Información general

AWS Key Management Service (KMS) le permite ejercer un control centralizado de las claves de cifrado que se utilizan para proteger los datos. AWS KMS está integrado con los servicios de AWS lo que facilita el cifrado de los datos que almacene en estos servicios y el control del acceso a las claves que lo descifran. AWS KMS está integrado con AWS CloudTrail para ofrecerle la posibilidad de realizar auditorías sobre quién utilizó qué claves, en qué recursos y cuándo. AWS KMS también permite a los desarrolladores agregar la funcionalidad de cifrado fácilmente al código de la aplicación, ya sea directamente a través de la API del servicio para cifrar y descifrar o a través de su integración con el SDK de cifrado de AWS.

Administración centralizada de claves

AWS Key Management Service le permite ejercer un control centralizado de las claves de cifrado. Las claves maestras de cliente (CMK) se utilizan para controlar el acceso a las claves de cifrado de datos que cifran y descifran los datos. Puede crear nuevas claves maestras cuando desee y controlar fácilmente quién tiene acceso a ellas y con qué servicios se pueden usar. También puede importar claves desde su propia infraestructura de administración de claves hacia AWS KMS o utilizar las claves almacenadas en el clúster de AWS CloudHSM y administrarlas desde AWS KMS. Puede administrar las claves maestras y el uso de auditoría desde la consola de administración de AWS o con AWS SDK o la Interfaz de línea de comandos (CLI).

Las claves de AWS KMS, creadas dentro de KMS, su clúster de CloudHSM o que usted haya importado, se almacenan en un almacenamiento de larga duración en un formato cifrado para que se puedan utilizar cuando se necesiten. Puede optar por que KMS rote automáticamente las claves maestras creadas en KMS una vez al año sin necesidad de tener que volver a cifrar los datos que ya se sometieron a este proceso con la clave maestra. No necesita realizar un seguimiento de las versiones anteriores de las claves principales porque KMS las mantiene disponibles para descifrar los datos cifrados anteriormente.

Integración con el servicio de AWS

Integración perfecta de AWS KMS con la mayoría de los servicios de AWS Esta integración le permite usar sin problemas las claves maestras de AWS KMS para controlar el cifrado de los datos que almacene en estos servicios. Cuando decida cifrar los datos en un servicio, puede optar por utilizar una clave maestra administrada en AWS que se crea automáticamente en KMS a través de ese servicio. Puede realizar un seguimiento del uso de la clave, pero el servicio la administra por usted.

Si necesita control directo sobre el ciclo de vida de una clave maestra o desea permitir que otras cuentas la utilicen, puede crear y administrar sus propias claves maestras que los servicios de AWS pueden utilizar en su nombre. Estas claves maestras administradas por el cliente le proporcionan control total sobre los permisos de acceso que determinan quién puede usar la clave y bajo qué condiciones.

Servicios de AWS integrados con KMS
Alexa for Business* Amazon EMR Amazon S3
Amazon Athena Amazon FSx for Windows File Server Amazon SageMaker
Amazon Aurora Amazon Glacier Amazon Simple Email Service (SES)
Amazon CloudWatch Logs Amazon Kinesis Data Streams Amazon Relational Database Service (RDS)
Amazon Comprehend* Amazon Kinesis Firehose Amazon Simple Notification Service (SNS)
Amazon Connect Amazon Kinesis Video Streams Amazon Simple Queue Service (Amazon SQS)
Amazon DocumentDB Amazon Lex Amazon Translate
Amazon DynamoDB* Amazon Lightsail* Amazon WorkMail
Amazon DynamoDB Accelerator (DAX)* Amazon Managed Streaming for Kafka (MSK) Amazon WorkSpaces
Amazon EBS Amazon MQ AWS Backup
Amazon EFS Amazon Neptune AWS Certificate Manager*
Amazon Elastic Transcoder Amazon Personalize AWS Cloud9*
Amazon Elasticsearch Service Amazon RedShift AWS CloudTrail
AWS CodeCommit* AWS Glue AWS Snowball Edge
AWS CodeDeploy AWS Lambda AWS Snowmobile
AWS CodePipeline AWS Secrets Manager AWS Storage Gateway
AWS CodeBuild AWS Systems Manager AWS X-Ray
AWS Database Migration Service AWS Snowball  

*Admite únicamente claves de KMS administradas por AWS.

** Si desea consultar una lista de los servicios integrados en KMS en la región de AWS de China (Pekín), a cargo de Sinnet, y en la región de AWS de China (Ningxia), a cargo de NWCD, visite Integración en el servicio AWS KMS en China. 

Los servicios de AWS que no se mencionan anteriormente cifran los datos del cliente con las claves que posea y administre el servicio correspondiente.

Funciones de auditoría

Si tiene AWS CloudTrail habilitado para la cuenta de AWS, cada solicitud que haga en AWS KMS se anota en un registro que se entrega en el bucket de Amazon S3 especificado al momento de habilitar AWS CloudTrail. La información registrada incluye los detalles del usuario, la hora, la fecha, la acción de API y, cuando corresponda, la clave utilizada.

Escalabilidad, durabilidad y alta disponibilidad

AWS KMS es un servicio totalmente administrado. A medida que aumenta el uso del cifrado, KMS se escala automáticamente para satisfacer sus necesidades. AWS KMS le permite administrar miles de claves maestras en la cuenta y usarlas cuando desee. AWS KMS define los límites predeterminados de la cantidad de claves y tasas de solicitudes, pero puede solicitar más límites si es necesario.

Las claves maestras que crea en AWS KMS o las que otro servicio de AWS crea por usted no se pueden exportar del servicio. Por lo tanto, KMS asume la responsabilidad de su durabilidad. AWS KMS almacena varias copias de las versiones cifradas de las claves en sistemas diseñados para ofrecer una durabilidad del 99,999999999 %, a fin de garantizar que las claves y datos tengan una alta disponibilidad.

Si importa claves hacia KMS, conserva una copia segura de las claves maestras para que pueda volver a importarlas si no se encuentran disponibles cuando necesite usarlas. Si usa la característica de almacenamiento de claves personalizadas en KMS para crear claves maestras en un clúster de AWS CloudHSM, se realizan copias de seguridad automáticamente de las copias cifradas de sus claves y usted tiene control total sobre el proceso de recuperación.

AWS KMS está diseñado para ser un servicio de alta disponibilidad con un punto de enlace de API regional. Como la mayoría de servicios de AWS dependen de AWS KMS para el cifrado y descifrado, está diseñado para proporcionar un nivel de disponibilidad capaz de soportar el resto de AWS y que, además, está respaldado por el acuerdo de nivel de servicios de AWS KMS.

Seguridad

AWS KMS está diseñado para que nadie, ni siquiera los empleados de AWS, pueda recuperar sus claves de texto no cifrado del servicio. El servicio utiliza módulos de seguridad de hardware (HSM) que se validaron según la norma FIPS 140-2, o que están en proceso de validación, para proteger la confidencialidad e integridad de sus claves, independientemente de si solicita a KMS que cree claves por usted, las cree en un clúster de AWS CloudHSM o las importe al servicio. Las claves de texto no cifrado jamás se graban en el disco y solo se utilizan en una memoria volátil del HSM durante el tiempo necesario para realizar la operación criptográfica que solicitó. Las claves creadas por KMS nunca se transmiten ni se pueden utilizar fuera la región en la que fueron creadas. Las actualizaciones del firmware del HSM de AWS KMS se controlan con un acceso de varios participantes, el cual es auditado y revisado por un grupo independiente de Amazon, así como un laboratorio acreditado por el Instituto Nacional de Estándares y Tecnología (NIST) de conformidad con la norma FIPS 140-2.

Para obtener más información sobre la arquitectura de AWS KMS y la criptografía que utiliza para proteger las claves, lea el documento técnico Detalles sobre criptografía en AWS Key Management Service.

*En la región de AWS China (Pekín), que administra Sinnet, y en la región de AWS China (Ningxia), que administra NWCD, el gobierno chino aprueba los HSM (no son validados según la norma FIPS 140-2), y no se aplica el documento técnico con detalles criptográficos mencionado anteriormente. 

Almacenamiento de claves personalizadas

AWS KMS le ofrece la opción de crear su propio almacenamiento de claves con HSM que controle. Cada almacenamiento de claves personalizadas está respaldado por un clúster de AWS CloudHSM. Cuando crea una clave maestra de cliente de KMS (CMK) en un almacenamiento de claves personalizadas, KMS genera y almacena material de clave no extraíble para la CMK en un clúster de AWS CloudHSM que usted posee y administra. Cuando utiliza un CMK en un almacenamiento de claves personalizadas, las operaciones criptográficas bajo esa clave se realizan en su clúster de CloudHSM.

Las claves maestras que se almacenan en un almacenamiento de claves personalizadas se administran de la misma manera que cualquier otra clave maestra en KMS y las puede utilizar cualquier servicio de AWS que admita CMK administradas por el cliente.

Usar un almacenamiento de claves personalizadas incluye el costo adicional del clúster de CloudHSM y lo hace responsable de la disponibilidad del material de clave en ese clúster. Para obtener información acerca de si los almacenamientos de claves personalizadas son una buena opción para sus necesidades, lea esta publicación de blog.

* La característica de almacenamiento de claves personalizadas no se encuentra disponible en la región China (Pekín) de AWS, a cargo de Sinnet, ni en la región China (Ningxia) de AWS, a cargo de NWCD.

Conformidad

Los controles de seguridad y calidad de AWS KMS están validados y certificados por los siguientes esquemas de conformidad:

 
* FIPS 140-2 no se aplica a KMS en las regiones de China. Los módulos de seguridad de hardware en las regiones de China cuentan con la aprobación de uso del gobierno chino.
Product-Page_Standard-Icons_01_Product-Features_SqInk
Más información sobre los precios del producto

Ver ejemplos de precios y calcular costos.

Más información 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Inscríbase para obtener una cuenta gratuita

Obtenga acceso instantáneo a la capa gratuita de AWS. 

Regístrese 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Comience a crear en la consola

Comience a crear con AWS Key Management Service en la consola de AWS.

Iniciar sesión