Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.

Centro de ayuda/ Data Encryption Workshop/ Guía del usuario/ Key Management Service/ Rotación de CMKs/ Acerca de rotación de clave

Actualización más reciente 2024-09-14 GMT+08:00

Ver PDF

Acerca de rotación de clave

Propósito de la rotación de clave

Las claves que se usan amplia o repetidamente son inseguras. Para mejorar la seguridad de las claves de encriptación, se recomienda rotar periódicamente las claves y cambiar sus materiales de claves.

Los propósitos de la rotación de claves son:

Para reducir la cantidad de datos cifrados por cada clave.
Una clave será insegura si se utiliza para cifrar un gran número de datos. La cantidad de datos cifrados por una clave se refiere al número total de bytes o mensajes cifrados mediante la clave.
Mejorar la capacidad de responder a eventos de seguridad.
En el diseño inicial de su sistema de seguridad, diseñará la función de rotación de teclas y la utilizará para O&M de rutina, de modo que estará a mano cuando ocurra una emergencia.
Para mejorar la capacidad de aislamiento de datos.
Los datos de texto cifrado generados antes y después de la rotación de clave se aislarán. Puede identificar el alcance de impacto de un evento de seguridad basándose en la clave involucrada y tomar las medidas correspondientes.

Métodos de rotación de claves

Puede utilizar cualquiera de los siguientes métodos de rotación de claves:

Rotación manual de clave
Método 1: Crear una clave B para reemplazar la clave A utilizada actualmente.

Método 2: Modificar la clave A y usarla.

Tomemos OBS como ejemplo. Para girar manualmente una clave, cree una nueva clave personalizada en la consola de KMS. Reemplace la antigua clave personalizada por la nueva en la consola OBS.

Figura 1 Rotación manual de clave
Rotación automática de clave
KMS rota automáticamente las clave según el período de rotación configurado (365 días por defecto). El sistema genera automáticamente una nueva clave para reemplazar la clave en uso. La rotación automática de clave solo cambia el material de clave de un CMK. Los atributos lógicos de la clave no cambiarán, incluidos su ID de clave, alias, descripción y permisos.

La rotación automática de la llave tiene las siguientes características:
1. Habilitar la rotación de una clave personalizada existente. KMS generará automáticamente nuevos materiales clave para la clave personalizada.
2. Los datos no se vuelven a cifrar en una rotación de clave automática. El DEK generado con el CMK no se gira automáticamente y los datos que se han cifrado con el CMK no se cifrarán de nuevo. Si se ha producido una fuga de DEK, la rotación automática no puede contener el impacto de la fuga.
Figura 2 Rotación de clave

KMS conserva todas las versiones de una clave personalizada, para que pueda descifrar cualquier texto cifrado mediante la clave personalizada.

KMS utiliza la última versión de la clave personalizada para cifrar datos.
Al descifrar datos, KMS utiliza la versión de clave personalizada que se usó para cifrar los datos.

Modos de rotación

**Tabla 1** Modos de rotación de clave
Tipo de clave	Modo de rotación
Clave predeterminada	No se puede girar.
Clave personalizada	Las claves se pueden girar de forma automática o manual, dependiendo del tipo de algoritmo de clave. Clave simétrica: Se puede girar automática o manualmente. Clave asimétrica: solo se puede girar manualmente.
CMK deshabilitado	Los CMK deshabilitados no se rotan. KMS mantiene su estado de rotación sin cambios. Después de habilitar una clave personalizada, si se ha utilizado durante más tiempo que el período de rotación, KMS rotará inmediatamente las claves. Si la clave personalizada se ha utilizado durante un período más corto que el período de rotación, KMS implementará el plan de rotación original. Para obtener más información, consulte Deshabilitación de uno o más CMK.
CMK en estado de eliminación pendiente	KMS no rota los CMK en estado de eliminación pendiente. Después de cancelar la eliminación de un CMK, se restaurará el estado de rotación de clave anterior. Si la clave personalizada se ha utilizado durante más tiempo que el período de rotación, KMS rotará inmediatamente las claves. Si el CMK se ha utilizado durante un período de rotación más corto. KMS implementará el plan de rotación original. Para obtener más información, consulte Programación de la eliminación de una o más claves.

Puede consultar los detalles de rotación en la página Rotation Policy, incluido el tiempo de última rotación y el número de rotaciones.

Precios para rotación de claves

Habilitación de la rotación de clave puede incurrir en cargos adicionales. Para obtener más información, consulte Descripción de facturación.

Tema principal: Rotación de CMKs

Tema anterior: Rotación de CMKs

Tema siguiente: Habilitación de la rotación de clave

Comentarios

¿Le pareció útil esta página?

Sí No

Deje algún comentario

Muchas gracias por sus comentarios. Seguiremos trabajando para mejorar la documentación.

El sistema está ocupado. Vuelva a intentarlo más tarde.

¿Cuáles de los siguientes problemas se presentaron?

Contenido diferente a la de la IU del producto

Descripciones poco claras

Falta de ejemplos o código

Pasos incorrectos

No puedo encontrar lo que necesito

Falta de prácticas recomendadas

Comentarios (opcional)

0/500

Seleccione al menos un tipo de problema e ingrese sus comentarios o sugerencias.

Ingrese 500 caracteres como máximo.

Enviar Cancelar