AWS KMS
AWS KMS (Key Management Service) es el servicio administrado para crear y administrar claves criptográficas. Se utiliza para cifrar datos en los servicios de AWS de forma centralizada y trazable.
¿Qué es AWS KMS?
AWS KMS (Key Management Service) es el servicio central de AWS para la gestión de claves criptográficas. La seguridad del cifrado depende del manejo de las claves correspondientes: una clave que queda desprotegida hace que incluso el mejor cifrado pierda todo su valor. KMS resuelve precisamente este problema: crea, almacena y gestiona claves en una ubicación centralizada y segura.
Lo especial: la clave real nunca sale de KMS en texto claro. Los datos se envían a KMS para su cifrado y descifrado, o se genera una clave derivada; la clave principal permanece protegida en todo momento.
Cómo se utiliza KMS
- Cifrado de servicios: S3, RDS, EBS, DynamoDB y muchos otros servicios utilizan claves de KMS para cifrar los datos en reposo.
- Gestión centralizada: todas las claves se gestionan en un único lugar, con permisos claros a través de IAM.
- Rotación de claves: KMS puede renovar las claves automáticamente a intervalos regulares.
- Registro completo: cada uso de una clave se registra y, por lo tanto, es trazable.
KMS y el cumplimiento normativo
KMS es un componente fundamental para los sectores regulados y para las arquitecturas que cumplen con el RGPD. No solo demuestra que los datos están cifrados, sino también quién ha utilizado qué clave y cuándo. Además, mediante los permisos de IAM se puede controlar con precisión qué aplicación o qué empleado puede utilizar una clave determinada. En caso de emergencia, la retirada de una autorización de clave puede impedir de forma inmediata y total el acceso a grandes volúmenes de datos.
Separación de claves por entornos
Una práctica recomendada es utilizar claves separadas para diferentes entornos y clases de datos, por ejemplo, claves propias para el entorno de staging y el de producción. De este modo, se puede controlar el acceso con gran precisión y, en caso de problemas, limitarlo de forma específica.
KMS en las pymes
Muchos servicios de AWS ya cifran los datos con claves estándar gestionadas por AWS. Sin embargo, tan pronto como existan requisitos de cumplimiento propios o sea necesario demostrar el control sobre las claves, merece la pena utilizar claves KMS autogestionadas. El esfuerzo es mínimo, mientras que la ganancia en seguridad y en capacidad de demostración es considerable.
Preguntas frecuentes sobre AWS KMS
Una clave KMS autogestionada cuesta alrededor de 1 USD al mes. Además, hay pequeñas tasas por solicitud criptográfica. Para la mayoría de las configuraciones de tamaño medio, los costes de KMS se mantienen en el rango de un dígito a dos dígitos bajos de euros al mes.
No. La clave maestra real nunca sale de KMS en texto plano. Los procesos de cifrado y descifrado tienen lugar dentro del servicio o se utiliza una clave derivada. La propia clave maestra permanece permanentemente en el área protegida de KMS.
Las claves estándar propias de AWS están totalmente gestionadas por AWS y son gratuitas, pero no ofrecen control individual. Las claves KMS autogestionadas permiten autorizaciones personalizadas, rotación y registro sin fisuras, algo importante si se requiere una prueba de conformidad.
El KMS no es obligatorio, pero es muy útil. Demuestra de forma verificable que los datos están cifrados y quién ha utilizado las claves y cuándo. Junto con IAM, el acceso puede controlarse con precisión, un argumento de peso en la protección de datos y los procesos de auditoría.
Términos relacionados
Servicios relacionados
Última actualización: mayo 2026