Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Administración de claves
Al crear una granja nueva, puede elegir una de las siguientes claves para cifrar los datos de la granja:
+ **AWS clave KMS** propia: tipo de cifrado predeterminado si no especificas una clave al crear la granja. La clave KMS es propiedad de AWS Deadline Cloud. No puede ver, administrar ni usar las claves AWS propias. Sin embargo, no es necesario que realices ninguna acción para proteger las claves que cifran tus datos. Para obtener más información, consulta [las claves AWS propias](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) en la *guía para AWS Key Management Service desarrolladores*.
+ **Clave de KMS gestionada** por el cliente: al crear una granja, se especifica una clave gestionada por el cliente. Todo el contenido de la granja se cifra con la clave KMS. La clave se almacena en su cuenta y es usted quien la crea, es de su propiedad y la administra, por lo que se aplican AWS KMS cargos. Usted controla plenamente la clave KMS. Puede realizar tareas como las siguientes:
+ Establecer y mantener políticas clave
+ Establecer y mantener concesiones y políticas de IAM
+ Habilitar y deshabilitar políticas de claves
+ Adición de etiquetas de
+ Crear alias de clave
No se puede rotar manualmente una clave propiedad del cliente que se utiliza en una Deadline Cloud granja. Se admite la rotación automática de la llave.
Para obtener más información, consulte [las claves propiedad del cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) en la *Guía para AWS Key Management Service desarrolladores*.
Para crear una clave gestionada por el cliente, sigue los pasos para [crear claves simétricas gestionadas por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) que se indican en la *Guía para AWS Key Management Service desarrolladores*.
## Cómo Deadline Cloud uses AWS KMS subsidios
Deadline Cloud requiere una [concesión](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) para utilizar la clave gestionada por el cliente. Cuando crea una granja cifrada con una clave gestionada por el cliente, Deadline Cloud crea una concesión en su nombre enviando una `[CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)` solicitud AWS KMS para obtener acceso a la clave KMS que especificó.
Deadline Cloud utiliza varias concesiones. Cada subvención es utilizada por una parte diferente Deadline Cloud que necesita cifrar o descifrar sus datos. Deadline Cloud también utiliza subvenciones para permitir el acceso a otros AWS servicios utilizados para almacenar datos en su nombre, como Amazon Simple Storage Service, Amazon Elastic Block Store o OpenSearch.
Las subvenciones que permiten Deadline Cloud gestionar las máquinas de una flota gestionada por un servicio incluyen un número de Deadline Cloud cuenta y una función en el centro del servicio, en `GranteePrincipal` lugar de un director de servicio. Si bien no es habitual, esto es necesario para cifrar los volúmenes de Amazon EBS para los trabajadores de las flotas gestionadas por el servicio mediante la clave de KMS gestionada por el cliente especificada para la granja.
## Política de claves administradas por el cliente
Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave debe tener exactamente una política de claves que contenga instrucciones que determinen quién puede usar la clave y cómo puede usarla. Al crear la clave gestionada por el cliente, puede especificar una política clave. Para obtener más información, consulte [Administración del acceso a las claves](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access) en la *Guía para desarrolladores de AWS Key Management Service *.
### Política de IAM mínima para CreateFarm
Para usar la clave administrada por el cliente para crear granjas mediante la consola o la operación de `[CreateFarm](https://docs.aws.amazon.com/deadline-cloud/latest/APIReference/API_CreateFarm.html)` API, deben estar permitidas las siguientes operaciones de AWS KMS API:
+ `[kms:CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)`: agrega una concesión a una clave administrada por el cliente. Concede acceso a la consola a una AWS KMS clave específica. Para obtener más información, consulta Cómo [usar las subvenciones](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) en la *guía para AWS Key Management Service desarrolladores*.
+ `[kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)`— Permite Deadline Cloud descifrar los datos de la granja.
+ `[kms:DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)`— Proporciona los detalles clave gestionados por el cliente Deadline Cloud para permitir su validación.
+ `[kms:GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)`— Permite cifrar Deadline Cloud los datos mediante una clave de datos única.
La siguiente declaración de política otorga los permisos necesarios para la `CreateFarm` operación.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DeadlineCreateGrants",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{1234567890abcdef0}}",
"Condition": {
"StringEquals": {
"kms:ViaService": "deadline.us-west-2.amazonaws.com"
}
}
}
]
}
```
------
### Política de IAM mínima para operaciones de solo lectura
Utilizar la clave gestionada por el cliente para Deadline Cloud operaciones de solo lectura, como obtener información sobre granjas, colas y flotas. Deben permitirse las siguientes operaciones AWS KMS de API:
+ `[kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)`— Permite Deadline Cloud descifrar los datos de la granja.
+ `[kms:DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)`— Proporciona los detalles clave gestionados por el cliente Deadline Cloud para permitir su validación.
La siguiente declaración de política otorga los permisos necesarios para las operaciones de solo lectura.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DeadlineReadOnly",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}}",
"Condition": {
"StringEquals": {
"kms:ViaService": "deadline.us-west-2.amazonaws.com"
}
}
}
]
}
```
------
### Política de IAM mínima para las operaciones de lectura-escritura
Utilizar la clave gestionada por el cliente para Deadline Cloud las operaciones de lectura-escritura, como la creación y actualización de granjas, colas y flotas. Deben permitirse las siguientes operaciones AWS KMS de API:
+ `[kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)`— Permite Deadline Cloud descifrar los datos de la granja.
+ `[kms:DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)`— Proporciona los detalles clave gestionados por el cliente Deadline Cloud para permitir su validación.
+ `[kms:GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)`— Permite cifrar Deadline Cloud los datos mediante una clave de datos única.
La siguiente declaración de política otorga los permisos necesarios para la `CreateFarm` operación.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DeadlineReadWrite",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}}",
"Condition": {
"StringEquals": {
"kms:ViaService": "deadline.us-west-2.amazonaws.com"
}
}
}
]
}
```
------
## Supervisión de sus claves de cifrado
Cuando utilizas una clave gestionada por el AWS KMS cliente en tus Deadline Cloud granjas, puedes utilizar [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)[Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) para realizar un seguimiento de las solicitudes que se Deadline Cloud envían a AWS KMS.
### CloudTrail evento de concesión de subvenciones
El siguiente CloudTrail evento de ejemplo se produce cuando se crean las concesiones, normalmente cuando se llama a la `CreateFleet` operación `CreateFarm``CreateMonitor`, o.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "{{AROAIGDTESTANDEXAMPLE}}:{{SampleUser01}}",
"arn": "arn:aws::sts::{{111122223333}}:assumed-role/Admin/{{SampleUser01}}",
"accountId": "{{111122223333}}",
"accessKeyId": "{{AKIAIOSFODNN7EXAMPLE3}}",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "{{AROAIGDTESTANDEXAMPLE}}",
"arn": "arn:aws::iam::{{111122223333}}:role/Admin",
"accountId": "{{111122223333}}",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-04-23T02:05:26Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "deadline.amazonaws.com"
},
"eventTime": "2024-04-23T02:05:35Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "deadline.amazonaws.com",
"userAgent": "deadline.amazonaws.com",
"requestParameters": {
"operations": [
"CreateGrant",
"Decrypt",
"DescribeKey",
"Encrypt",
"GenerateDataKey"
],
"constraints": {
"encryptionContextSubset": {
"aws:deadline:farmId": "farm-{{abcdef12345678900987654321fedcba}}",
"aws:deadline:accountId": "{{111122223333}}"
}
},
"granteePrincipal": "deadline.amazonaws.com",
"keyId": "arn:aws::kms:us-west-2:{{111122223333}}:key/{{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}}",
"retiringPrincipal": "deadline.amazonaws.com"
},
"responseElements": {
"grantId": "{{6bbe819394822a400fe5e3a75d0e9ef16c1733143fff0c1fc00dc7ac282a18a0}}",
"keyId": "arn:aws::kms:us-west-2:{{111122223333}}:key/{{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}}"
},
"requestID": "{{a1b2c3d4-5678-90ab-cdef-EXAMPLE22222}}",
"eventID": "{{a1b2c3d4-5678-90ab-cdef-EXAMPLE33333}}",
"readOnly": false,
"resources": [
{
"accountId": "AWS Internal",
"type": "AWS::KMS::Key",
"ARN": "arn:aws::kms:us-west-2:{{111122223333}}:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE44444"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "{{111122223333}}",
"eventCategory": "Management"
}
```
### CloudTrail evento de descifrado
El siguiente CloudTrail evento de ejemplo se produce al descifrar valores mediante la clave KMS administrada por el cliente.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "{{AROAIGDTESTANDEXAMPLE}}:{{SampleUser01}}",
"arn": "arn:aws::sts::111122223333:assumed-role/{{SampleRole}}/{{SampleUser01}}",
"accountId": "111122223333",
"accessKeyId": "{{AKIAIOSFODNN7EXAMPLE}}",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "{{AROAIGDTESTANDEXAMPLE}}",
"arn": "arn:aws::iam::{{111122223333}}:role/{{SampleRole}}",
"accountId": "{{111122223333}}",
"userName": "{{SampleRole}}"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-04-23T18:46:51Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "deadline.amazonaws.com"
},
"eventTime": "2024-04-23T18:51:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "deadline.amazonaws.com",
"userAgent": "deadline.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:deadline:farmId": "farm-{{abcdef12345678900987654321fedcba}}",
"aws:deadline:accountId": "{{111122223333}}",
"aws-crypto-public-key": "{{AotL+SAMPLEVALUEiOMEXAMPLEaaqNOTREALaGTESTONLY+p/5H+EuKd4Q==}}"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws::kms:us-west-2:{{111122223333}}:key/{{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}}"
},
"responseElements": null,
"requestID": "{{aaaaaaaa-bbbb-cccc-dddd-eeeeeeffffff}}",
"eventID": "{{ffffffff-eeee-dddd-cccc-bbbbbbaaaaaa}}",
"readOnly": true,
"resources": [
{
"accountId": "{{111122223333}}",
"type": "AWS::KMS::Key",
"ARN": "arn:aws::kms:us-west-2:{{111122223333}}:key/{{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}}"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "{{111122223333}}",
"eventCategory": "Management"
}
```
### CloudTrail evento de cifrado
El siguiente CloudTrail evento de ejemplo se produce al cifrar valores mediante la clave KMS administrada por el cliente.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "{{AROAIGDTESTANDEXAMPLE}}:{{SampleUser01}}",
"arn": "arn:aws::sts::{{111122223333}}:assumed-role/{{SampleRole}}/{{SampleUser01}}",
"accountId": "{{111122223333}}",
"accessKeyId": "{{AKIAIOSFODNN7EXAMPLE}}",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "{{AROAIGDTESTANDEXAMPLE}}",
"arn": "arn:aws::iam::{{111122223333}}:role/{{SampleRole}}",
"accountId": "{{111122223333}}",
"userName": "SampleRole"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-04-23T18:46:51Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "deadline.amazonaws.com"
},
"eventTime": "2024-04-23T18:52:40Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "deadline.amazonaws.com",
"userAgent": "deadline.amazonaws.com",
"requestParameters": {
"numberOfBytes": 32,
"encryptionContext": {
"aws:deadline:farmId": "farm-{{abcdef12345678900987654321fedcba}}",
"aws:deadline:accountId": "{{111122223333}}",
"aws-crypto-public-key": "{{AotL+SAMPLEVALUEiOMEXAMPLEaaqNOTREALaGTESTONLY+p/5H+EuKd4Q==}}"
},
"keyId": "arn:aws::kms:us-west-2:{{111122223333}}:key/{{abcdef12-3456-7890-0987-654321fedcba}}"
},
"responseElements": null,
"requestID": "{{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}}",
"eventID": "{{a1b2c3d4-5678-90ab-cdef-EXAMPLE22222}}",
"readOnly": true,
"resources": [
{
"accountId": "{{111122223333}}",
"type": "AWS::KMS::Key",
"ARN": "arn:aws::kms:us-west-2:{{111122223333}}:key/{{a1b2c3d4-5678-90ab-cdef-EXAMPLE33333}}"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "{{111122223333}}",
"eventCategory": "Management"
}
```
## Eliminar una clave KMS administrada por el cliente
Eliminar una clave de KMS gestionada por el cliente en AWS Key Management Service (AWS KMS) es destructivo y potencialmente peligroso. Elimina el material de claves y todos los metadatos asociados con la clave. Esta acción es irreversible. Una vez que se elimina una clave KMS administrada por el cliente, ya no puede descifrar los datos que se habían cifrado con ella. Al eliminar la clave, los datos se vuelven irrecuperables.
Por eso, los clientes AWS KMS tienen un período de espera de hasta 30 días antes de eliminar la clave KMS. El periodo de espera predeterminado es de 30 días.
### Acerca del período de espera
Dado que eliminar una clave de KMS gestionada por el cliente es destructivo y potencialmente peligroso, te pedimos que establezcas un período de espera de 7 a 30 días. El periodo de espera predeterminado es de 30 días.
Sin embargo, el período de espera real puede ser hasta 24 horas más largo que el período que programaste. Para obtener la fecha y la hora reales en las que se eliminará la clave, utilice la [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operación. O en la [consola AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys-console.html#viewing-details-navigate), en la página de detalles para la clave, en la sección **Configuración general**, consulte la eliminación programada. Fíjese en la zona horaria.
Durante el periodo de espera, el estado de la clave administrada por el cliente y el estado de la clave es **Eliminación pendiente**.
+ Una clave KMS administrada por el cliente que está pendiente de eliminación no puede utilizarse en ninguna [operación criptográfica](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#cryptographic-operations).
+ AWS KMS no [rota las claves de respaldo de las claves](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html#rotate-keys-how-it-works) de KMS administradas por el cliente que están pendientes de ser eliminadas.
Para obtener más información sobre cómo eliminar una clave KMS administrada por el cliente, consulte [Eliminar las claves maestras del cliente](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) en la *Guía para AWS Key Management Service desarrolladores*.