Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.

Centro de ayuda/ Data Encryption Workshop/ Guía del usuario/ Key Management Service/ Rotación de CMKs/ Acerca de rotación de clave

Actualización más reciente 2022-11-03 GMT+08:00

Ver PDF

Acerca de rotación de clave

Propósito de la rotación de clave

Las claves que se usan ampliamente o repetidamente son inseguras. Para mejorar la seguridad de las claves de encriptación, se recomienda rotar periódicamente las claves y cambiar sus materiales de claves.

Los propósitos de la rotación de claves son:

Para reducir la cantidad de datos cifrados por cada clave.
Una clave será insegura si se utiliza para cifrar un gran número de datos. La cantidad de datos cifrados por una clave se refiere al número total de bytes o mensajes cifrados mediante la clave.
Mejorar la capacidad de responder a eventos de seguridad.
En el diseño inicial de su sistema de seguridad, diseñará la función de rotación de teclas y la utilizará para O&M de rutina, de modo que estará a mano cuando ocurra una emergencia.
Para mejorar la capacidad de aislamiento de datos.
Los datos de texto cifrado generados antes y después de la rotación de clave se aislarán. Puede identificar el alcance de impacto de un evento de seguridad basándose en la clave involucrada y tomar las medidas correspondientes.

Métodos de rotación de claves

Puede utilizar cualquiera de los siguientes métodos de rotación de claves:

Rotación manual de clave
Reemplace la clave en uso por una nueva clave. Por ejemplo, si la clave A está en uso, puede crear la clave B utilizando un nuevo material de encriptación y reemplazar la clave A por la clave B. Esto logra el mismo resultado que cambiar el material clave de la clave A.

Tomemos OBS como ejemplo. Para girar manualmente una clave, cree un nuevo CMK en la consola KMS. Reemplace el antiguo CMK por el nuevo en la consola OBS.

Figura 1 Rotación manual de clave
Rotación automática de clave
KMS rota automáticamente las clave según el período de rotación configurado (365 días por defecto). El sistema genera automáticamente una nueva clave para reemplazar la clave en uso. La rotación automática de clave solo cambia el material de clave de un CMK. Los atributos lógicos del CMK no cambiarán, incluidos su ID de clave, alias, descripción y permisos.

La rotación automática de la llave tiene las siguientes características:
1. Habilitar la rotación de un CMK existente. KMS generará automáticamente nuevos materiales clave para el CMK.
2. Los datos no se vuelven a cifrar en una rotación de clave automática. El DEK generado con el CMK no se gira automáticamente y los datos que se han cifrado con el CMK no se cifrarán de nuevo. Si se ha producido una fuga de DEK, la rotación automática no puede contener el impacto de la fuga.
Figura 2 Rotación de clave

KMS conserva todas las versiones de un CMK, por lo que puede descifrar cualquier texto cifrado mediante el CMK.

KMS utiliza la última versión del CMK para cifrar datos.
Al descifrar datos, KMS utiliza la versión CMK que se utilizó para cifrar los datos.

Modos de rotación

**Tabla 1** Modos de rotación de clave
Tipo de clave	Modo de rotación
Default master key	No se puede girar.
User-defined key (imported CMK)	Solo se puede girar manualmente. Para obtener más información acerca de las claves definidas por el usuario, vea Descripción general de CMK.
Symmetric key	Se puede girar automática o manualmente.
Asymmetric key	Solo se puede girar manualmente.
Disabled CMK	Los CMK deshabilitados no se rotan. KMS mantiene su estado de rotación sin cambios. Después de activar un CMK, si se ha utilizado durante más tiempo que el período de rotación, KMS girará inmediatamente calves. Si el CMK se ha utilizado durante un período de rotación más corto. KMS implementará el plan de rotación original. Para obtener más información, consulte Deshabilitación de uno o más CMK.
CMKs in pending deletion state	Los CMK deshabilitados no se rotan. KMS mantiene su estado de rotación sin cambios. Después de activar un CMK, si se ha utilizado durante más tiempo que el período de rotación, KMS girará inmediatamente calves. Si el CMK se ha utilizado durante un período de rotación más corto. KMS implementará el plan de rotación original. Para obtener más información, consulte Programación de la eliminación de una o más claves.

Puede consultar los detalles de rotación en la página Rotation Policy, incluido el tiempo de última rotación y el número de rotaciones.

Precios para rotación de claves

Habilitación de la rotación de clave puede incurrir en cargos adicionales. Para obtener más información, consulte Descripción de facturación.

Tema principal: Rotación de CMKs

Tema anterior: Rotación de CMKs

Tema siguiente: Habilitación de la rotación de clave

Comentarios

¿Le pareció útil esta página?

Sí No

Deje algún comentario

Muchas gracias por sus comentarios. Seguiremos trabajando para mejorar la documentación.

El sistema está ocupado. Vuelva a intentarlo más tarde.

¿Cuáles de los siguientes problemas se presentaron?

Contenido diferente a la de la IU del producto

Descripciones poco claras

Falta de ejemplos o código

Pasos incorrectos

No puedo encontrar lo que necesito

Falta de prácticas recomendadas

Comentarios (opcional)

0/500

Seleccione al menos un tipo de problema e ingrese sus comentarios o sugerencias.

Ingrese 500 caracteres como máximo.

Enviar Cancelar