Información general

AWS Key Management Service (KMS) le permite ejercer un control centralizado de las claves criptográficas que se utilizan para proteger los datos. El servicio está integrado con otros servicios de AWS, lo que facilita el cifrado de los datos que almacene en estos servicios y el control del acceso a las claves que los descifran. AWS KMS también está integrado con AWS CloudTrail para ayudarlo a realizar auditorías que detecten quién utilizó determinadas claves, en qué recursos y cuándo lo hizo. Con AWS KMS, los desarrolladores pueden agregar de manera más sencilla funcionalidades de cifrado y firma digital en el código de la aplicación, ya sea directamente o a través del SDK de AWS. El SDK de cifrado de AWS es compatible con AWS KMS como proveedor de claves para desarrolladores que necesiten cifrar o descifrar datos localmente en las aplicaciones.

AWS KMS le ofrece un control centralizado del ciclo de vida y los permisos de sus claves. Puede crear claves nuevas cuando quiera, además de controlar quiénes pueden administrarlas por un lado y quiénes utilizarlas por otro. En vez de utilizar claves generadas por AWS KMS, puede importar claves desde una infraestructura de administración de claves propia, utilizar las claves almacenadas en el clúster de AWS CloudHSM, o las claves guardadas fuera de AWS en su gestor de claves externo. Puede seleccionar la rotación automática anual de claves maestras generadas en AWS KMS para no tener que volver a cifrar datos que ya lo estaban. El servicio conserva de manera automática versiones anteriores de la clave maestra para descifrar datos cifrados con antelación. Puede administrar las claves maestras y auditar su utilización desde la Consola de administración de AWS o a través del SDK o la Interfaz de la línea de comandos (CLI) de AWS.

* La opción para importar claves no se encuentra disponible para claves asimétricas.

Integración con servicios de AWS

AWS KMS se integra con otros servicios de AWS para cifrar datos en reposo o para facilitar el inicio de sesión y la verificación mediante una clave de AWS KMS. Para proteger los datos en reposo, los servicios de AWS integrados utilizan el cifrado de sobres, en el cual una clave de datos se utiliza para el cifrado de datos y a su vez se cifra con una clave de KMS almacenada en AWS KMS. Para el inicio de sesión y la verificación, los servicios de AWS integrados utilizan cifrado RSA asimétrico o claves de KMS de curva elíptica de AWS KMS. Para obtener más información sobre cómo un servicio integrado utiliza AWS KMS, consulte la documentación del servicio de AWS.

Servicios de AWS integrados con AWS KMS
Alexa for Business[1] Amazon Forecast Amazon Nimble Studio AWS CloudHSM[2]
Amazon AppFlow Amazon Fraud Detector Amazon Personalize AWS CloudTrail
Amazon Athena Amazon FSx Amazon QLDB AWS CodeArtifact
Amazon Aurora Amazon GuardDuty Amazon Redshift AWS CodeBuild
Amazon CloudWatch Logs Amazon HealthLake Amazon Rekognition AWS CodeCommit[1]
Amazon CloudWatch Synthetics Amazon Inspector Amazon Relational Database Service (RDS) AWS CodePipeline
Amazon CodeGuru Amazon Kendra Amazon Route 53 AWS Control Tower
Amazon Comprehend Amazon Keyspaces (para Apache Cassandra) Amazon S3 AWS Database Migration Service
Amazon Connect Amazon Kinesis Data Streams Amazon SageMaker AWS Elastic Disaster Recovery
Amazon Connect Customer Profiles Amazon Kinesis Firehose Amazon Simple Email Service (SES) AWS Elemental MediaTailor
Identificador de voz de Amazon Connect Amazon Kinesis Video Streams Amazon Simple Notification Service (SNS) AWS Glue
Amazon Connect Wisdom Amazon Lex Amazon Simple Queue Service (SQS) AWS Glue DataBrew
Amazon DocumentDB Amazon Lightsail[1] Amazon Textract AWS IoT SiteWise
Amazon DynamoDB Amazon Location Service Amazon Timestream AWS Lambda
Amazon DynamoDB Accelerator (DAX)[1] Amazon Lookout for Equipment Amazon Transcribe AWS License Manager
Amazon EBS Amazon Lookout for Metrics Amazon Translate AWS Network Firewall
Amazon EC2 Image Builder Amazon Lookout for Vision Amazon WorkMail AWS Proton
Amazon EFS Amazon Macie Amazon WorkSpaces AWS Secrets Manager
Amazon Elastic Container Registry (ECR) Amazon Managed Blockchain Amazon WorkSpaces Web AWS Snowball
Amazon Elastic Kubernetes Service (EKS) Amazon Managed Service para Prometheus AWS Audit Manager AWS Snowball Edge
Amazon Elastic Transcoder Amazon Managed Streaming for Kafka (MSK) AWS Application Cost Profiler AWS Snowcone
Amazon ElastiCache Amazon Managed Workflows for Apache Airflow (MWAA) AWS Application Migration Service AWS Snowmobile
Amazon OpenSearch Amazon MemoryDB AWS App Runner AWS Storage Gateway
Amazon EMR Amazon Monitron AWS Backup AWS Systems Manager
Amazon EMR sin servidor Amazon MQ AWS Certificate Manager[1] AWS X-Ray
Amazon FinSpace Amazon Neptune AWS Cloud9[1]  

[1] Solo admite claves administradas por AWS.

[2] AWS KMS admite almacenes de claves personalizados respaldados por un clúster de AWS CloudHSM.

[3] Para consultar una lista de los servicios integrados en AWS KMS en la región de AWS China (Pekín), a cargo de Sinnet, y en la región de AWS China (Ningxia), a cargo de NWCD, visite Integración en el servicio AWS KMS en China.

Los servicios de AWS que no se mencionaron anteriormente cifran los datos del cliente con las claves que el servicio correspondiente posea y administre.

Monitoreo de auditorías

Si tiene habilitado AWS CloudTrail para su cuenta de AWS, cada solicitud que realice a AWS KMS se registrará en un archivo de registro. Este archivo de registro se entrega en el bucket de Amazon Simple Storage Service (Amazon S3) que especificó al habilitar AWS CloudTrail. La información registrada incluye los detalles del usuario, la hora, la fecha, la acción de API y, cuando corresponda, la clave utilizada.

Escalabilidad, durabilidad y alta disponibilidad

AWS KMS es un servicio totalmente administrado. A medida que aumente el uso del cifrado, el servicio ajustará su escala automáticamente para satisfacer sus necesidades. Permite administrar miles de claves de KMS en la cuenta y utilizarlas cuando desee. Define los límites predeterminados para la cantidad de claves y para las tarifas de las solicitudes, pero usted puede solicitar un aumento de los límites si es necesario.

Las claves de KMS que crea o las que otro servicio de AWS crea por usted no se pueden exportar del servicio. Por lo tanto, AWS KMS asume la responsabilidad de la durabilidad de dichas claves. AWS KMS almacena varias copias de las versiones cifradas de las claves en sistemas diseñados para ofrecer una durabilidad del 99,999999999 %, a fin de garantizar que las claves y datos tengan una alta disponibilidad.

En el caso de los datos cifrados o los flujos de trabajo de firmas digitales que se desplazan entre regiones (recuperación de desastres, arquitecturas de alta disponibilidad de varias regiones, tablas globales de DynamoDB y firmas digitales coherentes distribuidas globalmente), puede crear claves de KMS para varias regiones. Las claves de KMS para varias regiones son un conjunto de claves interoperables con los mismos materiales de claves e ID de claves que se pueden replicar en varias regiones.

AWS KMS está diseñado para ser un servicio de alta disponibilidad con un punto de conexión de API regional. Como la mayoría de los servicios de AWS confían en AWS KMS para el cifrado y descifrado, AWS KMS está diseñado para ofrecer un nivel de disponibilidad. Esta disponibilidad es compatible con el resto de AWS y está respaldada por el Contrato de Nivel de Servicio de AWS Key Management.

Seguridad

AWS KMS está diseñado para que nadie, ni siquiera los empleados de AWS, pueda recuperar sus claves de texto no cifrado del servicio. El servicio utiliza módulos de seguridad de hardware (HSM) que sirven para proteger la confidencialidad e integridad de sus claves y que han sido validados según las normas FIPS 140-2, o están en proceso de validación. Las claves de texto no cifrado jamás se graban en el disco y solo se utilizan en una memoria volátil del HSM durante el tiempo necesario para realizar la operación criptográfica que solicitó. Este proceso se realiza independientemente de si solicita a AWS KMS que cree claves por usted, las importa al servicio o las crea en un clúster de AWS CloudHSM mediante la característica de almacenamiento de claves personalizado. Las claves creadas por el servicio AWS KMS nunca se transmiten fuera de la región de AWS en la que se crearon. Solo pueden utilizarse en la región en la que se crearon. Las actualizaciones del firmware del HSM de AWS KMS se controlan con el acceso de varios participantes, que un grupo independiente de Amazon audita y revisa, y un laboratorio acreditado por el Instituto Nacional de Estándares y Tecnología (NIST) de conformidad con la norma FIPS 140-2.

Para obtener más información sobre la arquitectura de AWS KMS y la criptografía que utiliza para proteger las claves, lea los detalles criptográficos de AWS KMS.

* En la región de AWS China (Pekín), que administra Sinnet, y en la región de AWS China (Ningxia), que administra NWCD, el Gobierno chino aprueba los HSM (no son validados según la norma FIPS 140-2) y no se aplica el documento técnico con detalles criptográficos mencionado anteriormente. 

Claves asimétricas

AWS KMS lo ayuda a crear y utilizar claves de KMS asimétricas y pares de claves de datos. Puede designar una clave de KMS para utilizar como par de claves de firma o par de claves de cifrado. Las operaciones criptográficas asimétricas y la generación de pares de claves mediante el uso de estas claves de KMS se realizan dentro de los HSM. Puede solicitar la sección pública de la clave de KMS asimétrica para utilizarla en aplicaciones locales, pero la sección privada jamás abandonará el servicio.

También puede solicitar al servicio que genere un par de claves de datos asimétricas. La operación devuelve una copia con texto plano de la clave pública, la clave privada, y una copia de la clave privada cifrada bajo una clave de KMS simétrica que usted especifique. Puede utilizar la clave privada o pública con texto plano en la aplicación local y almacenar la copia cifrada de la clave privada para una utilización futura.

* La opción de almacenamiento de claves personalizado o de almacenamiento de claves externo no admite las claves asimétricas.

HMAC

Puede generar y verificar código de autenticación de mensajes basado en hash (HMAC) a partir de los módulos de seguridad de hardware (HSM) validados por FIPS 140-2 de AWS KMS. Los HMAC son un bloque de construcción criptográfica que incorporan material clave secreto dentro de una función hash para crear un código de autenticación de mensaje con clave única. Las claves de KMS para HMAC ofrecen una ventaja frente a los HMAC de software de aplicación, ya que el material de las claves se genera y usa por completo dentro de AWS KMS. También están sujetas a controles de acceso que se establecen en la clave. Las claves de KMS para HMAC y los algoritmos de HMAC que usa AWS KMS cumplen con los estándares de la industria definidos en RFC 2104. Las claves de KMS para HMAC se generan en módulos de seguridad de hardware de AWS KMS certificados según el programa de validación de módulos criptográficos FIPS 140-2 (excepto en las regiones China [Pekín] y China [Ningxia]), y nunca salen de AWS KMS sin cifrar.

* Los almacenes de claves personalizados no admiten claves de AWS KMS para HMAC.

Cumplimiento

Los controles de seguridad y calidad de AWS KMS están validados y certificados por los siguientes regímenes de conformidad:

 
AWS KMS se ha validado y certificado frente a otros regímenes de conformidad enumerados aquí.
 
* FIPS 140-2 no se aplica a AWS KMS en las regiones de China. Los módulos de seguridad de hardware en las regiones de China cuentan con la aprobación de uso del gobierno chino.

Almacén de claves personalizado

Un almacén de claves personalizado es un almacén de claves lógico dentro de AWS KMS que está respaldado por los HSM de su propiedad y que administra fuera de AWS KMS. Los almacenes de claves personalizados combinan la cómoda y completa interfaz de administración de claves de AWS KMS con la capacidad de poseer y controlar el dispositivo o dispositivos donde se produce el material de claves y las operaciones criptográficas. Como resultado, usted asume más responsabilidad por la disponibilidad y durabilidad de las claves criptográficas y por el funcionamiento de los HSM. AWS KMS ofrece dos tipos de almacenes de claves personalizados:

Integración de CloudHSM

Puede crear una clave KMS en un almacén de claves personalizado de AWS CloudHSM, donde todas las claves se generan y almacenan en un clúster de AWS CloudHSM de su propiedad y que usted administra. Cuando utiliza una clave de KMS en un almacén de claves personalizado, las operaciones criptográficas bajo esa clave se realizan únicamente en el clúster de AWS CloudHSM.

Usted administra las claves de KMS que se guardan en un almacén de claves personalizado de CloudHSM, como cualquier otra clave de KMS y puede utilizarlas con cualquier servicio de AWS integrado a AWS KMS.

Utilizar un almacén de claves personalizado incluye el costo adicional del clúster de AWS CloudHSM y lo hace responsable de la disponibilidad del material de claves en dicho clúster. Para obtener más información sobre si los almacenes de claves personalizados son una buena opción para sus necesidades, lea este blog.

* La característica de almacenamiento de claves personalizado no se encuentra disponible en la región China (Pekín) de AWS, a cargo de Sinnet, ni en la región China (Ningxia) de AWS, a cargo de NWCD.

** La opción de almacenamiento de claves personalizado no se encuentra disponible para claves de KMS asimétricas.

Almacén de claves externo

Puede crear una clave de KMS en un almacén de claves externo (XKS) de AWS KMS, donde todas las claves se generan y almacenan en un administrador de claves externo fuera de AWS de su propiedad y que usted administra. Esta característica le aporta flexibilidad para cifrar o descifrar datos con un mecanismo de autorización y auditoría independiente de AWS.

Usted administra las claves de KMS que se guardan en un almacén de claves personalizado de XKS, como cualquier otra clave de KMS y puede utilizarlas con cualquier servicio de AWS integrado a AWS KMS.

A diferencia de las claves de KMS estándar o de una clave en un almacén de claves personalizado de CloudHSM, usted es responsable de la durabilidad, disponibilidad, latencia, rendimiento y seguridad del material de la clave y de las operaciones criptográficas de las claves externas cuando utilice un almacén de claves externo. El rendimiento y la disponibilidad de las operaciones de KMS pueden verse afectados por el hardware, el software o los componentes de red de la infraestructura de XKS que utilice.

Obtenga más información sobre los precios del producto

Ver ejemplos de precios y calcular costos.

Más información 
Regístrese para obtener una cuenta gratuita

Obtenga acceso instantáneo a la capa gratuita de AWS. 

Registrarse 
Comience a crear en la consola

Comience a crear con AWS Key Management Service en la consola de AWS.

Iniciar sesión