Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Acceso y enumeración de detalles de claves KMS
<a name="finding-keys"></a>

Puede usar la [AWS KMS consola](https://console.aws.amazon.com/kms) o la [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operación para acceder a información detallada sobre las claves de KMS de la cuenta y la región y enumerarla.

Los siguientes procedimientos muestran cómo acceder a los detalles de claves KMS, como el ID de la clave, las especificaciones de la clave o el uso de la clave, entre otros.

## Uso de la AWS KMS consola
<a name="viewing-console-details"></a>

En la página de detalles de cada clave KMS se muestran las propiedades de la clave KMS. Difiere ligeramente de los diferentes tipos de claves KMS. 

Para mostrar información detallada sobre una clave de KMS, en la página **Claves administradas por AWS **o de **claves administradas por el cliente**, elija el alias o el ID de clave de la clave de KMS. 

La página de detalles de una clave KMS incluye una **Configuración general** en la que se muestran las propiedades básicas de la clave KMS. También incluye pestañas en las que puede ver y editar las propiedades de la clave de KMS, como la **política de claves**, la **configuración criptográfica**, las **etiquetas**, el **material y las rotaciones de las claves** (en el caso de las claves de KMS que admiten la rotación automática o bajo demanda), la **regionalidad** (en el caso de las claves de varias regiones) y la **clave pública** (en el caso de las claves de KMS asimétricas).

**nota**  
La AWS KMS consola muestra las claves KMS que tiene [permiso para ver](customer-managed-policies.md#iam-policy-example-read-only-console) en su cuenta y región. Las claves de KMS de otras Cuentas de AWS no aparecen en la consola, incluso si tiene permiso para verlas, administrarlas y usarlas. Para ver las claves KMS de otras cuentas, utilice la [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operación.

Navegar a la página de detalles de clave de una clave KMS.

1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

1. Si desea ver las claves de la cuenta que usted crea y administra, elija en el panel de navegación, **Claves administradas por el cliente**. Para ver las claves de la cuenta que se AWS crean y administran para usted, en el panel de navegación, seleccione las claves **AWS administradas**. 

1. Para abrir la página de detalles de clave, elija el ID de clave o el alias de la clave KMS.

   Si la clave KMS tiene varios alias, un resumen de alias (**\$1*n* más**) aparece junto al nombre de uno de los alias. Elegir el resumen de alias le llevará directamente a la pestaña **Alias** en la página de detalles de clave.

![\[AWS KMSclave administrada por el cliente details showing general and cryptographic configurations.\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/console-key-detail-view-symmetric-sm.png)


En la siguiente lista se describen los campos de la visualización detallada, incluido el campo de las pestañas. Algunos de estos campos también están disponibles como columnas en la visualización de tabla.

**Alias**  
Dónde: Pestañas de Alias  
Un nombre fácil de recordar para la clave KMS. Puedes usar un alias para identificar la clave KMS en la consola y en algunas de ellas AWS KMS APIs. Para obtener más información, consulte [Alias en AWS KMS](kms-alias.md).  
La pestaña **Alias** muestra todos los alias asociados a la clave KMS en la región Cuenta de AWS y. 

**ARN**  
Dónde: sección de configuración general  
El Nombre de recurso de Amazon (ARN) de la clave de cifrado. Este valor únicamente identifica la clave KMS. Puede utilizarlo para identificar la clave KMS en las operaciones de la API de AWS KMS .

**Estado de la conexión**  
Indica si un [almacén de claves personalizado](key-store-overview.md#custom-key-store-overview) está conectado a su almacén de claves de respaldo. Este campo aparece únicamente cuando la clave de KMS se crea en un almacén de claves personalizado.  
Para obtener información sobre los valores de este campo, consulte la referencia [ConnectionState](https://docs.aws.amazon.com/kms/latest/APIReference/API_CustomKeyStoresListEntry.html#KMS-Type-CustomKeyStoresListEntry-ConnectionState)de la *AWS KMS API*.

**Fecha de creación**  
Dónde: sección de configuración general  
La fecha y hora en que se creó la clave KMS. Este valor se muestra en la hora local del dispositivo. La zona horaria no varía en función de la región.  
A diferencia de **Expiration (Vencimiento)**, la creación se refiere únicamente a la clave KMS, no a su material de claves. 

**ID del clúster de CloudHSM**  
Dónde: pestaña de Configuración criptográfica  
El ID de clúster del AWS CloudHSM clúster que contiene el material clave de la clave KMS. Este campo aparece únicamente cuando la clave de KMS se crea en un [almacén de claves personalizado](key-store-overview.md#custom-key-store-overview).  
Si elige el ID de clúster de CloudHSM, se abre **la página Clústeres en la** consola. AWS CloudHSM 

**Material de claves actual**  
Dónde: sección de configuración general  
Las claves de cifrado simétricas con origen `AWS_KMS` admiten la rotación automática y bajo demanda. Las claves de cifrado simétricas con `EXTERNAL` origen admiten la rotación bajo demanda. Estas claves pueden tener varios materiales de claves asociados a la clave. El material de claves rotado más recientemente se puede utilizar tanto para el cifrado como para el descifrado. Este material de claves se identifica como el material de claves actual. Otros materiales de claves solo pueden usarse para el descifrado. La rotación automática o bajo demanda de una clave de KMS cambia su material de claves actual.

**ID del almacén de claves personalizadas**  
Dónde: pestaña de Configuración criptográfica  
ID del [almacén de claves personalizadas](key-store-overview.md#custom-key-store-overview) que contiene la clave KMS. Este campo aparece únicamente cuando la clave de KMS se crea en un almacén de claves personalizado.  
Si eliges el ID del almacén de claves personalizado, se abre la página de **almacenes de claves personalizados** en la AWS KMS consola.

**Nombre del almacén de claves personalizadas**  
Dónde: pestaña de Configuración criptográfica  
El nombre del [almacén de claves personalizadas](key-store-overview.md#custom-key-store-overview) que contiene la clave KMS. Este campo aparece únicamente cuando la clave de KMS se crea en un almacén de claves personalizado.

**Tipo de almacén de claves personalizado**  
Dónde: pestaña de Configuración criptográfica  
Indica si el almacén de claves personalizado es un [almacén de claves de AWS CloudHSM](keystore-cloudhsm.md) o un [almacén de claves externo](keystore-external.md). Este campo aparece únicamente cuando la clave de KMS se crea en un [almacén de claves personalizado](key-store-overview.md#custom-key-store-overview).

**Description (Descripción)**  
Dónde: sección de configuración general  
Una descripción breve y opcional de la clave KMS que puede escribir y editar. Para agregar o actualizar la descripción de una clave administrada por el cliente, sobre **General Configuration (Configuración general)**, seleccione **Edit (Editar)**.

**Algoritmos de cifrado**  
Dónde: pestaña de Configuración criptográfica  
Enumera los algoritmos de cifrado que se pueden utilizar con la clave KMS en AWS KMS. Este campo aparece únicamente cuando el **Key type (Tipo de clave)** es **Asymmetric (Asimétrico)** y cuando el **Key usage (Uso de la clave)** es **Encrypt and decrypt (Cifrar y descifrar)**. Para obtener información sobre los algoritmos de cifrado AWS KMS compatibles, consulte [Especificación de clave SYMMETRIC\$1DEFAULT](symm-asymm-choose-key-spec.md#symmetric-cmks) y[Especificaciones de clave de RSA para el cifrado y el descifrado](symm-asymm-choose-key-spec.md#key-spec-rsa-encryption).

**Fecha de vencimiento**  
Dónde: pestaña de Material de clave  
Fecha y hora en la que el material de claves de la clave KMS vence. Este campo aparece únicamente en las claves KMS con [material de claves importado](importing-keys.md), es decir, cuando el **Origin (Origen)** es **External (Externo)** y la clave KMS contiene material de claves que vence. Las claves de cifrado simétricas pueden tener varios materiales clave asociados. Para este tipo de claves, este campo indica la fecha y hora más tempranas en que caduca uno de los materiales de claves asociados. 

**ID de clave externa**  
Dónde: pestaña de Configuración criptográfica  
El ID de la [clave externa](keystore-external.md#concept-external-key) que está asociado a una clave de KMS en un [almacén de claves externo](keystore-external.md). Este campo solo aparece para las claves de KMS de un almacén de claves externo.

**Estado de clave externa**  
Dónde: pestaña de Configuración criptográfica  
El estado más reciente que el [proxy del almacén de claves externo](keystore-external.md#concept-xks-proxy) informó para la [clave externa](keystore-external.md#concept-external-key) asociada a la clave de KMS. Este campo solo aparece para las claves de KMS de un almacén de claves externo.

**Uso de clave externa**  
Dónde: pestaña de Configuración criptográfica  
Las operaciones criptográficas que están habilitadas en la [clave externa](keystore-external.md#concept-external-key) asociada a la clave de KMS. Este campo solo aparece para las claves de KMS de un almacén de claves externo.

**Política de claves**  
Dónde: pestaña de Política de clave  
Controla el acceso a la clave KMS junto con las [políticas de IAM](iam-policies.md) y las [concesiones](grants.md). Cada clave KMS tiene una política de claves. Es el único elemento de autorización obligatorio. Para cambiar la política de claves de una clave administrada por el cliente, en la pestaña **Key policy (Política de claves)**, seleccione **Edit (Editar)**. Para obtener más información, consulte [Políticas clave en AWS KMS](key-policies.md).

**Rotación y material de claves**  
Dónde: pestaña Rotación y material de claves  
Esta pestaña solo aparece para las claves de cifrado simétricas con origen `AWS_KMS` (que admiten la rotación automática y bajo demanda), así como para las claves de cifrado simétricas de una sola región con origen `EXTERNAL` (que admiten la rotación bajo demanda).  
La pestaña tiene tres paneles:  
Rotación automática: habilita y deshabilita la [rotación automática](rotate-keys.md) del material de claves en una [clave de KMS administrada por el cliente](concepts.md#customer-mgn-key). Para cambiar el estado de la rotación de claves de una [clave administrada por el cliente](concepts.md#customer-mgn-key), utilice la casilla de verificación. No puede habilitar ni desactivar la rotación del material de claves en una [Clave administrada de AWS](concepts.md#aws-managed-key). Las Claves administradas por AWS rotan automáticamente cada año.  
Rotación bajo demanda: inicie una [rotación bajo demanda](rotate-keys.md) del material de claves de una [clave administrada por el cliente](concepts.md#customer-mgn-key). En el caso de las claves importadas, debe haber ya un material de claves importado en estado `PENDING_ROTATION` para que la opción **Rotar ahora** esté disponible.  
Materiales de claves: enumera todos los materiales de clave asociados a la clave de KMS. Cada material de claves tiene un identificador único y su fila muestra información adicional sobre el material de claves, como la fecha de rotación cuando el material de claves estuvo disponible para su uso en KMS. En el caso de las claves importadas, cada fila también tiene un menú de **acciones** que se puede utilizar para eliminar un material de claves específico o volver a importarlo a la clave de KMS.

**Especificación de clave**  
Dónde: pestaña de Configuración criptográfica  
El tipo de material clave de la clave KMS. AWS KMS admite claves KMS de cifrado simétrico (SYMMETRIC\$1DEFAULT), claves HMAC KMS de diferentes longitudes, claves KMS para claves RSA de diferentes longitudes y claves de curva elíptica con diferentes curvas. Para obtener más información, consulte [Key spec](create-keys.md#key-spec).

**Tipo de clave**  
Dónde: pestaña de Configuración criptográfica  
Indica si la clave KMS es **Symmetric (Simétrica)** o **Asymmetric (Asimétrica)**.

**Uso de clave**  
Dónde: pestaña de Configuración criptográfica  
Indica si una clave KMS se puede utilizar para **Encrypt and decrypt** (Cifrar y descifrar), **Sign and verify** (Firmar y verificar) o **Generate and verify MAC** (Generar y verificar MAC). Para obtener más información, consulte [Key usage](create-keys.md#key-usage).

**Origen**  
Dónde: pestaña de Configuración criptográfica  
El origen del material de claves de la clave KMS. Los valores válidos son:  
+ **AWS KMS** para material de claves que genera AWS KMS 
+ **AWS CloudHSM** para claves de KMS en el [almacén de claves de AWS CloudHSM](keystore-cloudhsm.md)
+ **Externo** para [material de claves importado](importing-keys.md) (BYOK)
+ **Almacén de claves externo** para claves de KMS en un [almacén de claves externo](keystore-external.md)

**Algoritmos de MAC**  
Dónde: pestaña de Configuración criptográfica  
Enumera los algoritmos MAC que se pueden utilizar con una clave KMS HMAC en AWS KMS. Este campo aparece únicamente cuando la **Especificación de la clave** es una especificación de la clave HMAC (HMAC\$1\$1). Para obtener información acerca de los algoritmos MAC de firma que admite AWS KMS , consulte [Especificaciones de la clave para las claves KMS HMAC](symm-asymm-choose-key-spec.md#hmac-key-specs).

**Clave principal**  
Dónde: pestaña de Regionalidad  
Indica que esta clave KMS es una [clave principal de varias regiones](multi-region-keys-overview.md#mrk-primary-key). Los usuarios autorizados pueden utilizar esta sección para [cambiar la clave principal](multi-region-update.md) a una clave de varias regiones relacionada diferente. Este campo aparece únicamente cuando la clave KMS es una clave principal de varias regiones.

**Clave pública**  
Dónde: pestaña de Clave pública  
Muestra la clave pública de una clave KMS asimétrica. Los usuarios autorizados pueden utilizar esta pestaña para [copiar y descargar la clave pública](download-public-key.md).

**Regionalidad**  
Dónde: pestañas Sección de configuración general y Regionalidad  
Indica si una clave KMS es una clave de una sola región, una [clave principal de varias regiones](multi-region-keys-overview.md#mrk-primary-key) o una [clave de réplica de varias regiones](multi-region-keys-overview.md#mrk-replica-key). Este campo aparece únicamente cuando la clave KMS es una clave de varias regiones.

**Claves de varias regiones relacionadas**  
Dónde: pestaña de Regionalidad  
Muestra todas las [claves de réplica y primaria de varias regiones](multi-region-keys-overview.md) relacionadas, excepto la clave KMS actual. Este campo aparece únicamente cuando la clave KMS es una clave de varias regiones.  
En la sección **Claves de varias regiones relacionadas** de una clave principal, los usuarios autorizados pueden [crear nuevas claves de réplica](multi-region-keys-replicate.md).

**Clave de réplica**  
Dónde: pestaña de Regionalidad  
Indica que esta clave KMS es una [clave de réplica de varias regiones](multi-region-keys-overview.md#mrk-replica-key). Este campo aparece únicamente cuando la clave KMS es una clave de réplica de varias regiones.

**Algoritmos de firma**  
Dónde: pestaña de Configuración criptográfica  
Enumera los algoritmos de firma que se pueden utilizar con la clave KMS en AWS KMS. Este campo aparece únicamente cuando el **Key type (Tipo de clave)** es **Asymmetric (Asimétrico)** y cuando el **Key usage (Uso de la clave)** es **Sign and verify (Firmar y verificar)**. Para obtener información sobre los algoritmos de firma compatibles, consulte y. AWS KMS [Especificaciones de clave de RSA para la firma y la verificación](symm-asymm-choose-key-spec.md#key-spec-rsa-sign) [Especificaciones de clave de curva elíptica](symm-asymm-choose-key-spec.md#key-spec-ecc)

**Status**  
Dónde: sección de configuración general  
El estado de la clave KMS. Puede utilizar la clave KMS en [operaciones criptográficas](kms-cryptography.md#cryptographic-operations) solo cuando el estado es **Enabled (Habilitado)**. Para obtener una descripción detallada de cada estado de clave KMS y su impacto en las operaciones que puede ejecutar en la clave KMS, consulte [Estados clave de AWS KMS las claves](key-state.md).

**Tags**  
Dónde: pestaña Etiquetas  
Pares clave-valor opcionales que describen la clave KMS. Para agregar o cambiar las etiquetas de una clave KMS, en la pestaña **Tags (Etiquetas)**, seleccione **Edit (Editar)**.  
Al añadir etiquetas a AWS los recursos, AWS genera un informe de asignación de costes con el uso y los costes agregados por etiquetas. Las etiquetas también pueden utilizarse para controlar el acceso a una clave KMS. Para obtener información acerca del etiquetado de claves KMS, consulte [Etiquetas en AWS KMS](tagging-keys.md) y [ABAC para AWS KMS](abac.md). 

## Uso de la AWS KMS API
<a name="viewing-keys-describe-key"></a>

La [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operación devuelve detalles sobre la clave KMS especificada. Para identificar la clave KMS, utilice el [ID de la clave](concepts.md#key-id-key-id), [ARN de la clave](concepts.md#key-id-key-ARN), [nombre de alias](concepts.md#key-id-alias-name) o [ARN del alias](concepts.md#key-id-alias-ARN). 

A diferencia de la [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)operación, que muestra solo las claves KMS de la cuenta y región de la persona que llama, los usuarios autorizados pueden usar la `DescribeKey` operación para obtener detalles sobre las claves KMS de otras cuentas.

**nota**  
La respuesta `DescribeKey` incluye tanto `KeySpec` como `CustomerMasterKeySpec` con los mismos valores. Este miembro `CustomerMasterKeySpec` está obsoleto.

Por ejemplo, esta llamada a `DescribeKey` devuelve información acerca de una clave KMS de cifrado simétrica. Los campos de la respuesta varían según la [especificación de la AWS KMS key](create-keys.md#key-spec), el [estado de la clave](key-state.md) y el [origen del material de la clave](create-keys.md#key-origin). Para ver ejemplos en varios lenguajes de programación, consulte [Úselo `DescribeKey` con un AWS SDK o CLI](example_kms_DescribeKey_section.md).

```
$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1499988169.234,
        "MultiRegion": false,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "CurrentKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
    }
}
```

Este ejemplo llama a la operación `DescribeKey` en una clave KMS asimétrica utilizada para la firma y la verificación. La respuesta incluye los algoritmos de firma que AWS KMS admite para esta clave KMS.

```
$ aws kms describe-key --key-id 0987dcba-09fe-87dc-65ba-ab0987654321

{
    "KeyMetadata": {        
        "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "Origin": "AWS_KMS",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
        "KeyState": "Enabled",
        "KeyUsage": "SIGN_VERIFY",
        "CreationDate": 1569973196.214,
        "Description": "",
        "KeySpec": "ECC_NIST_P521",
        "CustomerMasterKeySpec": "ECC_NIST_P521",
        "AWSAccountId": "111122223333",
        "Enabled": true,
        "MultiRegion": false,
        "KeyManager": "CUSTOMER",
        "SigningAlgorithms": [
            "ECDSA_SHA_512"
        ]
    }
}
```