AWS KMS のアイコン

AWS KMS Esencial2014年〜

Servicio administrado de claves de cifrado para crear y gestionar de forma segura las claves utilizadas para cifrar datos

Unos 4 min de lectura

Qué hace

AWS KMS (Key Management Service) es un servicio totalmente administrado para crear, almacenar y gestionar de forma segura las claves de cifrado utilizadas para proteger datos. Se integra con muchos servicios de AWS incluyendo S3, EBS, RDS y DynamoDB, permitiendo el cifrado de datos con solo unos clics. Gestiona centralmente el ciclo de vida de las claves - creación, rotación, deshabilitación y eliminación - y proporciona control de acceso detallado a través de políticas de IAM y políticas de claves. Las claves están protegidas por módulos de seguridad de hardware (HSMs) validados por FIPS 140-2.

Casos de uso

Se utiliza para cifrar datos en reposo en buckets S3 y volúmenes EBS, cifrado de bases de datos para RDS y DynamoDB, cifrado del lado del cliente de datos de aplicaciones, generación y verificación de firmas digitales, y cifrado de secretos almacenados en Secrets Manager y Parameter Store - esencialmente cualquier escenario que requiera protección de datos.

Analogía cotidiana

Es como una oficina de gestión de llaves en un edificio de apartamentos. La oficina de gestión (KMS) gestiona centralmente las llaves (claves de cifrado) de cada habitación (datos), y solo los residentes autorizados (usuarios IAM) pueden usar la llave de su propia habitación. Las llaves se reemplazan periódicamente (rotan) para minimizar el riesgo de pérdida o robo. Las llaves mismas se almacenan en una caja fuerte (HSM) y no se pueden sacar.

¿Qué es KMS?

AWS Key Management Service (KMS) es un servicio totalmente administrado para gestionar el ciclo de vida de las claves de cifrado. Si bien el cifrado es fundamental para la protección de datos, gestionar de forma segura las claves de cifrado es complejo y requiere conocimientos especializados. KMS abstrae esta complejidad, facilitando la creación y gestión de claves de cifrado a través de llamadas API u operaciones de consola. Las claves están protegidas por HSMs certificados FIPS 140-2 Nivel 3, y nadie - incluidos los empleados de AWS - puede acceder a las claves en texto plano.

Tipos de claves de cifrado

KMS maneja principalmente dos tipos de claves. Las claves KMS (anteriormente llamadas CMKs) son claves de cifrado gestionadas dentro de KMS, utilizadas para generar claves de datos y para cifrado/descifrado directo. Las claves de datos son claves cifradas por claves KMS, utilizadas para cifrar grandes volúmenes de datos. Este mecanismo se llama cifrado de sobre y es más eficiente que cifrar datos directamente con claves KMS. Las claves KMS vienen en variedades simétricas (AES-256) y asimétricas (RSA, ECC), que se eligen según el caso de uso.

Integración con servicios de AWS

KMS se integra con más de 100 servicios de AWS. En S3, puede especificar una clave KMS para el cifrado predeterminado del bucket, y los objetos cargados se cifran automáticamente. En EBS, simplemente habilitar el cifrado al crear un volumen protege los datos en disco con una clave KMS. RDS y Aurora usan claves KMS para el cifrado de instancias de base de datos, y las copias de seguridad y snapshots también se cifran automáticamente. Todas estas integraciones funcionan de forma transparente, sin requerir cambios en la aplicación. Para una visión completa de las integraciones con servicios de AWS, los libros (Amazon) son una excelente referencia.

Precios

Los precios de KMS consisten en cargos por almacenamiento de claves y cargos por solicitudes API. Las claves administradas por AWS son gratuitas, y las claves administradas por el cliente cuestan $1 por clave al mes. Las solicitudes API cuestan $0.03 por cada 10,000 solicitudes. Los cargos por solicitudes API también se aplican cuando los servicios de AWS llaman a KMS, pero el cifrado de sobre minimiza las llamadas a la API de KMS incluso al cifrar grandes volúmenes de datos.

Aspectos a tener en cuenta

  • La eliminación de claves KMS tiene un período de espera de 7-30 días para prevenir eliminaciones accidentales. Eliminar una clave hace que los datos cifrados sean irrecuperables permanentemente, así que proceda con precaución
  • Habilitar la rotación automática para claves administradas por el cliente genera nuevo material de clave una vez al año. El material de clave antiguo se retiene para descifrado, por lo que los datos existentes no se ven afectados
共有するXB!

Servicios relacionados

Amazon S3 iconoAmazon S3Servicio de almacenamiento de objetos escalableAWS Secrets Manager iconoAWS Secrets ManagerGestione de forma segura y rote automáticamente contraseñas de bases de datos y claves APIAmazon EBS iconoAmazon EBSUn servicio de almacenamiento en bloques que se conecta a instancias EC2

Artículos relacionados

Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.Computación confidencial - Aislamiento y protección de datos en procesamiento con AWS Nitro EnclavesExplicamos el procesamiento aislado de datos confidenciales con AWS Nitro Enclaves. Presentamos la atestación criptográfica, integración con KMS y casos de uso de procesamiento de PII y gestión de claves criptográficas.Operación administrada de cargas de trabajo MongoDB con Amazon DocumentDB - Modelo de documentos y diseño de consultasGestione datos de documentos con API compatible con MongoDB y logre escalado de lectura y DR con hasta 15 réplicas de lectura y clústeres globales. Explicamos el uso de sharding con clústeres elásticos.Cifrado de Amazon EBS y compartición de snapshots - Diseño entre cuentas y entre regionesPresentamos de forma integral desde la habilitación del cifrado por defecto hasta la compartición de snapshots entre cuentas y el diseño de DR mediante copia entre regiones.Módulos de seguridad de hardware - Gestión dedicada de claves criptográficas con AWS CloudHSMAprende sobre la gestión dedicada de claves criptográficas con AWS CloudHSM. Cubre cuándo elegir CloudHSM sobre KMS, cumplimiento FIPS 140-2 Level 3, descarga TLS e integración con Oracle TDE.

Más en esta categoría

IAM Access Analyzer iconoIAM Access Analyzer SpecializedUn servicio que detecta recursos accesibles externamente y permisos de acceso no utilizadosAWS Certificate Manager iconoAWS Certificate Manager EssentialUn servicio que automatiza el aprovisionamiento, la gestión y el despliegue de certificados SSL/TLSAWS Artifact iconoAWS Artifact SpecializedUn servicio para acceder bajo demanda a informes de cumplimiento y acuerdos de AWSAWS Audit Manager iconoAWS Audit Manager SpecializedUn servicio que automatiza la recopilación de evidencia y la evaluación para auditorías de cumplimientoAWS CloudHSM iconoAWS CloudHSM EspecializadoUn servicio que gestiona claves criptográficas con módulos de seguridad de hardware dedicadosAmazon Cognito iconoAmazon Cognito PopularUn servicio que proporciona autenticación, autorización y gestión de usuarios para aplicaciones web y móvilesAmazon Detective iconoAmazon Detective EspecializadoUn servicio que analiza automáticamente hallazgos de seguridad e investiga la causa raízAWS Directory Service iconoAWS Directory Service EspecializadoUn servicio que proporciona Active Directory administrado en AWS

Artículos y servicios similares

AWS KMSServicio de gestión de claves completamente administrado que centraliza la creación, gestión y rotación de claves de cifrado, integrado con más de 100 servicios de AWSDónde se almacenan las claves de cifrado de KMS - Mecanismo de cifrado de sobre y HSMExplicamos el mecanismo por el cual las claves maestras de KMS se almacenan dentro de HSM certificados FIPS 140-2, el diseño de protección doble de claves de datos con cifrado de sobre y el funcionamiento interno de la rotación de claves.Cifrado y soberanía de datos en AWS - Aislamiento a nivel de hardware desde KMS hasta Nitro EnclavesExplicamos el cifrado a nivel de hardware y la garantía de soberanía de datos mediante AWS KMS, CloudHSM y Nitro Enclaves, comparando las diferencias de diseño con otras nubes.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.Módulos de seguridad de hardware - Gestión dedicada de claves criptográficas con AWS CloudHSMAprende sobre la gestión dedicada de claves criptográficas con AWS CloudHSM. Cubre cuándo elegir CloudHSM sobre KMS, cumplimiento FIPS 140-2 Level 3, descarga TLS e integración con Oracle TDE.