Publicado en: Apr 20, 2022
AWS Key Management Service (AWS KMS) le permite crear claves KMS que se pueden usar para generar y verificar código de autenticación de mensajes basado en hash (HMACs). Los HMAC son un potente bloque de construcción criptográfica que incorporan material clave secreto dentro de una función hash para crear un código de autenticación de mensaje con clave única. Las claves de HMAC de KMS solo se pueden generar y usar dentro del límite de seguridad del módulo de seguridad del hardware (HSM) validado mediante el estándar federal de procesamiento de la información FIPS 140-2 en AWS KMS. Esta arquitectura puede minimizar el riesgo de que estén en peligro estas claves secretas en lugar de usar claves HMAC de texto sin formato en software de aplicaciones locales.
Los HMAC pueden proporcionar una forma rápida de generar tokens o firmar datos como solicitudes de API web, números de tarjeta de crédito, información de enrutamiento bancario o información de identificación personal (PII). Dado que los HMAC usan criptografía simétrica, normalmente ofrecen un mayor rendimiento que firmar algoritmos que usan criptografía asimétrica como RSA o ECC. Los HMAC comúnmente se usan en varios estándares de Internet y protocolos de comunicación como JSON Web Tokens (JWT). Las claves KMS y los algoritmos HMAC en AWS KMS cumplen con los estándares de la industria definidos en RFC 2104. Al igual que sucede con otros tipos de clave KSM, puede controlar quién tiene permiso de realizar funciones de HMAC bajo qué condiciones cuando define la clave KSM y/o las políticas de IAM.
Las API de KSM HMAC actualmente están disponibles en regiones selectas. Consulte la guía para desarrolladores de KMS para obtener información sobre compatibilidad con regiones e información general de la característica nueva de HMAC.
27 de abril de 2022: En una versión anterior de este artículo se hacía una referencia incorrecta al estándar de “Java” Web Token. Hemos corregido esta referencia al estándar JSON Web Token (JWT).