Aspectos generales

P: ¿Qué es AWS Key Management Service (KMS)?
AWS KMS es un servicio administrado que le permite cifrar los datos con facilidad. AWS KMS ofrece una solución de alta disponibilidad para auditoría, administración y almacenamiento de claves que permite cifrar los datos dentro de sus propias aplicaciones y controlar el cifrado de datos almacenados en los servicios de AWS.

P: ¿Por qué debo utilizar AWS KMS?
Si es desarrollador y necesita cifrar datos en las aplicaciones, debe usar la SDK de cifrado de AWS con el soporte de AWS KMS para usar y proteger las claves de cifrado con facilidad. Si es administrador de TI y busca una infraestructura escalable para la administración de claves para ofrecer soporte a los desarrolladores y al número cada vez más elevado de aplicaciones que utilizan, debe usar AWS KMS para reducir los costos de licencias y la carga operativa. Si es responsable de la seguridad de los datos a efectos normativos y de conformidad, debe usar AWS KMS para verificar que los datos están cifrados de manera consistente en las aplicaciones en que se usan y almacenan.

P: ¿Cómo puedo comenzar a utilizar AWS KMS?
La forma más fácil de comenzar a utilizar AWS KMS consiste en marcar la casilla para cifrar los datos dentro de los servicios de AWS compatibles y usar las claves maestras administradas de AWS que se crean automáticamente en la cuenta para cada servicio. Si desea tener control total sobre la administración de sus claves, incluida la capacidad para compartir el acceso a claves en las cuentas o servicios, usted puede crear sus propias claves maestras en KMS. También puede utilizar las claves maestras que cree en KMS directamente dentro de sus propias aplicaciones. Se puede acceder a AWS KMS desde la consola de KMS que se agrupan dentro de Seguridad, Identidad y Cumplimiento en la Página de inicio de los servicios de AWS de la consola de AWS. También se puede acceder a las API de KMS directamente a través de la interfaz de línea de comandos de AWS KMS o AWS SDK para el acceso mediante programación. Puede utilizar las API de KMS indirectamente para cifrar datos dentro de sus propias aplicaciones mediante el SDK de cifrado de AWS. Visite la página de Introducción para obtener más información.

P: ¿En qué regiones se encuentra disponible KMS?
La disponibilidad se indica en la página global de Productos y servicios por región.

P: ¿Qué características de administración clave se encuentran disponibles en AWS KMS?
Puede ejecutar las siguientes funciones de administración de claves en AWS KMS:

  • Crear claves con una descripción y un alias exclusivos
  • Importar sus propio material de claves
  • Definir qué usuarios y funciones de IAM pueden administrar claves
  • Definir qué usuarios y funciones de IAM pueden usar claves para cifrar y descifrar datos
  • Elegir la opción para que AWS KMS rote las claves automáticamente con carácter anual
  • Deshabilitar temporalmente las claves para que nadie pueda utilizarlas
  • Rehabilitar las claves deshabilitadas
  • Eliminar las claves que ya no usa
  • Auditar el uso de las claves mediante el análisis de los logs en AWS CloudTrail
  • Crear almacenes de claves personalizadas*
  • Conectar y desconectar almacenes de claves personalizadas*
  • Crear almacenes de claves personalizadas*

* El uso de almacenes de claves personalizadas requiere recursos CloudHSM para estar disponible en su cuenta.

P: ¿Cómo funciona AWS KMS?
AWS KMS le permite administrar las claves de manera centralizada y almacenarlas con seguridad. Estos se conocen como claves maestras de cliente o CMK. Puede generar CMK en KMS, en un clúster CloudHSM de AWS, o importarlas desde su propia infraestructura de administración de claves. Estas claves principales están protegidas por módulos de seguridad de hardware (HSM) y sólo se utilizan dentro de dichos módulos. Puede enviar datos directamente a KMS para cifrarlos o descifrarlos con estas claves maestras. Debe definir políticas de uso sobre estas claves que determinen qué usuarios pueden utilizarlas para cifrar y descifrar datos en virtud de estas condiciones.

AWS KMS se integra con servicios de AWS y conjuntos de herramientas del lado del cliente que utilizan un método conocido como cifrado de sobres para cifrar sus datos. Según este método, KMS genera claves de datos que se utilizan para cifrar datos y que están cifradas mediante sus claves maestras de KMS. KMS no retiene ni administra claves de datos. Los servicios de AWS cifran sus datos y los almacenan en una copia cifrada de la clave principal junto con los datos que esta protege. Cuando un servicio necesita descifrar los datos, solicitan a KMS que descifre la clave de datos mediante su clave maestra. Si el usuario que solicita datos del servicio de AWS está autorizado para descifrar según la política de claves principales, el servicio recibirá la clave de datos descifrados desde KMS con el que se pueden descifrar los datos y devolverlos en texto sin formato. Todas las solicitudes para usar estas claves maestras se registran en AWS CloudTrail para que pueda saber quién ha usado qué clave en qué contexto y cuándo lo ha hecho.

P: ¿Dónde se encuentran los datos cifrados si utilizo AWS KMS?
Normalmente hay tres situaciones de cómo se cifran los datos con AWS KMS. En primer lugar, usted puede utilizar directamente las API de KMS para cifrar y descifrar datos mediante sus claves maestras almacenadas en KMS. En segundo lugar, puede elegir los servicios de AWS para cifrar sus datos con sus claves maestras almacenadas en KMS. En este caso, los datos se cifran con claves de datos que están protegidas por sus claves maestras en KMS. En tercer lugar, puede utilizar SDK de cifrado de AWS que está integrado con AWS KMS para realizar el cifrado dentro de sus propias aplicaciones, ya sea que funcionen en AWS o no.

P: ¿Qué servicios en la nube de AWS están integrados con AWS KMS?
AWS KMS se integra perfectamente con la mayoría de los otros servicios de AWS para que producir datos cifrados en aquellos servicios sea tan fácil como seleccionar una casilla. En algunos casos, los datos se cifran de forma predeterminada mediante las claves almacenadas en KMS, pero que pertenecen al servicio de AWS en cuestión y están administradas por él. En muchos casos es usted quien posee y administra las claves maestras dentro de su cuenta. Algunos servicios le dan la opción de administrar las claves usted mismo o permiten que el servicio administre las claves por usted. Consulte la lista de servicios de AWS que actualmente están integrados con KMS. Consulte la guía para desarrolladores AWS KMS para obtener más información sobre cómo utilizan AWS KMS los servicios integrados.

P: ¿Por qué se debe utilizar el cifrado de sobre? ¿Por qué no se envían los datos a AWS KMS para cifrarlos ahí directamente?
Si bien AWS KMS admite el envío de datos con un volumen inferior a 4 KB para cifrarlos directamente, el cifrado de sobre puede ofrecer beneficios de rendimiento importantes. Si los datos se cifran directamente con AWS KMS, estos deben transferirse a través de la red. El cifrado de sobre reduce la carga de la red, ya que sólo la solicitud y entrega de la clave de datos mucho menor se transfieren a través de la red. La clave de datos se utiliza localmente en su aplicación o servicio de cifrado de AWS, evitando así la necesidad de enviar todo el bloque de datos al KMS y experimentar latencia de red.

P: ¿Cuál es la diferencia entre una clave maestra que puedo crear y las claves principales que otros servicios de AWS crean automáticamente para mí?
Tiene la opción de seleccionar una clave maestra de cliente (CMK) específica para usarla cuando desee que un servicio de AWS cifre los datos por usted. Estas claves se conocen como CMK administradas por el cliente y el usuario tiene completo control sobre ellas. Puede definir el control de acceso y la política de uso para cada clave y otorgar permisos a otras cuentas y servicios para utilizarlos. Si no se especifica una CMK, el servicio en cuestión creará una CMK administrada de AWS la primera vez que se intenta crear un recurso cifrado dentro de dicho servicio. AWS administrará las políticas asociadas con la CMK administradas de AWS en su nombre. Puede realizar un seguimiento de las claves administradas de AWS en su cuenta y todo el uso se registra en AWS CloudTrail, pero usted no tiene control directo sobre las claves.

P: ¿Por qué debo crear mis propias claves maestras de cliente?
La creación de su propia CMK en AWS KMS le permite ejercer mayor control que con las CMK administradas de AWS. Cuando crea una CMK administrada por el cliente, puede elegir utilizar el material de claves generadas por AWS KMS, generadas dentro de un clúster de AWS CloudHSM o importar su propio material de claves. Puede definir un alias y una descripción para la clave y elegir la opción para que la clave rote automáticamente una vez al año, si esta se generó mediante AWS KMS. También puede definir permisos sobre la clave para controlar quién puede usarla o administrarla.

P: ¿Puedo importar claves a AWS KMS?
Sí. Puede importar una copia de la clave de su propia infraestructura de administración de claves de AWS KMS y usarla con cualquier servicio de AWS integrado o desde sus propias aplicaciones.

P: ¿Cuándo utilizaría una clave importada?
Puede utilizar una clave importada para disponer de mayor control en la creación, administración del ciclo de vida y durabilidad de su clave en AWS KMS. Las claves importadas están diseñadas para ayudarle a cumplir los requisitos de conformidad, que podrían incluir la capacidad de generar o mantener una copia segura de la clave en la infraestructura, así como la capacidad de eliminar inmediatamente la copia importada de la clave desde la infraestructura de AWS.

P: ¿Qué tipo de claves puedo importar?
Puede importar claves simétricas de 256 bits.

P: Si importo una clave a AWS KMS, ¿cómo se protege cuando se encuentra en tránsito?
Durante el proceso de importación, la clave estará envuelta en una clave pública proporcionada por AWS KMS, mediante el uso de uno de los dos esquemas RSA PKCS#1. Eso garantiza que la clave cifrada solo pueda ser descifrada por AWS KMS.

P: ¿Cuál es la diferencia entre importar una clave y que AWS KMS genere una para mí?
Hay dos diferencias principales:

  1. Debe conservar una copia de las claves que importe en su infraestructura de administración de claves, a fin de poder volver a importarlas en cualquier momento. AWS, sin embargo, garantiza la disponibilidad, seguridad y durabilidad de las claves que genera AWS KMS para usted hasta que programe la eliminación de las claves.
  2. Puede establecer un periodo de vencimiento de la clave importada. AWS KMS eliminará de forma automática el material de claves luego del periodo de vencimiento. También puede eliminar el material de claves importadas bajo demanda. En ambos casos, el material de claves en sí se elimina, pero la referencia de CMK en KMS y los metadatos asociados se mantienen para que el material de claves se pueda volver a importar en el futuro. Las claves generadas por AWS KMS no tienen una fecha de vencimiento y no pueden ser suprimidas inmediatamente; hay un periodo de espera obligatorio de 7 a 30 días. Todas las CMK administradas por el cliente, independientemente de si se importó el material de claves, se pueden desactivar manualmente o programar para su eliminación. En este caso, la CMK en sí se elimina, no sólo el material de claves subyacente.

P: ¿Puedo rotar mis claves?
Sí. Puede elegir que AWS KMS rote automáticamente las CMK cada año, siempre que AWS KMS haya generado dichas claves. La rotación automática de claves no es compatible con claves importadas o claves generadas en un clúster de CloudHSM AWS utilizando el almacén de claves personalizadas de KMS. Si decide importar claves a AWS KMS o utilizar un almacén de claves personalizadas, puede rotarlas manualmente cada vez que desee al crear una nueva CMK y asignar un alias de clave a partir de la clave antigua a la nueva clave.

P: ¿Tengo que volver a cifrar los datos después de que las claves se roten en AWS KMS?
Si elige que AWS KMS rote automáticamente las claves, no tendrá que volver a cifrar sus datos. AWS KMS conserva las versiones anteriores de las claves a fin de utilizarlas para descifrar los datos cifrados con una versión anterior de una clave. Todas las solicitudes nuevas de cifrado con una clave en AWS KMS se cifran con la última versión de la clave.

Si rota manualmente las claves del almacén de claves importadas o personalizadas, puede que tenga que volver a cifrar sus datos, dependiendo de si usted decide mantener versiones antiguas de claves disponibles.

P: ¿Puedo eliminar una clave de AWS KMS?
Sí. Puede programar la eliminación de una clave principal de cliente que haya creado en AWS KMS y los metadatos asociados. El período de espera configurable puede ser de 7 a 30 días. Este periodo de espera permite verificar el efecto que eliminar una clave tendría en las aplicaciones y los usuarios que la utilizan. El periodo de espera predeterminado es de 30 días. Durante el periodo de espera puede cancelar la eliminación. Cuando se programa la eliminación de una clave, esta no se puede utilizar hasta que no se cancele la eliminación durante el periodo de espera. Si no cancela la eliminación, la clave se elimina al final del periodo de espera configurable. Cuando una clave se elimine, ya no podrá usarla. No se podrá obtener acceso a los datos protegidos con una clave maestra eliminada.

En el caso de las claves principales de cliente con material de clave importado, puede eliminar el material de clave sin eliminar la ID de la clave principal de cliente ni los metadatos de dos maneras. Primero, puede eliminar el material de la clave importada bajo demanda sin periodo de espera. En segundo lugar, cuando importe el material de clave en la clave principal de cliente, puede definir una fecha de vencimiento que fije cuánto tiempo AWS puede utilizar el material de la clave importada antes de que se elimine. Si necesita usarlo de nuevo, puede volver a importar el material de clave en la clave principal de cliente.

P: ¿Qué debo hacer si el material de la clave importada ha vencido o si lo he eliminado accidentalmente?
Puede volver a importar una copia del material de clave con una fecha de vencimiento válida en AWS KMS asignándola a la clave principal de cliente original para poder usarla.

P: ¿Puedo recibir una alerta que me indique que debo volver a importar la clave?
Sí. Una vez que importa la clave en una clave principal de cliente, recibirá una métrica de Amazon CloudWatch cada varios minutos que cuenta el tiempo que falta para el vencimiento de la clave importada. También recibirá un evento de Amazon CloudWatch una vez que la clave importada de la clave principal de cliente venza. Puede crear lógica que actúe conforme a estas métricas o eventos y vuelva a importar la clave de forma automática con una nueva fecha de vencimiento para evitar un riesgo de disponibilidad.

P: ¿Puedo usar AWS KMS para facilitar la administración del cifrado de datos fuera de los servicios en la nube de AWS?
Sí. AWS KMS es compatible con las SDK de AWS, las SDK de cifrado de AWS, el cifrado del lado del cliente de Amazon DynameDB y con Amazon S3 Encryption Client para facilitar el cifrado de los datos dentro de sus propias aplicaciones dondequiera que se ejecuten. Visite el sitio web sobre Herramientas criptográficas de AWS y Desarrollo en AWS para obtener más información.

P: ¿Existe algún límite del número de claves que puedo crear en AWS KMS?
Puede crear hasta 1000 claves principales de cliente por cada cuenta y región. Recomendamos eliminar las claves deshabilitadas que ya no use, pues tanto las claves maestras de cliente deshabilitadas como las habilitadas se tienen en cuenta para el límite. Las claves maestras administradas de AWS creadas en su nombre para utilizarlas en los servicios de AWS compatibles no se tienen en cuenta para este límite. No existe ningún límite en cuanto al número de claves de datos que pueden derivar de la utilización de una clave maestra y que pueden utilizarse en la aplicación o que pueden usar los servicios de AWS para cifrar los datos por usted. Visite el Centro de AWS Support para solicitar un aumento del límite para las claves maestras de cliente.

Almacén de claves personalizadas

P: ¿Qué es un almacén de claves personalizadas?
El almacén de claves personalizadas de AWS KMS combina los controles proporcionados por AWS CloudHSM con la integración y facilidad de uso de AWS KMS. Puede configurar su propio clúster de CloudHSM y autorizar a KMS para usarlo como un almacén de claves dedicado para sus claves en lugar del almacén de claves de KMS predeterminado. Al crear claves en KMS puede elegir generar el material de claves en su clúster de CloudHSM. Las claves maestras que se generan en el almacén de claves personalizadas nunca dejan el HSM en el clúster de CloudHSM en texto sin formato y todas las operaciones de KMS que utilizan estas claves sólo se llevan a cabo en el HSM. En todos los demás aspectos, las claves maestras almacenadas en el almacén de claves personalizadas son coherentes con otras CMK de KMS.

Puede encontrar orientación adicional para decidir si utilizar un almacén de claves personalizadas es adecuado en su caso en este blog.

P: ¿Por qué necesitaría utilizar un almacén de claves personalizadas?
Dado que usted controla su clúster de AWS CloudHSM, tiene la opción de administrar el ciclo de vida de sus claves maestras de AWS KMS, independientemente de KMS. Hay cuatro razones por las cuales podría serle útil un almacén de claves personalizadas. En primer lugar, podría tener claves que deben explícitamente estar protegidas en un solo inquilino de HSM o en un HSM sobre el que tiene control directo. En segundo lugar, podría tener claves que deben ser almacenadas en un HSM que ha sido validado para la norma FIPS 140-2 de nivel 3 en general (los HSM utilizados en el almacén de claves KMS estándar son validados en el nivel 2 con nivel 3 en varias categorías). En tercer lugar, podría necesitar tener la capacidad de eliminar inmediatamente el material de claves de KMS y demostrar que lo ha hecho por sus propios medios. Finalmente, usted puede tener un requisito para poder auditar todo uso de sus claves que realice independientemente de KMS o AWS CloudTrail.

P: ¿Los almacenes de claves personalizadas afectan al modo en que se administran las claves?
Hay dos diferencias a la hora de administrar claves en un almacén de claves personalizadas en comparación con la del almacén de claves de AWS KMS predeterminado. No se puede importar el material de claves al almacén de claves personalizadas y usted no puede tener claves de rotación automática de KMS. En todos los demás aspectos, incluido el tipo de claves que pueden generarse, la forma en que las claves usan alias y cómo se definen las políticas, las claves que se almacenan en un almacén de claves personalizadas se administran de la misma manera que cualquier otra CMK administrada por el cliente de KMS.

P: ¿Puedo usar el almacén de claves personalizadas para almacenar una clave maestra de cliente administrada por AWS?
No, solo las CMK administradas por el cliente se pueden almacenar y administrar en un almacén de claves personalizadas de AWS KMS. Las CMK administradas por AWS que otros servicios de AWS crean en su nombre para cifrar datos siempre se generan y almacenan en el almacén de claves predeterminadas de KMS.

P: ¿Los almacenes de claves personalizadas afectan el modo en que se utilizan las claves?
No, las solicitudes de API para AWS KMS para usar una CMK para cifrar y descifrar datos se manejan de la misma manera. Los procesos de autenticación y autorización funcionan independientemente de donde está almacenada la clave. Toda actividad en la que se utiliza una clave en un almacén de claves personalizadas también se registra en AWS CloudTrail en la misma forma. Sin embargo, las operaciones criptográficas reales ocurren exclusivamente tanto en el almacén de claves personalizadas o en el almacén de claves de KMS predeterminado.

P: ¿Cómo puedo auditar el uso de claves en un almacén de claves personalizadas?
Además de la actividad que AWS KMS registra en AWS CloudTrail, la utilización de un almacén de claves personalizadas ofrece tres nuevos mecanismos de auditoría. En primer lugar, AWS CloudHSM también registra toda la actividad de la API para CloudTrail, por ejemplo, para crear clústeres y agregar o eliminar los HSM. En segundo lugar, cada uno de los clústeres también capta sus propios registros locales para registrar la actividad de administración de usuarios y claves. En tercer lugar, cada instancia de CloudHSM copia los logs de la actividad de administración de usuarios y claves para AWS CloudWatch.

P: ¿Qué impacto tienen el uso de un almacén de claves personalizadas en la disponibilidad de claves?
El uso de un almacén de claves personalizadas en AWS KMS le hace responsable de garantizar que sus claves están disponibles para el KMS las utilice. Los errores en la configuración de CloudHSM y la eliminación accidental de material de claves dentro de un clúster de CloudHSM AWS podría afectar a la disponibilidad. La cantidad de HSM que utiliza y su elección de zonas de disponibilidad (AZ) también pueden afectar la capacidad de recuperación del clúster. Como en cualquier sistema de administración de claves, es importante comprender cómo la disponibilidad de claves puede influir en el proceso de recuperación de datos cifrados.

P: ¿Cuáles son las limitaciones de rendimiento asociadas con un almacén de claves personalizadas?
La velocidad a la cual se pueden utilizar las claves almacenadas en un almacén de claves personalizadas de AWS KMS mediante llamadas a la API de AWS KMS es inferior a la que utilizan las claves almacenadas en el almacén de claves predeterminado de AWS KMS. Consulte la Guía del desarrollador del KMS para conocer los límites de rendimiento actuales.

P: ¿Cuáles son los costos asociados al uso de un almacén de claves personalizadas?
La utilización de un almacén de claves personalizadas no afecta a los precios de AWS KMS. No obstante, cada almacén de claves personalizadas exige que su clúster de CloudHSM contenga al menos dos HSM. Estos HSM se cobran según los precios de AWS CloudHSM estándar. El uso de un almacén de claves personalizadas no tiene costos adicionales.

P: ¿Qué habilidades y recursos adicionales se necesitan para configurar un almacén de claves personalizadas?
Los usuarios de AWS KMS que deseen utilizar un almacén de claves personalizadas deberán configurar un clúster de AWS CloudHSM, agregar HSM, administrar usuarios de HSM y, posiblemente, restaurar los HSM a partir de copias de seguridad. Estas tareas son sensibles a la seguridad y debe asegurarse de que dispone de los recursos y los controles de organización adecuados en su lugar.

P: ¿Puedo importar claves en un almacén de claves personalizadas?
No, la capacidad de importar su propio material de claves en un almacén de claves personalizadas de AWS KMS no es compatible. Las claves que se almacenan en un almacén de claves personalizadas solo se pueden generar en los HS; que forman su clúster de AWS CloudHSM.

P: ¿Puedo migrar claves entre el almacén de claves predeterminado de KMS y un almacén de claves personalizadas?
No, la capacidad de migrar claves entre los diferentes tipos de almacén de claves de AWS KMS no es compatible actualmente. Todas las claves se deben crear en el almacén de claves en el que se van a utilizar, excepto en situaciones donde importa su propio material de claves en el almacén de claves predeterminado de KMS.

P: ¿Puedo rotar claves almacenadas en un almacén de claves personalizadas?
La capacidad de rotar automáticamente material de claves en un almacén de claves personalizadas de AWS KMS no es compatible. La rotación de claves se debe realizar manualmente mediante la creación de nuevas claves y la reasignación de alias de claves KMS utilizadas por el código de la aplicación para usar las nuevas claves para las futuras operaciones de cifrado.

P: ¿Puedo usar mi clúster de AWS CloudHSM para otras aplicaciones?
Sí, AWS KMS no exige el acceso exclusivo a su clúster de AWS CloudHSM. Si ya dispone de un clúster, puede utilizarlo como un almacén de claves personalizadas y seguir utilizándolo para otras aplicaciones. Sin embargo, si el clúster admite altas cargas de trabajo ajenas a KMS, usted puede experimentar una reducción en el rendimiento de las operaciones que utilizan las claves maestras de KMS en el almacén de claves personalizadas. Asimismo, una alta tasa de solicitud de KMS a su almacén de claves personalizadas podría afectar a otras aplicaciones.

P: ¿Cómo puedo obtener más información sobre AWS CloudHSM?
Visite el sitio web de AWS CloudHSM para obtener información general del servicio, y para conocer más detalles sobre la configuración y el uso del servicio, lea la Guía del usuario de AWS CloudHSM.  

Facturación

P: ¿Cómo se me cobrará y facturará por el uso que haga de AWS KMS?
Con AWS KMS solo paga por lo que usa y no hay ninguna cuota mínima. No se requieren cuotas de configuración ni compromisos para comenzar a utilizar el servicio. A final de mes, se le cobrará automáticamente en su tarjeta de crédito el uso de ese mes.

Se le cobrará por todas las claves maestras de cliente (CMK) que cree, así como por las solicitudes a la API realizadas en el servicio cada mes por encima de la capa gratuita.

Para obtener información sobre los precios, visite la página de precios de AWS KMS.

P: ¿Hay una capa gratuita?
Sí. Con la capa de uso gratuita de AWS, puede comenzar a utilizar AWS KMS de forma gratuita en todas las regiones. Las claves maestras administradas por AWS que los servicios de AWS crean en su nombre se almacenan sin cargo en su cuenta. También hay una capa de uso gratuita que ofrece un número gratuito de solicitudes a AWS KMS al mes. Para obtener información actualizada sobre los precios, incluida la capa gratuita, visite la página de precios de AWS KMS.

P: ¿Los precios incluyen impuestos?
Si no se especifica lo contrario, nuestros precios no incluyen los impuestos ni gravámenes correspondientes, como el IVA y cualquier otro impuesto sobre las ventas. En el caso de los clientes con una dirección de facturación de Japón, el uso de los servicios de AWS está sujeto al impuesto de consumo nipón. Puede obtener más información aquí.

Seguridad

P: ¿Quién puede utilizar y administrar mis claves en AWS KMS?
AWS KMS implanta las políticas de uso y administración definidas por el usuario. Tiene la opción de permitir que los usuarios y las funciones de AWS Identity and Access Management (IAM) de su cuenta o de otras cuentas usen y administren sus claves.

P: ¿De qué manera AWS protege las claves maestras que creo en AWS KMS?
AWS KMS está diseñado para que nadie, incluidos los empleados de AWS, pueda recuperar las claves maestras con texto sin formato del servicio. El servicio utiliza módulos de seguridad de hardware (HSM) validados por la norma FIPS 140-2 para proteger la confidencialidad e integridad de sus claves, independientemente de si utiliza AWS KMS o AWS CloudHSM para crear claves o importarlas al servicio usted mismo. Las claves con texto sin formato jamás dejan los HSM, jamás se graban en el disco y solo se utilizan en una memoria volátil de los HSM durante el tiempo necesario para realizar la operación criptográfica que solicitó. Las claves de AWS KMS nunca se transmiten fuera de las regiones de AWS en las que se han creado. Las actualizaciones de software en los hosts del servicio y del firmware del HSM de AWS KMS se verifican con un control de acceso de varios participantes que audita y revisa un grupo independiente de Amazon, así como un laboratorio certificado por el Instituto Nacional de Estándares y Tecnología (NIST) de conformidad con la norma FIPS 140-2.

Se puede encontrar información adicional de estos controles de seguridad en el documento técnico sobre los detalles criptográficos de AWS KMS. También puede consultar el certificado FIPS 140-2 para el HSM de AWS KMS junto con la política de seguridad asociada para obtener más detalles acerca de cómo el HSM de AWS KMS cumple los requisitos de seguridad de FIPS 140-2. Además, puede descargar una copia del informe Service Organization Controls (SOC) disponible en AWS Artifact para obtener más información sobre los controles de seguridad que utiliza AWS KMS para proteger las claves maestras.

P: ¿Cómo puedo migrar mis claves principales de AWS KMS existentes para utilizar los HSM validados para FIPS 140-2?
Todas las claves maestras de AWS KMS, independientemente de su fecha de creación u origen, se protegen automáticamente con los HSM validados para FIPS 140-2. Usted no debe llevar adelante ninguna acción para poder usar los HSM validados para FIPS 140-2.

P: ¿Qué regiones de AWS cuentan con HSM validados para FIPS 140-2?
Los HSM validados para FIPS 140-2 se encuentran disponibles en todas las regiones de AWS en las que se ofrece AWS KMS.

P: ¿Cuál es la diferencia entre los puntos de enlace validados para FIPS 140-2 y los HSM validados para FIPS 140-2 de AWS KMS?
AWS KMS es un servicio con dos capas. Los puntos de conexión de las API reciben solicitudes de los clientes a través de una conexión HTTPS únicamente mediante el uso de conjuntos de cifrado TLS que admiten la confidencialidad directa total. Estos puntos de enlace de las API autentican y autorizan la solicitud antes de pasar la solicitud por una operación criptográfica a los HSM de AWS KMS o su clúster de AWS CloudHSM, si utiliza el almacén de claves personalizadas de KMS.

P: ¿Cómo puedo realizar solicitudes de API a AWS KMS con los puntos de enlace validados para FIPS 140-2?
Puede configurar sus aplicaciones para que se conecten a los puntos de enlace HTTP validados para FIPS 140-2 únicos y regionales. Los puntos de enlace HTTPS validados para FIPS 140-2 de AWS KMS cuentan con la tecnología del módulo de objeto OpenSSL FIPS. Puede consultar la política de seguridad del módulo OpenSSL en https://www.openssl.org/docs/fips/SecurityPolicy-2.0.13.pdf. Los puntos de enlace de la API validada para FIPS 140-2 se encuentran disponibles en todas las regiones comerciales en las que se ofrece AWS KMS.

P: ¿Puedo usar AWS KMS para cumplir con los requisitos de cifrado y administración de claves del estándar de seguridad de los datos del sector de tarjetas de pago (PCI DSS 3.1)?
Sí. Se ha certificado que AWS KMS cuenta con los controles de funcionalidad y seguridad necesarios para cumplir con los requisitos de cifrado y administración de claves (recogidos, principalmente, en las secciones 3.5 y 3.6) del PCI DSS 3.1.

Para obtener más detalles sobre los servicios de AWS en conformidad con el PCI DSS, puede leer las preguntas frecuentes sobre PCI DSS.

P: ¿Cómo protege AWS KMS las claves de datos que exporto y utilizo en mi aplicación?
Puede solicitar que AWS KMS genere claves de datos que puedan devolverse para utilizarlas en su propia aplicación. Las claves de datos se cifran con una clave maestra definida por el usuario en AWS KMS, para que se pueda almacenar la clave de datos cifrada junto con los datos cifrados. La clave de datos cifrada (y los datos de origen) solo pueden descifrarla los usuarios con permisos para utilizar la clave maestra original empleada para cifrar la clave de datos.

P: ¿Qué longitud de claves genera AWS KMS?
Las claves principales de AWS KMS tienen una longitud de 256 bits. Las claves de datos se pueden generar con longitudes de 128 o 256 bits y se pueden cifrar con una clave principal definida por el usuario. AWS KMS también ofrece la posibilidad de generar datos aleatorios de cualquier longitud que defina adecuada para el uso criptográfico.

P: ¿Puedo exportar una clave principal de AWS KMS y utilizarla en mis propias aplicaciones?
No. Las claves principales se crean y utilizan solo en AWS KMS para ayudar a garantizar su seguridad, permitir que sus políticas se apliquen con uniformidad y ofrecer un log centralizado de su uso.

P: ¿En qué región geográfica están almacenadas mis claves?
Las claves generadas por AWS KMS solo se almacenan y utilizan en la región en que se han creado. No se pueden transferir a otra región. Por ejemplo, las claves creadas en la región de la UE central (Fráncfort) solo se almacenan y utilizan en esa misma región.

P: ¿Cómo puedo saber quién ha usado o cambiado la configuración de mis claves en AWS KMS?
Los logs de AWS CloudTrail mostrarán todas las solicitudes de API de KMS, incluidas las solicitudes de administración (por ejemplo, crear, rotar, deshabilitar o editar políticas) y las solicitudes criptográficas (por ejemplo, cifrar y descifrar). Active AWS CloudTrail en la cuenta para ver estos logs.

P: ¿En qué se diferencian AWS KMS y AWS CloudHSM?
AWS CloudHSM le proporciona un clúster general de HSM de inquilino único validado para el nivel 3 de FIPS 140-2 en su Amazon Virtual Private Cloud (VPC) para almacenar y utilizar sus claves. Tiene el control exclusivo de la manera en la que se utilizan las claves mediante un mecanismo de autenticación independiente a AWS. La interacción con las claves del clúster de AWS CloudHSM es similar a como se hace con las aplicaciones que se ejecutan en Amazon EC2. Puede usar AWS CloudHSM para admitir una variedad de casos de uso, como la administración de derechos digitales (DRM), la infraestructura de clave pública (PKI), la firma de documentos y las funciones criptográficas mediante el uso de PKCS#11, Java JCE o las interfaces de Microsoft CNG.

AWS KMS le permite crear y controlar las claves de cifrado que usan las aplicaciones y los servicios de AWS admitidos en varias regiones del mundo desde una única consola. El servicio usa un HSM validado para FIPS 140-2 para proteger las claves. La administración centralizada de todas las claves en AWS KMS le permite controlar quién puede usar las claves, bajo qué condiciones, cuándo se rotan y quién puede administrarlas. La integración de AWS KMS con AWS CloudTrail le ofrece la posibilidad de auditar el uso de las claves para respaldar las actividades normativas y de conformidad. Puede interactuar con AWS KMS desde sus aplicaciones mediante AWS SDK si desea llamar a las API del servicio directamente, a través de otros servicios de AWS que están integrados con KMS o mediante la SDK de cifrado de AWS si desea realizar el cifrado del lado del cliente.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Más información acerca de los precios

Ver ejemplos de precios y calcular sus costos.

Más información 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Inscríbase para obtener una cuenta gratuita

Obtenga acceso automáticamente a la capa gratuita de AWS. 

Inscribirse 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Comience a crear en la consola

Comience a crear con AWS Key Management Service en la consola de AWS.

Iniciar sesión