La siguiente sección de preguntas frecuentes no se aplica a AWS KMS en la región China (Pekín) de AWS, a cargo de Sinnet, ni en la región China (Ningxia) de AWS, a cargo de NWCD. Haga clic en este enlace de preguntas frecuentes si desea leer contenido relevante para estas dos regiones de China.  

Aspectos generales

P: ¿Qué es AWS Key Management Service (KMS)?
AWS KMS es un servicio administrado que permite crear y controlar fácilmente las claves utilizadas para las operaciones criptográficas. El servicio proporciona una solución de generación de claves, almacenamiento, administración y auditoría de alta disponibilidad para que pueda cifrar o firmar digitalmente datos dentro de sus propias aplicaciones o controle el cifrado de datos a través de los servicios de AWS.

P: ¿Por qué debo utilizar AWS KMS?
Si es responsable de proteger sus datos a través de los servicios de AWS, debe usarlos para administrar centralmente las claves de cifrado que controlan el acceso a sus datos. Si es desarrollador y necesita cifrar datos en las aplicaciones, debe utilizar el SDK de cifrado de AWS con el soporte de AWS KMS para generar, utilizar y proteger las claves de cifrado simétricas en el código. Si es un desarrollador que necesita firmar digitalmente o verificar datos utilizando claves asimétricas, debe usar el servicio para crear y administrar las claves privadas que necesitará. Si busca una infraestructura escalable para la administración de claves para ofrecer soporte a los desarrolladores y al número cada vez más elevado de aplicaciones que utilizan, debe usar AWS KMS para reducir los costos de licencias y la carga operativa. Si es responsable de probar la seguridad de los datos con fines reglamentarios o de cumplimiento, debe usarlos porque facilita la prueba de que sus datos están protegidos de manera consistente. También está dentro del alcance de un amplio conjunto de regímenes de cumplimiento industrial y regional.

P: ¿Cómo puedo comenzar a utilizar AWS KMS?
La forma más fácil de comenzar a utilizar KMS es elegir cifrar los datos con un servicio de AWS que utilice claves maestras administradas por AWS que se crean automáticamente en la cuenta para cada servicio. Si desea tener control total sobre la administración de sus claves, incluida la capacidad para compartir el acceso a claves en las cuentas o servicios, puede crear sus propias claves administradas del cliente en AWS KMS. También puede utilizar las claves KMS que cree directamente dentro de sus propias aplicaciones. Se puede acceder a las AWS KMS desde la consola de KMS que se agrupan en Seguridad, Identidad y Conformidad en la Página de inicio de los servicios de AWS de la consola de AWS. También se puede acceder a las API de AWS KMS directamente a través de la interfaz de línea de comandos de AWS KMS o AWS SDK para el acceso mediante programación. Puede utilizar las API de AWS KMS indirectamente para cifrar datos dentro de sus propias aplicaciones mediante el SDK de cifrado de AWS. Para obtener más información, visite la página de Introducción.

P: ¿En qué regiones se encuentra disponible AWS KMS?
La disponibilidad se indica en la página global de Productos y servicios por región.

P: ¿Qué características de administración clave se encuentran disponibles en AWS KMS?

Puede ejecutar las siguientes funciones de administración de claves:

  • Crear claves simétricas y asimétricas donde el material clave solo se utiliza dentro del servicio
  • Crear claves simétricas donde el material clave se genera y utiliza dentro de un almacén de claves personalizado bajo su control*
  • Importar su propio material de clave simétrica para usar dentro del servicio
  • Crear pares de claves de datos simétricos y asimétricos para uso local dentro de sus aplicaciones
  • Definir qué usuarios y roles de IAM pueden administrar claves
  • Definir qué usuarios y roles de IAM pueden usar claves para cifrar y descifrar datos
  • Elegir que las claves generadas por el servicio se roten automáticamente cada año
  • Deshabilitar temporalmente las claves para que nadie pueda utilizarlas
  • Rehabilitar las claves deshabilitadas
  • Programar la eliminación de claves que ya no están en uso
  • Auditar el uso de las claves mediante el análisis de los registros en AWS CloudTrail

* El uso de almacenes de claves personalizadas requiere recursos CloudHSM para estar disponible en su cuenta.

P: ¿Cómo funciona AWS KMS?
Para comenzar a utilizar el servicio, debe solicitar la creación de una clave de KMS. Usted controla el ciclo de vida de la clave de KMS y quién puede utilizarla o administrarla. El material de clave de una clave de KMS se genera dentro de los módulos de seguridad basado en hardware (HSM) administrados por AWS KMS. También puede importar material de claves desde la propia infraestructura de administración de claves y asociarlo a una clave de KMS. También puede generar y utilizar el material de claves en un clúster de AWS CloudHSM como parte de la función de almacenamiento de claves personalizado de AWS KMS.
 
Una vez que haya creado una clave de KMS a través de cualquiera de las tres opciones compatibles, puede enviar datos directamente al servicio AWS KMS para que se firmen, verifiquen, cifren o descifren a través de estas claves de KMS. Usted establece políticas de utilización en estas claves que determinan qué usuarios pueden realizar qué acciones y en qué condiciones.

AWS KMS se integra con servicios de AWS y conjuntos de herramientas del lado del cliente que utilizan un método conocido como cifrado de sobres para proteger sus datos. Con este método, AWS KMS genera claves de datos que se utilizan para cifrar datos localmente en el servicio de AWS o en la aplicación. Las claves de datos están cifradas bajo una clave de KMS que usted define. AWS KMS no retiene ni administra claves de datos. Los servicios de AWS cifran los datos y los almacenan en una copia cifrada de la clave principal junto con los datos cifrados. Cuando un servicio necesita descifrar los datos, solicita a AWS KMS que descifre la clave de datos mediante la clave de KMS. Si el usuario que solicita datos al servicio de AWS está autorizado para descifrarlos con la clave de KMS, el servicio de AWS recibirá la clave de datos descifrados de AWS KMS. A continuación, el servicio de AWS descifra los datos y los devuelve como texto no cifrado. Todas las solicitudes para utilizar las claves de KMS se registran en AWS CloudTrail, para que pueda saber quién utilizó una clave determinada, en qué contexto y cuándo.

P: ¿Dónde se encuentran los datos cifrados si utilizo AWS KMS?
Normalmente existen tres situaciones de cifrado de los datos con AWS KMS. En primer lugar, puede utilizar las API de AWS KMS directamente para cifrar y descifrar datos mediante la utilización de las claves de KMS almacenadas en el servicio. En segundo lugar, puede elegir los servicios de AWS para cifrar los datos con las claves de KMS almacenadas en el servicio. En este caso, los datos se cifran con claves de datos que están protegidas por las claves de KMS. En tercer lugar, puede utilizar el SDK de cifrado de AWS que está integrado con AWS KMS para realizar el cifrado dentro de las propias aplicaciones, ya sea que funcionen en AWS o no.

P: ¿Qué servicios en la nube de AWS están integrados con AWS KMS?
AWS KMS se integra perfectamente con la mayoría de los otros servicios de AWS para que producir datos cifrados en aquellos servicios sea tan fácil como seleccionar una casilla. En algunos casos, los datos se cifran de forma predeterminada mediante las claves almacenadas en AWS KMS, pero que pertenecen al servicio de AWS en cuestión y están administradas por él. En muchos casos es usted quien posee y administra las claves de KMS dentro de su cuenta. Algunos servicios brindan la opción de que uno mismo administre las claves o que el servicio lo haga por usted. Consulte la Lista de servicios de AWS que actualmente están integrados con AWS KMS. Consulte la Guía AWS KMS para desarrolladores para obtener más información sobre cómo los servicios integrados utilizan AWS KMS.

P: ¿Por qué se debe utilizar el cifrado de sobre? ¿Por qué no solo enviar los datos a AWS KMS para cifrarlos ahí directamente?
Si bien AWS KMS admite el envío de datos con un volumen inferior a 4 KB para cifrarlos directamente, el cifrado de sobre puede ofrecer beneficios de rendimiento importantes. Si los datos se cifran directamente con AWS KMS, estos deben transferirse a través de la red. El cifrado de sobre reduce la carga de la red, ya que solo la solicitud y entrega de la clave de datos mucho menor se transfiere a través de la red. La clave de datos se utiliza localmente en la aplicación o servicio de cifrado de AWS, lo cual evita la necesidad de enviar todo el bloque de datos a AWS KMS y tener latencia de red.

P: ¿Cuál es la diferencia entre una clave de KMS que puedo crear y las claves de KMS que otros servicios de AWS crean automáticamente?
Tiene la opción de seleccionar una clave de KMS específica para utilizarla cuando desee que un servicio de AWS cifre los datos por usted. Estas claves se conocen como claves de KMS administradas por el cliente y el usuario tiene completo control sobre ellas. Puede definir el control de acceso y la política de utilización para cada clave y otorgar permisos a otras cuentas y servicios para utilizarlas. Si no se especifica una clave de KMS, el servicio en cuestión creará una clave de KMS administrada por AWS la primera vez que se intenta crear un recurso cifrado dentro de dicho servicio. AWS administrará por usted las políticas asociadas con las claves de KMS administradas por AWS. Puede realizar un seguimiento de las claves administradas por AWS en la cuenta y la totalidad de la utilización se registra en AWS CloudTrail, sin embargo usted no tiene control directo sobre las claves.

P: ¿Por qué debo crear mis propias claves de AWS KMS?
La creación de la propia clave de KMS permite ejercer mayor control que con las claves de KMS administradas por AWS. Cuando crea una clave de KMS simétrica administrada por el cliente, puede elegir utilizar el material de claves generado por AWS KMS, generadas dentro de un clúster de AWS CloudHSM (tienda de claves personalizadas) o importar su propio material de claves. Puede definir un alias y una descripción para la clave y elegir la opción para que la clave rote automáticamente una vez al año, si esta se generó mediante AWS KMS. También puede definir permisos sobre la clave para controlar quién puede utilizarla o administrarla. En el caso de las claves de KMS asimétricas administradas por el cliente, existen un par de advertencias para la administración: el material de claves solo se puede generar en el HSM de AWS KMS y no existe una opción para la rotación automática de claves.

P: ¿Puedo llevar mis propias claves a AWS KMS?
Sí. Puede importar una copia de la clave de su propia infraestructura de administración de claves a AWS KMS y utilizarla con cualquier servicio de AWS integrado o desde las propias aplicaciones. No puede importar claves de KMS asimétricas a AWS KMS.

P: ¿Cuándo debo utilizar una clave importada?
Puede utilizar una clave importada para disponer de mayor control en la creación, administración del ciclo de vida y durabilidad de su clave en AWS KMS. Las claves importadas están diseñadas para ayudarle a cumplir los requisitos de conformidad, que podrían incluir la capacidad de generar o mantener una copia segura de la clave en la infraestructura, así como la capacidad de eliminar inmediatamente la copia importada de la clave desde la infraestructura de AWS.

P: ¿Qué tipo de claves puedo importar?
Puede importar claves simétricas de 256 bits.

P: Si importo una clave a AWS KMS, ¿cómo se protege cuando se encuentra en tránsito?
Durante el proceso de importación, la clave estará envuelta en una clave pública proporcionada por AWS KMS, mediante el uso de uno de los dos esquemas RSA PKCS#1. Eso garantiza que la clave cifrada solo pueda ser descifrada por AWS KMS.

P: ¿Cuál es la diferencia entre importar una clave y que AWS KMS genere una para mí?
Hay dos diferencias principales:

  1. Debe conservar una copia de las claves que importe en su infraestructura de administración de claves, a fin de poder volver a importarlas en cualquier momento. AWS, sin embargo, garantiza la disponibilidad, seguridad y durabilidad de las claves que genera AWS KMS para usted hasta que programe la eliminación de las claves.
  2. Puede establecer un periodo de vencimiento de la clave importada. AWS KMS eliminará de forma automática el material de claves luego del periodo de vencimiento. También puede eliminar el material de claves importado bajo demanda. En ambos casos, el material de claves en sí se elimina, pero la referencia de la clave de KMS en AWS KMS y los metadatos asociados se mantienen para que el material de claves se pueda volver a importar en el futuro. Las claves generadas por AWS KMS no tienen una fecha de vencimiento y no pueden ser eliminadas inmediatamente; existe un periodo de espera obligatorio de 7 a 30 días. Todas las claves de KMS administradas por el cliente, independientemente de si se importó el material de claves, se pueden deshabilitar manualmente o se puede programar la eliminación. En este caso, se elimina la clave de KMS, no solo el material de clave subyacente.

P: ¿Puedo rotar mis claves?
Sí. Puede elegir que AWS KMS rote automáticamente las claves de KMS cada año, siempre que dichas claves se hayan generado en el HSM de AWS KMS. La rotación automática de claves no es compatible con claves importadas o claves asimétricas generadas en un clúster de AWS CloudHSM a través del almacén de claves personalizadas de AWS KMS. Si decide importar claves a AWS KMS o claves asimétricas o utilizar un almacén de claves personalizadas, puede rotarlas manualmente mediante la creación de una nueva clave de KMS y la asignación de un alias de clave existente de la antigua clave de KMS a la nueva clave de KMS.

P: ¿Tengo que volver a cifrar los datos después de rotar las claves en AWS KMS?
Si elige que AWS KMS rote automáticamente las claves, no tendrá que volver a cifrar sus datos. AWS KMS conserva las versiones anteriores de las claves a fin de utilizarlas para descifrar los datos cifrados con una versión anterior de una clave. Todas las solicitudes nuevas de cifrado con una clave en AWS KMS se cifran con la última versión de la clave.

Si rota manualmente las claves del almacén de claves importadas o personalizadas, puede que tenga que volver a cifrar sus datos, dependiendo de si usted decide mantener versiones antiguas de claves disponibles.

P: ¿Puedo eliminar una clave de AWS KMS?
Sí. Puede programar la eliminación de una clave de AWS KMS y de los metadatos asociados, con un periodo de espera configurable de 7 a 30 días. Este periodo de espera permite verificar el impacto que tendría eliminar una clave en las aplicaciones y los usuarios que la utilizan. El periodo de espera predeterminado es de 30 días. Durante el periodo de espera puede cancelar la eliminación. Cuando se programa la eliminación de una clave, esta no se puede utilizar hasta que no se cancele la eliminación durante el periodo de espera. Si no cancela la eliminación, la clave se elimina al final del periodo de espera configurable. Cuando una clave se elimina, ya no es posible utilizarla. No se puede obtener acceso a los datos protegidos con una clave maestra eliminada.

En el caso de las claves de AWS KMS con material de claves importado, puede eliminar de dos maneras el material de claves sin eliminar el ID de clave de AWS KMS ni los metadatos. Primero, puede eliminar el material de claves importado bajo demanda sin periodo de espera. En segundo lugar, cuando importe el material de claves a la clave de AWS KMS, puede definir una fecha de vencimiento que fije cuánto tiempo AWS puede utilizar el material de claves importado antes de que se elimine. Si necesita utilizarla de nuevo, puede volver a importar el material de claves a la clave de AWS KMS.

P: ¿Qué debo hacer si el material de claves importado venció o si lo eliminé accidentalmente?
Puede volver a importar una copia del material de claves con una fecha de vencimiento válida a AWS KMS bajo la clave de AWS KMS original para poder utilizarla.

P: ¿Puedo recibir una alerta que me indique que debo volver a importar la clave?
Sí. Una vez que importa la clave a una clave de AWS KMS, recibirá una métrica de Amazon CloudWatch cada varios minutos que cuenta el tiempo que falta para el vencimiento de la clave importada. También recibirá un evento de Amazon CloudWatch una vez que venza la clave importada bajo la clave de AWS KMS. Puede crear una lógica que actúe conforme a estas métricas o eventos y vuelva a importar la clave de forma automática con una nueva fecha de vencimiento para evitar un riesgo de disponibilidad.

P: ¿Puedo usar AWS KMS para facilitar la administración del cifrado de datos fuera de los servicios en la nube de AWS?
Sí. AWS KMS es compatible con las SDK de AWS, las SDK de cifrado de AWS, el cifrado del lado del cliente de Amazon DynamoDB y con Amazon S3 Encryption Client para facilitar el cifrado de los datos dentro de sus propias aplicaciones dondequiera que se ejecuten. Visite los sitios web Herramientas criptográficas de AWS y Desarrollo en AWS para obtener más información.

P: ¿Hay un límite de claves que puedo crear en AWS KMS?
Puede crear hasta 10 000 claves de KMS por cuenta y región. Como las claves de KMS habilitadas y deshabilitadas cuentan para el límite, recomendamos eliminar las claves deshabilitadas que ya no utiliza. Las claves de KMS administradas por AWS creadas para que pueda utilizarlas en los servicios de AWS compatibles no se tienen en cuenta para este límite. No existe ningún límite en cuanto al número de claves de datos que se pueden derivar de la utilización de una clave de KMS y que se pueden utilizar en la aplicación o que pueden utilizar los servicios de AWS para cifrar los datos por usted. Puede solicitar que se incremente el límite de claves de KMS en el AWS Support Center.

P: ¿Qué tipos de algoritmos y tipos de claves simétricas son compatibles?
Al crear una clave de KMS, AWS KMS admite claves de 256 bits. Las claves de datos generados devueltas al intermediario pueden ser de 256 bits, 128 bits o un valor arbitrario de hasta 1024 bytes. Cuando AWS KMS utiliza una clave de KMS de 256 bits por usted, se utiliza el algoritmo AES en el modo de contador de Galois (AES-GCM).

P: ¿Qué tipo de claves asimétricas son compatibles?
AWS KMS admite los siguientes tipos de clave asimétrica: RSA 2048, RSA 3072, RSA 4096, ECC NIST P-256, ECC NIST P-384, ECC NIST-521 y ECC SECG P-256k1.

P: ¿Qué tipos de algoritmos de cifrado asimétrico son compatibles?
AWS KMS admite los algoritmos de cifrado RSAES_OAEP_SHA_1 y RSAES_OAEP_SHA_256 con los tipos de clave RSA 2048, RSA 3072 y RSA 4096. Los algoritmos de cifrado no se pueden usar con los tipos de clave de curva elíptica (ECC NIST P-256, ECC NIST P-384, ECC NIST-521 y ECC SECG P-256k1).

P: ¿Qué tipos de algoritmos de firma asimétrica son compatibles?
Cuando se utilizan los tipos de claves RSA, AWS KMS apoya la RSASSA_PSS_SHA_256, RSASSA_PSS_SHA_384, RSASSA_PSS_SHA_512, RSASSA_PKCS1_V1_5_SHA_256, RSASSA_PKCS1_V1_5_SHA_384, y algoritmos de firma RSASSA_PKCS1_V1_5_SHA_512.
Cuando se utilizan tipos de clave de curva elíptica, AWS KMS es compatible con los algoritmos de firma ECDSA_SHA_256, ECDSA_SHA_384 y ECDSA_SHA_512.

P: ¿Se pueden exportar en texto plano claves de KMS simétricas fuera del servicio?
No. Una clave de KMS simétrica o la parte privada de una clave de KMS asimétrica no se puede exportar en texto plano desde los HSM. La parte pública de una clave de KMS asimétrica se puede exportar desde la consola o mediante una llamada a la API “GetPublicKey”.

P: ¿Se pueden exportar claves de datos y pares de claves de datos desde los HSM en texto plano?
Sí. Las claves de datos simétricos se pueden exportar utilizando la API “GenerateDataKey” o la API “GenerateDataKeyWithoutPlaintext”. Y la parte privada y pública de los pares de claves de datos asimétricos se pueden exportar desde AWS KMS utilizando la API “GenerateDataKeyPair” o la API “GenerateDataKeypairWithoutPlaintext”.

P: ¿Cómo se protegen las claves de datos y los pares de claves de datos para almacenarse fuera del servicio?
La clave de datos simétrica o la parte privada de la clave de datos asimétrica se cifran bajo la clave de KMS simétrica que usted define cuando solicita que AWS KMS genere la clave de datos.

P: ¿Cómo utilizo la parte pública de una clave de KMS asimétrica?
La parte pública del material de claves asimétrico se genera en AWS KMS y se puede utilizar para la verificación de firma digital mediante una llamada a la API “Verify” o para el cifrado de clave pública mediante una llamada a la API “Encrypt”. La clave pública también se puede utilizar fuera de AWS KMS para verificación o cifrado. Puede llamar a la API GetPublicKey para recuperar la parte pública de la clave de KMS asimétrica.

P: ¿Cuál es el límite de tamaño para los datos enviados a AWS KMS para operaciones asimétricas?
El límite de tamaño es de 4 KB. Si desea firmar digitalmente datos de más de 4 KB, tiene la opción de crear un resumen de mensaje de los datos y enviarlo a AWS KMS. La firma digital se crea sobre el resumen de los datos y se devuelve. Usted especifica si está enviando el mensaje completo o un resumen del mensaje como parámetro en la solicitud de API firmada. Cualquier dato enviado a las API “Encrypt”, “Decrypt” o “Recrypt” que requieren la utilización de operaciones asimétricas también debe ser inferior a 4 KB.

P: ¿Cómo puedo distinguir entre las claves de KMS asimétricas o simétricas que creé?
En la consola, cada tecla tendrá un nuevo campo llamado “Tipo de clave”. Tendrá el valor “Clave asimétrica” o “Clave simétrica” para indicar el tipo de clave. La API “DescribeKey” devolverá un campo “KeyUsage” que especificará si la clave se puede utilizar para firmar o cifrar.

P: ¿Se admite la rotación automática de las claves de KMS asimétricas?
No, la rotación automática de claves no es compatible con las claves de KMS asimétricas. Puede rotarlas manualmente mediante la creación de una nueva clave de KMS y la asignación de un alias de clave existente de la clave de KMS antigua a la nueva.

P: ¿Se puede utilizar una sola clave de KMS asimétrica tanto para el cifrado como para la firma?
No. Al crear una clave de KMS, debe especificar si la clave se puede utilizar para descifrar o firmar operaciones. Se puede utilizar un tipo de clave RSA para operaciones de firma o cifrado, pero no ambas. Los tipos de clave de curva elíptica solo se pueden usar para operaciones de firma.

P: ¿Hay límites de servicio relacionados con las claves asimétricas?
Sí. Los límites de velocidad de solicitud por segundo son diferentes para diferentes tipos de claves y algoritmos. Para obtener más información, consulte nuestra página Límites de AWS KMS.

P: ¿Las claves asimétricas funcionan con los almacenes de claves personalizadas de AWS KMS o la función Importar clave?
No, no puede utilizar la funcionalidad de almacenamiento de claves personalizada con claves asimétricas ni importar claves asimétricas a AWS KMS.

P: ¿Puedo utilizar claves de KMS asimétricas para aplicaciones de firma digital que requieren certificados digitales?
No directamente. AWS KMS no almacena ni asocia certificados digitales con las claves de KMS asimétricas que crea. Usted puede optar por hacer que una entidad de certificación como ACM PCA emita un certificado para la parte pública de la clave de KMS asimétrica. Esto permitirá que las entidades que utilizan la clave pública verifiquen que dicha clave púbica ciertamente es de su propiedad.

P: ¿Para qué escenarios de uso puedo usar el ACM Private Certificate Authority vs. AWS KMS? 
El motivo principal para usar el servicio ACM Private Certificate Authority (CA) es ofrecer una infraestructura de clave pública (PKI) que tiene como objetivo identificar entidades y asegurar conexiones de red seguras. PKI ofrece procesos y mecanismos, principalmente a través de certificados X.509, para brindar una estructura entorno a operaciones públicas criptográficas de claves. Los certificados ofrecen una asociación entre una identidad y una clave pública. El proceso de certificación mediante el cual una entidad de certificación emite un certificado, permite a la entidad que emite el certificado de confianza aseverar la identidad de otra entidad a través de la firma de un certificado. PKI proporciona identidad, fiabilidad distribuida, gestión del ciclo de vida de la clave y estado del certificado creado a través de la revocación. Estas funciones añaden un importante proceso e infraestructura a las claves criptográficas asimétricas subyacentes y algoritmos provistos por AWS KMS.

ACM Private CA permite emitir certificados para identificar servidores web y de aplicaciones, mallas de servicios, usuarios VPN, puntos de enlace internos API y dispositivos IoT. Los certificados permiten establecer la identidad de estos recursos y crear canales de comunicación TLS o SSL. Si está considerando usar claves asimétricas para la terminación TLS en servidores web y de aplicaciones, balanceadores de carga elástico, puntos de enlace API Gateway, instancias EC2 o contenedores, debería considerar usar ACM Private CA para emitir certificados y proporcionar una infraestructura PKI.

En contraste, AWS KMS permite generar, gestionar y usar claves asimétricas para firmas digitales u operaciones de cifrado que no requieren certificados. Si bien los certificados pueden permitir la verificación de la identidad del expedidor y el receptor entre partes no confiables, el tipo de operaciones asimétricas sin procesar que ofrece AWS KMS generalmente son usadas cuando usted cuenta con otros mecanismos para comprobar la identidad o no necesita comprobarla para obtener el beneficio de seguridad que desea.

P: ¿Puedo usar los proveedores API criptográficos de mis aplicaciones como OpenSSL, JCE, Bouncy Castle o CNG con AWS KMS?
No hay una integración nativa ofrecida por AWS KMS para cualquier otro proveedor API criptográfico. Usted debe usar los API de AWS KMS directamente o a través de AWS SDK para integrar las capacidades de firmado y cifrado en sus aplicaciones.

P: ¿AWS KMS ofrece un acuerdo de nivel de servicio (SLA)?
Sí. El SLA de AWS KMS prevé la concesión de créditos de servicio si el porcentaje de tiempo de actividad mensual de un cliente se encuentra por debajo de nuestro compromiso de servicio en un ciclo de facturación.

Almacenamiento de claves personalizadas

P: ¿Qué es un almacén de claves personalizadas?
El almacén de claves personalizadas de AWS KMS combina los controles proporcionados por AWS CloudHSM con la integración y facilidad de utilización de AWS KMS. Puede configurar su propio clúster de CloudHSM y autorizar a AWS KMS para usarlo como un almacén de claves dedicado para sus claves en lugar del almacén de claves de AWS KMS predeterminado. Al crear claves en AWS KMS puede elegir generar el material de claves en el clúster de CloudHSM. Las claves de KMS que se generan en el almacén de claves personalizadas nunca dejan los HSM en el clúster de CloudHSM en texto plano y todas las operaciones de AWS KMS que utilizan estas claves solo se llevan a cabo en el HSM. En todos los demás aspectos, las claves de KMS almacenadas en el almacén de claves personalizadas son coherentes con otras claves de KMS de AWS KMS.

Puede encontrar orientación adicional para decidir si utilizar un almacén de claves personalizadas es adecuado en este blog.

P: ¿Por qué necesitaría utilizar un almacén de claves personalizadas?
Dado que usted controla el clúster de AWS CloudHSM, tiene la opción de administrar el ciclo de vida de las claves de KMS, independientemente de AWS KMS. Existen cuatro razones por las cuales podría serle útil un almacén de claves personalizadas. En primer lugar, podría tener claves que deben explícitamente estar protegidas en un solo usuario de HSM o en un HSM sobre el que tiene control directo. En segundo lugar, podría tener claves que deben ser almacenadas en un HSM que ha sido validado según la norma FIPS 140-2 de nivel 3 en general (los HSM utilizados en el almacén de claves AWS KMS estándar están en proceso o ya cuentan con la validación según el nivel 2 con nivel 3 en varias categorías). En tercer lugar, podría necesitar tener la capacidad de eliminar inmediatamente el material de claves de AWS KMS y demostrar que lo ha hecho por sus propios medios. Finalmente, usted puede tener un requisito para poder auditar todo uso de sus claves que realice independientemente de AWS KMS o AWS CloudTrail.

P: ¿Los almacenes de claves personalizadas afectan al modo en que se administran las claves?
Hay dos diferencias a la hora de administrar claves en un almacén de claves personalizadas en comparación con la del almacén de claves de AWS KMS predeterminado. No se puede importar el material de claves al almacén de claves personalizadas y usted no puede tener claves de rotación automática de AWS KMS. En todos los demás aspectos, incluido el tipo de claves que pueden generarse, la forma en que las claves utilizan alias y cómo se definen las políticas, las claves que se almacenan en un almacén de claves personalizadas se administran de la misma manera que cualquier otra clave de KMS administrada por el cliente de AWS KMS.

P: ¿Puedo utilizar el almacén de claves personalizadas para almacenar una clave de KMS administrada por AWS?
No, solo las claves de KMS administradas por el cliente se pueden almacenar y administrar en un almacén de claves personalizadas de AWS KMS. Las claves de KMS administradas por AWS que otros servicios de AWS crean por usted para cifrar datos siempre se generan y almacenan en el almacén de claves predeterminadas de AWS KMS.

P: ¿Los almacenes de claves personalizadas afectan el modo en que se utilizan las claves?
No, las solicitudes de API a AWS KMS para utilizar una clave de KMS para cifrar y descifrar datos se manejan de la misma manera. Los procesos de autenticación y autorización funcionan independientemente del lugar donde esté almacenada la clave. Toda actividad en la que se utiliza una clave en un almacén de claves personalizadas también se registra en AWS CloudTrail en la misma forma. Sin embargo, las operaciones criptográficas reales ocurren exclusivamente tanto en el almacén de claves personalizadas o en el almacén de claves de AWS KMS predeterminado.

P: ¿Cómo puedo auditar el uso de claves en un almacén de claves personalizadas?
Además de la actividad que AWS KMS registra en AWS CloudTrail, la utilización de un almacén de claves personalizadas ofrece tres nuevos mecanismos de auditoría. En primer lugar, AWS CloudHSM también registra toda la actividad de la API para CloudTrail, por ejemplo, para crear clústeres y agregar o eliminar los HSM. En segundo lugar, cada uno de los clústeres también capta sus propios registros locales para registrar la actividad de administración de usuarios y claves. En tercer lugar, cada instancia de CloudHSM copia los logs de la actividad de administración de usuarios y claves para AWS CloudWatch.

P: ¿Qué impacto tienen el uso de un almacén de claves personalizadas en la disponibilidad de claves?
El uso de un almacén de claves personalizadas en AWS KMS hace responsable de garantizar que sus claves están disponibles para el AWS KMS las utilice. Los errores en la configuración de CloudHSM y la eliminación accidental de material de claves dentro de un clúster de AWS CloudHSM podrían afectar a la disponibilidad. La cantidad de HSM que utiliza y su elección de zonas de disponibilidad (AZ) también pueden afectar la capacidad de recuperación del clúster. Como en cualquier sistema de administración de claves, es importante comprender cómo la disponibilidad de claves puede influir en el proceso de recuperación de datos cifrados.

P: ¿Cuáles son las limitaciones de rendimiento asociadas con un almacén de claves personalizadas?
La velocidad a la cual se pueden utilizar las claves almacenadas en un almacén de claves personalizadas de AWS KMS mediante llamadas a la API de AWS KMS es inferior a la que utilizan las claves almacenadas en el almacén de claves predeterminado de AWS KMS. Consulte la Guía del desarrollador de AWS KMS para conocer los límites de rendimiento actuales.

P: ¿Cuáles son los costos asociados al uso de un almacén de claves personalizadas?
La utilización de un almacén de claves personalizadas no afecta los precios de AWS KMS. No obstante, cada almacén de claves personalizadas exige que su clúster de AWS CloudHSM contenga al menos dos HSM. Estos HSM se cobran en función de los precios estándar de AWS CloudHSM. El uso de un almacén de claves personalizadas no tiene costos adicionales.

P: ¿Qué habilidades y recursos adicionales se necesitan para configurar un almacén de claves personalizadas?
Los usuarios de AWS KMS que deseen utilizar un almacén de claves personalizadas deberán configurar un clúster de AWS CloudHSM, agregar HSM, administrar usuarios de HSM y, posiblemente, restaurar los HSM a partir de copias de seguridad. Estas tareas son sensibles a la seguridad y debe asegurarse de que dispone de los recursos y los controles de organización adecuados en su lugar.

P: ¿Puedo importar claves en un almacén de claves personalizadas?
No, la capacidad de importar su propio material de claves en un almacén de claves personalizadas de AWS KMS no es compatible. Las claves que se almacenan en un almacén de claves personalizadas solo se pueden generar en los HS; que forman su clúster de AWS CloudHSM.

P: ¿Puedo migrar claves entre el almacén de claves predeterminado de AWS KMS y un almacén de claves personalizadas?
No, la capacidad de migrar claves entre los diferentes tipos de almacén de claves de AWS KMS no es compatible actualmente. Todas las claves se deben crear en el almacén de claves en el que se van a utilizar, excepto en situaciones donde importa su propio material de claves en el almacén de claves predeterminado de AWS KMS.

P: ¿Puedo rotar claves almacenadas en un almacén de claves personalizadas?
La capacidad de rotar automáticamente material de claves en un almacén de claves personalizadas de AWS KMS no es compatible. La rotación de claves se debe realizar manualmente mediante la creación de nuevas claves y la reasignación de alias de claves AWS KMS utilizadas por el código de la aplicación para usar las nuevas claves para las futuras operaciones de cifrado.

P: ¿Puedo usar mi clúster de AWS CloudHSM para otras aplicaciones?
Sí, AWS KMS no exige el acceso exclusivo a su clúster de AWS CloudHSM. Si ya dispone de un clúster, puede utilizarlo como un almacén de claves personalizadas y seguir utilizándolo para otras aplicaciones. Sin embargo, si el clúster admite altas cargas de trabajo ajenas a AWS KMS, usted puede experimentar una reducción en el rendimiento de las operaciones al utilizar las claves de KMS del almacén de claves personalizadas. Asimismo, una alta tasa de solicitud de AWS KMS al almacén de claves personalizadas podría afectar a otras aplicaciones.

P: ¿Cómo puedo obtener más información sobre AWS CloudHSM?
Visite el sitio web de AWS CloudHSM para obtener más información general sobre el servicio y su configuración y utilización, lea la Guía del usuario de AWS CloudHSM.  

Facturación

P: ¿Cómo se me cobrará y facturará por el uso que haga de AWS KMS?
Con AWS KMS solo paga por lo que usa y no hay ninguna cuota mínima. No se requieren cuotas de configuración ni compromisos para comenzar a utilizar el servicio. A final de mes, se cobrará automáticamente en su tarjeta de crédito la utilización de ese mes.

Se cobrará por todas las clave de KMS que cree, así como por las solicitudes a la API realizadas al servicio cada mes que superen el nivel gratuito.

Para obtener más información sobre los precios, visite la página de precios de AWS KMS.

P: ¿Hay una capa gratuita?
Sí. Con el nivel de uso gratuito de AWS, puede comenzar a utilizar AWS KMS de forma gratuita* en todas las regiones. Las claves de KMS administradas por AWS que los servicios de AWS crean por usted se almacenan sin cargo en la cuenta. También existe un nivel gratuito de uso que ofrece un número gratuito de solicitudes al servicio por mes. Para obtener más información actualizada sobre los precios, incluido el nivel gratuito, visite la página de precios de AWS KMS.

* Las solicitudes API que involucren claves de KMS asimétricas y las solicitudes a API a GenerateDataKeyPair y a GenerateDataKeyPairWithoutPlaintext API no están incluidas en el nivel gratuito.

P: ¿Los precios incluyen impuestos?
Si no se especifica lo contrario, nuestros precios no incluyen los impuestos ni gravámenes correspondientes, como el IVA y cualquier otro impuesto sobre las ventas. En el caso de los clientes con una dirección de facturación de Japón, el uso de los servicios de AWS está sujeto al impuesto de consumo nipón. Puede obtener más información aquí.

Seguridad

P: ¿Quién puede utilizar y administrar mis claves en AWS KMS?
AWS KMS implanta las políticas de uso y administración definidas por el usuario. Tiene la opción de permitir que los usuarios y las funciones de AWS Identity and Access Management (IAM) de la cuenta o de otras cuentas utilicen y administren las claves.

P: ¿Cómo protege AWS las claves de KMS que creo?
AWS KMS está diseñado para que nadie, ni siquiera los empleados de AWS, pueda recuperar claves de KMS de texto no cifrado del servicio. AWS KMS utiliza módulos de seguridad de hardware (HSM) que sirven para proteger la confidencialidad e integridad de las claves y que se validaron según las normas FIPS 140-2 que o están en proceso de validación. Las claves se almacenan en estos HSM independientemente de si utiliza AWS KMS o AWS CloudHSM para crear claves o si importa material de claves a una clave de KMS. Las claves de KMS de texto plano jamás abandonan los HSM, jamás se graban en el disco y solo se utilizan en una memoria volátil de los HSM durante el tiempo necesario para realizar la operación criptográfica que solicitó. Las actualizaciones de software en los anfitriones del servicio y en el firmware del HSM de AWS KMS se verifican con un control de acceso de varios participantes que audita y revisa un grupo independiente de Amazon, así como un laboratorio certificado por el Instituto Nacional de Estándares y Tecnología (NIST) de conformidad con la norma FIPS 140-2.

Puede encontrar información adicional sobre estos controles de seguridad en el documento técnico sobre los detalles criptográficos de AWS KMS. También puede consultar el Certificado FIPS 140-2 del HSM de AWS KMS junto con la Política de seguridad asociada para obtener más detalles sobre cómo el HSM de AWS KMS cumple los requisitos de seguridad de la norma FIPS 140-2. Además, puede descargar una copia del informe de los Controles de Organización y Servicio (SOC) disponible en AWS Artifact para obtener más información sobre los controles de seguridad que utiliza el servicio para proteger las claves de KMS.

P: ¿Cómo puedo migrar mis claves de KMS existentes para utilizar los HSM validados según la norma FIPS 140-2?
Todas las claves de KMS, independientemente de la fecha de creación u origen, están protegidas automáticamente mediante la utilización de HSM validados según la norma FIPS 140-2 o que están en proceso de validación. No debe realizar ninguna acción para poder utilizar los HSM validados según la norma FIPS 140-2.

P: ¿Qué regiones de AWS cuentan con HSM validados para FIPS 140-2?
Los HSM validados para FIPS 140-2 se encuentran disponibles en todas las regiones de AWS en las que se ofrece AWS KMS.

P: ¿Cuál es la diferencia entre los puntos de enlace validados para FIPS 140-2 y los HSM validados para FIPS 140-2 de AWS KMS?
AWS KMS es un servicio con dos capas. Los puntos de conexión de las API reciben solicitudes de los clientes a través de una conexión HTTPS únicamente mediante el uso de conjuntos de cifrado TLS que admiten la confidencialidad directa total. Estos puntos de enlace de las API autentican y autorizan la solicitud antes de pasar la solicitud por una operación criptográfica a los HSM de AWS KMS o su clúster de AWS CloudHSM, si utiliza el almacén de claves personalizadas de KMS.

P: ¿Cómo puedo realizar solicitudes de API a AWS KMS con los puntos de enlace validados para FIPS 140-2?
Puede configurar las aplicaciones para que se conecten a los puntos de enlace HTTPS validados por la norma FIPS 140-2 únicos y regionales. Los puntos de enlace HTTPS validados para FIPS 140-2 de AWS KMS cuentan con la tecnología del módulo de objeto OpenSSL FIPS. Puede consultar la política de seguridad del módulo OpenSSL en https://www.openssl.org/docs/fips/SecurityPolicy-2.0.13.pdf. Los puntos de enlace de la API validados según FIPS 140-2 se encuentran disponibles en todas las regiones comerciales en las que se ofrece AWS KMS.

P: ¿Puedo usar AWS KMS para cumplir con los requisitos de cifrado y administración de claves de la norma Payment Card Industry Data Security Standard (PCI DSS, norma de seguridad de los datos del sector de tarjetas de pago, versión 3.2.1)?
Sí. AWS KMS cuenta con validación por tener los controles de funcionalidad y de seguridad necesarios para cumplir con los requisitos de cifrado y administración de claves (a los que se hace referencia, principalmente, en las secciones 3.5 y 3.6) de la norma PCI DSS 3.2.1.

Para obtener más detalles sobre los servicios de AWS que cumplen con la norma PCI DSS, lea las preguntas frecuentes sobre la norma PCI DSS.

P: ¿Cómo protege AWS KMS las claves de datos que exporto y utilizo en mi aplicación?
Puede solicitar que AWS KMS genere claves de datos que puedan devolverse para utilizarse en la propia aplicación. Las claves de datos se cifran con una clave maestra definida por usted en AWS KMS, para que pueda almacenar la clave de datos cifrada junto con los datos cifrados. Solo pueden descifrar la clave de datos cifrados (y los datos de origen) los usuarios con permisos para utilizar la clave maestra original empleada para descifrar la clave de datos cifrados.

P: ¿Puedo exportar una clave de KMS y utilizarla en aplicaciones propias?
No. Las claves de KMS se crean y utilizan solo en el servicio para ayudar a garantizar la seguridad, permitir que las políticas se apliquen con uniformidad y ofrecer un registro centralizado de la utilización.

P: ¿En qué región geográfica están almacenadas mis claves?
Una clave KMS de región única generada por AWS KMS se almacena y usa solo en la región en la que se creó. Las claves de varias regiones de AWS KMS le permiten replicar una clave primaria de varias regiones en varias regiones dentro de la misma partición de AWS.

P: ¿Cómo puedo saber quién ha usado o cambiado la configuración de mis claves en AWS KMS?
Los registros de AWS CloudTrail mostrarán todas las solicitudes de API de AWS KMS, incluidas las solicitudes de administración (por ejemplo, crear, rotar, deshabilitar o editar políticas) y las solicitudes criptográficas (por ejemplo, cifrar y descifrar). Active AWS CloudTrail en la cuenta para ver estos registros.

P: ¿En qué se diferencian AWS KMS y AWS CloudHSM?
AWS CloudHSM le proporciona un clúster general de HSM de inquilino único validado para el nivel 3 de FIPS 140-2 en su Amazon Virtual Private Cloud (VPC) para almacenar y utilizar sus claves. Tiene el control exclusivo de la manera en la que se utilizan las claves mediante un mecanismo de autenticación independiente a AWS. La interacción con las claves del clúster de AWS CloudHSM es similar a como se hace con las aplicaciones que se ejecutan en Amazon EC2. Puede usar AWS CloudHSM para admitir una variedad de casos de uso, como la administración de derechos digitales (DRM), la infraestructura de clave pública (PKI), la firma de documentos y las funciones criptográficas mediante el uso de PKCS#11, Java JCE o las interfaces de Microsoft CNG.

AWS KMS le permite crear y controlar las claves de cifrado que usan las aplicaciones y los servicios de AWS admitidos en varias regiones del mundo desde una única consola. El servicio utiliza un HSM que ha sido validado según FIPS 140-2, o está en proceso de validación, para proteger la seguridad de sus claves. La administración centralizada de todas las claves en AWS KMS le permite controlar quién puede usar las claves, bajo qué condiciones, cuándo se rotan y quién puede administrarlas. La integración de AWS KMS con AWS CloudTrail ofrece la posibilidad de auditar el uso de las claves para respaldar las actividades normativas y de conformidad. Puede interactuar con AWS KMS desde las aplicaciones mediante el SDK de AWS si desea llamar a las API del servicio directamente, a través de otros servicios de AWS que están integrados con AWS KMS o mediante el SDK de cifrado de AWS, si desea realizar el cifrado del lado del cliente.

Standard Product Icons (Features) Squid Ink
Más información acerca de los precios

Ver ejemplos de precios y calcular sus costos.

Más información 
Sign up for a free account
Regístrese para obtener una cuenta gratuita

Obtenga acceso instantáneo a la capa gratuita de AWS. 

Regístrese 
Standard Product Icons (Start Building) Squid Ink
Comience a crear en la consola

Comience a crear con AWS Key Management Service en la consola de AWS.

Iniciar sesión