Información general

AWS Key Management Service (KMS) le permite ejercer un control centralizado de las claves de cifrado que se utilizan para proteger los datos. AWS KMS está integrado con los servicios de AWS lo que facilita el cifrado de los datos que almacene en estos servicios y el control del acceso a las claves que lo descifran. AWS KMS está integrado con AWS CloudTrail para ofrecerle la posibilidad de realizar auditorías sobre quién utilizó qué claves, en qué recursos y cuándo. AWS KMS también permite a los desarrolladores agregar la funcionalidad de cifrado fácilmente al código de la aplicación, ya sea directamente a través de la API del servicio para cifrar y descifrar o a través de su integración con el SDK de cifrado de AWS.

Administración centralizada de claves

AWS Key Management Service le permite ejercer un control centralizado de las claves de cifrado. Las claves maestras de cliente (CMK) se utilizan para controlar el acceso a las claves de cifrado de datos que cifran y descifran los datos. Puede crear nuevas claves maestras cuando desee y controlar fácilmente quién tiene acceso a ellas y con qué servicios se pueden usar. También puede importar claves desde su propia infraestructura de administración de claves hacia AWS KMS o utilizar las claves almacenadas en el clúster de AWS CloudHSM y administrarlas desde AWS KMS. Puede administrar las claves maestras y el uso de auditoría desde la consola de administración de AWS o con AWS SDK o la Interfaz de línea de comandos (CLI).

Las claves de AWS KMS, creadas dentro de KMS, su clúster de CloudHSM o que usted haya importado, se almacenan en un almacenamiento de larga duración en un formato cifrado para que se puedan utilizar cuando se necesiten. Puede optar por que KMS rote automáticamente las claves maestras creadas en KMS una vez al año sin necesidad de tener que volver a cifrar los datos que ya se sometieron a este proceso con la clave maestra. No necesita realizar un seguimiento de las versiones anteriores de las claves principales porque KMS las mantiene disponibles para descifrar los datos cifrados anteriormente.

Integración con el servicio de AWS

Integración perfecta de AWS KMS con la mayoría de los servicios de AWS Esta integración le permite usar sin problemas las claves maestras de AWS KMS para controlar el cifrado de los datos que almacene en estos servicios. Cuando decida cifrar los datos en un servicio, puede optar por utilizar una clave maestra administrada en AWS que se crea automáticamente en KMS a través de ese servicio. Puede realizar un seguimiento del uso de la clave, pero el servicio la administra por usted.

Si necesita control directo sobre el ciclo de vida de una clave maestra o desea permitir que otras cuentas la utilicen, puede crear y administrar sus propias claves maestras que los servicios de AWS pueden utilizar en su nombre. Estas claves maestras administradas por el cliente le proporcionan control total sobre los permisos de acceso que determinan quién puede usar la clave y bajo qué condiciones.

Servicios de AWS integrados con KMS
Alexa for Business* Amazon EMR Amazon SageMaker AWS CodeDeploy
Amazon Athena Amazon FSx for Windows File Server Amazon Simple Email Service (SES) AWS CodePipeline

Amazon Aurora

Amazon Glacier Amazon Simple Notification Service (SNS) AWS Database Migration Service
Amazon CloudWatch Logs Amazon Kinesis Data Streams Amazon Simple Queue Service (SQS) AWS Glue
Amazon Comprehend* Amazon Kinesis Firehose Amazon Translate AWS Lambda
Amazon Connect Amazon Kinesis Video Streams Amazon WorkMail AWS Secrets Manager
Amazon DocumentDB Amazon Lex Amazon WorkSpaces AWS Systems Manager
Amazon DynamoDB* Amazon Lightsail* AWS Backup AWS Snowball
Amazon DynamoDB Accelerator (DAX)* Amazon Managed Streaming for Kafka (MSK) AWS Certificate Manager* AWS Snowball Edge
Amazon EBS Amazon Neptune AWS Cloud9* AWS Snowmobile
Amazon EFS Amazon Redshift AWS CloudTrail AWS Storage Gateway
Amazon Elastic Transcoder Amazon Relational Database Service (RDS) AWS CodeBuild AWS X-Ray
Amazon Elasticsearch Service Amazon S3 AWS CodeCommit*
AWS X-Ray

*Admite únicamente claves de KMS administradas por AWS.

Los servicios de AWS que no se mencionan anteriormente cifran los datos del cliente automáticamente con las claves que posea y administre el servicio.

Funciones de auditoría

Si tiene AWS CloudTrail habilitado para la cuenta de AWS, cada solicitud que haga en AWS KMS se anota en un registro que se entrega en el bucket de Amazon S3 especificado al momento de habilitar AWS CloudTrail. La información registrada incluye los detalles del usuario, la hora, la fecha, la acción de API y, cuando corresponda, la clave utilizada.

Escalabilidad, durabilidad y alta disponibilidad

AWS KMS es un servicio totalmente administrado A medida que aumenta el uso del cifrado, KMS se escala automáticamente para satisfacer sus necesidades. AWS KMS le permite administrar miles de claves maestras en la cuenta y usarlas cuando desee. AWS KMS define los límites predeterminados de la cantidad de claves y tasas de solicitudes, pero puede solicitar más límites si es necesario.

Las claves maestras que crea en AWS KMS o las que otro servicio de AWS crea por usted no se pueden exportar del servicio. Por lo tanto, KMS asume la responsabilidad de su durabilidad. AWS KMS almacena varias copias de las versiones cifradas de las claves en sistemas diseñados para ofrecer una durabilidad del 99,999999999 %, a fin de garantizar que las claves y datos tengan una alta disponibilidad.

Si importa claves hacia KMS, conserva una copia segura de las claves maestras para que pueda volver a importarlas si no se encuentran disponibles cuando necesite usarlas. Si usa la característica de almacenamiento de claves personalizadas en KMS para crear claves maestras en un clúster de AWS CloudHSM, se realizan copias de seguridad automáticamente de las copias cifradas de sus claves y usted tiene control total sobre el proceso de recuperación.

AWS KMS está diseñado para ser un servicio de alta disponibilidad con un punto de enlace de API regional. Como la mayoría de servicios de AWS dependen de AWS KMS para el cifrado y descifrado, está diseñado para proporcionar un nivel de disponibilidad capaz de soportar el resto de AWS y que, además, está respaldado por el acuerdo de nivel de servicios de AWS KMS.

Seguridad

AWS KMS está diseñado para que nadie, incluidos los empleados de AWS, pueda recuperar las claves con texto no cifrado del servicio. El servicio utiliza módulos de seguridad de hardware (HSM) validados FIPS 140-2 para proteger la confidencialidad e integridad de sus claves, independientemente de si solicita a KMS que cree claves por usted, las cree en un clúster de AWS CloudHSM o las importe al servicio. Las claves con texto no cifrado jamás se graban en el disco y solo se utilizan en una memoria volátil del HSM durante el tiempo necesario para realizar la operación criptográfica que solicitó. Las claves creadas por KMS nunca se transmiten fuera de la región de AWS en la que fueron creadas, y solamente se pueden utilizar en la región en la que fueron creadas. Las actualizaciones del firmware del HSM de AWS KMS se controlan con un acceso de varios participantes que audita y revisa un grupo independiente de Amazon, así como un laboratorio certificado por el Instituto Nacional de Estándares y Tecnología (NIST) de conformidad con la norma FIPS 140-2.

Para obtener más información sobre la arquitectura de AWS KMS y la criptografía que utiliza para asegurar las claves, lea el documento AWS Key Management Service Cryptographic Details.

Almacenamiento de claves personalizadas

AWS KMS le ofrece la opción de crear su propio almacenamiento de claves con HSM que controle. Cada almacenamiento de claves personalizadas está respaldado por un clúster de AWS CloudHSM. Cuando crea una clave maestra de cliente de KMS (CMK) en un almacenamiento de claves personalizadas, KMS genera y almacena material de clave no extraíble para la CMK en un clúster de AWS CloudHSM que usted posee y administra. Cuando utiliza un CMK en un almacenamiento de claves personalizadas, las operaciones criptográficas bajo esa clave se realizan en su clúster de CloudHSM.

Las claves maestras que se almacenan en un almacenamiento de claves personalizadas se administran de la misma manera que cualquier otra clave maestra en KMS y las puede utilizar cualquier servicio de AWS que admita CMK administradas por el cliente.

Usar un almacenamiento de claves personalizadas incluye el costo adicional del clúster de CloudHSM y lo hace responsable de la disponibilidad del material de clave en ese clúster. Para obtener orientación sobre si los almacenamientos de claves personalizadas son una buena opción para sus necesidades, lea este blog.

Conformidad

Los controles de seguridad y calidad de AWS KMS están validados y certificados por los siguientes esquemas de conformidad:

Product-Page_Standard-Icons_01_Product-Features_SqInk
Más información sobre los precios del producto

Ver ejemplos de precios y calcular costos.

Más información 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Inscríbase para obtener una cuenta gratuita

Obtenga acceso instantáneo a la capa gratuita de AWS. 

Registrarse 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Comience a crear en la consola

Comience a crear con AWS Key Management Service en la consola de AWS.

Iniciar sesión