Pruebe AWS Key Management Service

Introducción a AWS
O inicie sesión en la Consola

Cree una cuenta gratuita de Amazon Web Services y disfrute de 12 meses de acceso a productos y servicios gratuitos.

Consulte los detalles de la capa gratuita de AWS »


AWS KMS es un servicio de cifrado administrado que le permite cifrar los datos con facilidad. AWS KMS ofrece una solución de alta disponibilidad para auditoría, administración y almacenamiento de claves que permite cifrar los datos en los servicios de AWS y dentro de sus propias aplicaciones.

Si es desarrollador y necesita cifrar datos en las aplicaciones, debe usar los AWS SDK con el soporte de AWS KMS para usar y proteger las claves de cifrado con facilidad. Si es administrador de TI y busca una infraestructura escalable para la administración de claves para ofrecer soporte a los desarrolladores y al número cada vez más elevado de aplicaciones que utilizan, debe usar AWS KMS para reducir los costos de licencias y la carga operativa. Si es responsable de la seguridad de los datos a efectos normativos y de conformidad, debe usar AWS KMS para verificar que los datos están cifrados de manera consistente en las aplicaciones en que se usan y almacenan.

La forma más fácil de comenzar a utilizar AWS KMS consiste en marcar la casilla para cifrar los datos dentro de los servicios de AWS soportados y usar las claves predeterminadas que se crean en la cuenta para cada servicio. Si desea tener un mayor control de la administración de estas claves, puede crear claves en AWS KMS y asignarlas para utilizarlas en servicios de AWS soportados al crear recursos cifrados, así como utilizarlas directamente dentro de sus propias aplicaciones. Se puede obtener acceso a AWS KMS desde la sección “Encryption Keys” de la consola de AWS Identity and Access Management (IAM) para el acceso web, y desde la interfaz de línea de comandos de AWS KMS o desde el kit de desarrollo de software de AWS para el acceso programado. Visite la página de Introducción para obtener más información.

La disponibilidad se indica en la página global de Productos y servicios por región.

Puede ejecutar las siguientes funciones de administración de claves en AWS KMS:

  • Crear claves con una descripción y un alias exclusivos
  • Importe sus propias claves
  • Definir qué usuarios y funciones de IAM pueden administrar claves
  • Definir qué usuarios y funciones de IAM pueden usar claves para cifrar y descifrar datos
  • Elija la opción para que AWS KMS rote las claves automáticamente con carácter anual
  • Deshabilitar temporalmente las claves para que nadie pueda utilizarlas
  • Rehabilitar las claves deshabilitadas
  • Eliminar las claves que ya no usa
  • Auditar el uso de las claves mediante el análisis de los logs en AWS CloudTrail

AWS CloudTrail le permite administrar las claves de manera centralizada y almacenarlas con seguridad. Puede generar claves en AWS KMS o importarlas de su infraestructura de administración de claves. Estas claves se pueden usar desde las aplicaciones y los servicios de AWS compatibles para proteger los datos, pero la clave nunca sale de AWS KMS. Debe enviar los datos a AWS KMS para cifrarlos o descifrarlos con las claves que usted controla. Debe definir políticas de uso de estas claves que determinen qué usuarios pueden utilizarlas para cifrar y descifrar datos. Todas las solicitudes para usar estas claves se registran en AWS CloudTrail para que pueda saber quién ha usado qué clave y cuándo lo ha hecho.

Puede usar AWS KMS para facilitar el cifrado local de los datos en las propias aplicaciones o para cifrarlos en un servicio de AWS compatible. Puede usar AWS SDK con soporte de AWS KMS para realizar el cifrado donde se ejecutan las aplicaciones. También puede solicitar que un servicio de AWS compatible cifre los datos que se almacenan. AWS CloudTrail ofrece logs de acceso para permitirle auditar cómo se han usado las claves en cada situación.

AWS KMS se integra perfectamente con varios servicios de AWS para que cifrar los datos en ellos sea tan fácil como seleccionar una casilla y la clave principal que quiere utilizar. Visite la página Detalles del producto para ver la lista de servicios de AWS que actualmente están integrados con AWS KMS. Todo el uso que haga de las claves en los servicios integrados aparecerá en los logs de AWS CloudTrail. Consulte la guía para desarrolladores AWS KMS Developer’s Guide para obtener más información sobre cómo usan AWS KMS los servicios integrados.

Los servicios de la nube de AWS integrados en AWS KMS utilizan un método denominado cifrado de sobre para proteger los datos. El cifrado de sobre es un método optimizado para cifrar datos en el que se usan dos claves diferentes. Una clave de datos la genera y usa el servicio de AWS para cifrar una parte de los datos o del recurso. La clave de datos se cifra con una clave principal que el usuario define en AWS KMS. Luego el servicio de AWS almacena la clave de datos cifrada. Si necesita que el servicio de AWS descifre los datos, la clave de datos cifrada se transfiere a AWS KMS y se descifra con la clave principal con la que se ha cifrado originalmente para que el servicio pueda descifrar los datos.

Si bien AWS KMS permite enviar datos con un volumen inferior a 4 KB para cifrarlos, el cifrado de sobre puede ofrecer beneficios de desempeño importantes. Si los datos se cifran directamente con AWS KMS, estos deben transferirse a través de la red. El cifrado de sobre reduce la carga de red de la aplicación o del servicio de la nube de AWS. Solo la solicitud y la cumplimentación de la clave de datos procesada mediante AWS KMS deben transferirse a través de la red. Dado que la clave de datos siempre se almacena de forma cifrada, es fácil y seguro distribuirla exclusivamente cuando lo necesite sin preocuparse por exponerla. Las claves de datos cifradas se envían a AWS KMS y se descifran con las claves principales para que finalmente el usuario pueda descifrar los datos. La clave de datos se encuentra disponible directamente en la aplicación, por lo que no es necesario enviar el bloque de datos completo a AWS KMS y experimentar latencia de red.

Tiene la opción de seleccionar una clave principal específica para usarla cuando desee que un servicio de AWS cifre los datos por usted. Por comodidad, en su cuenta se crea una clave principal predeterminada específica para cada servicio la primera vez que intenta crear un recurso cifrado. Esta clave la administra AWS KMS, pero siempre puede auditar su uso en AWS CloudTrail. También puede crear una clave principal de cliente en AWS KMS para poder utilizarla posteriormente en sus propias aplicaciones o desde un servicio de AWS compatible. AWS actualizará las políticas que rigen las claves maestras predeterminadas según sea necesario para habilitar automáticamente nuevas características en servicios soportados. AWS no modifica las políticas de las claves creadas por el usuario.

La creación de una clave en AWS KMS le permite ejercer mayor control que con las claves principales de servicio predeterminadas. Cuando crea una clave principal de cliente, puede elegir utilizar material de clave generado por AWS KMS o importar su propio material de clave, definir un alias, una descripción y optar por que la clave rote automáticamente una vez al año si dispone del material de clave generado por AWS KMS. También puede definir permisos sobre la clave para controlar quién puede usarla y administrarla. La actividad sobre la administración y el uso de la clave se encuentra disponible en AWS CloudTrail para realizar auditorías.

Sí. Puede importar una copia de la clave de su propia infraestructura de administración de claves de AWS KMS y usarla con cualquier servicio de AWS integrado o desde sus propias aplicaciones.

Puede utilizar una clave importada para disponer de mayor control en la creación, administración del ciclo de vida y durabilidad de su clave en AWS KMS. Las claves importadas están diseñadas para ayudarle a cumplir los requisitos de conformidad, que podrían incluir la capacidad de generar o mantener una copia segura de la clave en la infraestructura, así como la capacidad de eliminar bajo demanda la copia importada de la clave de la infraestructura de AWS cuando ya no la necesite.

Puede importar claves simétricas de 256 bits.

Durante la importación, la clave estará envuelta en una clave pública proporcionada por AWS KMS, mediante el uso de uno de los dos esquemas RSA PKCS#1. Eso garantiza que la clave cifrada solo pueda ser descifrada por AWS KMS.

Existen dos diferencias principales entre importar una clave y la que AWS KMS genera:
  1. Debe conservar una copia segura de las claves que importe en su infraestructura de administración de claves, a fin de poder volver a importarlas en cualquier momento. AWS garantiza la disponibilidad, seguridad y durabilidad de las claves que genera AWS KMS hasta que programe su eliminación.
  2. Puede configurar una fecha de vencimiento para que una clave importada se elimine automáticamente de AWS KMS una vez alcanzado dicho límite. También puede eliminar una clave importada bajo demanda sin eliminar la clave principal de cliente subyacente. Además, puede deshabilitar o eliminar manualmente la clave principal de cliente con una clave importada en cualquier momento. Una clave generada por AWS KMS solo puede deshabilitarse o eliminarse de forma programada, no se le puede asignar una fecha de vencimiento.

Sí. Puede elegir que AWS KMS rote automáticamente las claves que genera una vez por año. La rotación automática de claves no es compatible con las claves importadas. Si elige importar claves a AWS KMS, puede rotarlas manualmente cuando desee.

Si elige que AWS KMS rote automáticamente las claves que genera, no tendrá que volver a cifrar los datos. AWS KMS conserva las versiones anteriores de las claves a fin de utilizarlas para descifrar los datos cifrados con una versión anterior de una clave. Todas las solicitudes nuevas de cifrado con una clave en AWS KMS se cifran con la última versión de la clave.

Si rota las claves manualmente, es posible que tenga que volver a cifrarlas, dependiendo de la configuración de su aplicación.  

Sí. Puede programar la eliminación de una clave principal de cliente que haya creado en AWS KMS y los metadatos asociados. El período de espera configurable puede ser de 7 a 30 días. Este periodo de espera permite verificar el efecto que eliminar una clave tendría en las aplicaciones y los usuarios que la utilizan. El periodo de espera predeterminado es de 30 días. Durante el periodo de espera puede cancelar la eliminación. Cuando se programa la eliminación de una clave, esta no se puede utilizar hasta que no se cancele la eliminación durante el periodo de espera. Si no cancela la eliminación, la clave se elimina al final del periodo de espera configurable. Cuando una clave se elimine, ya no podrá usarla. No se podrá obtener acceso a los datos protegidos con una clave principal eliminada.

En el caso de las claves principales de cliente con material de clave importado, puede eliminar el material de clave sin eliminar la ID de la clave principal de cliente ni los metadatos de dos maneras. Primero, puede eliminar el material de la clave importada bajo demanda sin periodo de espera. En segundo lugar, cuando importe el material de clave en la clave principal de cliente, puede definir una fecha de vencimiento que fije cuánto tiempo AWS puede utilizar el material de la clave importada antes de que se elimine. Si necesita usarlo de nuevo, puede volver a importar el material de clave en la clave principal de cliente.

Puede volver a importar una copia del material de clave con una fecha de vencimiento válida en AWS KMS asignándola a la clave principal de cliente original para poder usarla.

Sí. Una vez que importa la clave en una clave principal de cliente, recibirá una métrica de Amazon CloudWatch cada varios minutos que cuenta el tiempo que falta para el vencimiento de la clave importada. También recibirá un evento de Amazon CloudWatch una vez que la clave importada de la clave principal de cliente venza. Puede crear lógica que actúe conforme a estas métricas o eventos y vuelva a importar la clave de forma automática con una nueva fecha de vencimiento para evitar un riesgo de disponibilidad.  

Sí. AWS KMS es compatible con los AWS SDK, con AWS Encryption SDK y con Amazon S3 Encryption Client para facilitar el cifrado de los datos dentro de sus propias aplicaciones dondequiera que se ejecuten. AWS SDK en las plataformas Java, Ruby, .NET y PHP admite las API de AWS KMS. Visite el sitio web sobre desarrollo en AWS para obtener más información.

Puede crear hasta 1000 claves principales de cliente por cada cuenta y región. Recomendamos eliminar las claves deshabilitadas que ya no use, pues tanto las claves principales de cliente deshabilitadas como las habilitadas se tienen en cuenta para el límite. Las claves principales predeterminadas creadas en su nombre para utilizarlas en los productos de AWS compatibles no se tienen en cuenta para este límite. No existe ningún límite en cuanto al número de claves de datos que pueden derivar de la utilización de una clave principal y que pueden utilizarse en la aplicación o que pueden usar los servicios de AWS para cifrar los datos por usted. Visite el centro de AWS Support para solicitar un aumento del límite para las claves principales de cliente.

Con AWS KMS solo paga por lo que usa y no hay ninguna cuota mínima. No se requieren cuotas predefinidas ni compromisos para comenzar a utilizar el servicio. A final de mes, se le cobrará automáticamente en su tarjeta de crédito el uso de ese mes.

Se le cobrará por todas las claves principales de cliente que cree, así como por las solicitudes a la API realizadas en el servicio cada mes por encima de la capa gratuita.

Para obtener información sobre los precios, visite la página de precios de AWS KMS.

Sí. Con la capa de uso gratuita de AWS, puede comenzar a utilizar AWS KMS de forma gratuita en todas las regiones. Las claves principales predeterminadas creadas en su nombre se almacenan en la cuenta de manera gratuita. También hay una capa de uso gratuita que ofrece un número gratuito de solicitudes a AWS KMS al mes. Para obtener información actualizada sobre los precios, incluida la capa gratuita, visite la página de precios de AWS KMS.

Si no se especifica lo contrario, nuestros precios no incluyen los impuestos ni gravámenes correspondientes, como el IVA y cualquier otro impuesto sobre las ventas. En el caso de los clientes con una dirección de facturación de Japón, el uso de los servicios de AWS está sujeto al impuesto de consumo nipón. Puede obtener más información aquí.

AWS KMS implanta las políticas de uso y administración definidas por el usuario. Tiene la opción de permitir que los usuarios y las funciones de AWS Identity and Access Management (IAM) de su cuenta o de otras cuentas usen y administren sus claves.

AWS KMS está diseñado para que nadie, incluidos los empleados de AWS, pueda recuperar las claves con texto no cifrado del servicio. El servicio utiliza módulos de seguridad de hardware (HSM) validados FIPS 140-2 para proteger la confidencialidad e integridad de sus claves, independientemente de si solicita a AWS KMS que cree claves por usted o las importa al servicio. Las claves con texto no cifrado jamás se graban en el disco y solo se utilizan en una memoria volátil del HSM durante el tiempo necesario para realizar la operación criptográfica que solicitó. Las claves de AWS KMS nunca se transmiten fuera de las regiones de AWS en las que se han creado. Las actualizaciones de software en los hosts del servicio y del firmware del HSM de AWS KMS se verifican con un control de acceso de varios participantes que un grupo independiente de Amazon audita y revisa.

Se puede encontrar información adicional de estos controles de seguridad en el documento técnico sobre los detalles criptográficos de AWS KMS. También puede consultar el certificado FIPS 140-2 para el HSM de AWS KMS junto con la política de seguridad asociada para obtener más detalles acerca de cómo el HSM de AWS KMS cumple los requisitos de seguridad de FIPS 140-2. Además, puede descargar una copia del informe Service Organization Controls (SOC) disponible en AWS Artifact para obtener más información sobre los controles de seguridad que AWS KMS utiliza para proteger las claves principales.

Todas las claves principales de AWS KMS, independientemente de su fecha de creación u origen, se protegen automáticamente con los HSM validados para FIPS 140-2. Usted no debe llevar adelante ninguna acción para poder usar los HSM validados para FIPS 140-2.

Los HSM validados para FIPS 140-2 se encuentran disponibles en todas las regiones de AWS en las que se ofrece AWS KMS.

Es posible encontrar información detallada sobre esta validación en el certificado FIPS 140-2 para el HSM de AWS KMS junto con la política de seguridad asociada.

AWS KMS es un servicio con dos capas. Los puntos de conexión de las API reciben solicitudes de los clientes a través de una conexión HTTPS únicamente mediante el uso de conjuntos de cifrado TLS que admiten la confidencialidad directa total. Estos puntos de conexión de las API autentican y autorizan la solicitud antes de pasar la solicitud por una operación criptográfica a los HSM de AWS KMS.

Puede configurar sus aplicaciones para que se conecten a los puntos de conexión HTTPS, únicos y regionales, validados para FIPS 140-2. Los puntos de conexión HTTPS validados para FIPS 140-2 de AWS KMS cuentan con la tecnología del módulo de objeto OpenSSL FIPS. Puede consultar la política de seguridad del módulo OpenSSL en https://www.openssl.org/docs/fips/SecurityPolicy-2.0.13.pdf. Los puntos de conexión de la API validada para FIPS 140-2 se encuentran disponibles en todas las regiones comerciales en las que se ofrece AWS KMS.

Sí. Se ha certificado que AWS KMS cuenta con los controles de funcionalidad y seguridad necesarios para cumplir con los requisitos de cifrado y administración de claves (recogidos, principalmente, en las secciones 3.5 y 3.6 del PCI DSS 3.1).

Para obtener más detalles sobre los servicios de AWS conformes con el PCI DSS, lea las preguntas frecuentes sobre PCI DSS.

Puede solicitar que AWS KMS genere claves de datos que puedan devolverse para utilizarlas en su propia aplicación. Las claves de datos se cifran con una clave principal definida por el usuario en AWS KMS, para que se pueda almacenar la clave de datos cifrada junto con los datos cifrados. La clave de datos cifrada (y los datos de origen) solo pueden descifrarla los usuarios con permisos para utilizar la clave de datos original empleada para cifrar la clave de datos.

Las claves principales de AWS KMS tienen una longitud de 256 bits. Las claves de datos se pueden generar con longitudes de 128 o 256 bits y se pueden cifrar con una clave principal definida por el usuario. AWS KMS también ofrece la posibilidad de generar datos aleatorios de cualquier longitud que defina adecuada para el uso criptográfico.

No. Las claves principales se crean y utilizan solo en AWS KMS para ayudar a garantizar su seguridad, permitir que sus políticas se apliquen con uniformidad y ofrecer un log centralizado de su uso.

Las claves solo se almacenan y utilizan en la región en que se han creado. No se pueden transferir a otra región. Por ejemplo, las claves creadas en la región de la UE central (Fráncfort) solo se almacenan y utilizan en esa misma región.

Los logs de AWS CloudTrail mostrarán las solicitudes de las claves principales, incluidas las solicitudes de administración (por ejemplo, crear, rotar, deshabilitar o editar políticas) y las solicitudes criptográficas (por ejemplo, cifrar y descifrar). Active AWS CloudTrail en la cuenta para ver estos logs.

AWS CloudHSM le proporciona un clúster de HSM de inquilino único validado para el nivel 3 de FIPS 140-2 en su Amazon Virtual Private Cloud (VPC) para almacenar y utilizar sus claves. Tiene el control exclusivo de la manera en la que se utilizan las claves mediante un mecanismo de autenticación independiente a AWS. La interacción con las claves del clúster de AWS CloudHSM es similar a como se hace con las aplicaciones que se ejecutan en Amazon EC2. Puede usar AWS CloudHSM para admitir una variedad de casos de uso, como la administración de derechos digitales (DRM), la infraestructura de clave pública (PKI), la firma de documentos y las funciones criptográficas mediante el uso de PKCS#11, Java JCE o las interfaces de Microsoft CNG.

AWS KMS le permite crear y controlar las claves de cifrado que usan las aplicaciones y los servicios de AWS admitidos en varias regiones del mundo desde una única consola. El servicio usa un HSM validado para FIPS 140-2 para proteger las claves. La administración centralizada de todas las claves en AWS KMS le permite controlar quién puede usar las claves, bajo qué condiciones, cuándo se rotan y quién puede administrarlas. La integración de AWS KMS con AWS CloudTrail le ofrece la posibilidad de auditar el uso de las claves para respaldar las actividades normativas y de conformidad. Es posible interactuar con AWS KMS a partir de las aplicaciones que usan el AWS SDK si desea realizar llamadas a las API del servicio directamente o el SDK de cifrado de AWS si desea realizar un cifrado del lado del cliente.