AWS Key Management Service le permite ejercer un control centralizado de las claves de cifrado que se utilizan para proteger los datos. Puede crear, rotar, deshabilitar y eliminar las claves de cifrado que se utilizan para cifrar los datos, así como definir las políticas de uso de dichas claves y auditar el uso que se hace de ellas. AWS Key Management Service está integrado con la mayoría de los servicios de AWS, lo que facilita el cifrado de los datos que se almacenan en ellos con las claves de cifrado que usted controla. AWS KMS está integrado con AWS CloudTrail para ofrecerle la posibilidad de realizar auditorías de quién ha utilizado qué claves, en qué recursos y cuándo. AWS KMS permite a los desarrolladores cifrar los datos con facilidad, ya sea mediante el cifrado con 1 clic en la consola de administración de AWS o mediante el SDK de AWS para añadir el cifrado al código de la aplicación fácilmente.

Pruebe AWS Key Management Service

Introducción a AWS
O inicie sesión en la consola

Cree una cuenta gratuita de Amazon Web Services y reciba 12 meses de acceso a productos y servicios gratuitos sin cargo.

Consulte los detalles de la capa gratuita de AWS >>

AWS Key Management Service le permite ejercer un control centralizado de las claves de cifrado. Puede crear, importar y rotar claves fácilmente, así como definir políticas y auditorías de uso desde la consola de administración de AWS o mediante el SDK o la CLI de AWS. Las claves principales de KMS, tanto si las importó como si las creó KMS, se almacenan cifradas en un almacén de gran durabilidad para garantizar su recuperación cuando sea necesario. Puede optar por que KMS rote automáticamente las claves principales creadas en KMS una vez al año sin necesidad de tener que volver a cifrar los datos que ya se sometieron a este proceso con la clave principal. No necesita realizar un seguimiento de las versiones anteriores de las claves principales porque KMS las mantiene disponibles para descifrar los datos cifrados anteriormente. Puede crear nuevas claves principales y controlar quién tiene acceso a ellas y con qué servicios se pueden usar cuando lo desee. También puede importar claves de su infraestructura de administración de claves y utilizarlas en KMS.

AWS Key Management Service se integra perfectamente con la mayoría de los demás servicios de AWS. Esta integración le permite usar sin problemas las claves principales de AWS KMS para cifrar los datos que almacene en estos servicios. Puede usar una clave principal predeterminada que se crea automáticamente y solo se puede utilizar dentro del servicio integrado o puede seleccionar una clave principal personalizada que cree en KMS o que importe de su propia infraestructura de administración de claves y que tenga permiso para usar.

Servicios de AWS integrados con KMS
Alexa for Business* Amazon Glacier Amazon WorkMail AWS Snowball
Amazon Athena Amazon Kinesis Data Streams Amazon WorkSpaces AWS Snowmobile

Amazon Aurora

Amazon Kinesis Firehose AWS Certificate Manager* AWS Snowball Edge
Amazon CloudWatch Logs Amazon Kinesis Video Streams AWS Cloud9 AWS Storage Gateway
Amazon Comprehend* Amazon Lex AWS CloudTrail AWS X-Ray
Amazon Connect Amazon Lightsail AWS CodeBuild  
Amazon DynamoDB* Amazon Simple Email Service (SES) AWS CodeCommit*  
Amazon DynamoDB Accelerator (DAX)* Amazon Simple Queue Service (SQS) AWS CodeDeploy  
Amazon EBS Amazon Neptune AWS CodePipeline  
Amazon EFS Amazon Relational Database Service (RDS) AWS Database Migration Service  
Amazon Elastic Transcoder Amazon Redshift AWS Lambda  
Amazon Elasticsearch Service Amazon SageMaker AWS Secrets Manager  
Amazon EMR Amazon S3 AWS Systems Manager  
Amazon Connect
Amazon Connect
Amazon Connect
Amazon Connect
Amazon S3, Amazon EBS, AWS Import/Export Snowball, AWS Storage Gateway 
Amazon S3, Amazon EBS, AWS Import/Export Snowball, AWS Storage Gateway 
Amazon S3, Amazon EBS, AWS Import/Export Snowball, AWS Storage Gateway 
Amazon S3, Amazon EBS, AWS Import/Export Snowball, AWS Storage Gateway 
Amazon RDS, Amazon Redshift, Amazon DynamoDB*
Amazon RDS, Amazon Redshift, Amazon DynamoDB*
Amazon RDS, Amazon Redshift, Amazon DynamoDB*
Amazon Kinesis Video Streams
Amazon Kinesis Video Streams
AWS CloudTrail
AWS CloudTrail
AWS Systems Manager
Amazon Relational Database Service
Amazon Relational Database Service
AWS X-Ray
AWS X-Ray
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS CodePipeline
AWS CodePipeline
AWS CodeDeploy
AWS CodeDeploy
AWS CodeCommit
AWS CodeBuild
AWS Cloud9
AWS Auto Scaling
AWS Auto Scaling
Amazon WorkSpaces
AWS Certificate Manager*
AWS Certificate Manager*
AWS CloudTrail
AWS CloudTrail
AWS CloudTrail
AWS Database Migration Service
AWS Database Migration Service
AWS Systems Manager
AWS Systems Manager
AWS Storage Gateway
Amazon Simple Email Service (SES)
Amazon Simple Email Service (SES)
Amazon WorkMail
AWS CloudTrail
AWS CloudTrail
AWS CodeBuild
AWS CodeBuild
AWS CodeCommit*
AWS CodeCommit*
AWS CodePipeline
AWS Snowball
AWS Snowmobile
AWS Storage Gateway

* Admite únicamente claves de KMS administradas por AWS. 

AWS KMS también está integrado en el SDK de AWS y con la interfaz de línea de comandos (CLI) de AWS y, además, ofrece una API RESTful. Al usar estas interfaces para cifrar o descifrar datos, las operaciones de cifrado y descifrado se ejecutarán automáticamente. El usuario solo tiene que seleccionar la clave principal de KMS que se utilizará. Además, KMS está integrado con AWS CloudFormation, lo que permite crear rápidamente claves en KMS con la plantilla de CloudFormation para KMS.

Si tiene AWS CloudTrail habilitado para la cuenta de AWS, cada uso que haga de alguna clave almacenada en KMS se anota en un registro que se entrega en el bucket de Amazon S3 especificado al momento de habilitar AWS CloudTrail. La información registrada incluye los detalles del usuario, la hora, la fecha y la clave utilizada.

AWS Key Management Service es un servicio administrado. A medida que aumenta el uso de las claves de cifrado de AWS KMS, desaparece la necesidad de comprar infraestructura adicional para la administración de claves. AWS KMS se escala automáticamente para satisfacer las necesidades de las claves de cifrado.

Las claves principales creadas en AWS KMS o importadas por usted no se pueden exportar del servicio. AWS KMS almacena varias copias de las versiones cifradas de las claves en sistemas diseñados para ofrecer una durabilidad del 99,999999999%, a fin de garantizar que las claves estén disponibles siempre que necesite obtener acceso a ellas. Si importa claves en KMS, debe mantener una copia de ellas en un lugar seguro a fin de poder volver a importarlas en cualquier momento.

AWS KMS se implementa en varias zonas de disponibilidad dentro de una región de AWS para ofrecer una alta disponibilidad de las claves de cifrado.

AWS KMS está diseñado para que nadie, incluidos los empleados de AWS, pueda recuperar las claves con texto no cifrado del servicio. El servicio utiliza módulos de seguridad de hardware (HSM) validados FIPS 140-2 para proteger la confidencialidad e integridad de sus claves, independientemente de si solicita a KMS que cree claves por usted o las importa al servicio. Las claves con texto no cifrado jamás se graban en el disco y solo se utilizan en una memoria volátil del HSM durante el tiempo necesario para realizar la operación criptográfica que solicitó. Las claves de KMS nunca se transmiten fuera de las regiones de AWS en las que se crearon. Las actualizaciones al firmware HSM de KMS están monitoreadas mediante control de acceso de varias partes que un grupo independiente dentro de Amazon audita y revisa.

Para obtener más información sobre cómo funciona AWS KMS, puede leer el documento técnico sobre AWS Key Management Service.

Los controles de seguridad y calidad de AWS KMS están validados y certificados por los siguientes esquemas de conformidad: