Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda> Data Encryption Workshop> Guía del usuario> Key Management Service> Creación de CMK mediante materiales de clave importados> Descripción general
Actualización más reciente 2022-11-03 GMT+08:00
Ver PDF

Descripción general

Un CMK contiene metadatos clave (ID de clave, alias de clave, descripción, estado de clave y fecha de creación) y materiales clave utilizados para cifrar y descifrar datos.
  • Cuando un usuario utiliza la consola KMS para crear un CMK, el KMS genera automáticamente un material clave para el CMK.
  • Si desea utilizar su propio material de clave, puede utilizar la función de importación de clave en la consola de KMS para crear un CMK cuyo material de clave esté vacío e importar el material de clave al CMK.

Notas importantes

  • Seguridad

    Debe asegurarse de que las fuentes aleatorias cumplan con sus requisitos de seguridad cuando las utilice para generar materiales clave. Cuando utilice la función de importación de claves, debe ser responsable de la seguridad de sus materiales de claves. Guarde la copia de respaldo original del material de clave para que el material de clave de copia de respaldo se pueda importar al KMS a tiempo cuando el material de clave se elimine accidentalmente.

  • Disponibilidad y durabilidad

    Antes de importar el material clave en KMS, debe garantizar la disponibilidad y durabilidad del material clave.

    Se muestran las diferencias entre el material clave importado y el material clave generado por KMS en Tabla 1.

    Tabla 1 Diferencias entre el material de clave importado y el material clave generado por KMS

    Fuente de material de clave

    Diferencia

    CMK que utilizan materiales de clave importados
    • Puede eliminar el material de clave, pero no puede eliminar el CMK y sus metadatos.
    • Tales claves no se pueden girar.
    • Al importar el material de clave, puede establecer el tiempo de caducidad del material de clave. Después de que el material de clave caduca, el KMS elimina automáticamente el material de clave en 24 horas, pero no elimina el CMK y sus metadatos.

      Se recomienda que guarde una copia del material en su dispositivo local, ya que puede usarse para volver a importar en casos de materiales clave no válidos o de eliminación errónea de materiales de clave.

      NOTA:

      Las claves que utilizan los algoritmos RSA_2048, RSA_3072, RSA_4096, EC_P256 y EC_P384 son válidas permanentemente. Sus materiales de clave no se pueden eliminar manualmente y su tiempo de caducidad no se puede configurar.

    CMK que utilizan materiales de clave generados por KMS
    • El material de clave no se puede eliminar manualmente.
    • Las claves simétricas se pueden girar.
    • No se puede establecer el tiempo de caducidad para el material de clave.
  • Asociación

    Cuando se importa un material de clave a un CMK, el CMK se asocia permanentemente con el material de clave. Otros materiales clave no se pueden importar en el CMK.

  • Unicidad

    Si utiliza el CMK creado con el material de clave importado para cifrar datos, los datos cifrados sólo pueden ser descifrados por el CMK que se ha utilizado para cifrar los datos, ya que los metadatos y el material de clave del CMK deben ser coherentes.