Pruebe AWS Key Management Service

Introducción a AWS
O inicie sesión en la Consola

Cree una cuenta gratuita de Amazon Web Services y disfrute de 12 meses de acceso a productos y servicios gratuitos.

Consulte los detalles de la capa gratuita de AWS »


AWS KMS es un servicio de cifrado administrado que le permite cifrar los datos con facilidad. AWS KMS ofrece una solución de alta disponibilidad para auditoría, administración y almacenamiento de claves que permite cifrar los datos en los servicios de AWS y dentro de sus propias aplicaciones.

Si es desarrollador y necesita cifrar datos en las aplicaciones, debe usar los AWS SDK con el soporte de AWS KMS para usar y proteger las claves de cifrado con facilidad. Si es administrador de TI y busca una infraestructura escalable para la administración de claves para ofrecer soporte a los desarrolladores y al número cada vez más elevado de aplicaciones que utilizan, debe usar AWS KMS para reducir los costos de licencias y la carga operativa. Si es responsable de la seguridad de los datos a efectos normativos y de conformidad, debe usar AWS KMS para verificar que los datos están cifrados de manera consistente en las aplicaciones en que se usan y almacenan.

La forma más fácil de comenzar a utilizar AWS KMS consiste en marcar la casilla para cifrar los datos dentro de los servicios de AWS soportados y usar las claves predeterminadas que se crean en la cuenta para cada servicio. Si desea tener un mayor control de la administración de estas claves, puede crear claves en AWS KMS y asignarlas para utilizarlas en servicios de AWS soportados al crear recursos cifrados, así como utilizarlas directamente dentro de sus propias aplicaciones. Se puede obtener acceso a AWS KMS desde la sección “Encryption Keys” de la consola de AWS Identity and Access Management (IAM) para el acceso web, y desde la interfaz de línea de comandos de AWS KMS o desde el kit de desarrollo de software de AWS para el acceso programado. Visite la página de Introducción para obtener más información.

La disponibilidad se indica en la página global de Productos y servicios por región.

Puede ejecutar las siguientes funciones de administración de claves en AWS KMS:

  • Crear claves con una descripción y un alias exclusivos
  • Importe sus propias claves
  • Definir qué usuarios y funciones de IAM pueden administrar claves
  • Definir qué usuarios y funciones de IAM pueden usar claves para cifrar y descifrar datos
  • Elija la opción para que AWS KMS rote las claves automáticamente con carácter anual
  • Deshabilitar temporalmente las claves para que nadie pueda utilizarlas
  • Rehabilitar las claves deshabilitadas
  • Eliminar las claves que ya no usa
  • Auditar el uso de las claves mediante el análisis de los logs en AWS CloudTrail

AWS CloudTrail le permite administrar las claves de manera centralizada y almacenarlas con seguridad. Puede generar claves en KMS o importarlas de su infraestructura de administración de claves. Estas claves se pueden usar desde las aplicaciones y los servicios de AWS compatibles para proteger los datos, pero la clave nunca sale de AWS KMS. Debe enviar los datos a AWS KMS para cifrarlos o descifrarlos con las claves que usted controla. Debe definir políticas de uso de estas claves que determinen qué usuarios pueden utilizarlas para cifrar y descifrar datos. Todas las solicitudes para usar estas claves se registran en AWS CloudTrail para que pueda saber quién ha usado qué clave y cuándo lo ha hecho.

Puede usar AWS KMS para facilitar el cifrado local de los datos en las propias aplicaciones o para cifrarlos en un servicio de AWS compatible. Puede usar AWS SDK con soporte de AWS KMS para realizar el cifrado donde se ejecutan las aplicaciones. También puede solicitar que un servicio de AWS compatible cifre los datos que se almacenan. AWS CloudTrail ofrece logs de acceso para permitirle auditar cómo se han usado las claves en cada situación.

AWS Key Management Service se integra perfectamente con varios servicios de AWS para que cifrar los datos en estos servicios sea tan fácil como activar una casilla y seleccionar la clave principal que quiere utilizar. Visite la página Detalles del producto para ver la lista de servicios de AWS que actualmente están integrados con KMS. Todo el uso que haga de las claves en los servicios integrados aparecerá en los logs de AWS CloudTrail. Consulte la guía para desarrolladores AWS KMS Developer’s Guide para obtener más información sobre cómo usan AWS KMS los servicios integrados.

Los servicios de la nube de AWS integrados en AWS KMS utilizan un método denominado cifrado de sobre para proteger los datos. El cifrado de sobre es un método optimizado para cifrar datos en el que se usan dos claves diferentes. Una clave de datos la genera y usa el servicio de AWS para cifrar una parte de los datos o del recurso. La clave de datos se cifra con una clave principal que el usuario define en AWS KMS. Luego el servicio de AWS almacena la clave de datos cifrada. Si necesita que el servicio de AWS descifre los datos, la clave de datos cifrada se transfiere a AWS KMS y se descifra con la clave principal con la que se ha cifrado originalmente para que el servicio pueda descifrar los datos.

Si bien AWS KMS permite enviar datos con un volumen inferior a 4 KB para cifrarlos, el cifrado de sobre puede ofrecer beneficios de desempeño importantes. Si los datos se cifran directamente con KMS, estos deben transferirse a través de la red. El cifrado de sobre reduce la carga de red de la aplicación o del servicio de la nube de AWS. Solo la solicitud y la cumplimentación de la clave de datos a través de KMS deben transferirse a través de la red. Dado que la clave de datos siempre se almacena de forma cifrada, es fácil y seguro distribuirla exclusivamente cuando lo necesite sin preocuparse por exponerla. Las claves de datos cifradas se envían a AWS KMS y se descifran con las claves principales para que finalmente el usuario pueda descifrar los datos. La clave de datos se encuentra disponible directamente en la aplicación, por lo que no es necesario enviar el bloque de datos completo a AWS KMS y experimentar latencia de red.

Tiene la opción de seleccionar una clave principal específica para usarla cuando desee que un servicio de AWS cifre los datos por usted. Por comodidad, en su cuenta se crea una clave principal predeterminada específica para cada servicio la primera vez que intenta crear un recurso cifrado. Esta clave la administra AWS KMS, pero siempre puede auditar su uso en AWS CloudTrail. También puede crear una clave principal de cliente en AWS KMS para poder utilizarla posteriormente en sus propias aplicaciones o desde un servicio de AWS compatible. AWS actualizará las políticas que rigen las claves maestras predeterminadas según sea necesario para habilitar automáticamente nuevas características en servicios soportados. AWS no modifica las políticas de las claves creadas por el usuario.

La creación de una clave en AWS KMS le permite ejercer mayor control que con las claves principales de servicio predeterminadas. Cuando crea una clave principal de cliente, puede elegir utilizar material de clave generado por KMS o importar su propio material de clave, definir un alias, una descripción y optar por que la clave rote automáticamente una vez al año si dispone del material de clave generado por KMS. También puede definir permisos sobre la clave para controlar quién puede usarla y administrarla. La actividad sobre la administración y el uso de la clave se encuentra disponible en AWS CloudTrail para realizar auditorías.

Sí. Puede importar una copia de la clave de su propia infraestructura de administración de claves de KMS y usarla con cualquier servicio de AWS integrado o desde sus propias aplicaciones.

Puede utilizar una clave importada para disponer de mayor control en la creación, administración del ciclo de vida y durabilidad de su clave en KMS. Las claves importadas están diseñadas para ayudarle a cumplir los requisitos de conformidad, que podrían incluir la capacidad de generar o mantener una copia segura de la clave en la infraestructura, así como la capacidad de eliminar bajo demanda la copia importada de la clave de la infraestructura de AWS cuando ya no la necesite.

Puede importar claves simétricas de 256 bits.

Durante la importación, la clave estará envuelta en una clave pública proporcionada por KMS, mediante el uso de uno de los dos esquemas RSA PKCS#1. Eso garantiza que la clave cifrada solo puede ser descifrada por KMS.

Existen dos diferencias principales entre importar una clave y la clave que KMS genere:
  1. Debe mantener una copia segura de las claves que importe en su infraestructura de administración de claves, a fin de poder volver a importarlas en cualquier momento. AWS garantiza la disponibilidad, seguridad y durabilidad de las claves generadas por KMS, hasta que programe la eliminación de las mismas.
  2. Puede configurar una fecha de vencimiento para que una clave importada se elimine automáticamente de KMS al cabo de un periodo de tiempo. También puede eliminar una clave importada bajo demanda sin eliminar la clave principal de cliente subyacente. Además, puede deshabilitar o eliminar manualmente la clave principal de cliente con una clave importada en cualquier momento. Una clave generada por KMS solo puede deshabilitarse o eliminarse de forma programada, no se le puede asignar una fecha de vencimiento.

Sí. Puede elegir que KMS rote automáticamente las claves generadas por KMS cada año. La rotación automática de claves no es compatible con las claves importadas. Si elige importar claves en KMS, puede rotarlas manualmente cuando desee.

Si elige que KMS rote automáticamente las claves generadas por KMS, no tendrá que volver a cifrar los datos. AWS KMS conserva las versiones anteriores de las claves a fin de utilizarlas para descifrar los datos cifrados con una versión anterior de una clave. Todas las solicitudes nuevas de cifrado con una clave en AWS KMS se cifran con la última versión de la clave.

Si rota las claves manualmente, es posible que tenga que volver a cifrarlas, dependiendo de la configuración de su aplicación.  

Sí. Puede programar la eliminación de una clave principal de cliente que haya creado en KMS y los metadatos asociados. El periodo de espera configurable va de 7 a 30 días. Este periodo de espera permite verificar el efecto que eliminar una clave tendría en las aplicaciones y los usuarios que la utilizan. El periodo de espera predeterminado es de 30 días. Durante el periodo de espera puede cancelar la eliminación. Cuando se programa la eliminación de una clave, esta no se puede utilizar hasta que no se cancele la eliminación durante el periodo de espera. Si no cancela la eliminación, la clave se elimina al final del periodo de espera configurable. Cuando una clave se elimine, ya no podrá usarla. No se podrá obtener acceso a los datos protegidos con una clave principal eliminada.

En el caso de las claves principales de cliente con material de clave importado, puede eliminar el material de clave sin eliminar la ID de la clave principal de cliente ni los metadatos de dos maneras. Primero, puede eliminar el material de la clave importada bajo demanda sin periodo de espera. En segundo lugar, cuando importe el material de clave en la clave principal de cliente, puede definir una fecha de vencimiento que fije cuánto tiempo AWS puede utilizar el material de la clave importada antes de que se elimine. Si necesita usarlo de nuevo, puede volver a importar el material de clave en la clave principal de cliente.

Puede volver a importar una copia del material de clave con una fecha de vencimiento válida en KMS asignándolo a la clave principal de cliente original para usarlo.

Sí. Una vez que importa la clave en una clave principal de cliente, recibirá una métrica de Amazon CloudWatch cada varios minutos que cuenta el tiempo que falta para el vencimiento de la clave importada. También recibirá un evento de Amazon CloudWatch una vez que la clave importada de la clave principal de cliente venza. Puede crear lógica que actúe conforme a estas métricas o eventos y vuelva a importar la clave de forma automática con una nueva fecha de vencimiento para evitar un riesgo de disponibilidad.  

Sí. AWS KMS es compatible con los AWS SDK, con AWS Encryption SDK y con Amazon S3 Encryption Client para facilitar el cifrado de los datos dentro de sus propias aplicaciones dondequiera que se ejecuten. AWS SDK en las plataformas Java, Ruby, .NET y PHP admite las API de AWS KMS. Visite el sitio web sobre desarrollo en AWS para obtener más información.

Puede crear hasta 1000 claves principales de cliente por cada cuenta y región. Recomendamos eliminar las claves deshabilitadas que ya no use, pues tanto las claves principales de cliente deshabilitadas como las habilitadas se tienen en cuenta para el límite. Las claves principales predeterminadas creadas en su nombre para utilizarlas en los productos de AWS compatibles no se tienen en cuenta para este límite. No existe ningún límite en cuanto al número de claves de datos que pueden derivar de la utilización de una clave principal y que pueden utilizarse en la aplicación o que pueden usar los servicios de AWS para cifrar los datos por usted. Visite el centro de AWS Support para solicitar un aumento del límite para las claves principales de cliente.

Con AWS KMS solo paga por lo que usa y no hay ninguna cuota mínima. No se requieren cuotas predefinidas ni compromisos para comenzar a utilizar el servicio. A final de mes, se le cobrará automáticamente en su tarjeta de crédito el uso de ese mes.

Se le cobrará por todas las claves principales de cliente que cree, así como por las solicitudes a la API realizadas en el servicio cada mes por encima de la capa gratuita.

Para obtener información sobre los precios, visite la página de precios de AWS KMS.

Sí. Con la capa de uso gratuita de AWS, puede comenzar a utilizar AWS KMS de forma gratuita en todas las regiones. Las claves principales predeterminadas creadas en su nombre se almacenan en la cuenta de manera gratuita. También hay una capa de uso gratuita que ofrece un número gratuito de solicitudes a AWS KMS al mes. Para obtener información actualizada sobre los precios, incluida la capa gratuita, visite la página de precios de AWS KMS.

Si no se especifica lo contrario, nuestros precios no incluyen los impuestos ni gravámenes correspondientes, como el IVA y cualquier otro impuesto sobre las ventas. En el caso de los clientes con una dirección de facturación de Japón, el uso de los servicios de AWS está sujeto al impuesto de consumo nipón. Puede obtener más información aquí.

AWS KMS implanta las políticas de uso y administración definidas por el usuario. Tiene la opción de permitir que los usuarios y las funciones de AWS Identity and Access Management (IAM) de su cuenta o de otras cuentas usen y administren sus claves.

AWS KMS está diseñado para que nadie pueda obtener acceso a las claves principales. El servicio se basa en sistemas diseñados para proteger las claves principales con técnicas extensivas de seguridad reforzada, como no almacenar nunca claves principales no cifradas en el disco, mantenerlas en la memoria y limitar los sistemas que pueden conectarse al dispositivo. Todo el acceso al software de actualización del servicio lo controla un servicio de aprobación de varios niveles de cuya auditoría y revisión se encarga un grupo independiente dentro de Amazon.

Se puede encontrar información adicional de estos controles de seguridad en el documento técnico sobre los detalles criptográficos de AWS KMS. Además, puede solicitar una copia del informe Service Organization Controls (SOC) disponible en Conformidad de AWS para obtener más información sobre los controles de seguridad que AWS utiliza para proteger los datos y las claves principales.

 

Sí. Se ha certificado que KMS cuenta con los controles de funcionalidad y seguridad necesarios para cumplir con los requisitos de cifrado y administración de claves (recogidos, principalmente, en las secciones 3.5 y 3.6 del PCI DSS 3.1).

Para obtener más detalles sobre los servicios de AWS conformes con el PCI DSS, lea las preguntas frecuentes sobre PCI DSS.

Puede solicitar que AWS KMS genere claves de datos que puedan devolverse para utilizarlas en su propia aplicación. Las claves de datos se cifran con una clave principal definida por el usuario en AWS KMS, para que se pueda almacenar la clave de datos cifrada junto con los datos cifrados. La clave de datos cifrada (y los datos de origen) solo pueden descifrarla los usuarios con permisos para utilizar la clave de datos original empleada para cifrar la clave de datos.

Las claves principales de AWS KMS tienen una longitud de 256 bits. Las claves de datos se pueden generar con longitudes de 128 o 256 bits y se pueden cifrar con una clave principal definida por el usuario. AWS KMS también ofrece la posibilidad de generar datos aleatorios de cualquier longitud que defina adecuada para el uso criptográfico.

No. Las claves principales se crean y utilizan solo en AWS KMS para ayudar a garantizar su seguridad, permitir que sus políticas se apliquen con uniformidad y ofrecer un log centralizado de su uso.

Las claves solo se almacenan y utilizan en la región en que se han creado. No se pueden transferir a otra región. Por ejemplo, las claves creadas en la región de la UE central (Fráncfort) solo se almacenan y utilizan en esa misma región.

Los logs de AWS CloudTrail mostrarán las solicitudes de las claves principales, incluidas las solicitudes de administración (por ejemplo, crear, rotar, deshabilitar o editar políticas) y las solicitudes criptográficas (por ejemplo, cifrar y descifrar). Active AWS CloudTrail en la cuenta para ver estos logs.

AWS CloudHSM le proporciona un HSM FIPS 140-3 de nivel 2 validado y dedicado para un solo arrendador, instalado en su Amazon Virtual Private Cloud (VPC) para almacenar y utilizar sus claves. Puede ejercer el control total de las claves y el software de la aplicación que las usa con AWS CloudHSM. Además, puede usar AWS CloudHSM para abastecer diversos casos de uso y aplicaciones, como la administración de derechos digitales (DRM), la infraestructura de claves públicas (PKI), las funciones criptográficas asimétricas, la firma de documentos y la aceleración criptográfica en VPC de alto desempeño.

AWS KMS le permite controlar las claves de cifrado que usan las aplicaciones y los servicios de AWS soportados en varias regiones del mundo desde una única consola. La administración centralizada de todas las claves en AWS KMS le permite controlar quién puede usar las claves, cuándo se rotan y quién puede administrarlas. La integración de AWS KMS con AWS CloudTrail le ofrece la posibilidad de auditar el uso de las claves para respaldar las actividades normativas y de conformidad.