Información general

AWS Key Management Service (KMS) le permite ejercer un control centralizado de las claves criptográficas que se utilizan para proteger los datos. El servicio está integrado con otros servicios de AWS, lo que facilita el cifrado de los datos que almacene en estos servicios y el control del acceso a las claves que los descifran. AWS KMS también está integrado con AWS CloudTrail para ofrecerle la posibilidad de realizar auditorías que detecten quién utilizó determinadas claves, en qué recursos y cuándo lo hizo. Con AWS KMS, los desarrolladores pueden agregar de manera sencilla funcionalidades de cifrado y firma digital en el código de la aplicación, ya sea directamente o a través de la utilización del SDK de AWS. El SDK de cifrado de AWS es compatible con AWS KMS como proveedor de claves maestras para desarrolladores que necesiten cifrar o descifrar datos localmente en las aplicaciones.

Administración centralizada de claves

AWS KMS le ofrece un control centralizado del ciclo de vida y los permisos de sus claves. Puede crear claves nuevas cuando lo desee, además de controlar quiénes pueden administrarlas por un lado y quiénes utilizarlas por otro. En vez de utilizar claves generadas por AWS KMS, puede importar claves desde una infraestructura de administración de claves propia o utilizar las claves almacenadas en el clúster de AWS CloudHSM. Puede seleccionar la rotación automática anual de claves maestras generadas en AWS KMS para no tener que volver a cifrar datos que ya lo estaban. El servicio conserva de manera automática versiones anteriores de la clave maestra para descifrar datos cifrados con antelación. Puede administrar las claves maestras y auditar su utilización desde la consola de administración de AWS o a través del SDK o la interfaz de línea de comandos (CLI) de AWS.

* La opción para importar claves no se encuentra disponible para claves asimétricas.

Integración con servicios de AWS

AWS KMS se integra con otros servicios de AWS para cifrar datos en reposo o para facilitar el inicio de sesión y la verificación mediante una clave de AWS KMS. Para proteger los datos en reposo, los servicios de AWS integrados utilizan el cifrado de sobres, en el cual una clave de datos se utiliza para el cifrado de datos y a su vez se cifra con una clave de KMS almacenada en AWS KMS. Para el inicio de sesión y la verificación, los servicios de AWS integrados utilizan un par de claves de una clave de KMS asimétrica de AWS KMS. Para obtener más información sobre cómo un servicio integrado utiliza AWS KMS, consulte la documentación del servicio de AWS.

Existen dos tipos de recursos de claves de KMS que se pueden crear en la cuenta de AWS: (i) una clave de KMS administrada por AWS, que puede crear de manera automática cuando lo necesite. Puede enumerar o inventariar claves de KMS administradas por AWS y obtener un registro de su utilización en AWS CloudTrail, pero los permisos para el recurso los administra el servicio de AWS que se creó para utilizarse con dicho recurso. (ii) Una clave de KMS administrada por el cliente brinda el mayor grado de control sobre los permisos y el ciclo de vida de la clave.

Servicios de AWS integrados con AWS KMS
Alexa for Business* Amazon Fraud Detector Amazon Personalize AWS Cloud9*
Amazon AppFlow Amazon FSx for Windows File Server Amazon QLDB AWS CloudHSM
Amazon Athena Amazon GuardDuty Amazon Redshift AWS CloudTrail
Amazon Aurora Amazon HealthLake Amazon Rekognition AWS CodeArtifact
Amazon CloudWatch Logs Amazon Kendra Amazon Relational Database Service (RDS) AWS CodeBuild
Amazon CodeGuru  Amazon Keyspaces (for Apache Cassandra) Amazon Route 53 AWS CodeCommit*
Amazon Comprehend Amazon Kinesis Data Streams Amazon S3 AWS CodePipeline
Amazon Connect Amazon Kinesis Firehose Amazon SageMaker AWS Control Tower
Customer Profiles de Amazon Connect Amazon Kinesis Video Streams Amazon Simple Email Service (SES) AWS Database Migration Service
Amazon DocumentDB Amazon Lex Amazon Simple Notification Service (SNS) AWS Glue
Amazon DynamoDB Amazon Lightsail* Amazon Simple Queue Service (SQS) AWS Glue DataBrew
Amazon DynamoDB Accelerator (DAX)* Amazon Location Service Amazon Textract AWS IoT SiteWise
Amazon EBS Amazon Lookout for Equipment Amazon Timestream AWS Lambda
Amazon EC2 Image Builder Amazon Lookout for Metrics Amazon Transcribe AWS License Manager
Amazon EFS Amazon Lookout for Vision Amazon Translate AWS Proton
Amazon Elastic Container Registry (ECR) Amazon Macie Amazon WorkMail AWS Secrets Manager
Amazon Elastic Kubernetes Service (EKS) Amazon Managed Blockchain Amazon WorkSpaces AWS Snowball
Amazon Elastic Transcoder Amazon Managed Streaming for Kafka (MSK) AWS Audit Manager AWS Snowball Edge
Amazon ElastiCache Amazon Managed Workflows for Apache Airflow (MWAA) AWS Application Cost Profiler AWS Snowcone
Amazon Elasticsearch Amazon Monitron AWS Application Migration Service AWS Snowmobile
Amazon EMR Amazon MQ AWS App Runner AWS Storage Gateway
Amazon FinSpace Amazon Neptune AWS Backup AWS Systems Manager
Amazon Forecast Amazon Nimble Studio AWS Certificate Manager* AWS X-Ray

*Admite únicamente claves de KMS administradas por AWS KMS.

** Si desea consultar una lista de los servicios integrados en AWS KMS en la región de AWS de China (Pekín), a cargo de Sinnet, y en la región de AWS de China (Ningxia), a cargo de NWCD, visite Integración en el servicio AWS KMS en China.

Los servicios de AWS que no se mencionaron anteriormente cifran los datos del cliente con las claves que el servicio correspondiente posea y administre.

Funciones de auditoría

Si tiene AWS CloudTrail habilitado para la cuenta de AWS, cada solicitud que haga en AWS KMS se anota en un registro que se entrega en el bucket de Amazon S3 especificado al momento de habilitar AWS CloudTrail. La información registrada incluye los detalles del usuario, la hora, la fecha, la acción de API y, cuando corresponda, la clave utilizada.

Escalabilidad, durabilidad y alta disponibilidad

AWS KMS es un servicio totalmente administrado. A medida que aumente el uso del cifrado, el servicio ajustará su escala automáticamente para satisfacer sus necesidades. Permite administrar miles de claves de KMS en la cuenta y utilizarlas cuando desee. Define los límites predeterminados para la cantidad de claves y para las tarifas de las solicitudes, pero usted puede solicitar un aumento de los límites si es necesario.

Las claves de KMS que crea o las que otro servicio de AWS crea por usted no se pueden exportar del servicio. Por lo tanto, AWS KMS asume la responsabilidad de la durabilidad de dichas claves. AWS KMS almacena varias copias de las versiones cifradas de las claves en sistemas diseñados para ofrecer una durabilidad del 99,999999999 %, a fin de garantizar una alta disponibilidad de las claves y los datos.

Si importa claves al servicio, conserva una copia segura de las claves de KMS para que pueda volver a importarlas si no se encuentran disponibles cuando necesite utilizarlas. Si utiliza la característica de almacenamiento de claves personalizadas para crear claves de KMS en un clúster de AWS CloudHSM, se harán automáticamente copias de seguridad de las claves y tendrá control total sobre el proceso de recuperación.

En el caso de los datos cifrados o los flujos de trabajo de firmas digitales que se desplazan entre regiones (recuperación de desastres, arquitecturas de alta disponibilidad de varias regiones, tablas globales de DynamoDB y firmas digitales coherentes distribuidas globalmente), puede crear claves de KMS para varias regiones, un conjunto de claves interoperables con los mismos material de claves e ID de claves que se pueden replicar en varias regiones.

AWS KMS está diseñado para ser un servicio de alta disponibilidad con un punto de enlace de API regional. Como la mayoría de los servicios de AWS depende de él para el cifrado y el descifrado, la solución está diseñada para proporcionar un nivel de disponibilidad compatible con el resto de AWS y, además, está respaldada por el Acuerdo de nivel de servicio de AWS KMS.

Seguridad

AWS KMS está diseñado para que nadie, ni siquiera los empleados de AWS, pueda recuperar sus claves de texto no cifrado del servicio. El servicio utiliza módulos de seguridad de hardware (HSM) que sirven para proteger la confidencialidad e integridad de sus claves y que han sido validados según las normas FIPS 140-2, o están en proceso de validación. Las claves de texto no cifrado jamás se graban en el disco y solo se utilizan en una memoria volátil del HSM durante el tiempo necesario para realizar la operación criptográfica que solicitó. Este proceso se realiza independientemente de si solicita a AWS KMS que cree claves por usted, las importa al servicio o las crea en un clúster de AWS CloudHSM mediante la función de almacenamiento de claves personalizadas. Las claves creadas por el servicio AWS KMS nunca se transmiten ni se pueden utilizar fuera la región en la que fueron creadas. Las actualizaciones del firmware del HSM de AWS KMS se controlan con el acceso de varios participantes, que un grupo independiente de Amazon audita y revisa, así como también lo hace un laboratorio acreditado por el Instituto Nacional de Estándares y Tecnología (NIST) de conformidad con la norma FIPS 140-2.

Para obtener más información sobre la arquitectura de AWS KMS y la criptografía que utiliza para proteger las claves, lea los Detalles sobre criptografía en AWS Key Management Service.

*En la región de AWS China (Pekín), que administra Sinnet, y en la región de AWS China (Ningxia), que administra NWCD, el gobierno chino aprueba los HSM (no son validados según la norma FIPS 140-2), y no se aplica el documento técnico con detalles criptográficos mencionado anteriormente. 

Almacenamiento de claves personalizadas

AWS KMS le ofrece la opción de crear un almacenamiento de claves propio con HSM que estén bajo su control. Cada almacén de claves personalizadas está respaldado por un clúster de AWS CloudHSM. Cuando crea una clave de KMS en un almacenamiento de claves personalizadas, el servicio genera y almacena material de claves para la clave de KMS en un clúster de AWS CloudHSM que usted posee y administra. Cuando utiliza una clave de KMS en un almacenamiento de claves personalizadas, las operaciones criptográficas bajo esa clave se realizan en el clúster de AWS CloudHSM.

Usted administra las claves de KMS que se almacenan en un almacenamiento de claves personalizadas, como cualquier otra clave de KMS y puede utilizarlas con cualquier servicio de AWS integrado a AWS KMS.

Utilizar un almacenamiento de claves personalizadas incluye el costo adicional del clúster de AWS CloudHSM y lo hace responsable de la disponibilidad del material de claves en dicho clúster. Para obtener más información sobre si los almacenes de claves personalizadas son una buena opción para sus necesidades, lea este blog.

* La característica de almacenamiento de claves personalizadas no se encuentra disponible en la región China (Pekín) de AWS, a cargo de Sinnet, ni en la región China (Ningxia) de AWS, a cargo de NWCD.

** La opción de almacenamiento de claves personalizadas no se encuentra disponible para claves de KMS asimétricas.

Claves asimétricas

AWS KMS ofrece la posibilidad de crear y utilizar claves de KMS asimétricas y pares de claves de datos. Puede designar una clave de KMS para utilizar como par de claves de firma o par de claves de cifrado. Las operaciones criptográficas asimétricas y la generación de pares de claves mediante el uso de estas claves de KMS se realizan dentro de los HSM. Puede solicitar la sección pública de la clave de KMS asimétrica para utilizarla en aplicaciones locales, pero la sección privada jamás abandonará el servicio.

También puede solicitar al servicio que genere un par de claves de datos asimétricas. La operación devuelve una copia con texto plano de la clave pública y la clave privada, así como también una copia de la clave privada cifrada bajo una clave de KMS simétrica que usted especifique. Puede utilizar la clave privada o pública con texto plano en la aplicación local y almacenar la copia cifrada de la clave privada para una utilización futura.

*Las claves asimétricas no se encuentran disponibles en la región China (Pekín) de AWS, a cargo de Sinnet, ni en la región China (Ningxia) de AWS, a cargo de NWCD.

** La opción de almacenamiento de claves personalizadas no admite las claves asimétricas.

Conformidad

Los controles de seguridad y calidad de AWS KMS están validados y certificados por los siguientes regímenes de conformidad:

  • Informes de AWS Service Organization Controls (SOC 1, SOC 2 y SOC 3). Puede descargar una copia de estos informes en AWS Artifact.
  • PCI DSS Nivel 1. Para obtener más detalles sobre los servicios de AWS que cumplen con la norma PCI DSS, lea las preguntas frecuentes sobre PCI DSS.
  • FIPS 140-2. El módulo criptográfico de AWS KMS está validado, o se encuentra en proceso de validación, de FIPS 140-2 nivel 2 de manera general con nivel 3 para varias otras categorías, incluida la seguridad física. Si desea obtener más detalles, puede consultar el certificado de FIPS 140-2 para el HSM de AWS KMS junto con la política de seguridad asociada.
  • FedRAMP. Puede obtener más información acerca del cumplimiento de FedRAMP en AWS en Conformidad con FedRAMP.
  • HIPAA. Para obtener más información, visite la página Conformidad con HIPAA.
 
Se incluye a continuación una lista de los demás regímenes de conformidad bajo los cuales AWS KMS se validó y certificó.
 
* FIPS 140-2 no se aplica a AWS KMS en las regiones de China. Los módulos de seguridad de hardware en las regiones de China cuentan con la aprobación de uso del gobierno chino.
Standard Product Icons (Features) Squid Ink
Más información sobre los precios del producto

Ver ejemplos de precios y calcular costos.

Más información 
Sign up for a free account
Regístrese para obtener una cuenta gratuita

Obtenga acceso instantáneo a la capa gratuita de AWS. 

Regístrese 
Standard Product Icons (Start Building) Squid Ink
Comience a crear en la consola

Comience a crear con AWS Key Management Service en la consola de AWS.

Iniciar sesión