La siguiente sección de preguntas frecuentes no se aplica a AWS KMS en la región China (Pekín) de AWS, a cargo de Sinnet, ni en la región China (Ningxia) de AWS, a cargo de NWCD. Haga clic en este enlace de preguntas frecuentes si desea leer contenido relevante para estas dos regiones de China.  

Aspectos generales

P: ¿Qué es AWS Key Management Service (KMS)?
AWS KMS es un servicio administrado que permite crear y controlar fácilmente las claves utilizadas para las operaciones criptográficas. El servicio proporciona una solución de generación de claves, almacenamiento, administración y auditoría de alta disponibilidad para que pueda cifrar o firmar digitalmente datos dentro de sus propias aplicaciones o controle el cifrado de datos a través de los servicios de AWS.

P: ¿Por qué debo utilizar AWS KMS?
Si es responsable de proteger sus datos a través de los servicios de AWS, debe usarlos para administrar centralmente las claves de cifrado que controlan el acceso a sus datos. Si es desarrollador y necesita cifrar datos en las aplicaciones, debe usar la SDK de cifrado de AWS con el soporte de AWS KMS para generar, usar y proteger las claves de cifrado simétricas en su código. Si es un desarrollador que necesita firmar digitalmente o verificar datos utilizando claves asimétricas, debe usar el servicio para crear y administrar las claves privadas que necesitará. Si busca una infraestructura escalable para la administración de claves para ofrecer soporte a los desarrolladores y al número cada vez más elevado de aplicaciones que utilizan, debe usar AWS KMS para reducir los costos de licencias y la carga operativa. Si es responsable de probar la seguridad de los datos con fines reglamentarios o de cumplimiento, debe usarlos porque facilita la prueba de que sus datos están protegidos de manera consistente. También está dentro del alcance de un amplio conjunto de regímenes de cumplimiento industrial y regional.

P: ¿Cómo puedo comenzar a utilizar AWS KMS?
La forma más fácil de comenzar a utilizar AWS KMS es elegir cifrar sus datos dentro de los servicios de AWS compatibles con las claves maestras administradas de AWS que se crean automáticamente en su cuenta para cada servicio. Si desea tener control total sobre la administración de sus claves, incluida la capacidad para compartir el acceso a claves en las cuentas o servicios, usted puede crear sus propias claves maestras (CMK) en AWS KMS. También puede utilizar las claves maestras (CMK) que cree directamente dentro de sus propias aplicaciones. Se puede acceder a AWS KMS desde la consola de KMS que se agrupan dentro de Seguridad, Identidad y Cumplimiento en la Página de inicio de los servicios de AWS de la consola de AWS. También se puede acceder a las API de AWS KMS directamente a través de la interfaz de línea de comandos de AWS KMS o AWS SDK para el acceso mediante programación. Puede utilizar las API de AWS KMS indirectamente para cifrar datos dentro de sus propias aplicaciones mediante el SDK de cifrado de AWS. Visite la página de introducción para obtener más información.

P: ¿En qué regiones se encuentra disponible AWS KMS?
La disponibilidad se indica en la página global de Productos y servicios por región.

Las claves asimétricas actualmente solo están disponibles en: Virginia del Norte, Oregón, Sídney, Irlanda y Tokio.

P: ¿Qué características de administración clave se encuentran disponibles en AWS KMS?
Puede ejecutar las siguientes funciones de administración de claves:

  • Crear claves simétricas y asimétricas donde el material clave solo se utiliza dentro del servicio
  • Crear claves simétricas donde el material clave se genera y utiliza dentro de un almacén de claves personalizado bajo su control*
  • Importar su propio material de clave simétrica para usar dentro del servicio
  • Crear pares de claves de datos simétricos y asimétricos para uso local dentro de sus aplicaciones
  • Definir qué usuarios y roles de IAM pueden administrar claves
  • Definir qué usuarios y roles de IAM pueden usar claves para cifrar y descifrar datos
  • Elegir que las claves generadas por el servicio se roten automáticamente cada año
  • Deshabilitar temporalmente las claves para que nadie pueda utilizarlas
  • Rehabilitar las claves deshabilitadas
  • Programar la eliminación de claves que ya no están en uso
  • Auditar el uso de las claves mediante el análisis de los registros en AWS CloudTrail

* El uso de almacenes de claves personalizadas requiere recursos CloudHSM para estar disponible en su cuenta.

P: ¿Cómo funciona AWS KMS?
Comienza a utilizar el servicio solicitando la creación de una CMK. El ciclo de vida del CMK y quién puede usarlo o administrarlo está bajo su control. El material clave para un CMK se genera dentro de los módulos de seguridad de hardware (HSM) administrados por AWS KMS. Alternativamente, puede importar material clave desde su propia infraestructura de administración de claves y asociarlo con una CMK. También puede generar y utilizar el material clave en un clúster de AWS CloudHSM como parte de la función de almacenamiento de claves personalizado en AWS KMS.
 
Una vez que haya creado una CMK utilizando cualquiera de las tres opciones compatibles, puede enviar datos directamente al servicio AWS KMS para que se firmen, verifiquen, cifren o descifren utilizando estas CMK. Establezca políticas de uso en estas claves que determinan qué usuarios pueden realizar qué acciones en qué condiciones.

AWS KMS se integra con servicios de AWS y conjuntos de herramientas del lado del cliente que utilizan un método conocido como cifrado de sobres para proteger sus datos. Con este método, AWS KMS genera claves de datos que se utilizan para cifrar datos localmente en el servicio de AWS o su aplicación. Las claves de datos están cifrados bajo una CMK que usted defina. AWS KMS no retiene ni administra claves de datos. Los servicios de AWS cifran los datos y los almacenan en una copia cifrada de la clave principal junto con los datos cifrados. Cuando un servicio necesita descifrar los datos, solicita a AWS KMS que descifre la clave de datos con la CMK. Si el usuario que solicita datos al servicio de AWS está autorizado para descifrarlos con la CMK, el servicio de AWS recibirá la clave de datos descifrados a través de AWS KMS. A continuación, el servicio de AWS descifra los datos y los devuelve como texto no cifrado. Todas las solicitudes para usar CMK se registran en AWS CloudTrail para que pueda saber quién usó una clave determinada, en qué contexto lo hizo y cuándo.

P: ¿Dónde se encuentran los datos cifrados si utilizo AWS KMS?
Normalmente hay tres situaciones de cómo se cifran los datos con AWS KMS. En primer lugar, puede usar las API de AWS KMS directamente para cifrar y descifrar datos utilizando sus CMK almacenadas en el servicio. En segundo lugar, puede elegir los servicios de AWS para cifrar sus datos con sus claves maestras almacenadas (CMK) en el servicio. En este caso, los datos se cifran con claves de datos que están protegidas por sus claves maestras (CMK). En tercer lugar, puede utilizar SDK de cifrado de AWS que está integrado con AWS KMS para realizar el cifrado dentro de sus propias aplicaciones, ya sea que funcionen en AWS o no.

P: ¿Qué servicios en la nube de AWS están integrados con AWS KMS?
AWS KMS se integra perfectamente con la mayoría de los otros servicios de AWS para que producir datos cifrados en aquellos servicios sea tan fácil como seleccionar una casilla. En algunos casos, los datos se cifran de forma predeterminada mediante las claves almacenadas en AWS KMS, pero que pertenecen al servicio de AWS en cuestión y están administradas por él. En muchos casos es usted quien posee y administra las claves maestras (CMK) dentro de su cuenta. Algunos servicios dan la opción de administrar las claves usted mismo o permiten que el servicio administre las claves por usted. Consulte la lista de servicios de AWS que actualmente están integrados con AWS KMS. Consulte la guía para desarrolladores AWS KMS para obtener más información sobre cómo utilizan AWS KMS los servicios integrados.

P: ¿Por qué se debe utilizar el cifrado de sobre? ¿Por qué no solo enviar los datos a AWS KMS para cifrarlos ahí directamente?
Si bien AWS KMS admite el envío de datos con un volumen inferior a 4 KB para cifrarlos directamente, el cifrado de sobre puede ofrecer beneficios de rendimiento importantes. Si los datos se cifran directamente con AWS KMS, estos deben transferirse a través de la red. El cifrado de sobre reduce la carga de la red, ya que solo la solicitud y entrega de la clave de datos mucho menor se transfiere a través de la red. La clave de datos se utiliza localmente en su aplicación o servicio de cifrado de AWS, evitando así la necesidad de enviar todo el bloque de datos al AWS KMS y experimentar latencia de red.

P: ¿Cuál es la diferencia entre una clave maestra (CMK) que puedo crear y las claves principales que otros servicios de AWS crean automáticamente para mí?
Tiene la opción de seleccionar una clave principal específica para usarla cuando desee que un servicio de AWS cifre los datos por usted. Estas claves se conocen como CMK administradas por el cliente y el usuario tiene completo control sobre ellas. Puede definir el control de acceso y la política de uso para cada clave y otorgar permisos a otras cuentas y servicios para utilizarlos. Si no se especifica una CMK, el servicio en cuestión creará una CMK administrada de AWS la primera vez que se intenta crear un recurso cifrado dentro de dicho servicio. AWS administrará las políticas asociadas con la CMK administradas de AWS en su nombre. Puede realizar un seguimiento de las claves administradas de AWS en su cuenta y todo el uso se registra en AWS CloudTrail, pero usted no tiene control directo sobre las claves.

P: ¿Por qué debo crear mis propias claves maestras de cliente?
La creación de su propia CMK permite ejercer mayor control que con las CMK administradas de AWS. Cuando crea una CMK simétrica administrada por el cliente, puede elegir utilizar el material de claves generadas por AWS KMS, generadas dentro de un clúster de AWS CloudHSM (tienda de claves personalizadas) o importar su propio material de claves. Puede definir un alias y una descripción para la clave y elegir la opción para que la clave rote automáticamente una vez al año, si esta se generó mediante AWS KMS. También puede definir permisos sobre la clave para controlar quién puede usarla o administrarla. Con las CMK asimétricas administradas por el cliente, hay un par de advertencias para la administración: el material clave solo se puede generar en AWS KMS HSM y no hay opción para la rotación automática de claves.

P: ¿Puedo llevar mis propias claves a AWS KMS?
Sí. Puede importar una copia de la clave de su propia infraestructura de administración de claves de AWS KMS y usarla con cualquier servicio de AWS integrado o desde sus propias aplicaciones. No puede importar CMK asimétricas en AWS KMS.

P: ¿Cuándo utilizaría una clave importada?
Puede utilizar una clave importada para disponer de mayor control en la creación, administración del ciclo de vida y durabilidad de su clave en AWS KMS. Las claves importadas están diseñadas para ayudarle a cumplir los requisitos de conformidad, que podrían incluir la capacidad de generar o mantener una copia segura de la clave en la infraestructura, así como la capacidad de eliminar inmediatamente la copia importada de la clave desde la infraestructura de AWS.

P: ¿Qué tipo de claves puedo importar?
Puede importar claves simétricas de 256 bits.

P: Si importo una clave a AWS KMS, ¿cómo se protege cuando se encuentra en tránsito?
Durante el proceso de importación, la clave estará envuelta en una clave pública proporcionada por AWS KMS, mediante el uso de uno de los dos esquemas RSA PKCS#1. Eso garantiza que la clave cifrada solo pueda ser descifrada por AWS KMS.

P: ¿Cuál es la diferencia entre importar una clave y que AWS KMS genere una para mí?
Hay dos diferencias principales:

  1. Debe conservar una copia de las claves que importe en su infraestructura de administración de claves, a fin de poder volver a importarlas en cualquier momento. AWS, sin embargo, garantiza la disponibilidad, seguridad y durabilidad de las claves que genera AWS KMS para usted hasta que programe la eliminación de las claves.
  2. Puede establecer un periodo de vencimiento de la clave importada. AWS KMS eliminará de forma automática el material de claves luego del periodo de vencimiento. También puede eliminar el material de claves importadas bajo demanda. En ambos casos, el material de claves en sí se elimina, pero la referencia de CMK en AWS KMS y los metadatos asociados se mantienen para que el material de claves se pueda volver a importar en el futuro. Las claves generadas por AWS KMS no tienen una fecha de vencimiento y no pueden ser suprimidas inmediatamente; hay un periodo de espera obligatorio de 7 a 30 días. Todas las CMK administradas por el cliente, independientemente de si se importó el material de claves, se pueden desactivar manualmente o programar para su eliminación. En este caso, la CMK en sí se elimina, no sólo el material de claves subyacente.

P: ¿Puedo rotar mis claves?
Sí. Puede elegir que AWS KMS rote automáticamente las CMK cada año, siempre que esas claves se hayan generado dentro de AWS KMS HSM. La rotación automática de claves no es compatible con claves importadas o claves asimétricas generadas en un clúster de AWS CloudHSM utilizando el almacén de claves personalizadas de AWS KMS. Si decide importar claves a AWS KMS o claves asimétricas o utilizar un almacén de claves personalizadas, puede rotarlas manualmente creando una nueva CMK y asignando un alias de clave existente de la antigua CMK a la nueva CMK.

P: ¿Tengo que volver a cifrar los datos después de que las claves se roten en AWS KMS?
Si elige que AWS KMS rote automáticamente las claves, no tendrá que volver a cifrar sus datos. AWS KMS conserva las versiones anteriores de las claves a fin de utilizarlas para descifrar los datos cifrados con una versión anterior de una clave. Todas las solicitudes nuevas de cifrado con una clave en AWS KMS se cifran con la última versión de la clave.

Si rota manualmente las claves del almacén de claves importadas o personalizadas, puede que tenga que volver a cifrar sus datos, dependiendo de si usted decide mantener versiones antiguas de claves disponibles.

P: ¿Puedo eliminar una clave de AWS KMS?
Sí. Puede programar la eliminación de una clave principal de cliente que haya creado en AWS KMS y los metadatos asociados. El período de espera configurable puede ser de 7 a 30 días. Este periodo de espera permite verificar el efecto que eliminar una clave tendría en las aplicaciones y los usuarios que la utilizan. El periodo de espera predeterminado es de 30 días. Durante el periodo de espera puede cancelar la eliminación. Cuando se programa la eliminación de una clave, esta no se puede utilizar hasta que no se cancele la eliminación durante el periodo de espera. Si no cancela la eliminación, la clave se elimina al final del periodo de espera configurable. Cuando una clave se elimine, ya no podrá usarla. No se podrá obtener acceso a los datos protegidos con una clave maestra eliminada.

En el caso de las claves principales de cliente con material de clave importado, puede eliminar el material de clave sin eliminar la ID de la clave principal de cliente ni los metadatos de dos maneras. Primero, puede eliminar el material de la clave importada bajo demanda sin periodo de espera. En segundo lugar, cuando importe el material de clave en la clave principal de cliente, puede definir una fecha de vencimiento que fije cuánto tiempo AWS puede utilizar el material de la clave importada antes de que se elimine. Si necesita usarlo de nuevo, puede volver a importar el material de clave en la clave principal de cliente.

P: ¿Qué debo hacer si el material de la clave importada ha vencido o si lo he eliminado accidentalmente?
Puede volver a importar una copia del material de clave con una fecha de vencimiento válida en AWS KMS asignándola a la clave principal de cliente original para poder usarla.

P: ¿Puedo recibir una alerta que me indique que debo volver a importar la clave?
Sí. Una vez que importa la clave en una clave principal de cliente, recibirá una métrica de Amazon CloudWatch cada varios minutos que cuenta el tiempo que falta para el vencimiento de la clave importada. También recibirá un evento de Amazon CloudWatch una vez que la clave importada de la clave principal de cliente venza. Puede crear lógica que actúe conforme a estas métricas o eventos y vuelva a importar la clave de forma automática con una nueva fecha de vencimiento para evitar un riesgo de disponibilidad.

P: ¿Puedo usar AWS KMS para facilitar la administración del cifrado de datos fuera de los servicios en la nube de AWS?
Sí. AWS KMS es compatible con las SDK de AWS, las SDK de cifrado de AWS, el cifrado del lado del cliente de Amazon DynamoDB y con Amazon S3 Encryption Client para facilitar el cifrado de los datos dentro de sus propias aplicaciones dondequiera que se ejecuten. Visite el sitio web sobre Herramientas criptográficas de AWS y Desarrollo en AWS para obtener más información.

P: ¿Existe algún límite del número de claves que puedo crear en AWS KMS?
Puede crear hasta 10 000 CMK por cuenta y región. Como las CMK habilitadas y deshabilitadas cuentan para el límite, recomendamos eliminar las teclas deshabilitadas que ya no usa. Las claves maestras administradas (CMK) de AWS creadas en su nombre para utilizarlas en los servicios de AWS compatibles no se tienen en cuenta para este límite. No existe ningún límite en cuanto al número de claves de datos que pueden derivar de la utilización de una clave maestra (CMK) y que pueden utilizarse en la aplicación o que pueden usar los servicios de AWS para cifrar los datos por usted. Puede solicitar que se incremente el límite de CMK en el Centro de soporte AWS.

P: ¿Qué tipos de algoritmos y tipos de claves simétricas son compatibles?
AWS KMS admite claves de 256 bits al crear una CMK. Las claves de datos generados devueltas al intermediario pueden ser de 256 bits, 128 bits o un valor arbitrario de hasta 1024 bytes. Cuando AWS KMS utiliza una CMK de 256 bits en su nombre, se utiliza el algoritmo AES en el modo de contador de Galois (AES-GCM).

P: ¿Qué tipo de claves asimétricas son compatibles?
AWS KMS admite los siguientes tipos de clave asimétrica: RSA 2048, RSA 3072, RSA 4096, ECC NIST P-256, ECC NIST P-384, ECC NIST-521 y ECC SECG P-256k1.

P: ¿Qué tipos de algoritmos de cifrado asimétrico son compatibles?
AWS KMS admite los algoritmos de cifrado RSAES_OAEP_SHA_1 y RSAES_OAEP_SHA_256 con los tipos de clave RSA 2048, RSA 3072 y RSA 4096. Los algoritmos de cifrado no se pueden usar con los tipos de clave de curva elíptica (ECC NIST P-256, ECC NIST P-384, ECC NIST-521 y ECC SECG P-256k1).

P: ¿Qué tipos de algoritmos de firma asimétrica son compatibles?
Cuando se utilizan los tipos de claves RSA, AWS KMS apoya la RSASSA_PSS_SHA_256, RSASSA_PSS_SHA_384, RSASSA_PSS_SHA_512, RSASSA_PKCS1_V1_5_SHA_256, RSASSA_PKCS1_V1_5_SHA_384, y algoritmos de firma RSASSA_PKCS1_V1_5_SHA_512.
Cuando se utilizan tipos de clave de curva elíptica, AWS KMS admite los algoritmos de firma ECDSA_SHA_256, ECDSA_SHA_384 y ECDSA_SHA_512.

P: ¿Se pueden exportar CMK simétricas fuera del servicio en texto plano?
No. Una CMK simétrica o la parte privada de una CMK asimétrica no se puede exportar en texto sin formato desde los HSM. La parte pública de una CMK asimétrica se puede exportar desde la consola o llamando a la API “GetPublicKey”.

P: ¿Se pueden exportar claves de datos y pares de claves de datos desde los HSM en texto sin formato?
Sí. Las claves de datos simétricos se pueden exportar utilizando la API “GenerateDataKey” o la API “GenerateDataKeyWithoutPlaintext”. Y la parte privada y pública de los pares de claves de datos asimétricos se pueden exportar desde AWS KMS utilizando la API “GenerateDataKeyPair” o la API “GenerateDataKeypairWithoutPlaintext”.

P: ¿Cómo se protegen las claves de datos y los pares de claves de datos para su almacenamiento fuera del servicio?
La clave de datos simétrica o la parte privada de la clave de datos asimétricos se cifran bajo la CMK simétrica que define cuando solicita que AWS KMS genere la clave de datos.

P: ¿Cómo uso la parte pública de una CMK asimétrica?
La parte pública del material de clave asimétrica se genera en AWS KMS y se puede utilizar para la verificación de firma digital llamando a la API “Verificar”, o para el cifrado de clave pública llamando a la API “Cifrar”. La clave pública también se puede usar fuera de AWS KMS para verificación o cifrado. Puede llamar a la API GetPublicKey para recuperar la parte pública de la CMK asimétrica.

P: ¿Cuál es el límite de tamaño para los datos enviados a AWS KMS para operaciones asimétricas?
El límite de tamaño es de 4 KB. Si desea firmar digitalmente datos de más de 4 KB, tiene la opción de crear un resumen de mensaje de los datos y enviarlo a AWS KMS. La firma digital se crea sobre el resumen de los datos y se devuelve. Usted especifica si está enviando el mensaje completo o un resumen del mensaje como parámetro en la solicitud de API firmada. Cualquier dato enviado a las API cifrado, descifrado o recifrado que requieren el uso de operaciones asimétricas también debe ser inferior a 4 KB.

P: ¿Cómo puedo distinguir entre las CMK asimétricas o simétricas que he creado?
En la consola, cada tecla tendrá un nuevo campo llamado “Tipo de clave”. Tendrá el valor “Clave asimétrica” o “Clave simétrica” para indicar el tipo de clave. La API “DescribirClave” devolverá un campo “UsoClave” que especificará si la clave se puede usar para firmar o cifrar.

P: ¿Se admite la rotación automática de las CMK asimétricas?
No, la rotación automática de claves no es compatible con las CMK asimétricas. Puede rotarlas manualmente creando una nueva CMK y asignando un alias de clave existente de la antigua CMK a la nueva CMK.

P: ¿Se puede usar una sola CMK asimétrica tanto para el cifrado como para la firma?
No. Al crear una CMK, debe especificar si la clave se puede utilizar para descifrar o firmar operaciones. Se puede usar un tipo de clave RSA para operaciones de firma o cifrado, pero no ambas. Los tipos de clave de curva elíptica solo se pueden usar para operaciones de firma.

P: ¿Hay límites de servicio relacionados con las claves asimétricas?
Sí. Los límites de velocidad de solicitud por segundo son diferentes para diferentes tipos de claves y algoritmos. Para obtener más información, consulte nuestra de límites de AWS KMS.

P: ¿Las claves asimétricas funcionan con los almacenes de claves personalizadas de AWS KMS o la función Importar clave?
No, no puede utilizar la funcionalidad de almacenamiento de claves personalizadas con claves asimétricas ni importar claves asimétricas en AWS KMS.

P: ¿Puedo usar CMK asimétricas para aplicaciones de firma digital que requieren certificados digitales?
No directamente. AWS KMS no almacena ni asocia certificados digitales con los CMK asimétricos que crea. Usted puede optar por hacer que una entidad de certificación como ACM PCA emita un certificado para la parte pública de su CMK asimétrico. Esto permitirá que las entidades que están utilizando su clave pública verifiquen que esa clave púbica ciertamente sea de su propiedad.

P: ¿Para qué escenarios de uso puedo usar el ACM Private Certificate Authority vs. AWS KMS? 
El motivo principal para usar el servicio ACM Private Certificate Authority (CA) es ofrecer una infraestructura de clave pública (PKI) que tiene como objetivo identificar entidades y asegurar conexiones de red seguras. PKI ofrece procesos y mecanismos, principalmente a través de certificados X.509, para brindar una estructura entorno a operaciones públicas criptográficas de claves. Los certificados ofrecen una asociación entre una identidad y una clave pública. El proceso de certificación mediante el cual una entidad de certificación emite un certificado, permite a la entidad que emite el certificado de confianza aseverar la identidad de otra entidad a través de la firma de un certificado. PKI proporciona identidad, fiabilidad distribuida, gestión del ciclo de vida de la clave y estado del certificado creado a través de la revocación. Estas funciones añaden un importante proceso e infraestructura a las claves criptográficas asimétricas subyacentes y algoritmos provistos por AWS KMS.

ACM Private CA permite emitir certificados para identificar servidores web y de aplicaciones, mallas de servicios, usuarios VPN, puntos de enlace internos API y dispositivos IoT. Los certificados permiten establecer la identidad de estos recursos y crear canales de comunicación TLS o SSL. Si está considerando usar claves asimétricas para la terminación TLS en servidores web y de aplicaciones, balanceadores de carga elástico, puntos de enlace API Gateway, instancias EC2 o contenedores, debería considerar usar ACM Private CA para emitir certificados y proporcionar una infraestructura PKI.

En contraste, AWS KMS permite generar, gestionar y usar claves asimétricas para firmas digitales u operaciones de cifrado que no requieren certificados. Si bien los certificados pueden permitir la verificación de la identidad del expedidor y el receptor entre partes no confiables, el tipo de operaciones asimétricas sin procesar que ofrece AWS KMS generalmente son usadas cuando usted cuenta con otros mecanismos para comprobar la identidad o no necesita comprobarla para obtener el beneficio de seguridad que desea.

P: ¿Puedo usar los proveedores API criptográficos de mis aplicaciones como OpenSSL, JCE, Bouncy Castle o CNG con AWS KMS?
No hay una integración nativa ofrecida por AWS KMS para cualquier otro proveedor API criptográfico. Usted debe usar los API de AWS KMS directamente o a través de AWS SDK para integrar las capacidades de firmado y cifrado en sus aplicaciones.

P: ¿AWS KMS ofrece un acuerdo de nivel de servicio (SLA)?
Sí. El SLA de Amazon KMS prevé la concesión de créditos de servicio si el porcentaje de tiempo de actividad mensual de un cliente se encuentra por debajo de nuestro compromiso de servicio en un ciclo de facturación.

Almacenamiento de claves personalizadas

P: ¿Qué es un almacén de claves personalizadas?
El almacén de claves personalizadas de AWS KMS combina los controles proporcionados por AWS CloudHSM con la integración y facilidad de uso de AWS KMS. Puede configurar su propio clúster de CloudHSM y autorizar a AWS KMS para usarlo como un almacén de claves dedicado para sus claves en lugar del almacén de claves de AWS KMS predeterminado. Al crear claves en AWS KMS puede elegir generar el material de claves en su clúster de CloudHSM. Las CMK que se generan en el almacén de claves personalizadas nunca dejan el HSM en el clúster de CloudHSM en texto sin formato y todas las operaciones de AWS KMS que utilizan estas claves sólo se llevan a cabo en el HSM. En todos los demás aspectos, las CMK almacenadas en el almacén de claves personalizadas son coherentes con otras AWS CMK de KMS.

Puede encontrar orientación adicional para decidir si utilizar un almacén de claves personalizadas es adecuado en su caso en este blog.

P: ¿Por qué necesitaría utilizar un almacén de claves personalizadas?
Dado que usted controla su clúster de AWS CloudHSM, tiene la opción de administrar el ciclo de vida de sus CMK, independientemente de AWS KMS. Hay cuatro razones por las cuales podría serle útil un almacén de claves personalizadas. En primer lugar, podría tener claves que deben explícitamente estar protegidas en un solo usuario de HSM o en un HSM sobre el que tiene control directo. En segundo lugar, podría tener claves que deben ser almacenadas en un HSM que ha sido validado según la norma FIPS 140-2 de nivel 3 en general (los HSM utilizados en el almacén de claves AWS KMS estándar están en proceso o ya cuentan con la validación según el nivel 2 con nivel 3 en varias categorías). En tercer lugar, podría necesitar tener la capacidad de eliminar inmediatamente el material de claves de AWS KMS y demostrar que lo ha hecho por sus propios medios. Finalmente, usted puede tener un requisito para poder auditar todo uso de sus claves que realice independientemente de AWS KMS o AWS CloudTrail.

P: ¿Los almacenes de claves personalizadas afectan al modo en que se administran las claves?
Hay dos diferencias a la hora de administrar claves en un almacén de claves personalizadas en comparación con la del almacén de claves de AWS KMS predeterminado. No se puede importar el material de claves al almacén de claves personalizadas y usted no puede tener claves de rotación automática de AWS KMS. En todos los demás aspectos, incluido el tipo de claves que pueden generarse, la forma en que las claves usan alias y cómo se definen las políticas, las claves que se almacenan en un almacén de claves personalizadas se administran de la misma manera que cualquier otra CMK administrada por el cliente de AWS KMS.

P: ¿Puedo usar el almacén de claves personalizadas para almacenar una clave maestra de cliente administrada por AWS?
No, solo las CMK administradas por el cliente se pueden almacenar y administrar en un almacén de claves personalizadas de AWS KMS. Las CMK administradas por AWS que otros servicios de AWS crean en su nombre para cifrar datos siempre se generan y almacenan en el almacén de claves predeterminadas de AWS KMS.

P: ¿Los almacenes de claves personalizadas afectan el modo en que se utilizan las claves?
No, las solicitudes de API para AWS KMS para usar una CMK para cifrar y descifrar datos se manejan de la misma manera. Los procesos de autenticación y autorización funcionan independientemente de donde está almacenada la clave. Toda actividad en la que se utiliza una clave en un almacén de claves personalizadas también se registra en AWS CloudTrail en la misma forma. Sin embargo, las operaciones criptográficas reales ocurren exclusivamente tanto en el almacén de claves personalizadas o en el almacén de claves de AWS KMS predeterminado.

P: ¿Cómo puedo auditar el uso de claves en un almacén de claves personalizadas?
Además de la actividad que AWS KMS registra en AWS CloudTrail, la utilización de un almacén de claves personalizadas ofrece tres nuevos mecanismos de auditoría. En primer lugar, AWS CloudHSM también registra toda la actividad de la API para CloudTrail, por ejemplo, para crear clústeres y agregar o eliminar los HSM. En segundo lugar, cada uno de los clústeres también capta sus propios registros locales para registrar la actividad de administración de usuarios y claves. En tercer lugar, cada instancia de CloudHSM copia los logs de la actividad de administración de usuarios y claves para AWS CloudWatch.

P: ¿Qué impacto tienen el uso de un almacén de claves personalizadas en la disponibilidad de claves?
El uso de un almacén de claves personalizadas en AWS KMS hace responsable de garantizar que sus claves están disponibles para el AWS KMS las utilice. Los errores en la configuración de CloudHSM y la eliminación accidental de material de claves dentro de un clúster de AWS CloudHSM podrían afectar a la disponibilidad. La cantidad de HSM que utiliza y su elección de zonas de disponibilidad (AZ) también pueden afectar la capacidad de recuperación del clúster. Como en cualquier sistema de administración de claves, es importante comprender cómo la disponibilidad de claves puede influir en el proceso de recuperación de datos cifrados.

P: ¿Cuáles son las limitaciones de rendimiento asociadas con un almacén de claves personalizadas?
La velocidad a la cual se pueden utilizar las claves almacenadas en un almacén de claves personalizadas de AWS KMS mediante llamadas a la API de AWS KMS es inferior a la que utilizan las claves almacenadas en el almacén de claves predeterminado de AWS KMS. Consulte la Guía del desarrollador del AWS KMS para conocer los límites de rendimiento actuales.

P: ¿Cuáles son los costos asociados al uso de un almacén de claves personalizadas?
La utilización de un almacén de claves personalizadas no afecta a los precios de AWS KMS. No obstante, cada almacén de claves personalizadas exige que su clúster de AWS CloudHSM contenga al menos dos HSM. Estos HSM se cobran según los precios de AWS CloudHSM estándar. El uso de un almacén de claves personalizadas no tiene costos adicionales.

P: ¿Qué habilidades y recursos adicionales se necesitan para configurar un almacén de claves personalizadas?
Los usuarios de AWS KMS que deseen utilizar un almacén de claves personalizadas deberán configurar un clúster de AWS CloudHSM, agregar HSM, administrar usuarios de HSM y, posiblemente, restaurar los HSM a partir de copias de seguridad. Estas tareas son sensibles a la seguridad y debe asegurarse de que dispone de los recursos y los controles de organización adecuados en su lugar.

P: ¿Puedo importar claves en un almacén de claves personalizadas?
No, la capacidad de importar su propio material de claves en un almacén de claves personalizadas de AWS KMS no es compatible. Las claves que se almacenan en un almacén de claves personalizadas solo se pueden generar en los HS; que forman su clúster de AWS CloudHSM.

P: ¿Puedo migrar claves entre el almacén de claves predeterminado de AWS KMS y un almacén de claves personalizadas?
No, la capacidad de migrar claves entre los diferentes tipos de almacén de claves de AWS KMS no es compatible actualmente. Todas las claves se deben crear en el almacén de claves en el que se van a utilizar, excepto en situaciones donde importa su propio material de claves en el almacén de claves predeterminado de AWS KMS.

P: ¿Puedo rotar claves almacenadas en un almacén de claves personalizadas?
La capacidad de rotar automáticamente material de claves en un almacén de claves personalizadas de AWS KMS no es compatible. La rotación de claves se debe realizar manualmente mediante la creación de nuevas claves y la reasignación de alias de claves AWS KMS utilizadas por el código de la aplicación para usar las nuevas claves para las futuras operaciones de cifrado.

P: ¿Puedo usar mi clúster de AWS CloudHSM para otras aplicaciones?
Sí, AWS KMS no exige el acceso exclusivo a su clúster de AWS CloudHSM. Si ya dispone de un clúster, puede utilizarlo como un almacén de claves personalizadas y seguir utilizándolo para otras aplicaciones. Sin embargo, si el clúster admite altas cargas de trabajo ajenas a AWS KMS, usted puede experimentar una reducción en el rendimiento de las operaciones que utilizan las claves maestras de CMK en el almacén de claves personalizadas. Asimismo, una alta tasa de solicitud de AWS KMS a su almacén de claves personalizadas podría afectar a otras aplicaciones.

P: ¿Cómo puedo obtener más información sobre AWS CloudHSM?
Visite el sitio web de AWS CloudHSM para obtener información general del servicio, y para conocer más detalles sobre la configuración y el uso del servicio, lea la Guía del usuario de AWS CloudHSM.  

Facturación

P: ¿Cómo se me cobrará y facturará por el uso que haga de AWS KMS?
Con AWS KMS solo paga por lo que usa y no hay ninguna cuota mínima. No se requieren cuotas de configuración ni compromisos para comenzar a utilizar el servicio. A final de mes, se cobrará automáticamente en su tarjeta de crédito el uso de ese mes.

Se cobrará por todas las CMK que cree, así como por las solicitudes a la API realizadas en el servicio cada mes por encima de la capa gratuita.

Para obtener información sobre los precios, visite la página de precios de AWS KMS.

P: ¿Hay una capa gratuita?
Sí. Con la capa de uso gratuita de AWS, puede comenzar a utilizar AWS KMS de forma gratuita* en todas las regiones. Las CMK administradas por AWS que los servicios de AWS crean en su nombre se almacenan sin cargo en su cuenta. También hay una capa de uso gratuita que ofrece un número gratuito de solicitudes para el servicio al mes. Para obtener información actualizada sobre los precios, incluida la capa gratuita, visite la página de precios de AWS KMS.

* Las solicitudes API que involucren CMK asimétricas y las solicitudes API al GenerateDataKeyPair y el GenerateDataKeyPairWithoutPlaintext API no están incluidas en la capa gratuita.

P: ¿Los precios incluyen impuestos?
Si no se especifica lo contrario, nuestros precios no incluyen los impuestos ni gravámenes correspondientes, como el IVA y cualquier otro impuesto sobre las ventas. En el caso de los clientes con una dirección de facturación de Japón, el uso de los servicios de AWS está sujeto al impuesto de consumo nipón. Puede obtener más información aquí.

Seguridad

P: ¿Quién puede utilizar y administrar mis claves en AWS KMS?
AWS KMS implanta las políticas de uso y administración definidas por el usuario. Tiene la opción de permitir que los usuarios y las funciones de AWS Identity and Access Management (IAM) de su cuenta o de otras cuentas usen y administren sus claves.

P: ¿Cómo asegura AWS las CMK que creo?
AWS KMS está diseñado para que nadie, ni siquiera los empleados de AWS, pueda recuperar sus CMK de texto no cifrado del servicio. El servicio utiliza módulos de seguridad de hardware (HSM) que se validaron según la norma FIPS 140-2, o que están en proceso de validación. De esta forma se protege la confidencialidad y la integridad de sus claves, independientemente de si usa AWS KMS o AWS CloudHSM para crear sus claves o las importa al servicio usted mismo. Las claves de texto sin formato jamás salen de los HSM, jamás se graban en el disco y solo se utilizan en una memoria volátil de los HSM durante el tiempo necesario para realizar la operación criptográfica que solicitó. Las claves de AWS KMS nunca se transmiten fuera de las regiones de AWS en las que se han creado. Las actualizaciones de software en los hosts del servicio y del firmware del HSM de AWS KMS se verifican con un control de acceso de varios participantes que audita y revisa un grupo independiente de Amazon, así como un laboratorio certificado por el Instituto Nacional de Estándares y Tecnología (NIST) de conformidad con la norma FIPS 140-2.

Se puede encontrar información adicional de estos controles de seguridad en el documento técnico sobre los detalles criptográficos de AWS KMS. También puede consultar el certificado FIPS 140-2 para el HSM de AWS KMS junto con la política de seguridad asociada para obtener más detalles acerca de cómo el HSM de AWS KMS cumple los requisitos de seguridad de FIPS 140-2. Además, puede descargar una copia del informe Service Organization Controls (SOC) disponible en AWS Artifact para obtener más información sobre los controles de seguridad que utiliza el servicio para proteger sus CMK.

P: ¿Cómo puedo migrar mis CMK existentes para utilizar los HSM validados según la norma FIPS 140-2?
Todas las CMK, independientemente de su fecha de creación u origen, están protegidas automáticamente mediante el uso de HSM que han sido validados según la norma FIPS 140-2, o que están en proceso de validación. Usted no debe realizar ninguna acción para poder usar los HSM validados según FIPS 140-2.

P: ¿Qué regiones de AWS cuentan con HSM validados para FIPS 140-2?
Los HSM validados para FIPS 140-2 se encuentran disponibles en todas las regiones de AWS en las que se ofrece AWS KMS.

P: ¿Cuál es la diferencia entre los puntos de enlace validados para FIPS 140-2 y los HSM validados para FIPS 140-2 de AWS KMS?
AWS KMS es un servicio con dos capas. Los puntos de conexión de las API reciben solicitudes de los clientes a través de una conexión HTTPS únicamente mediante el uso de conjuntos de cifrado TLS que admiten la confidencialidad directa total. Estos puntos de enlace de las API autentican y autorizan la solicitud antes de pasar la solicitud por una operación criptográfica a los HSM de AWS KMS o su clúster de AWS CloudHSM, si utiliza el almacén de claves personalizadas de KMS.

P: ¿Cómo puedo realizar solicitudes de API a AWS KMS con los puntos de enlace validados para FIPS 140-2?
Puede configurar sus aplicaciones para que se conecten a los puntos de enlace HTTP validados para FIPS 140-2 únicos y regionales. Los puntos de enlace HTTPS validados para FIPS 140-2 de AWS KMS cuentan con la tecnología del módulo de objeto OpenSSL FIPS. Puede consultar la política de seguridad del módulo OpenSSL en https://www.openssl.org/docs/fips/SecurityPolicy-2.0.13.pdf. Los puntos de enlace de la API validados según FIPS 140-2 se encuentran disponibles en todas las regiones comerciales en las que se ofrece AWS KMS.

P: ¿Puedo usar AWS KMS para cumplir con los requisitos de cifrado y administración de claves de la norma Payment Card Industry Data Security Standard (PCI DSS, norma de seguridad de los datos del sector de tarjetas de pago, versión 3.2.1)?
Sí. AWS KMS cuenta con validación por tener los controles de funcionalidad y de seguridad necesarios para cumplir con los requisitos de cifrado y administración de claves (a los que se hace referencia, principalmente, en las secciones 3.5 y 3.6) de la norma PCI DSS 3.2.1.

Para obtener más detalles sobre los servicios de AWS que cumplen con la norma PCI DSS, lea las preguntas frecuentes sobre PCI DSS.

P: ¿Cómo protege AWS KMS las claves de datos que exporto y utilizo en mi aplicación?
Puede solicitar que AWS KMS genere claves de datos que puedan devolverse para utilizarlas en su propia aplicación. Las claves de datos se cifran con una clave maestra definida por el usuario en AWS KMS, para que se pueda almacenar la clave de datos cifrada junto con los datos cifrados. Solo pueden descifrar la clave de datos cifrados (y los datos de origen) los usuarios con permisos para utilizar la clave maestra original empleada para descifrar la clave de datos cifrados.

P: ¿Puedo exportar una CMK y utilizarla en aplicaciones propias?
No. Las CMK se crean y utilizan solo en el servicio para ayudar a garantizar su seguridad, permitir que sus políticas se apliquen con uniformidad y ofrecer un log centralizado de su uso.

P: ¿En qué región geográfica están almacenadas mis claves?
Las claves generadas por AWS KMS solo se almacenan y utilizan en la región en que se han creado. No se pueden transferir a otra región. Por ejemplo, las claves creadas en la región de la UE central (Fráncfort) solo se almacenan y utilizan en esa misma región.

P: ¿Cómo puedo saber quién ha usado o cambiado la configuración de mis claves en AWS KMS?
Los registros de AWS CloudTrail mostrarán todas las solicitudes de API de AWS KMS, incluidas las solicitudes de administración (por ejemplo, crear, rotar, deshabilitar o editar políticas) y las solicitudes criptográficas (por ejemplo, cifrar y descifrar). Active AWS CloudTrail en la cuenta para ver estos registros.

P: ¿En qué se diferencian AWS KMS y AWS CloudHSM?
AWS CloudHSM le proporciona un clúster general de HSM de inquilino único validado para el nivel 3 de FIPS 140-2 en su Amazon Virtual Private Cloud (VPC) para almacenar y utilizar sus claves. Tiene el control exclusivo de la manera en la que se utilizan las claves mediante un mecanismo de autenticación independiente a AWS. La interacción con las claves del clúster de AWS CloudHSM es similar a como se hace con las aplicaciones que se ejecutan en Amazon EC2. Puede usar AWS CloudHSM para admitir una variedad de casos de uso, como la administración de derechos digitales (DRM), la infraestructura de clave pública (PKI), la firma de documentos y las funciones criptográficas mediante el uso de PKCS#11, Java JCE o las interfaces de Microsoft CNG.

AWS KMS le permite crear y controlar las claves de cifrado que usan las aplicaciones y los servicios de AWS admitidos en varias regiones del mundo desde una única consola. El servicio utiliza un HSM que ha sido validado según FIPS 140-2, o está en proceso de validación, para proteger la seguridad de sus claves. La administración centralizada de todas las claves en AWS KMS le permite controlar quién puede usar las claves, bajo qué condiciones, cuándo se rotan y quién puede administrarlas. La integración de AWS KMS con AWS CloudTrail ofrece la posibilidad de auditar el uso de las claves para respaldar las actividades normativas y de conformidad. Puede interactuar con AWS KMS desde sus aplicaciones mediante AWS SDK si desea llamar a las API del servicio directamente, a través de otros servicios de AWS que están integrados con AWS KMS o mediante la SDK de cifrado de AWS si desea realizar el cifrado del lado del cliente.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Más información acerca de los precios

Ver ejemplos de precios y calcular sus costos.

Más información 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Regístrese para obtener una cuenta gratuita

Obtenga acceso instantáneo a la capa gratuita de AWS. 

Regístrese 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Comience a crear en la consola

Comience a crear con AWS Key Management Service en la consola de AWS.

Iniciar sesión