Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda/ Data Encryption Workshop/ Guía del usuario/ Key Management Service/ Creación de CMK mediante materiales de clave importados/ Descripción
Actualización más reciente 2024-09-14 GMT+08:00
Ver PDF
Compartir

Descripción

Una clave personalizada contiene metadatos de clave (ID de clave, alias de clave, descripción, estado de clave y fecha de creación) y materiales clave utilizados para cifrar y descifrar datos.
  • Cuando un usuario utiliza la consola KMS para crear una clave personalizada, KMS genera automáticamente un material de clave para la clave personalizada.
  • Si desea utilizar su propio material de clave, puede utilizar la función de importación de clave en la consola de KMS para crear una clave personalizada cuyo material de clave esté vacío e importar el material de clave a la clave personalizada.

Notas importantes

  • Seguridad

    Debe asegurarse de que las fuentes aleatorias cumplan con sus requisitos de seguridad cuando las utilice para generar materiales clave. Cuando utilice la función de importación de claves, debe ser responsable de la seguridad de sus materiales de claves. Guarde la copia de respaldo original del material de clave para que el material de clave de copia de respaldo se pueda importar al KMS a tiempo cuando el material de clave se elimine accidentalmente.

  • Disponibilidad y durabilidad

    Antes de importar el material clave en KMS, debe garantizar la disponibilidad y durabilidad del material clave.

    Tabla 1 muestra las diferencias entre el material clave importado y el material clave generado por KMS.

    Tabla 1 Diferencias entre el material de clave importado y el material clave generado por KMS

    Fuente de material de clave

    Diferencia

    Claves importadas
    • Puede eliminar el material de clave, pero no puede eliminar la clave personalizada y sus metadatos.
    • Tales claves no se pueden girar.
    • Al importar el material de clave, puede establecer el tiempo de caducidad del material de clave. Después de que el material de clave caduca, el KMS elimina automáticamente el material de clave en 24 horas, pero no elimina la clave personalizada y sus metadatos.

      Se recomienda que guarde una copia del material en su dispositivo local, ya que puede usarse para volver a importar en casos de materiales clave no válidos o de eliminación errónea de materiales de clave.

      NOTA:

      Las claves que usan los algoritmos RSA_2048, RSA_3072, RSA_4096, EC_P256 y EC_P384 son válidas permanentemente. Sus materiales clave no se pueden eliminar manualmente y su tiempo de caducidad no se puede configurar.

    Claves creadas en KMS
    • El material de clave no se puede eliminar manualmente.
    • Las claves simétricas se pueden girar.
    • No se puede establecer el tiempo de caducidad para el material de clave.
  • Asociación

    Cuando un material de clave se importa a una clave personalizada, la clave personalizada se asocia permanentemente con el material de clave. No se pueden importar otros materiales clave a la clave personalizada.

  • Singularidad

    Si utiliza la clave personalizada creada con el material de clave importado para cifrar datos, los datos cifrados sólo se pueden descifrar mediante la clave personalizada que se ha utilizado para cifrar los datos, ya que los metadatos y el material de clave de la clave personalizada deben ser coherentes.