Cómo crear y usar tu primera llave KMS

Cursos Empresas Blog Live Conf Precios

Contenido del curso

Fundamentos de la Infraestructura Global de AWS

Redes en AWS

Servicios de cómputo en AWS

Balanceo de Carga y Auto escalamiento

Almacenamiento en AWS

Bases de datos en AWS

Seguridad en AWS

Costos en AWS

Servicios Complementarios

Migracion a la nube de AWS

Cómo aprobar la certificación AWS Cloud Practitioner

Tomar examen

Cómo crear y usar tu primera llave KMS

Resumen

Crear una llave KMS en AWS es el primer paso para proteger objetos, bases de datos y discos en la nube mediante cifrado gestionado. Esta guía te muestra cómo configurar tu primera key, usarla para cifrar un archivo en S3 y eliminarla de forma segura, ideal para quienes empiezan con seguridad en AWS.

¿Qué es KMS y para qué sirve en AWS?

KMS, o Key Management Service, es el servicio de administración de llaves criptográficas de Amazon. Lo usas para cifrar información sensible y controlar quién puede leerla.

¿Qué es KMS en AWS? Es el servicio que crea, almacena y gestiona llaves de cifrado para proteger datos en servicios como S3, RDS o EBS. Tú defines quién administra y quién usa cada llave.

La idea es simple: en lugar de manejar llaves a mano, dejas que AWS las custodie y tú decides las políticas de acceso.

¿Cómo crear una llave KMS desde la consola?

Desde la consola de AWS, busca KMS en la barra superior y entra a Key Management Service. En la esquina superior derecha verás el botón naranja Create Key. Ahí empieza todo.

El asistente te pide varias decisiones clave antes de generar la llave:

Tipo de llave: simétrica o asimétrica. La simétrica usa la misma llave para cifrar y descifrar, y es la opción más común en KMS. La asimétrica usa una llave para cifrar y otra para descifrar, útil en firmado y verificación.
Uso: Encrypt and Decrypt es la opción estándar para proteger objetos.
Advanced Options: aquí decides si la llave vive en KMS o en un CloudHSM, un módulo de hardware dedicado.
Scope: define si la llave funciona en una sola región (Single Region Key) o si será multiregión.

Para este flujo, la configuración es simétrica, Encrypt and Decrypt, almacenamiento en KMS y single region [01:09].

¿Qué es el alias de una llave KMS?

El alias es un nombre amigable que apunta a tu llave. En el ejemplo se usa el alias Mi primera llave con la descripción "Esta es mi primera llave de seguridad".

Lo interesante es que al referenciar el alias en tus aplicaciones, AWS puede rotar la llave por detrás sin que tengas que cambiar el código. Ese es el verdadero beneficio del alias.

¿Quién administra y quién usa la llave?

KMS separa dos permisos distintos y eso importa mucho. Primero defines quién administra la llave, por ejemplo un usuario llamado Carlos Zambrano, y decides si esa persona puede o no eliminarla marcando la casilla correspondiente.

Luego defines quién la puede usar para cifrar y descifrar. Aquí puedes asignar:

Usuarios IAM individuales.
Roles de servicios como RDS o Lambda.
Cuentas externas que necesiten acceso puntual.

Antes de finalizar, AWS muestra el overview y la política de la llave, que después puedes personalizar según tus necesidades [04:20].

¿Cómo cifrar un objeto en S3 con tu llave KMS?

Una vez creada la llave, toca verla en acción. El ejercicio es subir un archivo a un bucket de S3 y cifrarlo con la llave recién creada.

Entras al bucket, en este caso Platzi-Carlos Zambrano, das clic en Upload y agregas el archivo .txt desde tu equipo. Antes de confirmar la carga, expandes la sección Properties y bajas hasta encontrar la opción de cifrado.

Ahí seleccionas Specify an encryption key y eliges Server side encryption with Key Management Service. Tienes dos caminos:

Pegar el ARN de la llave directamente.
Seleccionarla de la lista de llaves disponibles en tu cuenta.

¿Qué es el ARN de una llave KMS? Es el Amazon Resource Name, el identificador único de la llave dentro de AWS. Lo encuentras dentro del detalle de la llave en KMS.

Después de seleccionar Mi primera llave, das clic en Upload y el archivo se sube cifrado. Si entras al objeto y bajas hasta Server side encryption settings, verás que el objeto está protegido con KMS y aparece el ARN de la llave usada.

¿Cómo eliminar una llave KMS de forma segura?

Borrar una llave KMS no es un clic inmediato, y eso es una protección, no un obstáculo. AWS te obliga a pasar por dos etapas.

Primero seleccionas la llave, vas a Key actions y eliges Disable. Confirmas en el prompt y la llave queda deshabilitada, lo que significa que ya no se puede usar para cifrar ni descifrar.

Luego, con la llave seleccionada, vuelves a Key actions y eliges Schedule key deletion. Aquí defines un waiting period que tiene un mínimo de siete días. Ese tiempo es tu red de seguridad: si descubres que algo dependía de esa llave, puedes recuperarla antes de que se borre.

¿Por qué KMS no permite borrar una llave de inmediato? Porque si la llave está cifrando objetos, discos o bases de datos activas, eliminarla al instante podría dejar inaccesible toda esa información. Los siete días mínimos son una ventana de recuperación.

Un consejo práctico: en producción, gestiona el ciclo de vida de tus llaves con cuidado extremo. Borrar una llave en uso puede significar perder acceso a datos críticos sin posibilidad de recuperarlos.

¿Qué otros servicios de AWS usan KMS para cifrar?

KMS no vive aislado, se integra con buena parte del catálogo de AWS. Ya conoces los obvios: EBS, RDS, S3 y EFS, todos pueden cifrarse con llaves KMS.

Pero el ecosistema es mucho más amplio. ¿Cuáles cinco servicios distintos a esos cuatro crees que también pueden cifrarse con KMS? Déjalos en los comentarios y compáralos con los que encuentren tus compañeros.

Comentarios

JOHN SEBASTIAN AGUDELO CASTRO

Estudiante

Algunos de los servicios que utilizan AWS KMS incluyen:

Amazon S3: Permite el cifrado de objetos utilizando claves gestionadas por KMS.
Amazon EBS: Ofrece cifrado de volúmenes con claves de KMS.
Amazon RDS: Proporciona cifrado de bases de datos empleando claves de KMS.
AWS Lambda: Soporta el cifrado de variables de entorno mediante KMS.
AWS Secrets Manager: Gestiona secretos cifrados con claves de KMS.
AWS CloudTrail: Registra y cifra logs utilizando KMS.
Amazon DynamoDB: Implementa cifrado de tablas con claves de KMS.
Amazon Redshift: Utiliza KMS para cifrar datos en reposo.
AWS Systems Manager Parameter Store: Almacena parámetros cifrados con KMS.
Amazon SES: Emplea KMS para cifrar correos electrónicos.

Jorge Mora

Estudiante

Estos son algunos servicios, más utilizados de Amazon AWS que se integran con KMS para cifrar datos:

AWS Glue: Cifra los datos almacenados en los catálogos de datos y en la salida de las tareas.
Amazon SageMaker: Cifra datos en reposo y modelos de machine learning.
AWS CodeBuild: Cifra artefactos de compilación almacenados.
Amazon Elasticsearch Service (actualmente Amazon OpenSearch Service): Para cifrado de datos en reposo en los clústeres.
Amazon EMR (Elastic MapReduce): Cifra datos en HDFS, S3 y otros sistemas de almacenamiento utilizados en los clústeres.
AWS Backup: Cifra las copias de seguridad en el servicio de Backup.
Amazon Kinesis (Kinesis Data Streams y Kinesis Firehose): Cifra los datos de streaming en reposo.
AWS Step Functions: Permite cifrar datos sensibles almacenados en ejecución y en la salida.

Estos servicios usan KMS para proporcionar cifrado en reposo, ayudando a garantizar la seguridad de los datos que se almacenan o manejan en AWS. También permiten administrar de forma segura el acceso a las claves para diferentes servicios y usuarios.

Miguel Campos

Estudiante

Tambien estos.

Amazon DynamoDB: Para cifrar tablas con claves administradas por KMS.
Amazon Redshift: Para cifrado de datos en reposo y copias de seguridad.
Amazon FSx (para Windows File Server y Lustre): Cifrado de datos en reposo.
Amazon Aurora: Cifrado de bases de datos, réplicas y backups.

AWS Glue Data Catalog: Protección de metadatos sensibles almacenados en el catálogo de datos.
Amazon Athena: Para consultas cifradas y protección de resultados almacenados.
Amazon QuickSight: Para proteger datos almacenados en datasets o análisis.

Sebastian Baltazar

Estudiante

Aqui le dejo algunos servicios de AWS que se integran con KMS

Juan Diego Rosero Calvachi

Estudiante

Existen varios servicios en AWS donde puedes utilizar KMS para cifrado, además de los que mencionaste. Aquí algunos ejemplos:

Amazon Elastic File System (EFS): Para cifrar datos en reposo.
AWS Key Management Service (KMS): Para gestionar y proteger claves.
Amazon FSx: Para sistemas de archivos Windows y Lustre, permitiendo cifrado de datos.
Amazon SageMaker: Para cifrar datos en la formación de modelos de machine learning.
AWS Backup: Para cifrar respaldos de datos de servicios en AWS.

Estos servicios permiten fortalecer la seguridad a través de la encriptación gestionada por KMS.

Ruben Galindo

Estudiante

AWS CloudHSM es un servicio de gestión de hardware de seguridad que permite a las empresas generar y controlar sus propias claves de cifrado en hardware dedicado. A diferencia de AWS Key Management Service (KMS), que ofrece llaves en la nube, CloudHSM proporciona un nivel adicional de seguridad al permitir la gestión de claves en módulos de seguridad hardware (HSM) que cumplen con estándares de seguridad como FIPS 140-2. Esto es especialmente útil para cumplir con regulaciones estrictas y para aplicaciones que requieren el más alto nivel de seguridad en el manejo de claves criptográficas.

Enrique Alexis Lopez Araujo

Estudiante

KMS (Key Management Service) es crucial en AWS porque permite gestionar y proteger las claves de cifrado utilizadas para asegurar datos en la nube. Proporciona cifrado de datos en reposo y en tránsito, facilitando la seguridad de aplicaciones y datos confidenciales. KMS también permite la auditoría y el control de acceso, alineándose con las mejores prácticas de seguridad. Así, asegura que solo los usuarios autorizados puedan acceder a la información cifrada, lo que es esencial para el cumplimiento normativo y la protección de datos en la nube.

Liceth Vasco

Estudiante

Amazon SQS SNS Kinesis RedShift Secret mananger

Ruben Galindo

Estudiante

Un alias en KMS (Key Management Service) tiene varios beneficios:

Facilidad de uso: Permite referirse a llaves de manera más sencilla, sin recordar el ARN (Amazon Resource Name) completo.
Rotación de llaves: Puedes cambiar la llave subyacente sin afectar las aplicaciones, ya que el alias seguirá apuntando a la nueva llave.
Gestión centralizada: Facilita la administración de múltiples llaves al proporcionar un punto de referencia común.
Mejor organización: Ayuda a categorizar llaves, mejorando la claridad en su uso y propósito.

Estos beneficios son clave para la gestión de la seguridad en la nube.

Miguel Angel Reyes Moreno

Estudiante

Respuesta de perplexity usando deepseek:

AWS Key Management Service (KMS) se integra con numerosos servicios de AWS para proporcionar cifrado y gestión de claves. Aquí hay cinco servicios destacados que utilizan KMS:

1. **Amazon S3**

Usa KMS para cifrar objetos almacenados en buckets mediante claves administradas por el usuario (SSE-KMS), permitiendo control granular sobre el acceso a datos sensibles[1][2][3].

2. **Amazon RDS (Relational Database Service)**

Implementa cifrado de bases de datos mediante KMS, protegiendo datos en reposo como instantáneas, copias de seguridad y volúmenes subyacentes[1][2][3].

3. **Amazon EBS (Elastic Block Store)**

Cifra volúmenes de almacenamiento utilizando claves de KMS, garantizando la seguridad de los datos en discos virtuales asociados a instancias EC2[1][3][9].

4. **AWS Lambda**

Permite cifrar variables de entorno y capas de funciones usando KMS, asegurando información sensible como credenciales o tokens de API[1][9].

5. **Amazon Redshift**

Utiliza KMS para cifrar clústeres de almacenamiento de datos, incluyendo backups y datos en tránsito, con rotación automática de claves[1][2][3].

Otros servicios integrados incluyen **Amazon DynamoDB** (cifrado de tablas)[9], **AWS Secrets Manager** (gestión de secretos)[10] y **Amazon EKS** (Kubernetes cifrado)[9]. KMS también se emplea en operaciones de firma digital con servicios como **Amazon CloudTrail**[10].

Citations:

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

Miguel Angel Reyes Moreno

Estudiante

5 extras: Aquí tienes cinco servicios adicionales de AWS que utilizan AWS Key Management Service (KMS):

1. **Amazon EMR (Elastic MapReduce)**

Utiliza KMS para cifrar datos en reposo y en tránsito, asegurando la protección de datos procesados en clústeres de análisis.

2. **Amazon Athena**

Permite realizar consultas SQL sobre datos almacenados en Amazon S3, utilizando KMS para cifrar los datos en reposo y garantizar su seguridad.

3. **Amazon FSx**

Proporciona almacenamiento de archivos completamente administrado y utiliza KMS para cifrar datos en reposo, mejorando la seguridad de los sistemas de archivos.

4. **AWS CloudTrail**

Registra las llamadas a la API en tu cuenta de AWS y utiliza KMS para cifrar los registros, asegurando la integridad y confidencialidad de la información auditada.

5. **Amazon GuardDuty**

Este servicio de detección de amenazas utiliza KMS para proteger los datos que analiza, garantizando la seguridad de la información sensible durante el proceso de detección.

Estos servicios, junto con los mencionados anteriormente, muestran cómo KMS es fundamental para mantener la seguridad y el cifrado en el ecosistema de AWS.

Citations:

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

Fundamentos de la Infraestructura Global de AWS

Qué es AWS y por qué aprenderlo

Cómo crear tu cuenta en AWS sin sorpresas

Seguridad en AWS: Prácticas Esenciales y Gestión de Accesos

Modelo de Responsabilidad Compartida en AWS: Seguridad y Cumplimiento

Creación y gestión de usuarios en AWS IAM

Regiones y Zonas de Disponibilidad en AWS

Local Zones, Outposts y Edge Locations en AWS

Gestión de DNS y dominios con AWS Route 53

Redes en AWS

Componentes y configuración de una VPC en AWS

Seguridad en VPC: Grupos de Seguridad y Network ACLs

Creación de una VPC en AWS: Paso a Paso Práctico

Cómo conectar subredes con NAT e IGW en AWS

Opciones de Conectividad en AWS: VPN y DirectConnect

CloudFront vs Global Accelerator en AWS

Servicios de cómputo en AWS

Qué es EC2 y cómo funciona

Creación de un Servidor Web en AWS Paso a Paso

Conexión a Servidor AWS EC2 usando SSH en Mac y Linux

Conexión a Servidor con PuTTY en Windows

Instalación de un Servidor Web Apache en AWS EC2

Tipos de Instancias EC2 y Casos de Uso en AWS

Comparación de precios y tipos de instancias EC2 en AWS

Servicios de Contenedores en AWS: Docker, ECS, EKS y Fargate

Conceptos Básicos de Serverless y AWS Lambda

Balanceo de Carga y Auto escalamiento

Tipos de balanceadores de carga en AWS

Autoescalamiento en AWS: Gestión Dinámica de Recursos en la Nube

Implementación de Aplicación Web en AWS con Alta Disponibilidad

Conexión SSH a servidores privados en AWS

Configuración de Balanceador de Carga en AWS EC2

Cómo borrar recursos de AWS sin cargos

Almacenamiento en AWS

Opciones de Almacenamiento en la Nube con AWS

Tipos de almacenamiento en AWS: bloques, archivos y objetos

Almacenamiento y Seguridad en Amazon S3: Uso y Configuración

Clases de Almacenamiento en Amazon S3: Usos y Características

Migración de Datos a AWS con Snow Family y Amazon S3

Creación y Configuración de Buckets en Amazon S3

Funciones clave de un bucket en AWS S3

Qué es Amazon EBS y cómo funciona

Tipos de volúmenes EBS y sus casos de uso en AWS

Almacenamiento de Archivos en AWS: EFS y FSx

Almacenamiento Híbrido con AWS Storage Gateway

Bases de datos en AWS

Creación y Gestión de Bases de Datos Relacionales en AWS

Bases de Datos en AWS: Relacionales vs No Relacionales

Creación de una Base de Datos MySQL en AWS Paso a Paso

Conectar MySQL en AWS RDS con DBeaver

Introducción a DynamoDB: Características y Ventajas en AWS

Crea tu primera tabla en DynamoDB

Seguridad en AWS

Seguridad en AWS: Protección de Recursos y Aplicaciones en la Nube

Gestión de Roles, Grupos y Políticas en AWS IAM

AWS Shield vs WAF contra ataques DDoS

Administración de Llaves de Seguridad en AWS KMS y CloudHSM