de claves personalizado controlado por usted y respaldado por AWS CloudHSM o su propio administrador de claves externo fuera de AWS
- Importar su propio material de claves simétricas, asimétricas y HMAC para usarlo en los servicios de AWS compatibles y en su propia aplicación
- Definir qué usuarios y roles de AWS Identity and Access Management (IAM) pueden administrar claves
- Definir qué usuarios y funciones de IAM pueden usar claves para cifrar y descifrar datos
- Elegir que las claves generadas por el servicio se roten automáticamente
- Deshabilitar temporalmente las claves para que nadie pueda utilizarlas
- Rehabilitar las claves deshabilitadas
- Programar la eliminación de claves que ya no están en uso
- Auditar el uso de las claves mediante el análisis de los logs en AWS CloudTrail
¿Cómo funciona AWS KMS?
Para poder comenzar a utilizar el servicio, debe solicitar la creación de una clave de AWS KMS. El usuario controla el ciclo de vida de las claves de KMS administradas por el cliente y quién puede utilizarlas o administrarlas. Una vez que haya creado una clave de KMS, puede enviar datos directamente al servicio AWS KMS para que se cifren, descifren, firmen o verifiquen, o para generar o verificar un HMAC mediante esta clave KMS. El usuario establece políticas de utilización en estas claves que determinan qué acciones puede realizar cada usuario y en qué condiciones.
AWS KMS se integra con servicios de AWS y conjuntos de herramientas del lado del cliente que utilizan un método conocido como cifrado de sobre para proteger sus datos. Con este método, AWS KMS genera claves de datos que se utilizan para cifrar datos localmente en el servicio de AWS o en la aplicación. Las claves de datos están cifradas en una clave de AWS KMS que define el usuario. AWS KMS no retiene ni administra claves de datos. Los servicios de AWS cifran los datos y los almacenan en una copia cifrada de la clave principal junto con los datos cifrados. Cuando un servicio necesita descifrar los datos, solicita a AWS KMS que descifre la clave de datos mediante la clave de KMS. Si el usuario que solicita datos al servicio de AWS está autorizado para descifrarlos con la clave de KMS, el servicio de AWS recibirá la clave de datos descifrados de AWS KMS. A continuación, el servicio de AWS descifra los datos y los devuelve como texto no cifrado. Todas las solicitudes para utilizar las claves de KMS se registran en CloudTrail, para que pueda saber quién utilizó una clave determinada, en qué contexto y cuándo.
¿Dónde se encuentran los datos cifrados si uso AWS KMS?
Normalmente existen tres situaciones de cifrado de los datos con AWS KMS. En primer lugar, puede utilizar las API de AWS KMS directamente para cifrar y descifrar datos mediante las claves de KMS almacenadas en el servicio. En segundo lugar, puede elegir que los servicios de AWS cifren los datos con las claves de KMS almacenadas en el servicio. En este caso, los datos se cifran con claves de datos que están protegidas por las claves de KMS. En tercer lugar, puede utilizar el SDK de cifrado de AWS que está integrado con AWS KMS para realizar el cifrado dentro de las propias aplicaciones, independientemente de si funcionan en AWS o no.
¿Qué servicios de la nube de AWS están integrados en AWS KMS?
AWS KMS se integra perfectamente con la mayoría de los otros servicios de AWS para que producir datos cifrados en aquellos servicios sea más sencillo. En algunos casos, los datos se cifran de forma predeterminada mediante las claves almacenadas en AWS KMS, pero que pertenecen al servicio de AWS en cuestión y están administradas por él. En muchos casos es el usuario quien posee y administra las claves de AWS KMS dentro de su cuenta. Algunos servicios brindan la opción de que uno mismo administre las claves o que el servicio lo haga en su nombre. Consulte la lista de servicios de AWS que actualmente están integrados con AWS KMS. Consulte la guía para desarrolladores de AWS KMS para obtener más información sobre cómo los servicios integrados utilizan AWS KMS.
¿Por qué se debe utilizar el cifrado de sobre? ¿Por qué no se envían los datos a AWS KMS para cifrarlos ahí directamente?
Si bien AWS KMS admite el envío de datos con un volumen inferior a 4 KB para cifrarlos directamente, el cifrado de sobre puede ofrecer beneficios de rendimiento importantes. Si los datos se cifran directamente con AWS KMS, estos deben transferirse a través de la red. El cifrado de sobre reduce la carga de la red, ya que solo la solicitud y entrega de la clave de datos mucho menor se transfiere a través de la red. La clave de datos se utiliza localmente en la aplicación o servicio de cifrado de AWS, lo cual evita la necesidad de enviar todo el bloque de datos a AWS KMS y tener latencia de red.
¿Cuál es la diferencia entre una clave de KMS que puedo crear y las claves de KMS que otros servicios de AWS crean automáticamente?
Tiene la opción de seleccionar una clave de KMS específica para utilizarla cuando desee que un servicio de AWS cifre los datos por usted. Estas claves se conocen como claves de KMS administradas por el cliente y el usuario tiene completo control sobre ellas. Puede definir el control de acceso y la política de utilización para cada clave y otorgar permisos a otras cuentas y servicios para utilizarlas. Además de las claves administradas por el cliente, AWS KMS también proporciona dos tipos de claves administradas por AWS: (1) las claves de KMS administradas por AWS son claves creadas en su cuenta pero administradas por AWS, y (2) las claves que pertenecen a AWS son claves de propiedad exclusiva que se administran desde cuentas de AWS. Puede realizar un seguimiento de las claves administradas de AWS en la cuenta y la totalidad de la utilización se registra en CloudTrail. Sin embargo, usted no tiene control directo sobre las claves. Las claves que pertenecen a AWS son las más automatizadas y proporcionan el cifrado de los datos en AWS. Sin embargo, no proporcionan controles de política o registros de CloudTrail sobre la actividad de las claves.
¿Por qué debo crear mis propias claves de AWS KMS y proteger esas claves en la flota de HSM de KMS?
AWS KMS le ofrece la flexibilidad de elegir quién administra las claves que crea (administradas por el cliente, administradas por AWS y propiedad de AWS), así como dónde crear y proteger las claves (en los HSM de KMS, en CloudHSM o en un administrador de claves externo). Le recomendamos que elija las claves administradas por el cliente, creadas y almacenadas en los HSM de KMS. Estas claves ofrecen la mayor flexibilidad, control de políticas, administración del ciclo de vida (incluida la rotación automática y bajo demanda para las claves de cifrado simétricas) y una visibilidad completa. Además, las claves creadas y protegidas en los HSM de AWS KMS ofrecen un mayor rendimiento, una menor latencia y un acuerdo de nivel de servicio para las operaciones criptográficas de KMS en comparación con las claves del almacén de claves personalizado (CloudHSM) o del almacén de claves externo (XKS).
¿Puedo rotar mis claves?
Sí. Puede elegir que AWS KMS rote automáticamente las claves de KMS en un intervalo configurable de días (de 90 a 2560 días [7 años]) o usar la API RotateKeyOnDemand para invocar la rotación inmediata de claves (límite de ciclo de vida de 10 rotaciones bajo demanda por clave). La rotación automática de claves no es compatible con claves importadas, claves asimétricas, claves HMAC ni claves generadas en un clúster de AWS CloudHSM a través del almacén de claves personalizadas de AWS KMS. Puede rotar las claves almacenadas en el almacén de claves externo (XKS) y administrar todos los eventos del ciclo de vida de las claves externas en su administrador de claves.
¿Tengo que volver a cifrar los datos después de que las claves se roten en AWS KMS?
Si elige que AWS KMS rote automáticamente las claves, no tendrá que volver a cifrar sus datos. AWS KMS conserva las versiones anteriores de las claves a fin de utilizarlas para descifrar los datos cifrados con una versión anterior de una clave. Todas las solicitudes de cifrado nuevas relacionadas con una clave en AWS KMS se cifran con la versión más reciente de la clave. Si rota manualmente las claves del almacén de claves importadas o personalizadas, es posible que tenga que volver a cifrar los datos, dependiendo de si usted decide mantener versiones antiguas de claves disponibles.
Si rota manualmente las claves del almacén de claves importadas o personalizadas, puede que tenga que volver a cifrar sus datos, dependiendo de si usted decide mantener versiones antiguas de claves disponibles.
¿Puedo eliminar una clave de AWS KMS?
Sí. Puede programar la eliminación de una clave de AWS KMS y de los metadatos asociados que creó en AWS KMS, con un periodo de espera configurable de 7 a 30 días. Este periodo de espera ayuda a verificar el impacto que tendría eliminar una clave en las aplicaciones y los usuarios que la utilizan. El periodo de espera predeterminado es de 30 días. Durante el periodo de espera puede cancelar la eliminación. Cuando se programa la eliminación de una clave, esta no se puede utilizar hasta que no se cancele la eliminación durante el periodo de espera. Si no cancela la eliminación, la clave se elimina al final del periodo de espera configurable. Cuando una clave se elimina, ya no es posible utilizarla. No se puede obtener acceso a los datos protegidos con una clave maestra eliminada.
En el caso de las claves de AWS KMS con material de claves importado, puede eliminar de dos maneras el material de claves sin eliminar el ID de clave de AWS KMS ni los metadatos. En primer lugar, puede eliminar el material de claves importado bajo demanda sin periodo de espera. En segundo lugar, cuando importe el material de claves a la clave de AWS KMS, puede definir una fecha de vencimiento que fije cuánto tiempo AWS puede utilizar el material de claves importado antes de que se elimine. Si necesita utilizarlo de nuevo, puede volver a importar el material de claves a la clave de AWS KMS.
¿Puedo usar AWS KMS para facilitar la administración del cifrado de datos fuera de los servicios de la nube de AWS?
Sí. AWS KMS es compatible con los SDK de AWS, el SDK de cifrado de AWS, el cifrado del cliente de Amazon DynamoDB y con el cliente de cifrado de Amazon Simple Storage Service (S3) para facilitar el cifrado de los datos dentro de sus propias aplicaciones dondequiera que se ejecuten. Visite los sitios web AWS Crypto Tools y Desarrollo en AWS para obtener más información.
¿Existe algún límite del número de claves que puedo crear en AWS KMS?
Puede crear hasta 100 000 claves de KMS por cuenta y región. Como las claves de KMS habilitadas y deshabilitadas cuentan para el límite, recomendamos eliminar las claves deshabilitadas que ya no utiliza. Las claves de KMS administradas por AWS creadas para que pueda utilizarlas en los servicios de AWS compatibles no se tienen en cuenta para este límite. No existe ningún límite en cuanto al número de claves de datos que se pueden derivar mediante el uso de una clave de KMS y que se pueden utilizar en la aplicación o que pueden utilizar los servicios de AWS para cifrar los datos por usted. Puede solicitar que se incremente el límite de claves de KMS en el Centro de soporte de AWS.
¿Se pueden exportar claves de KMS en texto no cifrado fuera del servicio?
No. Las claves de KMS o la parte privada de una clave de KMS asimétrica no se pueden exportar en texto no cifrado desde los HSM. Solo la parte pública de una clave de KMS asimétrica se puede exportar desde la consola o mediante una llamada a la API GetPublicKey.
¿Se pueden exportar claves de datos y pares de claves de datos desde los HSM en texto no cifrado?
Sí. Las claves de datos simétricas se pueden exportar utilizando la API GenerateDataKey o la API GenerateDataKeyWithoutPlaintext. Además, la parte privada y pública de los pares de claves de datos asimétricos se pueden exportar desde AWS KMS utilizando la API GenerateDataKeyPair o la API GenerateDataKeypairWithoutPlaintext.
¿Cómo se protegen las claves de datos y los pares de claves de datos para almacenarse fuera del servicio?
La clave de datos simétrica o la parte privada de la clave de datos asimétrica se cifran bajo la clave de KMS simétrica que usted define cuando solicita que AWS KMS genere la clave de datos.
¿En qué escenarios debo usar AWS Private Certificate Authority (CA) en lugar de AWS KMS?
El motivo principal para usar el servicio AWS Private CA es ofrecer una infraestructura de clave pública (PKI) que tenga como objetivo identificar entidades y proteger conexiones de red. Dicha infraestructura ofrece procesos y mecanismos, principalmente a través de certificados X.509, para disponer de una estructura en torno a operaciones criptográficas de claves públicas. Los certificados ofrecen una asociación entre una identidad y una clave pública. El proceso de certificación mediante el cual una entidad de certificación emite un certificado, permite a la entidad que emite el certificado de confianza aseverar la identidad de otra entidad a través de la firma de un certificado. PKI proporciona identidad, fiabilidad distribuida, gestión del ciclo de vida de la clave y estado del certificado creado a través de la revocación. Estas funciones agregan un importante proceso e infraestructura a las claves criptográficas asimétricas subyacentes y a los algoritmos proporcionados por AWS KMS.
Con AWS Private CA puede emitir certificados para identificar servidores web y de aplicaciones, mallas de servicios, usuarios de VPN, puntos de conexión de API internos y dispositivos de AWS IoT Core. Con los certificados puede establecer la identidad de estos recursos y crear canales de comunicación TLS o SSL. Si se está planteando usar claves asimétricas para la terminación TLS en servidores web y de aplicaciones, equilibradores de carga elásticos, puntos de conexión de API Gateway, instancias de Amazon Elastic Compute Cloud (EC2) o contenedores, deberá plantearse el uso de AWS Private CA para emitir certificados y proporcionar una infraestructura de clave pública.
En cambio, con AWS KMS puede generar, administrar y usar claves asimétricas para firmas digitales u operaciones de cifrado que no requieren certificados. Si bien los certificados pueden permitir la verificación de la identidad del expedidor y el receptor entre partes no fiables, el tipo de operaciones asimétricas sin procesar que ofrece AWS KMS generalmente es útil cuando usted cuenta con otros mecanismos para comprobar la identidad o no necesita comprobarla para obtener el beneficio de seguridad que desea.
¿Puedo usar los proveedores API criptográficos de mis aplicaciones como OpenSSL, JCE, Bouncy Castle o CNG con AWS KMS?
No hay una integración nativa ofrecida por AWS KMS para cualquier otro proveedor API criptográfico. Usted debe usar los API de AWS KMS directamente o a través de AWS SDK para integrar las capacidades de firmado y cifrado en sus aplicaciones.
¿AWS KMS ofrece un acuerdo de nivel de servicio (SLA)?
Sí. El Acuerdo de nivel de servicio (SLA) de AWS KMS prevé la concesión de créditos de servicio si su porcentaje de tiempo de actividad mensual se encuentra por debajo de nuestro compromiso de servicio en un ciclo de facturación.
Seguridad
¿Quién puede usar y administrar mis claves en AWS KMS?
AWS KMS implanta las políticas de uso y administración definidas por el usuario. Tiene la opción de permitir que los usuarios y las funciones de IAM de la cuenta o de otras cuentas utilicen y administren las claves.
¿Cómo protege AWS las claves de KMS que creo?
AWS KMS está diseñado para que nadie, ni siquiera los empleados de AWS, pueda recuperar claves de KMS de texto no cifrado del servicio. AWS KMS usa módulos de seguridad de hardware (HSM) que sirven para proteger la confidencialidad e integridad de las claves y que se validaron según las normas FIPS 140-2 o están en proceso de validación. Las claves de KMS de texto no cifrado jamás abandonan los HSM, jamás se graban en el disco y solo se usan en una memoria volátil de los HSM durante el tiempo necesario para realizar la operación criptográfica que solicitó. Las actualizaciones de software en los hosts del servicio y en el firmware del HSM de AWS KMS se verifican con un control de acceso de varios participantes que audita y revisa un grupo independiente de Amazon, así como un laboratorio certificado por el Instituto Nacional de Estándares y Tecnología (NIST) de conformidad con la norma FIPS 140-2.
Puede encontrar información adicional sobre estos controles de seguridad en el documento técnico sobre los detalles criptográficos de AWS KMS. También puede consultar el certificado FIPS 140-2 de los HSM de AWS KMS y la política de seguridad asociada para obtener más detalles sobre cómo los HSM de AWS KMS cumple los requisitos de seguridad de la norma FIPS 140-2. Además, puede descargar una copia del informe de los Controles de sistemas y organización (SOC) disponible en AWS Artifact para obtener más información sobre los controles de seguridad que utiliza el servicio para proteger las claves de KMS.
¿Cómo puedo migrar mis claves de AWS KMS existentes para utilizar los HSM validados con el nivel de seguridad 3 según la norma FIPS 140-2?
No necesita hacer nada. Todas las claves de AWS KMS, independientemente de la fecha de creación u origen, están protegidas automáticamente mediante la utilización de HSM validados con el nivel de seguridad 3 según la norma FIPS 140-2.
¿Qué regiones de AWS tienen HSM validados con el nivel de seguridad 3 según la norma FIPS 140-2?
Los HSM validados con el nivel de seguridad 3 según la norma FIPS 140-2 se implementan en todas las regiones de AWS en las que se ofrece AWS KMS.
NOTA: Por ley, AWS KMS en las regiones de China no puede utilizar los HSM conformes a FIPS y NIST, en cambio, utiliza HSM certificados por la Oficina de la Administración Criptográfica Comercial Estatal (OSCCA) de China.
¿Cuál es la diferencia entre los puntos de conexión validados para FIPS 140-2 y los HSM validados para FIPS 140-2 de AWS KMS?
AWS KMS es un servicio con dos capas. Los puntos de conexión de las API reciben solicitudes de los clientes a través de una conexión HTTPS únicamente mediante el uso de conjuntos de cifrado TLS que admiten la confidencialidad directa total. Estos puntos de conexión de las API autentican y autorizan la solicitud antes de pasar la solicitud por una operación criptográfica a los HSM de AWS KMS o su clúster de AWS CloudHSM, si utiliza el almacén de claves personalizadas de KMS.
¿Cómo puedo realizar solicitudes de API a AWS KMS con los puntos de conexión validados para FIPS 140-2?
Puede configurar las aplicaciones para que se conecten a los puntos de conexión HTTPS validados según la norma FIPS 140-2 únicos y regionales. Los puntos de conexión HTTPS validados según la norma FIPS 140-2 de AWS KMS cuentan con la tecnología del módulo de objeto OpenSSL FIPS. Puede revisar la política de seguridad del módulo OpenSSL aquí. Los puntos de conexión de la API validados según la norma FIPS 140-2 se encuentran disponibles en todas las regiones comerciales en las que se ofrece AWS KMS.
¿Puedo usar AWS KMS para cumplir con los requisitos de cifrado y administración de claves del Estándar de seguridad de los datos del sector de tarjetas de pago (PCI DSS 3.2.1)?
Sí. AWS KMS cuenta con validación por tener los controles de funcionalidad y de seguridad necesarios para cumplir con los requisitos de cifrado y administración de claves (a los que se hace referencia, principalmente, en las secciones 3.5 y 3.6) de la norma PCI DSS 3.2.1.
Para obtener más detalles sobre los servicios de AWS que cumplen con la norma PCI DSS, lea las preguntas frecuentes sobre la norma PCI DSS.
¿Cómo protege AWS KMS las claves de datos que exporto y uso en mi aplicación?
Puede solicitar que AWS KMS genere claves de datos que puedan devolverse para utilizarse en la propia aplicación. Las claves de datos se cifran con una clave maestra definida por usted en AWS KMS, para que pueda almacenar la clave de datos cifrada junto con los datos cifrados. Solo pueden descifrar la clave de datos cifrados (y los datos de origen) los usuarios con permisos para utilizar la clave maestra original empleada para descifrar la clave de datos cifrados.
¿Puedo exportar una clave de AWS KMS y utilizarla en aplicaciones propias?
No. Las claves de AWS KMS se crean y utilizan solo en el servicio para ayudar a verificar la seguridad, implementar las políticas para que se apliquen con uniformidad y ofrecer un registro centralizado de la utilización.
¿En qué región geográfica están almacenadas mis claves?
Una clave de KMS de región única generada por AWS KMS se almacena y usa solo en la región en la que se creó. Las claves de varias regiones de AWS KMS le permiten replicar una clave principal de varias regiones en varias regiones dentro de la misma partición de AWS.
¿Cómo puedo saber quién ha usado o cambiado la configuración de mis claves en AWS KMS?
Los registros de AWS CloudTrail mostrarán todas las solicitudes de la API de AWS KMS, incluidas las solicitudes de administración (como la creación, la rotación, la desactivación o la edición de políticas) y las solicitudes criptográficas (como el cifrado y el descifrado). Active CloudTrail en la cuenta para ver estos registros.
¿En qué se diferencian AWS KMS y CloudHSM?
CloudHSM le proporciona un clúster de HSM de inquilino único validado en su nube privada virtual (VPC) de Amazon para almacenar y utilizar sus claves. Tiene el control exclusivo de la manera en la que se utilizan las claves mediante un mecanismo de autenticación independiente de AWS. La interacción con las claves del clúster de CloudHSM es similar a la interacción con las aplicaciones que se ejecutan en Amazon EC2. Puede usar CloudHSM para admitir distintos casos de uso, como la administración de derechos digitales (DRM), la infraestructura de clave pública (PKI), la firma de documentos y las funciones criptográficas mediante el uso de PKCS#11, Java JCE o las interfaces de Microsoft CNG.
Con AWS KMS puede crear y controlar las claves de cifrado que usan las aplicaciones y los servicios de AWS admitidos en varias regiones del mundo desde una única consola. El servicio utiliza un HSM de FIPS que ha sido validado según la norma FIPS 140-2 o está en proceso de validación para proteger la seguridad de sus claves. Con la administración centralizada de todas las claves en AWS KMS puede controlar quién puede usar las claves, bajo qué condiciones, cuándo se rotan y quién puede administrarlas. La integración de AWS KMS con CloudTrail ofrece la posibilidad de auditar el uso de las claves para respaldar las actividades normativas y de conformidad. Puede interactuar con AWS KMS desde las aplicaciones mediante el SDK de AWS si desea llamar a las API del servicio directamente, a través de otros servicios de AWS que están integrados con AWS KMS o mediante el SDK de cifrado de AWS, si desea realizar el cifrado en el cliente.
Facturación
¿Cómo se me cobrará y facturará por el uso que haga de AWS KMS?
Con AWS KMS solo paga por lo que usa y no hay ninguna cuota mínima. No se requieren cuotas de configuración ni compromisos para comenzar a utilizar el servicio. A final de mes, se le cobrará automáticamente en su tarjeta de crédito el uso de ese mes.
Se cobrará por todas las claves de KMS que cree, así como por las solicitudes a la API realizadas al servicio cada mes que superen el nivel gratuito.
Para obtener más información sobre los precios, visite la página de precios de AWS KMS.
¿Hay una capa gratuita?
Sí. Con el nivel gratuito de AWS puede comenzar a utilizar AWS KMS de forma gratuita* en todas las regiones. Las claves de AWS KMS administradas por AWS que los servicios de AWS crean por usted se almacenan sin costos en la cuenta. También existe un nivel gratuito de uso que ofrece un número gratuito de solicitudes al servicio por mes. Para obtener más información actualizada sobre los precios, incluido el nivel gratuito, visite la página de precios de AWS KMS.
* Las solicitudes de API que involucren claves de KMS asimétricas y las solicitudes de API a las API GenerateDataKeyPair y GenerateDataKeyPairWithoutPlaintext no están incluidas en el nivel gratuito.
¿Los precios incluyen impuestos?
Si no se especifica lo contrario, nuestros precios no incluyen los impuestos ni gravámenes correspondientes, como el IVA y cualquier otro impuesto sobre las ventas. En el caso de los clientes con una dirección de facturación de Japón, el uso de los servicios de AWS está sujeto al impuesto de consumo nipón. Puede obtener más información aquí.
Importar
¿Puedo llevar mis propias claves a AWS KMS?
Sí. Puede importar una copia de la clave de su propia infraestructura de administración de claves de AWS KMS y usarla con cualquier servicio de AWS integrado o desde sus propias aplicaciones.
¿Cuándo utilizaría una clave importada?
Puede utilizar una clave importada para disponer de mayor control en la creación, administración del ciclo de vida y durabilidad de su clave en AWS KMS. Las claves importadas están diseñadas para ayudarle a cumplir los requisitos de conformidad, que podrían incluir la capacidad de generar o mantener una copia segura de la clave en la infraestructura, así como la capacidad de eliminar inmediatamente la copia importada de la clave desde la infraestructura de AWS.
¿Qué tipo de claves puedo importar?
Puede importar claves simétricas, asimétricas (RSA y curva elíptica) y claves de HMAC.
Si importo una clave a AWS KMS, ¿cómo se protege cuando se encuentra en tránsito?
Durante el proceso de importación, la clave estará encapsulada en una clave pública proporcionada por AWS KMS mediante el uso del algoritmo de empaquetado compatible. De este modo, se comprueba que solo AWS KMS puede descifrar la clave cifrada.
¿Cuál es la diferencia entre importar una clave y que AWS KMS genere una para mí?
Hay dos diferencias principales:
- Debe conservar una copia de las claves que importe en su infraestructura de administración de claves, a fin de poder volver a importarlas en cualquier momento. AWS, sin embargo, verifica la disponibilidad, seguridad y durabilidad de las claves que genera AWS KMS para usted hasta que programe la eliminación de las claves.
- Puede establecer un periodo de vencimiento de la clave importada. AWS KMS eliminará de forma automática el material de claves después del periodo de vencimiento. También puede eliminar el material de claves importado bajo demanda. En ambos casos, el material de claves en sí se elimina, pero la referencia de la clave de KMS en AWS KMS y los metadatos asociados se retienen para que el material de claves se pueda volver a importar en el futuro. Las claves generadas por AWS KMS no tienen una fecha de vencimiento y no pueden ser eliminadas inmediatamente; existe un periodo de espera obligatorio de 7 a 30 días. Todas las claves de KMS administradas por el cliente, independientemente de si se importó el material de claves, se pueden deshabilitar manualmente o se puede programar su eliminación. En este caso, se elimina la clave de KMS, no solo el material de clave subyacente.
¿Qué debo hacer si el material de la clave importada ha vencido o si lo he eliminado accidentalmente?
Puede volver a importar una copia del material de claves con una fecha de vencimiento válida a AWS KMS bajo la clave de AWS KMS original para poder utilizarla.
¿Puedo recibir una alerta que me indique que debo volver a importar la clave?
Sí. Cuando importe la clave a una clave de AWS KMS, recibirá una métrica de CloudWatch cada varios minutos que cuenta el tiempo que falta para el vencimiento de la clave importada. También recibirá un evento de CloudWatch una vez que venza la clave importada en la clave de AWS KMS. Puede crear lógica que actúe conforme a estas métricas o eventos y vuelva a importar la clave de forma automática con una nueva fecha de vencimiento para evitar un riesgo de disponibilidad.
Tipos de clave y algoritmos
¿Qué tipos de claves y algoritmos de cifrado simétrico son compatibles?
AWS KMS admite claves de 256 bits al crear una clave de KMS para el cifrado y el descifrado. Las claves de datos generados devueltas al intermediario pueden ser de 256 bits, 128 bits o un valor arbitrario de hasta 1024 bytes. Cuando AWS KMS utiliza una clave de KMS de 256 bits por usted para cifrar o descifrar, se utiliza el algoritmo AES en el modo de contador de Galois (AES-GCM).
¿Qué tipo de claves y algoritmos de cifrado asimétrico son compatibles?
AWS KMS admite los siguientes tipos de clave asimétrica: RSA 2048, RSA 3072, RSA 4096, ECC NIST P-256, ECC NIST P-384, ECC NIST-521 y ECC SECG P-256k1. AWS KMS admite los algoritmos de cifrado RSAES_OAEP_SHA_1 y RSAES_OAEP_SHA_256 con los tipos de clave RSA 2048, RSA 3072 y RSA 4096. Los algoritmos de cifrado no se pueden usar con los tipos de clave de curva elíptica (ECC NIST P-256, ECC NIST P-384, ECC NIST-521 y ECC SECG P-256k1).
¿Qué tipos de algoritmos de acuerdo de claves se admiten?
Cuando se utilizan tipos de claves de curva elíptica, AWS KMS admite los algoritmos de acuerdo de claves del protocolo ECDH.
¿Qué tipos de algoritmos de firma asimétrica se admiten?
Cuando se utilizan los tipos de claves RSA, AWS KMS apoya la RSASSA_PSS_SHA_256, RSASSA_PSS_SHA_384, RSASSA_PSS_SHA_512, RSASSA_PKCS1_V1_5_SHA_256, RSASSA_PKCS1_V1_5_SHA_384, y algoritmos de firma RSASSA_PKCS1_V1_5_SHA_512. Cuando se utilizan tipos de clave de curva elíptica, AWS KMS es compatible con los algoritmos de firma ECDSA_SHA_256, ECDSA_SHA_384 y ECDSA_SHA_512.
¿Cómo utilizo la parte pública de una clave de KMS asimétrica?
La parte pública del material de claves asimétrico se genera en AWS KMS y se puede utilizar para la verificación de firma digital mediante una llamada a la API “Verify” o para el cifrado de clave pública mediante una llamada a la API “Encrypt”. La clave pública también se puede utilizar fuera de AWS KMS para verificación o cifrado. Puede llamar a la API GetPublicKey para recuperar la parte pública de la clave de KMS asimétrica.
¿Cuál es el límite de tamaño para los datos enviados a AWS KMS para operaciones asimétricas?
El límite de tamaño es de 4 KB. Si desea firmar digitalmente datos de más de 4 KB, tiene la opción de crear un resumen del mensaje de los datos y enviarlo a AWS KMS. La firma digital se crea sobre el resumen de los datos y se devuelve. El usuario especifica si va a enviar el mensaje completo o un resumen del mensaje como parámetro en la solicitud de API Sign. Cualquier dato enviado a las API Encrypt, Decrypt o Recrypt que requiera la utilización de operaciones asimétricas también debe ser inferior a 4 KB.
¿Cómo puedo distinguir entre las claves de KMS asimétricas o simétricas que creé?
En la consola, cada clave tendrá un nuevo campo llamado Key Type (Tipo de clave). Tendrá el valor Asymmetric Key (Clave asimétrica) o Symmetric Key (Clave simétrica) para indicar el tipo de clave. La API DescribeKey devolverá un campo KeyUsage que especificará si la clave se puede utilizar para firmar, generar HMAC o cifrar.
¿Se admite la rotación automática de las claves de KMS asimétricas o de HMAC?
No, la rotación automática de claves no es compatible con las claves de KMS asimétricas o de HMAC. En general, la rotación de claves asimétricas o de HMAC puede afectar en gran medida la carga de trabajo actual, ya que es necesario retirar y reemplazar todas las instancias de claves que haya compartido con otras partes en el pasado. En caso de que sea necesario, puede rotarlas manualmente mediante la creación de una nueva clave de KMS y la asignación de un alias de clave existente de la clave de KMS antigua a la nueva.
¿Se puede utilizar una sola clave de KMS asimétrica tanto para el cifrado como para la firma?
No. Al crear una clave de KMS, debe especificar si la clave se puede utilizar para descifrar o firmar operaciones. Se puede utilizar un tipo de clave RSA para operaciones de firma o cifrado, pero no ambas. Los tipos de clave de curva elíptica solo se pueden usar para operaciones de firma.
¿Hay límites de servicio relacionados con las claves asimétricas?
Sí. Los límites de frecuencia de solicitudes por segundo son diferentes para diferentes tipos de claves y algoritmos. Para obtener más información, consulte nuestra página Límites de AWS KMS.
¿Las claves asimétricas funcionan con los almacenes de claves personalizadas de AWS KMS?
No, no puede utilizar la funcionalidad de almacenamiento de claves personalizadas con claves asimétricas.
¿Puedo utilizar claves de KMS asimétricas para aplicaciones de firma digital que requieren certificados digitales?
No directamente. AWS KMS no almacena ni asocia certificados digitales a las claves de KMS asimétricas que crea. Puede optar por hacer que una entidad de certificación como ACM PCA emita un certificado para la parte pública de la clave de KMS asimétrica. Esto permitirá que las entidades que utilizan la clave pública verifiquen que dicha clave púbica es en realidad de su propiedad.
Almacén de claves respaldado por CloudHSM
¿Cómo puedo conectar AWS KMS a CloudHSM?
La característica de almacenamiento de claves personalizado de AWS KMS combina los controles proporcionados por CloudHSM con la integración y facilidad de utilización de AWS KMS. Puede configurar su propio clúster de CloudHSM y autorizar a AWS KMS para usarlo como un almacén de claves dedicado para sus claves en lugar del almacén de claves de AWS KMS predeterminado. Al crear claves en AWS KMS puede decidir generar el material de claves en el clúster de CloudHSM. Las claves de KMS que se generan en el almacén de claves personalizado nunca dejan los HSM en el clúster de CloudHSM en texto no cifrado y todas las operaciones de AWS KMS que utilizan estas claves solo se llevan a cabo en el HSM. En todos los demás aspectos, las claves de KMS almacenadas en el almacén de claves personalizado son coherentes con otras claves de AWS KMS.
Puede encontrar orientación adicional para decidir si utilizar un almacén de claves personalizado es adecuado para usted en este blog.
¿Por qué necesitaría utilizar un CloudHSM?
Dado que usted controla el clúster de CloudHSM, tiene la opción de administrar el ciclo de vida de las claves de KMS, independientemente de AWS KMS. Existen tres razones por las cuales podría serle útil un almacén de claves personalizado. En primer lugar, podría tener claves que deben explícitamente estar protegidas en un HSM de inquilino único o en un HSM sobre el que tiene control directo. En segundo lugar, podría necesitar tener la capacidad de eliminar inmediatamente el material de claves de AWS KMS y demostrar que lo ha hecho por sus propios medios. En tercer lugar, puede tener un requisito para poder auditar todo uso de sus claves que realice independientemente de AWS KMS o CloudTrail.
¿Cómo cambia CloudHSM la manera en que se administran las claves de KMS?
Hay dos diferencias a la hora de administrar claves en un almacén de claves personalizado respaldado por CloudHSM en comparación con el almacén de claves de AWS KMS predeterminado. No se puede importar el material de claves al almacén de claves personalizado y no puede tener claves de rotación automática de AWS KMS. En todos los demás aspectos, incluido el tipo de claves que pueden generarse, la forma en que las claves utilizan alias y cómo se definen las políticas, las claves que se almacenan en un almacén de claves personalizado se administran de la misma manera que cualquier otra clave de KMS administrada por el cliente de AWS KMS.
¿Puedo utilizar un CloudHSM para almacenar una clave de KMS administrada por AWS?
No, solo las claves de KMS administradas por el cliente se pueden almacenar y administrar en un almacén de claves personalizado de AWS KMS respaldado por CloudHSM. Las claves de KMS administradas por AWS que otros servicios de AWS crean por usted para cifrar datos siempre se generan y almacenan en el almacén de claves predeterminadas de AWS KMS.
¿La integración con CloudHSM afecta el funcionamiento de las API de cifrado en KMS?
No, las solicitudes de API a AWS KMS para utilizar una clave de KMS para cifrar y descifrar datos se manejan de la misma manera. Los procesos de autenticación y autorización funcionan independientemente del lugar donde esté almacenada la clave. Toda actividad en la que se utiliza una clave en un almacén de claves personalizado respaldado por CloudHSM también se registra en CloudTrail de la misma forma. Sin embargo, las operaciones criptográficas reales ocurren exclusivamente tanto en el almacén de claves personalizado como en el almacén de claves de AWS KMS predeterminado.
¿Cómo puedo auditar el uso de claves en un almacén de claves personalizado?
Además de la actividad que AWS KMS registra en CloudTrail, la utilización de un almacén de claves personalizado ofrece tres mecanismos adicionales de auditoría. En primer lugar, CloudHSM también registra toda la actividad de la API en CloudTrail, como la creación de clústeres o la adición o eliminación de los HSM. En segundo lugar, cada uno de los clústeres también captura sus propios registros locales para registrar la actividad de administración de usuarios y claves. En tercer lugar, cada instancia de CloudHSM copia los registros de la actividad de administración de claves y usuarios locales en AWS CloudWatch.
¿Qué impacto tiene CloudHSM en la disponibilidad de claves?
El uso de un almacén de claves personalizado de AWS KMS lo ayuda a responsabilizarse de verificar que sus claves están disponibles para que AWS KMS las utilice. Los errores en la configuración de CloudHSM y la eliminación accidental de material de claves dentro de un clúster de CloudHSM podrían afectar la disponibilidad. La cantidad de HSM que utiliza y su elección de zonas de disponibilidad (AZ) también pueden afectar la capacidad de recuperación del clúster. Como en cualquier sistema de administración de claves, es importante comprender cómo la disponibilidad de claves puede influir en el proceso de recuperación de datos cifrados.
¿Cuáles son las limitaciones de rendimiento asociadas a CloudHSM?
La velocidad a la cual se pueden utilizar las claves almacenadas en un almacén de claves personalizado de AWS KMS respaldado por CloudHSM mediante llamadas a la API de AWS KMS es inferior a la que utilizan las claves almacenadas en el almacén predeterminado de clave de AWS KMS. Consulte la guía del desarrollador de AWS KMS para conocer los límites de rendimiento actuales.
¿Cuáles son los costos asociados al uso de un almacén de claves personalizado respaldado por CloudHSM?
La utilización de un almacén de claves personalizado no afecta los precios de AWS KMS. No obstante, cada almacén de claves personalizadas exige que su clúster de AWS CloudHSM contenga al menos dos HSM. Estos HSM se cobran en función de los precios estándar de AWS CloudHSM. El uso de un almacén de claves personalizado no tiene costos adicionales.
¿Qué habilidades y recursos adicionales se necesitan para configurar CloudHSM?
Los usuarios de AWS KMS que quieran utilizar un almacén de claves personalizado deberán configurar un clúster de AWS CloudHSM, agregar HSM, administrar usuarios de HSM y, posiblemente, restaurar los HSM a partir de copias de seguridad. Estas tareas afectan la seguridad y puede verificar que dispone de los recursos y los controles de organización adecuados en su lugar.
¿Puedo importar claves a un almacén de claves personalizado?
No, la capacidad de importar su propio material de claves a un almacén de claves personalizado de AWS KMS no se admite. Las claves que se almacenan en un almacén de claves personalizado solo se pueden generar en los HSM que forman su clúster de CloudHSM.
¿Puedo migrar claves entre el almacén de claves predeterminado de AWS KMS y un almacén de claves personalizado?
No, la capacidad de migrar claves entre los diferentes tipos de almacén de claves de AWS KMS no es compatible actualmente. Todas las claves se deben crear en el almacén de claves en el que se van a utilizar, excepto en situaciones donde importa su propio material de claves en el almacén predeterminado de clave de AWS KMS.
¿Puedo rotar claves almacenadas en un almacén de claves personalizadas?
La capacidad de rotar automáticamente material de claves en un almacén de claves personalizadas de AWS KMS no es compatible. La rotación de claves se debe realizar manualmente mediante la creación de nuevas claves y la reasignación de alias de las claves de AWS KMS utilizados por el código de la aplicación para usar las nuevas claves para las futuras operaciones de cifrado.
¿Puedo usar mi clúster de CloudHSM para otras aplicaciones?
Sí, AWS KMS no exige el acceso exclusivo a su clúster de CloudHSM. Si ya dispone de un clúster, puede utilizarlo como un almacén de claves personalizado y seguir utilizándolo para otras aplicaciones. Sin embargo, si el clúster admite altas cargas de trabajo ajenas a AWS KMS, usted puede experimentar una reducción en el rendimiento de las operaciones al utilizar las claves de KMS del almacén de claves personalizadas. Asimismo, una alta tasa de solicitud de AWS KMS al almacén de claves personalizadas podría afectar a otras aplicaciones.
¿Cómo puedo obtener más información sobre AWS CloudHSM?
Visite el sitio web de AWS CloudHSM para obtener más información general sobre el servicio. Para obtener más información sobre su configuración y utilización, lea la Guía del usuario de AWS CloudHSM.
Almacén de claves externo
¿Qué es un almacén de claves externo (XKS, por sus siglas en inglés)?
Un almacén de claves externo es un almacén de claves personalizado respaldado por una infraestructura de administración de claves externa que le pertenece y administra fuera de AWS. Todas las operaciones de cifrado y descifrado que utilizan una clave de KMS en un almacén de claves externo se llevan a cabo en su administrador de claves con operaciones y claves criptográficas que usted controla y que son físicamente inaccesibles para AWS.
¿Por qué debería utilizar un almacén de claves externo?
El XKS puede ayudarlo a cumplir las normas y regulaciones según las cuales las claves de cifrado deben almacenarse y usarse fuera de AWS, y estar controladas por usted.
¿Cómo se conecta AWS KMS a mi administrador de claves externo?
Las solicitudes a AWS KMS desde servicios de AWS integrados en su nombre o desde sus propias aplicaciones se reenvían a un componente de su red llamado proxy del XKS. El proxy del XKS es una especificación de API de código abierto que lo ayuda a usted y a su proveedor de administración de claves a crear un servicio que acepte estas solicitudes y las reenvíe a su infraestructura de administración de claves para usar sus claves para el cifrado y el descifrado.
¿Qué proveedores externos son compatibles con la especificación del proxy del XKS?
Thales, Entrust, Atos, Fortanix, DuoKey, Securonix, Utimaco, Salesforce, T-Systems y HashiCorp cuentan con soluciones que se integran con la especificación del proxy XKS. Para obtener información sobre disponibilidad, precios y cómo usar soluciones de estos proveedores, consulte la documentación correspondiente. Le animamos a usted y a su socio de infraestructura de administración de claves a aprovechar la especificación del proxy del XKS de código abierto para crear una solución que se adecue a sus necesidades. La especificación de API para el proxy del XKS está publicada aquí.
¿Qué características de AWS KMS son compatibles con las claves externas?
Las claves externas son compatibles con las siguientes operaciones de cifrado simétrico: Encrypt, ReEncrypt, Decrypt y GenerateDataKey.
¿Cómo funciona el XKS con los servicios de AWS que se integran con AWS KMS para el cifrado de datos?
Puede usar las claves del XKS para cifrar datos en cualquier servicio de AWS que se integre con AWS KMS mediante el uso de claves administradas por el cliente. Consulte la lista de servicios compatibles aquí. Los servicios de AWS llaman a la API GenerateDataKey de AWS KMS para solicitar una clave de datos de texto no cifrado única para cifrar sus datos. La clave de datos de texto no cifrado se devuelve al servicio junto con una copia cifrada de la clave de datos para almacenarse junto a sus datos cifrados. Para producir una copia cifrada de la clave de datos, una clave almacenada en AWS KMS exclusiva de su cuenta de AWS cifra primero la clave de datos de texto no cifrado. A continuación, esta clave de datos cifrada se reenvía a la implementación del proxy del XKS conectada al administrador de claves externo para que se cifre por segunda vez en la clave que defina en el administrador de claves externo. La clave de datos con doble cifrado resultante se devuelve como respuesta a la solicitud de API GenerateDataKey.
¿Qué es el cifrado doble y cómo funciona?
La conexión de red entre AWS KMS, la implementación del proxy del XKS y el administrador de claves externo debería protegerse con un protocolo de cifrado punto a punto como TLS. Sin embargo, para proteger los datos que abandonan AWS KMS hasta que lleguen al administrador de claves externo, AWS KMS primero los cifra con una clave de KMS administrada internamente en su cuenta, específica para cada clave de KMS definida en el almacén de claves externo. El texto cifrado resultante se reenvía al administrador de claves externo, que lo cifra mediante el uso de la clave del administrador de claves externo. El cifrado doble proporciona un control de seguridad según el cual los textos cifrados no pueden descifrarse nunca sin usar el material de claves del administrador de claves externo. También proporciona un control de seguridad según el cual el texto cifrado que abandona la red de AWS se ha cifrado con los HSM de AWS KMS con certificación FIPS 140. El administrador de claves externo debe usarse para descifrar los datos. Por lo tanto, si anula el acceso a AWS KMS, no se podrá acceder a los datos cifrados subyacentes.
¿Puedo usar claves del XKS en mis propias aplicaciones que implementan el cifrado en el cliente?
Sí. Las claves del XKS también pueden utilizarse desde sus propias aplicaciones cuando emplee una solución de cifrado simétrico del cliente que use AWS KMS como su proveedor de claves. Las soluciones de cifrado del cliente de código abierto de AWS, como el SDK de cifrado de AWS, el cliente de cifrado de S3 y el cliente de cifrado de DynamoDB, son compatibles con las claves del XKS.
He estado usando AWS KMS con claves de KMS estándar, claves de KMS importadas o claves almacenadas en mi clúster de CloudHSM. ¿Puedo migrar esas claves de KMS al XKS o volver a cifrar las claves cifradas existentes en las claves del XKS?
Todas las claves del XKS deben crearse como claves nuevas en KMS. No puede migrar las claves de KMS existentes a las claves del XKS alojadas en el administrador de claves externo.
Si el servicio de AWS o su propia aplicación son compatibles con la acción, puede volver a cifrar los datos existentes en claves del XKS recién generadas. Muchos servicios de AWS lo ayudarán a copiar un recurso cifrado y designar una nueva clave de KMS para cifrar la copia. Puede configurar la clave del XKS en el comando COPY que le proporciona el servicio de AWS. Llame a la API ReEncrypt de KMS y configure la clave del XKS para volver a cifrar los datos cifrados del cliente en sus propias aplicaciones.
¿Cuál es el precio del XKS en KMS?
Igual que sucede con todas las claves administradas de clientes, el precio de las claves del XKS es de 1 USD al mes por clave hasta que se eliminen. Las solicitudes en las claves del XKS se cobran al mismo precio que cualquier otra clave simétrica de AWS KMS. Obtenga más información sobre los precios en la página de precios de AWS KMS.
¿Es posible llevar a cabo la rotación automática de claves con las claves del XKS?
Sí. La rotación automática de claves es compatible con la especificación XKS y es una capacidad que ofrecen la mayoría de los proveedores que admiten XKS. La rotación automática de las claves XKS se produce íntegramente en el administrador de claves externo y funciona de forma similar a la rotación automática de las claves de AWS KMS creadas y administradas dentro de KMS. Cuando se utiliza una clave KMS XKS rotada para cifrar datos, el administrador de claves externo utiliza el material de clave actual. Cuando se utiliza la clave XKS rotada para descifrar el texto cifrado, el administrador de claves externo utiliza la versión del material de claves que se utilizó para cifrarlo. Siempre que las claves XKS anteriores utilizadas para crear los textos cifrados anteriores sigan activadas en el administrador de claves externo, podrá realizar correctamente la solicitud de Decrypt API con esas versiones de sus claves XKS.
Si desactivo, bloqueo o elimino claves en el almacén de claves externo, ¿desde dónde podré acceder a mis datos en la nube?
En los servicios que no almacenan claves en caché, se producirá un error al usar esta clave de KMS del XKS en la próxima llamada de API. Algunos servicios implementan el almacenamiento de claves de datos en caché u otros mecanismos de derivación para el rendimiento, la latencia o la administración de costos de KMS. El almacenamiento de estas claves en caché puede durar entre 5 minutos y 24 horas. Los recursos protegidos que se estén usando actualmente (como la base de datos de RDS o la instancia de EC2) responderán de manera diferente tras la denegación de acceso a la clave. Consulte la documentación del servicio de AWS correspondiente para obtener más información.
¿Cómo autentico las solicitudes del proxy del XKS de AWS KMS a mi administrador de claves externo?
Para autenticarse en el proxy del almacén de claves externo, AWS KMS firma todas las solicitudes realizadas al proxy con las credenciales de AWS SigV4 que ha configurado en el proxy y ha proporcionado a KMS. AWS KMS autentica el proxy del almacén de claves externo con certificados TLS del servidor. De forma opcional, el proxy puede activar la TLS mutua para ofrecer una garantía adicional de que solo acepta solicitudes de AWS KMS.
¿Qué tipos de políticas de autorización puedo crear para las claves del XKS?
Todos los mecanismos de autorización de AWS KMS habituales, como las políticas de IAM, las políticas de claves de AWS KMS o las concesiones, que usa con otras claves de KMS funcionan de la misma manera para las claves de KMS de los almacenes de claves externos.
Además, usted o sus socios del administrador de claves externo pueden implementar una capa secundaria de controles de autorización en función de los metadatos de la solicitud incluidos en cada solicitud que se envía desde AWS KMS al proxy del XKS. El rol o usuario de AWS que realiza la llamada, el ARN de la clave de KMS y la API de KMS específica que se ha solicitado forman parte de estos metadatos. De este modo, puede aplicar una política de autorización detallada sobre el uso de una clave en el administrador de claves externo que vaya más allá de confiar simplemente en cualquier solicitud de AWS KMS. La elección de la aplicación de la política mediante estos atributos de solicitud se deja para las implementaciones individuales del proxy del XKS.
¿Cómo funcionan los registros y las auditorías en el XKS?
El ID único generado para cada solicitud que llega a AWS KMS y que involucra claves del XKS también se reenvía al proxy del XKS. Puede usar los datos de registro (si están disponibles) del proxy del XKS o del administrador de claves externo para conciliar las solicitudes realizadas a AWS KMS y las realizadas al administrador de claves externo. Esta característica permite verificar si todas las solicitudes para usar claves en el administrador de claves externo proceden de una llamada que inició a AWS KMS directamente o a través de un servicio de AWS integrado.
¿Qué riesgos asumo si decido usar un XKS en lugar de claves de KMS estándar generadas y almacenadas en AWS KMS?
Riesgo de responsabilidad: es responsable de la disponibilidad del proxy del XKS y del material de claves externo. Este sistema debe ofrecer una alta disponibilidad para verificar que, siempre que necesite una clave del XKS para descifrar un recurso cifrado o cifrar datos nuevos, AWS KMS puede conectarse correctamente al proxy del XKS, el cual puede conectarse al administrador de claves externo para completar la operación criptográfica necesaria mediante el uso de la clave. Por ejemplo, imagínese que ha cifrado un volumen de EBS con una clave del XKS y ahora quiere iniciar una instancia de EC2 y adjuntar ese volumen cifrado. El servicio de EC2 pasará la clave de datos cifrados única de ese volumen a AWS KMS con el objetivo de descifrarla para que pueda aprovisionarse en la memoria volátil de la tarjeta Nitro a fin de descifrar y cifrar operaciones de escritura o lectura en el volumen. Si el proxy del XKS o el administrador de claves externo no está disponible para descifrar la clave del volumen, la instancia de EC2 no se iniciará. En estos tipos de errores, AWS KMS devuelve una KMSInvalidStateException en la que se indica que el proxy del XKS no está disponible. Ahora le toca a usted determinar por qué el proxy del XKS y el administrador de claves no están disponibles en función de los mensajes de error que le proporciona KMS.
Riesgo de durabilidad: como usted controla las claves en sistemas fuera de AWS, es el único responsable de la durabilidad de todas las claves externas que cree. Si la clave externa de una clave del XKS se pierde o elimina de forma permanente, los textos cifrados con esa clave del XKS no se podrán recuperar.
Riesgo de rendimiento: es el responsable de comprobar si el proxy del XKS y la infraestructura del almacén de claves externo están diseñados con las características de rendimiento suficientes para satisfacer sus necesidades. Como las solicitudes que usan claves del XKS necesitan conectarse al almacén de claves externo, el proxy del XKS puede convertirse en un cuello de botella si la tasa de solicitudes de AWS KMS supera la tasa de solicitudes que pueden asumir el proxy del XKS o el administrador de claves externo. Además. si el tiempo transcurrido de una única solicitud (incluido un nuevo intento) de AWS KMS al proxy del XKS es superior a 500 ms, AWS KMS devolverá un error 400 al cliente que llama y comunicará eficazmente que la clave del XKS no está disponible y que el cliente que llama no debería volver a intentarlo. Este comportamiento se ha diseñado para minimizar el riesgo de que los servicios de AWS ascendentes o sus propias aplicaciones tengan que reaccionar ante una latencia excesiva esporádica provocada por problemas de conectividad a la infraestructura.
*AWS KMS volverá a intentarlo una única vez para cualquier solicitud que dure 250 ms. Si la nueva solicitud también dura más de 250 ms, se devolverá un error 400 al cliente que llama.
¿Cómo afecta a la disponibilidad de nivel de servicio (SLA, por sus siglas en inglés) el uso de un almacén de claves externo?
Como AWS no puede controlar la disponibilidad de un extremo a otro de la conexión entre AWS KMS y la infraestructura del almacén de claves externo, excluimos específicamente el uso del XKS en nuestra SLA de disponibilidad de KMS pública. Además, las claves del XKS se excluyen de la SLA de disponibilidad de cualquier servicio de AWS en el cual se configure una clave del XKS para cifrar datos en el servicio.