Creación y uso de llaves KMS en AWS paso a paso

Clase 51 de 80 • Curso AWS Cloud Practitioner Certification

Resumen

¿Cómo crear una llave de seguridad en AWS?

Las llaves de seguridad son esenciales para proteger nuestras aplicaciones e infraestructuras en la nube a través de AWS (Amazon Web Services). Vamos a recorrer paso a paso el proceso de creación de una llave en el servicio Key Management Service (KMS) de Amazon. Este procedimiento es crucial para asegurarnos de que nuestros datos y operaciones están adecuadamente protegidos.

Acceso al servicio KMS de AWS:
- Entra a la consola de Amazon.
- En la barra de búsqueda de la parte superior izquierda, escribe "KMS" y selecciona el servicio Key Management Service.
Creación de la llave:
- Haz clic en el botón naranja "Create Key".
- Selecciona el tipo de llave que deseas crear: simétrica o asimétrica. Por lo general, KMS utiliza llaves simétricas.
- Deja marcada la opción "Encrypt and Decrypt".
Opciones avanzadas:
- Mantén la opción "KMS" seleccionada, pero también tienes la opción de almacenar tu llave en un Cloud HSM.
- Decide si la clave será de una sola región o multi región. Por ahora, dejamos la opción de "single region key".
Alias y descripción:
- Asigna un alias a la llave, por ejemplo, "mi primera llave".
- Incluye una descripción clara que te permita identificar su propósito.
Permisos de administración y uso:
- Define quién tendrá permisos de administración y quién podrá utilizar la llave. Puedes asignar usuarios específicos o roles para este fin.
Revisión y creación final:
- Revisa la configuración de la llave antes de finalizar y asegúrate de que los permisos y descripciones son correctos.

¿Cómo usar una llave KMS para cifrar un objeto en Amazon S3?

Una vez creada la llave, es hora de ponerla en acción para cifrar un objeto en Amazon S3. Sigue estos pasos para asegurar tus datos con la nueva llave KMS que has creado.

Acceso al servicio S3:
- Entra a tu consola de servicios de AWS.
- Busca y accede al servicio S3.
Carga de un nuevo objeto:
- Dirígete al bucket que deseas usar y selecciona "Upload" para subir un nuevo archivo.
- Agrega el archivo que quieres cifrar y asegúrate de haberlo seleccionado correctamente.
Especificación de la llave de cifrado en propiedades:
- En las propiedades del objeto, busca la opción para especificar una llave de cifrado.
- Selecciona "Server-side Encryption with Key Management Service".
- Elige la llave creada previamente (puedes utilizar el ARN o seleccionar de tus llaves existentes).
Finaliza la carga:
- Completa el proceso de carga y verifica que el estado sea exitoso.
Revisar la configuración de cifrado:
- Una vez cargado, ve a las configuraciones del objeto para confirmar que la encriptación se realizó con tu llave KMS.

¿Cómo programar la eliminación de una llave KMS?

El manejo adecuado del ciclo de vida de una llave es esencial para evitar pérdidas de acceso no deseadas. Programar la eliminación es un paso crucial que debe realizarse con cuidado.

Disable de la llave:
- Selecciona tu llave en KMS y ve a "Key Actions".
- Haz clic en "Disable" y confirma la deshabilitación de la llave.
Programación de la eliminación:
- Vuelve a "Key Actions" y selecciona "Schedule Key Deletion".
- Configura un periodo de espera de, al menos, siete días para poder recuperar la clave si es necesario.
- Confirma la eliminación programada.
Recomendaciones y consejos:
- Ten cuidado con el borrado de llaves, ya que puede resultar en la pérdida de acceso a datos críticos, discos, o bases de datos.
- Gestiona las llaves de KMS con un enfoque de seguridad y responsabilidad.

Finalmente, es recomendable investigar más sobre servicios de Amazon que usan KMS para cifrar y dejar tus hallazgos en los comentarios, asegurando que lo que comentes sean servicios diferentes y nuevos a los ya mencionados en esta clase. ¡Continúa explorando y aprendiendo!

JOHN SEBASTIAN AGUDELO CASTRO

student•

Algunos de los servicios que utilizan AWS KMS incluyen:

Amazon S3: Permite el cifrado de objetos utilizando claves gestionadas por KMS.
Amazon EBS: Ofrece cifrado de volúmenes con claves de KMS.
Amazon RDS: Proporciona cifrado de bases de datos empleando claves de KMS.
AWS Lambda: Soporta el cifrado de variables de entorno mediante KMS.
AWS Secrets Manager: Gestiona secretos cifrados con claves de KMS.
AWS CloudTrail: Registra y cifra logs utilizando KMS.
Amazon DynamoDB: Implementa cifrado de tablas con claves de KMS.
Amazon Redshift: Utiliza KMS para cifrar datos en reposo.
AWS Systems Manager Parameter Store: Almacena parámetros cifrados con KMS.
Amazon SES: Emplea KMS para cifrar correos electrónicos.

Jorge Mora

student•

Estos son algunos servicios, más utilizados de Amazon AWS que se integran con KMS para cifrar datos:

AWS Glue: Cifra los datos almacenados en los catálogos de datos y en la salida de las tareas.
Amazon SageMaker: Cifra datos en reposo y modelos de machine learning.
AWS CodeBuild: Cifra artefactos de compilación almacenados.
Amazon Elasticsearch Service (actualmente Amazon OpenSearch Service): Para cifrado de datos en reposo en los clústeres.
Amazon EMR (Elastic MapReduce): Cifra datos en HDFS, S3 y otros sistemas de almacenamiento utilizados en los clústeres.
AWS Backup: Cifra las copias de seguridad en el servicio de Backup.
Amazon Kinesis (Kinesis Data Streams y Kinesis Firehose): Cifra los datos de streaming en reposo.
AWS Step Functions: Permite cifrar datos sensibles almacenados en ejecución y en la salida.

Estos servicios usan KMS para proporcionar cifrado en reposo, ayudando a garantizar la seguridad de los datos que se almacenan o manejan en AWS. También permiten administrar de forma segura el acceso a las claves para diferentes servicios y usuarios.

Miguel Campos

student•

Tambien estos.

Amazon DynamoDB: Para cifrar tablas con claves administradas por KMS.
Amazon Redshift: Para cifrado de datos en reposo y copias de seguridad.
Amazon FSx (para Windows File Server y Lustre): Cifrado de datos en reposo.
Amazon Aurora: Cifrado de bases de datos, réplicas y backups.

AWS Glue Data Catalog: Protección de metadatos sensibles almacenados en el catálogo de datos.
Amazon Athena: Para consultas cifradas y protección de resultados almacenados.
Amazon QuickSight: Para proteger datos almacenados en datasets o análisis.

Sebastian Baltazar

student•

Aqui le dejo algunos servicios de AWS que se integran con KMS

Juan Diego Rosero Calvachi

student•

Existen varios servicios en AWS donde puedes utilizar KMS para cifrado, además de los que mencionaste. Aquí algunos ejemplos:

Amazon Elastic File System (EFS): Para cifrar datos en reposo.
AWS Key Management Service (KMS): Para gestionar y proteger claves.
Amazon FSx: Para sistemas de archivos Windows y Lustre, permitiendo cifrado de datos.
Amazon SageMaker: Para cifrar datos en la formación de modelos de machine learning.
AWS Backup: Para cifrar respaldos de datos de servicios en AWS.

Estos servicios permiten fortalecer la seguridad a través de la encriptación gestionada por KMS.

Ruben Galindo

student•

AWS CloudHSM es un servicio de gestión de hardware de seguridad que permite a las empresas generar y controlar sus propias claves de cifrado en hardware dedicado. A diferencia de AWS Key Management Service (KMS), que ofrece llaves en la nube, CloudHSM proporciona un nivel adicional de seguridad al permitir la gestión de claves en módulos de seguridad hardware (HSM) que cumplen con estándares de seguridad como FIPS 140-2. Esto es especialmente útil para cumplir con regulaciones estrictas y para aplicaciones que requieren el más alto nivel de seguridad en el manejo de claves criptográficas.

Enrique Alexis Lopez Araujo

student•

KMS (Key Management Service) es crucial en AWS porque permite gestionar y proteger las claves de cifrado utilizadas para asegurar datos en la nube. Proporciona cifrado de datos en reposo y en tránsito, facilitando la seguridad de aplicaciones y datos confidenciales. KMS también permite la auditoría y el control de acceso, alineándose con las mejores prácticas de seguridad. Así, asegura que solo los usuarios autorizados puedan acceder a la información cifrada, lo que es esencial para el cumplimiento normativo y la protección de datos en la nube.

Ruben Galindo

student•

Un alias en KMS (Key Management Service) tiene varios beneficios:

Facilidad de uso: Permite referirse a llaves de manera más sencilla, sin recordar el ARN (Amazon Resource Name) completo.
Rotación de llaves: Puedes cambiar la llave subyacente sin afectar las aplicaciones, ya que el alias seguirá apuntando a la nueva llave.
Gestión centralizada: Facilita la administración de múltiples llaves al proporcionar un punto de referencia común.
Mejor organización: Ayuda a categorizar llaves, mejorando la claridad en su uso y propósito.

Estos beneficios son clave para la gestión de la seguridad en la nube.

Miguel Angel Reyes Moreno

student•

Respuesta de perplexity usando deepseek:

AWS Key Management Service (KMS) se integra con numerosos servicios de AWS para proporcionar cifrado y gestión de claves. Aquí hay cinco servicios destacados que utilizan KMS:

1. **Amazon S3**

Usa KMS para cifrar objetos almacenados en buckets mediante claves administradas por el usuario (SSE-KMS), permitiendo control granular sobre el acceso a datos sensibles[1][2][3].

2. **Amazon RDS (Relational Database Service)**

Implementa cifrado de bases de datos mediante KMS, protegiendo datos en reposo como instantáneas, copias de seguridad y volúmenes subyacentes[1][2][3].

3. **Amazon EBS (Elastic Block Store)**

Cifra volúmenes de almacenamiento utilizando claves de KMS, garantizando la seguridad de los datos en discos virtuales asociados a instancias EC2[1][3][9].

4. **AWS Lambda**

Permite cifrar variables de entorno y capas de funciones usando KMS, asegurando información sensible como credenciales o tokens de API[1][9].

5. **Amazon Redshift**

Utiliza KMS para cifrar clústeres de almacenamiento de datos, incluyendo backups y datos en tránsito, con rotación automática de claves[1][2][3].

Otros servicios integrados incluyen **Amazon DynamoDB** (cifrado de tablas)[9], **AWS Secrets Manager** (gestión de secretos)[10] y **Amazon EKS** (Kubernetes cifrado)[9]. KMS también se emplea en operaciones de firma digital con servicios como **Amazon CloudTrail**[10].

Citations:

[1] https://aws.amazon.com/kms/features/

[2] https://www.genesesolution.com/aws-key-management-service-kms-secure-encryption-compliance/

[3] https://theirstack.com/en/technology/aws-kms

[4] https://docs.aws.amazon.com/kms/latest/developerguide/overview.html

[5] https://aws.amazon.com/kms/faqs/

[6] https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html

[7] https://aws.amazon.com/awstv/watch/e145cdc6b40/

[8] https://walt.id/blog/integrations/aws-kms

[9] https://www.metricfire.com/blog/aws-kms-use-cases-features-and-alternatives/

[10] https://tutorialsdojo.com/aws-key-management-service-aws-kms/

[11] https://www.techtarget.com/searchaws/definition/AWS-Key-Management-Service-AWS-KMS

[12] https://docs.aws.amazon.com/kms/latest/developerguide/service-integration.html

[13] https://www.amazonaws.cn/en/kms/features/

Miguel Angel Reyes Moreno

student•

5 extras: Aquí tienes cinco servicios adicionales de AWS que utilizan AWS Key Management Service (KMS):

1. **Amazon EMR (Elastic MapReduce)**

Utiliza KMS para cifrar datos en reposo y en tránsito, asegurando la protección de datos procesados en clústeres de análisis.

2. **Amazon Athena**

Permite realizar consultas SQL sobre datos almacenados en Amazon S3, utilizando KMS para cifrar los datos en reposo y garantizar su seguridad.

3. **Amazon FSx**

Proporciona almacenamiento de archivos completamente administrado y utiliza KMS para cifrar datos en reposo, mejorando la seguridad de los sistemas de archivos.

4. **AWS CloudTrail**

Registra las llamadas a la API en tu cuenta de AWS y utiliza KMS para cifrar los registros, asegurando la integridad y confidencialidad de la información auditada.

5. **Amazon GuardDuty**

Este servicio de detección de amenazas utiliza KMS para proteger los datos que analiza, garantizando la seguridad de la información sensible durante el proceso de detección.

Estos servicios, junto con los mencionados anteriormente, muestran cómo KMS es fundamental para mantener la seguridad y el cifrado en el ecosistema de AWS.

Citations:

[1] https://aws.amazon.com/es/kms/features/

[2] https://d1.awsstatic.com/whitepapers/es_ES/aws-kms-best-practices.pdf

[3] https://docs.aws.amazon.com/es_es/kms/latest/developerguide/service-integration.html

[4] https://docs.aws.amazon.com/es_es/kms/latest/developerguide/overview.html

[5] https://aws.amazon.com/es/kms/

[6] https://docs.aws.amazon.com/es_es/kms/latest/developerguide/concepts.html

[7] https://repost.aws/es/knowledge-center/kms-key-charges

[8] https://docs.aws.amazon.com/es_es/kms/latest/cryptographic-details/use-cases.html