AWS Key Management Service le permite ejercer un control centralizado de las claves de cifrado usadas para proteger los datos. Puede crear, rotar, deshabilitar y eliminar las claves de cifrado utilizadas para cifrar los datos, así como definir las políticas de uso de dichas claves y auditar el uso que se hace de las mismas. AWS Key Management Service está integrado con muchos otros servicios de AWS, lo que facilita el cifrado de los datos que se almacenan en ellos con las claves de cifrado que usted controla. AWS KMS está integrado en AWS CloudTrail para ofrecerle la posibilidad de realizar auditorías de quién ha utilizado qué claves, en qué recursos y cuándo. AWS KMS permite a los desarrolladores cifrar los datos con facilidad, ya sea mediante el cifrado de 1-Click en la consola de administración de AWS, o bien mediante AWS SDK para añadir el cifrado fácilmente al código de la aplicación.

Pruebe AWS Key Management Service

Introducción a AWS
O inicie sesión en la Consola

Cree una cuenta gratuita de Amazon Web Services y disfrute de 12 meses de acceso a productos y servicios gratuitos.

Consulte los detalles de la capa gratuita de AWS »

AWS Key Management Service le permite ejercer un control centralizado de las claves de cifrado. Puede crear, importar y rotar claves, así como definir políticas de uso y auditar el uso, de forma sencilla desde la consola de administración de AWS o mediante el SDK o la CLI de AWS. Las claves principales de KMS, tanto si las ha importado como si las ha creado KMS, se almacenan cifradas en un almacén de gran durabilidad para garantizar su recuperación cuando sea necesario. Puede optar por que KMS rote automáticamente las claves principales creadas en KMS una vez al año sin necesidad de tener que volver a cifrar los datos que ya se han cifrado con la clave principal. No necesita realizar un seguimiento de las versiones anteriores de las claves principales, porque KMS las mantiene disponibles para descifrar los datos cifrados anteriormente. Puede crear nuevas claves principales y controlar quién tiene acceso a ellas y con qué servicios se pueden usar cuando lo desee. También puede importar claves de su infraestructura de administración de claves y utilizarlas en KMS.

AWS Key Management Service se integra perfectamente con muchos otros servicios de AWS. Esta integración le permite usar sin problemas las claves principales de AWS KMS para cifrar los datos que almacene en estos servicios. Puede usar una clave principal predeterminada que se crea automáticamente y solo se puede utilizar dentro del servicio integrado o puede seleccionar una clave principal personalizada que cree en KMS o que importe de su propia infraestructura de administración de claves y que tenga permiso para usar.

Categoría de productos de AWS Servicios de AWS integrados con KMS
Computación Amazon Lightsail*, Amazon EC2 SSM, AWS Lambda

Almacenamiento y entrega de contenido

Amazon S3, Amazon EBS, AWS Import/Export Snowball, AWS Storage Gateway, Amazon EFS
Bases de datos Amazon RDS, Amazon Redshift, AWS Database Migration Service
Herramientas para desarrolladores AWS CodeCommit*, AWS CodeBuild**, AWS CodeDeploy**, AWS CodePipeline**
Herramientas de administración AWS CloudTrail, Amazon CloudWatch Logs**
Análisis Amazon EMR, Amazon Kinesis Firehose, Amazon Kinesis Streams, Amazon Athena
Servicios de aplicaciones Amazon Elastic Transcoder, Amazon SES, Amazon SQS
Aplicaciones empresariales Amazon WorkSpaces, Amazon WorkMail
Seguridad, identidad y conformidad AWS Certificate Manager*
Centro de contacto Amazon Connect

*Actualmente, solo admite claves de KMS administradas por AWS.
**Actualmente, solo admite claves de KMS administradas por el cliente.

AWS KMS también está integrado en el SDK de AWS y en la interfaz de línea de comandos (CLI) de AWS y, además, ofrece una API RESTful. Al usar estas interfaces para cifrar o descifrar datos, las operaciones de cifrado y descifrado se ejecutarán automáticamente. El usuario solo tiene que seleccionar la clave principal de KMS que se utilizará. Además, KMS está integrado con AWS CloudFormation, lo que permite crear rápidamente claves en KMS usando la plantilla de CloudFormation para KMS.

Si tiene AWS CloudTrail habilitado para la cuenta de AWS, cada uso que haga de alguna clave almacenada en KMS se registra en un log que se entrega en el bucket de Amazon S3 especificado al habilitar AWS CloudTrail. La información registrada comprende los detalles del usuario, la hora, la fecha y la clave utilizada.

AWS Key Management Service es un servicio administrado. A medida que aumenta el uso de las claves de cifrado de AWS KMS, desaparece la necesidad de comprar infraestructura adicional para la administración de claves. AWS KMS se escala automáticamente para satisfacer las necesidades de las claves de cifrado.

Las claves principales creadas en AWS KMS o importadas por usted no se pueden exportar del servicio. AWS KMS almacena varias copias de las versiones cifradas de las claves en sistemas diseñados para ofrecer una durabilidad del 99,999999999%, a fin de garantizar que las claves estarán disponibles siempre que necesite obtener acceso a ellas. Si importa claves en KMS, debe mantener una copia de las mismas en un lugar seguro a fin de poder volver a importarlas en cualquier momento.

AWS KMS se implementa en varias zonas de disponibilidad dentro de una región de AWS para ofrecer una alta disponibilidad de las claves de cifrado.

AWS KMS está diseñado para que nadie pueda obtener acceso a las claves principales. El servicio se basa en sistemas diseñados para proteger las claves principales con técnicas extensivas de seguridad reforzada, como no almacenar nunca claves principales no cifradas en el disco, no mantenerlas en la memoria y limitar los sistemas que pueden conectarse al dispositivo. Todo el acceso al software de actualización del servicio lo controla un servicio de aprobación de varios niveles de cuya auditoría y revisión se encarga un grupo independiente dentro de Amazon.

Para obtener más información sobre cómo funciona AWS KMS, puede leer el documento técnico sobre AWS Key Management Service.

Los controles de seguridad y calidad de AWS KMS están validados y certificados por los siguientes esquemas de conformidad: