# SEC08-BP01 Implementar una administración de claves segura
<a name="sec_protect_data_rest_key_mgmt"></a>

 Mediante la definición de un enfoque de cifrado que incluya el almacenamiento, la rotación y el control de acceso a las claves, puede ayudar a facilitar protección para su contenido ante el acceso de usuarios no autorizados y ante la exposición innecesaria a los usuarios autorizados. AWS Key Management Service (AWS KMS) le ayuda a administrar las claves de cifrado y se [integra con muchos servicios de AWS](https://aws.amazon.com/kms/details/#integration). Este servicio proporciona almacenamiento duradero, seguro y redundante para sus claves de AWS KMS. Puede definir los alias de clave y las políticas a nivel de clave. Las políticas le ayudan a definir los administradores y los usuarios de las claves. Además, AWS CloudHSM es un módulo de seguridad de hardware (HSM, por sus siglas en inglés) basado en la nube que le permite generar y usar fácilmente sus propias claves de cifrado en la Nube de AWS. Le ayuda a satisfacer los requisitos de conformidad corporativos, contractuales y normativos para la seguridad de los datos con HSM validados de nivel 3 FIPS 140-2. 

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto 

## Guía para la implementación
<a name="implementation-guidance"></a>
+  Implemente AWS KMS: AWS KMS facilita la creación y administración de claves y el control del uso del cifrado en una amplia gama de servicios de AWS y en sus aplicaciones. AWS KMS es un servicio seguro y resiliente que usa módulos de seguridad de hardware validados por FIPS 140-2 para proteger sus claves. 
  +  [Introducción: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html) 
+  Plantéese el uso de SDK de cifrado de AWS: utilice el AWS SDK de cifrado con la integración de AWS KMS cuando la aplicación necesite cifrar datos en el lado del cliente. 
  +  [SDK de cifrado de AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [AWS Key Management Service](https://aws.amazon.com/kms) 
+  [Herramientas y servicios criptográficos de AWS](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html) 
+  [Introducción: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html) 
+  [Protección de datos de Amazon S3 mediante cifrado](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html) 

 **Videos relacionados:** 
+  [Cómo funciona el cifrado en AWS](https://youtu.be/plv7PQZICCM) 
+  [Protección del almacenamiento en bloque de AWS](https://youtu.be/Y1hE1Nkcxs8)