Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Identificación y visualización de claves
Puede usar [Consola de administración de AWS](https://console.aws.amazon.com/kms)la [API AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/APIReference/) para ver AWS KMS keys en cada cuenta y región, incluidas las claves de KMS que administra y las claves de KMS que administra AWS.
**Topics**
+ [Encontrar el ID de clave y el ARN de clave](find-cmk-id-arn.md)
+ [Acceso y enumeración de detalles de claves KMS](finding-keys.md)
+ [Identificación de diferentes tipos de claves](identify-key-types.md)
+ [Personalización de la vista de la consola](viewing-console-customize.md)
+ [Encuentre las claves y el material clave de KMS en un almacén de AWS CloudHSM claves](find-key-material.md)
# Encontrar el ID de clave y el ARN de clave
Para identificar un AWS KMS key, puede utilizar el [ID de clave](concepts.md#key-id-key-id) o el nombre del recurso de Amazon ([ARN clave](concepts.md#key-id-key-ARN)). En [operaciones criptográficas](kms-cryptography.md#cryptographic-operations), también puede utilizar el [nombre de alias](concepts.md#key-id-alias-name) o el [ARN de alias](concepts.md#key-id-alias-ARN).
Puede usar la [AWS KMS consola](https://console.aws.amazon.com/kms) o la [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)operación para identificar el ID de clave y el ARN de clave de cada clave de KMS de su cuenta y región.
Para obtener información detallada sobre los identificadores clave de KMS compatibles AWS KMS, consulte. [Identificadores clave () KeyId](concepts.md#key-id) Para obtener ayuda para buscar un nombre de alias y un ARN de alias, consulte [Búsqueda del nombre del alias y el ARN de alias para una clave de KMS](alias-view.md).
## Uso de la consola AWS KMS
1. Abra la AWS KMS consola en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
1. Si desea ver las claves de la cuenta que usted crea y administra, elija en el panel de navegación, **Claves administradas por el cliente**. Para ver las claves de la cuenta que se AWS crean y administran para usted, en el panel de navegación, seleccione las claves **AWS administradas**.
1. Para buscar el [ID de clave](concepts.md#key-id-key-id) de una clave KMS, consulte la fila que empieza por el alias de clave KMS.
La columna **Key ID (ID de clave)** aparece en las tablas de forma predeterminada. Si la columna Key ID (ID de clave) no aparece en la tabla, utilice el procedimiento que se describe en [Personalización de la vista de la consola](viewing-console-customize.md) para restaurarla. También puede ver el ID de clave de una clave KMS en su página de detalles.
![\[Claves administradas por el cliente table showing Key ID for a single key-test alias.\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/find-key-id-new.png)
1. Para buscar el nombre de recurso de Amazon (ARN) de la clave KMS, elija el ID o alias de la clave. El [ARN de clave](concepts.md#key-id-key-ARN) aparece en la sección **General Configuration (Configuración general)**.
![\[General configuration section showing key alias, status, and ARN details.\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/find-key-arn.png)
## Uso de la AWS KMS API
Para encontrar el [ID de clave](concepts.md#key-id-key-id) [y el ARN](concepts.md#key-id-key-ARN) de clave de un AWS KMS key, utilice la [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)operación.
La operación `ListKeys` devuelve el ID de clave y el nombre de recurso de Amazon (ARN) de todas las claves KMS de la cuenta y la región de la persona que llama.
Por ejemplo, esta llamada a la operación `ListKeys` devuelve el ID y el ARN de todas las claves KMS de esta cuenta ficticia. Para ver ejemplos en varios lenguajes de programación, consulte [Úselo `ListKeys` con un AWS SDK o CLI](example_kms_ListKeys_section.md).
```
$ aws kms list-keys
{
"Keys": [
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyArn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"KeyArn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
]
}
```
# Acceso y enumeración de detalles de claves KMS
Puede usar la [AWS KMS consola](https://console.aws.amazon.com/kms) o la [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operación para acceder a información detallada sobre las claves de KMS de la cuenta y la región y enumerarla.
Los siguientes procedimientos muestran cómo acceder a los detalles de claves KMS, como el ID de la clave, las especificaciones de la clave o el uso de la clave, entre otros.
## Uso de la AWS KMS consola
En la página de detalles de cada clave KMS se muestran las propiedades de la clave KMS. Difiere ligeramente de los diferentes tipos de claves KMS.
Para mostrar información detallada sobre una clave de KMS, en la página **Claves administradas por AWS **o de **claves administradas por el cliente**, elija el alias o el ID de clave de la clave de KMS.
La página de detalles de una clave KMS incluye una **Configuración general** en la que se muestran las propiedades básicas de la clave KMS. También incluye pestañas en las que puede ver y editar las propiedades de la clave de KMS, como la **política de claves**, la **configuración criptográfica**, las **etiquetas**, el **material y las rotaciones de las claves** (en el caso de las claves de KMS que admiten la rotación automática o bajo demanda), la **regionalidad** (en el caso de las claves de varias regiones) y la **clave pública** (en el caso de las claves de KMS asimétricas).
**nota**
La AWS KMS consola muestra las claves KMS que tiene [permiso para ver](customer-managed-policies.md#iam-policy-example-read-only-console) en su cuenta y región. Las claves de KMS de otras Cuentas de AWS no aparecen en la consola, incluso si tiene permiso para verlas, administrarlas y usarlas. Para ver las claves KMS de otras cuentas, utilice la [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operación.
Navegar a la página de detalles de clave de una clave KMS.
1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
1. Si desea ver las claves de la cuenta que usted crea y administra, elija en el panel de navegación, **Claves administradas por el cliente**. Para ver las claves de la cuenta que se AWS crean y administran para usted, en el panel de navegación, seleccione las claves **AWS administradas**.
1. Para abrir la página de detalles de clave, elija el ID de clave o el alias de la clave KMS.
Si la clave KMS tiene varios alias, un resumen de alias (**\$1*n* más**) aparece junto al nombre de uno de los alias. Elegir el resumen de alias le llevará directamente a la pestaña **Alias** en la página de detalles de clave.
![\[AWS KMSclave administrada por el cliente details showing general and cryptographic configurations.\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/console-key-detail-view-symmetric-sm.png)
En la siguiente lista se describen los campos de la visualización detallada, incluido el campo de las pestañas. Algunos de estos campos también están disponibles como columnas en la visualización de tabla.
**Alias**
Dónde: Pestañas de Alias
Un nombre fácil de recordar para la clave KMS. Puedes usar un alias para identificar la clave KMS en la consola y en algunas de ellas AWS KMS APIs. Para obtener más información, consulte [Alias en AWS KMS](kms-alias.md).
La pestaña **Alias** muestra todos los alias asociados a la clave KMS en la región Cuenta de AWS y.
**ARN**
Dónde: sección de configuración general
El Nombre de recurso de Amazon (ARN) de la clave de cifrado. Este valor únicamente identifica la clave KMS. Puede utilizarlo para identificar la clave KMS en las operaciones de la API de AWS KMS .
**Estado de la conexión**
Indica si un [almacén de claves personalizado](key-store-overview.md#custom-key-store-overview) está conectado a su almacén de claves de respaldo. Este campo aparece únicamente cuando la clave de KMS se crea en un almacén de claves personalizado.
Para obtener información sobre los valores de este campo, consulte la referencia [ConnectionState](https://docs.aws.amazon.com/kms/latest/APIReference/API_CustomKeyStoresListEntry.html#KMS-Type-CustomKeyStoresListEntry-ConnectionState)de la *AWS KMS API*.
**Fecha de creación**
Dónde: sección de configuración general
La fecha y hora en que se creó la clave KMS. Este valor se muestra en la hora local del dispositivo. La zona horaria no varía en función de la región.
A diferencia de **Expiration (Vencimiento)**, la creación se refiere únicamente a la clave KMS, no a su material de claves.
**ID del clúster de CloudHSM**
Dónde: pestaña de Configuración criptográfica
El ID de clúster del AWS CloudHSM clúster que contiene el material clave de la clave KMS. Este campo aparece únicamente cuando la clave de KMS se crea en un [almacén de claves personalizado](key-store-overview.md#custom-key-store-overview).
Si elige el ID de clúster de CloudHSM, se abre **la página Clústeres en la** consola. AWS CloudHSM
**Material de claves actual**
Dónde: sección de configuración general
Las claves de cifrado simétricas con origen `AWS_KMS` admiten la rotación automática y bajo demanda. Las claves de cifrado simétricas con `EXTERNAL` origen admiten la rotación bajo demanda. Estas claves pueden tener varios materiales de claves asociados a la clave. El material de claves rotado más recientemente se puede utilizar tanto para el cifrado como para el descifrado. Este material de claves se identifica como el material de claves actual. Otros materiales de claves solo pueden usarse para el descifrado. La rotación automática o bajo demanda de una clave de KMS cambia su material de claves actual.
**ID del almacén de claves personalizadas**
Dónde: pestaña de Configuración criptográfica
ID del [almacén de claves personalizadas](key-store-overview.md#custom-key-store-overview) que contiene la clave KMS. Este campo aparece únicamente cuando la clave de KMS se crea en un almacén de claves personalizado.
Si eliges el ID del almacén de claves personalizado, se abre la página de **almacenes de claves personalizados** en la AWS KMS consola.
**Nombre del almacén de claves personalizadas**
Dónde: pestaña de Configuración criptográfica
El nombre del [almacén de claves personalizadas](key-store-overview.md#custom-key-store-overview) que contiene la clave KMS. Este campo aparece únicamente cuando la clave de KMS se crea en un almacén de claves personalizado.
**Tipo de almacén de claves personalizado**
Dónde: pestaña de Configuración criptográfica
Indica si el almacén de claves personalizado es un [almacén de claves de AWS CloudHSM](keystore-cloudhsm.md) o un [almacén de claves externo](keystore-external.md). Este campo aparece únicamente cuando la clave de KMS se crea en un [almacén de claves personalizado](key-store-overview.md#custom-key-store-overview).
**Description (Descripción)**
Dónde: sección de configuración general
Una descripción breve y opcional de la clave KMS que puede escribir y editar. Para agregar o actualizar la descripción de una clave administrada por el cliente, sobre **General Configuration (Configuración general)**, seleccione **Edit (Editar)**.
**Algoritmos de cifrado**
Dónde: pestaña de Configuración criptográfica
Enumera los algoritmos de cifrado que se pueden utilizar con la clave KMS en AWS KMS. Este campo aparece únicamente cuando el **Key type (Tipo de clave)** es **Asymmetric (Asimétrico)** y cuando el **Key usage (Uso de la clave)** es **Encrypt and decrypt (Cifrar y descifrar)**. Para obtener información sobre los algoritmos de cifrado AWS KMS compatibles, consulte [Especificación de clave SYMMETRIC\$1DEFAULT](symm-asymm-choose-key-spec.md#symmetric-cmks) y[Especificaciones de clave de RSA para el cifrado y el descifrado](symm-asymm-choose-key-spec.md#key-spec-rsa-encryption).
**Fecha de vencimiento**
Dónde: pestaña de Material de clave
Fecha y hora en la que el material de claves de la clave KMS vence. Este campo aparece únicamente en las claves KMS con [material de claves importado](importing-keys.md), es decir, cuando el **Origin (Origen)** es **External (Externo)** y la clave KMS contiene material de claves que vence. Las claves de cifrado simétricas pueden tener varios materiales clave asociados. Para este tipo de claves, este campo indica la fecha y hora más tempranas en que caduca uno de los materiales de claves asociados.
**ID de clave externa**
Dónde: pestaña de Configuración criptográfica
El ID de la [clave externa](keystore-external.md#concept-external-key) que está asociado a una clave de KMS en un [almacén de claves externo](keystore-external.md). Este campo solo aparece para las claves de KMS de un almacén de claves externo.
**Estado de clave externa**
Dónde: pestaña de Configuración criptográfica
El estado más reciente que el [proxy del almacén de claves externo](keystore-external.md#concept-xks-proxy) informó para la [clave externa](keystore-external.md#concept-external-key) asociada a la clave de KMS. Este campo solo aparece para las claves de KMS de un almacén de claves externo.
**Uso de clave externa**
Dónde: pestaña de Configuración criptográfica
Las operaciones criptográficas que están habilitadas en la [clave externa](keystore-external.md#concept-external-key) asociada a la clave de KMS. Este campo solo aparece para las claves de KMS de un almacén de claves externo.
**Política de claves**
Dónde: pestaña de Política de clave
Controla el acceso a la clave KMS junto con las [políticas de IAM](iam-policies.md) y las [concesiones](grants.md). Cada clave KMS tiene una política de claves. Es el único elemento de autorización obligatorio. Para cambiar la política de claves de una clave administrada por el cliente, en la pestaña **Key policy (Política de claves)**, seleccione **Edit (Editar)**. Para obtener más información, consulte [Políticas clave en AWS KMS](key-policies.md).
**Rotación y material de claves**
Dónde: pestaña Rotación y material de claves
Esta pestaña solo aparece para las claves de cifrado simétricas con origen `AWS_KMS` (que admiten la rotación automática y bajo demanda), así como para las claves de cifrado simétricas de una sola región con origen `EXTERNAL` (que admiten la rotación bajo demanda).
La pestaña tiene tres paneles:
Rotación automática: habilita y deshabilita la [rotación automática](rotate-keys.md) del material de claves en una [clave de KMS administrada por el cliente](concepts.md#customer-mgn-key). Para cambiar el estado de la rotación de claves de una [clave administrada por el cliente](concepts.md#customer-mgn-key), utilice la casilla de verificación. No puede habilitar ni desactivar la rotación del material de claves en una [Clave administrada de AWS](concepts.md#aws-managed-key). Las Claves administradas por AWS rotan automáticamente cada año.
Rotación bajo demanda: inicie una [rotación bajo demanda](rotate-keys.md) del material de claves de una [clave administrada por el cliente](concepts.md#customer-mgn-key). En el caso de las claves importadas, debe haber ya un material de claves importado en estado `PENDING_ROTATION` para que la opción **Rotar ahora** esté disponible.
Materiales de claves: enumera todos los materiales de clave asociados a la clave de KMS. Cada material de claves tiene un identificador único y su fila muestra información adicional sobre el material de claves, como la fecha de rotación cuando el material de claves estuvo disponible para su uso en KMS. En el caso de las claves importadas, cada fila también tiene un menú de **acciones** que se puede utilizar para eliminar un material de claves específico o volver a importarlo a la clave de KMS.
**Especificación de clave**
Dónde: pestaña de Configuración criptográfica
El tipo de material clave de la clave KMS. AWS KMS admite claves KMS de cifrado simétrico (SYMMETRIC\$1DEFAULT), claves HMAC KMS de diferentes longitudes, claves KMS para claves RSA de diferentes longitudes y claves de curva elíptica con diferentes curvas. Para obtener más información, consulte [Key spec](create-keys.md#key-spec).
**Tipo de clave**
Dónde: pestaña de Configuración criptográfica
Indica si la clave KMS es **Symmetric (Simétrica)** o **Asymmetric (Asimétrica)**.
**Uso de clave**
Dónde: pestaña de Configuración criptográfica
Indica si una clave KMS se puede utilizar para **Encrypt and decrypt** (Cifrar y descifrar), **Sign and verify** (Firmar y verificar) o **Generate and verify MAC** (Generar y verificar MAC). Para obtener más información, consulte [Key usage](create-keys.md#key-usage).
**Origen**
Dónde: pestaña de Configuración criptográfica
El origen del material de claves de la clave KMS. Los valores válidos son:
+ **AWS KMS** para material de claves que genera AWS KMS
+ **AWS CloudHSM** para claves de KMS en el [almacén de claves de AWS CloudHSM](keystore-cloudhsm.md)
+ **Externo** para [material de claves importado](importing-keys.md) (BYOK)
+ **Almacén de claves externo** para claves de KMS en un [almacén de claves externo](keystore-external.md)
**Algoritmos de MAC**
Dónde: pestaña de Configuración criptográfica
Enumera los algoritmos MAC que se pueden utilizar con una clave KMS HMAC en AWS KMS. Este campo aparece únicamente cuando la **Especificación de la clave** es una especificación de la clave HMAC (HMAC\$1\$1). Para obtener información acerca de los algoritmos MAC de firma que admite AWS KMS , consulte [Especificaciones de la clave para las claves KMS HMAC](symm-asymm-choose-key-spec.md#hmac-key-specs).
**Clave principal**
Dónde: pestaña de Regionalidad
Indica que esta clave KMS es una [clave principal de varias regiones](multi-region-keys-overview.md#mrk-primary-key). Los usuarios autorizados pueden utilizar esta sección para [cambiar la clave principal](multi-region-update.md) a una clave de varias regiones relacionada diferente. Este campo aparece únicamente cuando la clave KMS es una clave principal de varias regiones.
**Clave pública**
Dónde: pestaña de Clave pública
Muestra la clave pública de una clave KMS asimétrica. Los usuarios autorizados pueden utilizar esta pestaña para [copiar y descargar la clave pública](download-public-key.md).
**Regionalidad**
Dónde: pestañas Sección de configuración general y Regionalidad
Indica si una clave KMS es una clave de una sola región, una [clave principal de varias regiones](multi-region-keys-overview.md#mrk-primary-key) o una [clave de réplica de varias regiones](multi-region-keys-overview.md#mrk-replica-key). Este campo aparece únicamente cuando la clave KMS es una clave de varias regiones.
**Claves de varias regiones relacionadas**
Dónde: pestaña de Regionalidad
Muestra todas las [claves de réplica y primaria de varias regiones](multi-region-keys-overview.md) relacionadas, excepto la clave KMS actual. Este campo aparece únicamente cuando la clave KMS es una clave de varias regiones.
En la sección **Claves de varias regiones relacionadas** de una clave principal, los usuarios autorizados pueden [crear nuevas claves de réplica](multi-region-keys-replicate.md).
**Clave de réplica**
Dónde: pestaña de Regionalidad
Indica que esta clave KMS es una [clave de réplica de varias regiones](multi-region-keys-overview.md#mrk-replica-key). Este campo aparece únicamente cuando la clave KMS es una clave de réplica de varias regiones.
**Algoritmos de firma**
Dónde: pestaña de Configuración criptográfica
Enumera los algoritmos de firma que se pueden utilizar con la clave KMS en AWS KMS. Este campo aparece únicamente cuando el **Key type (Tipo de clave)** es **Asymmetric (Asimétrico)** y cuando el **Key usage (Uso de la clave)** es **Sign and verify (Firmar y verificar)**. Para obtener información sobre los algoritmos de firma compatibles, consulte y. AWS KMS [Especificaciones de clave de RSA para la firma y la verificación](symm-asymm-choose-key-spec.md#key-spec-rsa-sign) [Especificaciones de clave de curva elíptica](symm-asymm-choose-key-spec.md#key-spec-ecc)
**Status**
Dónde: sección de configuración general
El estado de la clave KMS. Puede utilizar la clave KMS en [operaciones criptográficas](kms-cryptography.md#cryptographic-operations) solo cuando el estado es **Enabled (Habilitado)**. Para obtener una descripción detallada de cada estado de clave KMS y su impacto en las operaciones que puede ejecutar en la clave KMS, consulte [Estados clave de AWS KMS las claves](key-state.md).
**Tags**
Dónde: pestaña Etiquetas
Pares clave-valor opcionales que describen la clave KMS. Para agregar o cambiar las etiquetas de una clave KMS, en la pestaña **Tags (Etiquetas)**, seleccione **Edit (Editar)**.
Al añadir etiquetas a AWS los recursos, AWS genera un informe de asignación de costes con el uso y los costes agregados por etiquetas. Las etiquetas también pueden utilizarse para controlar el acceso a una clave KMS. Para obtener información acerca del etiquetado de claves KMS, consulte [Etiquetas en AWS KMS](tagging-keys.md) y [ABAC para AWS KMS](abac.md).
## Uso de la AWS KMS API
La [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operación devuelve detalles sobre la clave KMS especificada. Para identificar la clave KMS, utilice el [ID de la clave](concepts.md#key-id-key-id), [ARN de la clave](concepts.md#key-id-key-ARN), [nombre de alias](concepts.md#key-id-alias-name) o [ARN del alias](concepts.md#key-id-alias-ARN).
A diferencia de la [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)operación, que muestra solo las claves KMS de la cuenta y región de la persona que llama, los usuarios autorizados pueden usar la `DescribeKey` operación para obtener detalles sobre las claves KMS de otras cuentas.
**nota**
La respuesta `DescribeKey` incluye tanto `KeySpec` como `CustomerMasterKeySpec` con los mismos valores. Este miembro `CustomerMasterKeySpec` está obsoleto.
Por ejemplo, esta llamada a `DescribeKey` devuelve información acerca de una clave KMS de cifrado simétrica. Los campos de la respuesta varían según la [especificación de la AWS KMS key](create-keys.md#key-spec), el [estado de la clave](key-state.md) y el [origen del material de la clave](create-keys.md#key-origin). Para ver ejemplos en varios lenguajes de programación, consulte [Úselo `DescribeKey` con un AWS SDK o CLI](example_kms_DescribeKey_section.md).
```
$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyMetadata": {
"Origin": "AWS_KMS",
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"Description": "",
"KeyManager": "CUSTOMER",
"Enabled": true,
"KeySpec": "SYMMETRIC_DEFAULT",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"CreationDate": 1499988169.234,
"MultiRegion": false,
"Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"AWSAccountId": "111122223333",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"CurrentKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
}
}
```
Este ejemplo llama a la operación `DescribeKey` en una clave KMS asimétrica utilizada para la firma y la verificación. La respuesta incluye los algoritmos de firma que AWS KMS admite para esta clave KMS.
```
$ aws kms describe-key --key-id 0987dcba-09fe-87dc-65ba-ab0987654321
{
"KeyMetadata": {
"KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"Origin": "AWS_KMS",
"Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"KeyState": "Enabled",
"KeyUsage": "SIGN_VERIFY",
"CreationDate": 1569973196.214,
"Description": "",
"KeySpec": "ECC_NIST_P521",
"CustomerMasterKeySpec": "ECC_NIST_P521",
"AWSAccountId": "111122223333",
"Enabled": true,
"MultiRegion": false,
"KeyManager": "CUSTOMER",
"SigningAlgorithms": [
"ECDSA_SHA_512"
]
}
}
```
# Identificación de diferentes tipos de claves
En los temas siguientes se explica cómo identificar los distintos tipos de claves en la AWS KMS consola y [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)las respuestas.
Para obtener ayuda para acceder a la pestaña de **configuración criptográfica** de la página de detalles de una clave KMS, consulte [Acceso y enumeración de detalles de claves KMS](finding-keys.md).
**Topics**
+ [Identificación de claves KMS asimétricas](#identify-asymm-keys)
+ [Identificación de claves KMS HMAC](#hmac-view)
+ [Identificación de claves KMS de varias regiones](#multi-region-keys-view)
+ [Identificación de claves KMS con material de claves importado](#identify-imported-keys)
+ [Identifique las claves de KMS en los almacenes de AWS CloudHSM claves](#identify-key-hsm-keystore)
+ [Identificación de claves KMS en almacenes de claves externos](#view-xks-key)
## Identificación de claves KMS asimétricas
**En la AWS KMS consola**
Las columnas **Key type ** (Tipo de clave) de la tabla **Customer managed keys** (Claves administradas por el cliente) muestran si cada clave KMS es simétrica o asimétrica. Puede filtrar la tabla por el valor de **Tipo de clave** para mostrar solo las claves de KMS asimétricas. Para obtener más información, consulte [Ordenar y filtrar las claves KMS](viewing-console-customize.md#viewing-console-filter).
La pestaña **Cryptographic configuration (Configuración criptográfica)** en la página de detalles para una clave KMS muestra el **Key type (Tipo de clave)**, que indica si la clave es simétrica o asimétrica. También muestra **Key Usage (Uso de claves)**, que indica si la clave KMS asimétrica se utiliza para cifrar y descifrar, firmar y verificar o para obtener secretos compartidos.
**En DescribeKey las respuestas**
Cuando se llama a la operación `DescribeKey` en una clave KMS asimétrica, la respuesta incluye los valores de `KeySpec` y `KeyUsage`, que se pueden usar para determinar si una clave KMS es simétrica o asimétrica.
Si el valor de `KeySpec` es `SYMMETRIC_DEFAULT`, la clave es una clave KMS de cifrado simétrica. Para obtener más información sobre las especificaciones de las claves asimétricas, consulte [Referencia de especificaciones de clave](symm-asymm-choose-key-spec.md).
Si el valor de `KeyUsage` es `SIGN_VERIFY` o `KEY_AGREEMENT`, la clave es una clave KMS asimétrica.
La operación `DescribeKey` también devuelve los siguientes detalles para claves KMS asimétricas.
+ En el caso de las claves KMS asimétricas con un valor `KeyUsage` de `ENCRYPT_DECRYPT`, la operación devuelve `EncryptionAlgorithms`, que muestra los algoritmos de cifrado válidos para la clave.
+ En el caso de las claves KMS asimétricas con un valor `KeyUsage` de `SIGN_VERIFY`, la operación devuelve `SigningAlgorithms`, que muestra los algoritmos de firma válidos para la clave.
+ En el caso de las claves KMS asimétricas con un valor `KeyUsage` de `KEY_AGREEMENT`, la operación devuelve `KeyAgreementAlgorithms`, que muestra los algoritmos de acuerdo de claves válidos para la clave.
Para obtener más información sobre claves KMS, consulte [Teclas asimétricas en AWS KMS](symmetric-asymmetric.md).
## Identificación de claves KMS HMAC
**En la AWS KMS consola**
Las claves de KMS HMAC se incluyen en la tabla **Claves administradas por el cliente**, pero no puede ordenar ni filtrar esta tabla por las especificaciones de clave ni por valores de uso de claves que identifican las claves de HMAC. Para facilitar la búsqueda de las claves HMAC, asígneles un alias o una etiqueta distintiva. A continuación, puede ordenar o filtrar por el alias o la etiqueta.
La pestaña **Cryptographic configuration** (Configuración criptográfica) en la página de detalles para una clave KMS muestra el **Key type (Tipo de clave)**, que indica si la clave es simétrica o asimétrica. Las claves KMS HMAC son simétricas. La pestaña **Cryptographic configuration** (Configuración criptográfica) también muestra **Key Usage** (Uso de claves). Para las claves KMS HMAC, **Generar y verificar MAC** es siempre el valor uso de clave.
**En DescribeKey las respuestas**
Cuando llama a la operación `DescribeKey` en una clave KMS HMAC, la respuesta incluye los valores `KeySpec` y `KeyUsage`. En el caso de las claves KMS HMAC, el valor de uso de clave es siempre `GENERATE_VERIFY_MAC` y el valor de la especificación de clave siempre empieza por `HMAC_`.
Para obtener más información sobre claves KMS HMAC, consulte [Teclas HMAC en AWS KMS](hmac.md).
## Identificación de claves KMS de varias regiones
**En la AWS KMS consola**
La tabla **Customer managed keys** (Claves administradas por clientes) solo muestra las claves KMS en la región seleccionada. Puede ver las claves principales y de réplica de varias regiones en la región seleccionada. Para cambiar la AWS región, usa el selector de regiones en la esquina superior derecha de la consola.
Para facilitar la identificación de las claves de varias regiones en la tabla **Claves administradas por el cliente**, añada la columna **Regionalidad** a la tabla. Para obtener ayuda, consulte [Personalización de las tablas de claves KMS](viewing-console-customize.md#console-customize-tables).
La página de detalles de las claves KMS de varias regiones incluye una pestaña **Regionality** (Regionalidad). La pestaña **Regionality (Regionalidad)** de una clave principal incluye los botones Change primary Region (Cambiar región principal) y Create new replica keys (Crear nuevas claves de réplica). (La pestaña Regionality (Regionalidad) de una clave de réplica no tiene ningún botón). La sección **Related multi-Region keys (Claves de varias regiones relacionadas)** enumera todas las claves de varias regiones relacionadas con la actual. Si la clave actual es una clave de réplica, esta lista incluye la clave principal.
Si selecciona una clave multirregional relacionada de la tabla de **claves multirregionales relacionadas**, la AWS KMS consola cambiará a la región de la clave seleccionada y abrirá la página de detalles de la clave. Por ejemplo, si elige la clave de réplica de la `sa-east-1` región en la sección de **claves multirregionales relacionadas** que aparece a continuación, la AWS KMS consola cambiará a la `sa-east-1` región para mostrar la página de detalles de esa clave de réplica. Puede hacer esto para ver el alias o la política de clave de la clave de réplica. Para cambiar la región nuevamente, utilice el selector de regiones en la esquina superior derecha de la página.
**En DescribeKey las respuestas**
De forma predeterminada, las operaciones de la AWS KMS API son regionales y solo devuelven los recursos de la región actual o especificada. Sin embargo, cuando se llama a la `DescribeKey` operación en una clave KMS multirregional, la respuesta incluye todas las claves multirregionales relacionadas de otras AWS regiones del `MultiRegionConfiguration` elemento.
Para obtener más información sobre claves KMS de varias regiones, consulte [Claves multirregionales en AWS KMS](multi-region-keys-overview.md).
## Identificación de claves KMS con material de claves importado
**En la consola AWS KMS **
Para facilitar la identificación de las claves KMS con material de claves importado en la tabla **Customer managed keys** (Claves administradas por el cliente), añada la columna **Origin** (Origen) a la tabla. La columna **Origen** facilita la identificación de las claves de KMS que tienen un valor de propiedad de origen **Externo (Importar material de claves)**. Para obtener ayuda, consulte [Personalización de las tablas de claves KMS](viewing-console-customize.md#console-customize-tables).
La pestaña **Cryptographic configuration** (Configuración criptográfica) de la página de detalles de una clave KMS muestra **Origin** (Origen), que identifica el origen del material de claves de la clave KMS. En el caso de las claves KMS con material de claves importado, el valor de origen es siempre **External (Import Key material)** [Externo (material de claves de importación)]. La página de detalles también incluye una pestaña **Key material** (Material de claves) que proporciona información detallada sobre el material de claves importado. Las claves de cifrado simétrico con `EXTERNAL` origen admiten rotaciones bajo demanda y pueden tener varios materiales clave asociados. Para este tipo de claves, la pestaña lleva la etiqueta **Rotaciones y material de claves**.
**En las respuestas DescribeKey **
Cuando se llama a la operación `DescribeKey` en una clave KMS con material de claves importado, la respuesta incluye los valores `Origin`, `ExpirationModel` y `ValidTo`. En el caso de las claves KMS con material de claves importado, el valor de origen es siempre `EXTERNAL`. El valor `ExpirationModel` indica si el material de claves está configurado para que caduque o no, y el valor `ValidTo` indica cuándo caducará el material de claves. Cuando hay varios materiales de claves asociados a una clave, el valor `ValidTo` indica la fecha de caducidad más temprana de todos los materiales de claves (excepto el que está pendiente de rotación) y `ExpirationModel` se establece en `DOES_NOT_EXPIRE` solo si ninguno de estos materiales de claves está programado para caducar. Para obtener más información, consulte [Configuración de una fecha de vencimiento (opcional)](importing-keys-import-key-material.md#importing-keys-expiration).
Para obtener información sobre las claves KMS con material de claves importado, consulte [Importación de material clave para AWS KMS llaves](importing-keys.md).
## Identifique las claves de KMS en los almacenes de AWS CloudHSM claves
**En la AWS KMS consola**
Para facilitar la identificación de las claves de KMS en AWS CloudHSM los almacenes de claves de la tabla de **claves gestionadas por el cliente**, añada la columna **Origin** a la tabla. La columna **Origen** facilita la identificación de las claves de KMS que tienen un valor de propiedad de origen de **AWS CloudHSM**. Para obtener ayuda, consulte [Personalización de las tablas de claves KMS](viewing-console-customize.md#console-customize-tables).
La pestaña **Configuración criptográfica** de la página de detalles de una clave de KMS muestra **Origen**, que identifica el origen del material de claves de la clave de KMS. En AWS CloudHSM el caso de las claves KMS de los almacenes de claves, el valor de origen es siempre **AWS CloudHSM**.
En el caso de una clave KMS en un almacén de AWS CloudHSM claves, la pestaña de **configuración criptográfica** incluye una sección adicional, el **almacén de claves personalizado**, que proporciona información sobre el almacén de AWS CloudHSM claves y el AWS CloudHSM clúster asociados a la clave KMS.
**En DescribeKey las respuestas**
Cuando se llama a la operación `DescribeKey` con una clave KMS en un almacén de claves de AWS CloudHSM , la respuesta incluye `Origin`, que identifica el origen del material de claves. En el caso de las claves KMS de un almacén de AWS CloudHSM claves, el valor de origen es siempre`AWS_CLOUDHSM`. La operación también devuelve los siguientes campos especiales para las claves de KMS de los almacenes de AWS CloudHSM claves:
+ `CloudHsmClusterId`
+ `CustomKeyStoreId`
Para obtener más información sobre los almacenes de AWS CloudHSM claves, consulte[AWS CloudHSM tiendas clave](keystore-cloudhsm.md).
## Identificación de claves KMS en almacenes de claves externos
**En la AWS KMS consola**
Para facilitar la identificación de las claves KMS en almacenes de claves externos en la tabla **Customer managed keys** (Claves administradas por el cliente), añada la columna **Origin** (Origen) a la tabla. La columna **Origin** (Origen) facilita la identificación de las claves KMS que tienen un valor de propiedad de origen **External key store** (Almacén de claves externo). Para obtener ayuda, consulte [Personalización de las tablas de claves KMS](viewing-console-customize.md#console-customize-tables).
La pestaña **Configuración criptográfica** de la página de detalles de una clave de KMS muestra **Origen**, que identifica el origen del material de claves de la clave de KMS. Por ejemplo, el valor de origen para todas las claves KMS en el almacén de claves externo es siempre **External key store** (Almacén de claves externo).
Para una clave KMS en un almacén de claves externo, la pestaña **Cryptographic configuration** (Configuración criptográfica) incluye dos secciones adicionales: **Custom key store** (Almacén de claves personalizado) y **External key** (Clave externa). La tabla **Custom key store** (Almacén de claves personalizado) proporciona información sobre el almacén de claves externo asociado a la clave KMS. La tabla **External key** (Clave externa) aparece en la consola de AWS KMS solo para las claves KMS de los almacenes de claves externos. Proporciona información sobre la clave externa asociada a la clave de KMS. La [*clave externa*](keystore-external.md#concept-external-key) es una clave criptográfica externa AWS que sirve como material clave para la clave KMS en el almacén de claves externo. Cuando cifra o descifra con la clave de KMS, la operación la realiza su [administrador de claves externo](keystore-external.md#concept-ekm) utilizando la clave externa especificada.
Los siguientes valores aparecen en la sección **External key** (Clave externa).
**ID de clave externa**
El identificador de la clave externa en su administrador de claves externo. Este es el valor que utiliza el proxy del almacén de claves externo para identificar la clave externa. Usted especifica el ID de la clave externa cuando crea la clave de KMS y no puede cambiarla. Si el valor del identificador de clave externa que utilizó para crear la clave de KMS cambia o deja de ser válida, debe [programar la eliminación de la clave de KMS](deleting-keys.md) y [crear una nueva clave de KMS](create-xks-keys.md) con el valor de ID de clave externa correcto.
**En DescribeKey las respuestas**
Cuando se llama a la operación `DescribeKey` con una clave KMS en un almacén de claves externo, la respuesta incluye `Origin`, que identifica el origen del material de claves. En el caso de las claves KMS de un almacén de AWS CloudHSM claves, el valor de origen es siempre`EXTERNAL_KEY_STORE`. La operación también devuelve el elemento `CustomKeyStoreId`, que identifica el almacén de claves externo asociado a las claves de KMS.
Para obtener más información sobre los almacenes de claves, consulte [Almacenes de claves externos](keystore-external.md).
# Personalización de la vista de la consola
Puede personalizar la vista de la AWS KMS consola para facilitar la búsqueda de las claves de KMS. Personalice las tablas que aparecen en las páginas **Claves administradas por AWS** y **Customer managed keys** (Claves administradas por el cliente) para mostrar la información que más necesita, o bien ordene y filtre las claves KMS que aparecen en las tablas.
**Topics**
+ [Ordenar y filtrar las claves KMS](#viewing-console-filter)
+ [Personalización de las tablas de claves KMS](#console-customize-tables)
## Ordenar y filtrar las claves KMS
Para facilitar la búsqueda de las claves KMS en la consola, puede ordenarlas y filtrarlas.
**Ordenar**
Puede ordenar las claves KMS administradas por el cliente en orden ascendente o descendente por sus valores de columna. Esta función ordena todas las claves KMS de la tabla, aunque no aparezcan en la página de la tabla actual.
Las columnas que se pueden ordenar aparecen indicadas con una flecha que aparece junto al nombre de la columna. En la página **Claves administradas por AWS**, puede ordenar por **Alias** o **ID de clave**. En la página **Customer managed keys (Claves administradas por el cliente)**, puede ordenar por **Alias**, **Key ID (ID de clave)** o **Key type (Tipo de clave)**.
Para ordenar en orden ascendente, seleccione el encabezado de la columna hasta que la flecha apunte hacia arriba. Para ordenar en orden descendente, seleccione el encabezado de la columna hasta que la flecha apunte hacia abajo. Puede ordenar solo por una columna cada vez.
Por ejemplo, puede ordenar las claves KMS en orden ascendente por ID de clave en lugar de por alias, que es el valor predeterminado.
![\[Claves administradas por AWS interface showing sortable columns for Aliases and Key ID.\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/console-sort.png)
Cuando ordena las claves KMS en la página **Customer managed keys (Claves administradas por cliente)** en orden ascendente por **Key type (Tipo de clave)**, todas las claves asimétricas se muestran antes que todas las claves simétricas.
**Filtro**
Puede filtrar las claves KMS por sus valores de propiedad o etiquetas. El filtro se aplica a todas las claves KMS de la tabla, aunque no aparezcan en la página de la tabla actual. El filtro no distingue entre mayúsculas y minúsculas.
Las propiedades que se pueden filtrar se enumeran en el cuadro de filtro. En la página **Claves administradas por AWS **, puede filtrar por alias e ID de clave. En la página **Customer managed keys** (Claves administradas por el cliente), puede filtrar por las propiedades de alias, ID de clave, tipo de clave y por etiquetas.
+ En la página **Claves administradas por AWS**, puede filtrar por alias e ID de clave.
+ En la página **Customer managed keys (Claves administradas por el cliente)**, puede filtrar por etiquetas o por las propiedades de alias, ID de clave, tipo de clave o regionalidad.
Para filtrar por un valor de propiedad, elija el filtro, seleccione el nombre de propiedad y, a continuación, selecciónelo de la lista de valores de propiedad reales. Para filtrar por una etiqueta, elija la clave de etiqueta y, a continuación, elija de la lista de valores reales de etiqueta. Después de seleccionar una clave de propiedad o de etiqueta, también puede introducir una parte o el valor de la propiedad completo. Verá una vista previa de los resultados antes de tomar su decisión.
Por ejemplo, para mostrar las claves KMS con un nombre de alias que contenga `aws/e`, seleccione el cuadro de filtro, seleccione **Alias**, introduzca `aws/e` y, a continuación, pulse `Enter` o `Return` para agregar el filtro.
![\[Search box for Claves administradas por AWS with Aliases filter and example entries.\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/filter-alias.png)
### Filtros de tabla de claves KMS sugeridos
**Filtrar por claves KMS asimétricas**
Para mostrar solo las clave KMS asimétricas en la página **Customer managed keys (Claves administradas por cliente)**, haga clic en el cuadro de filtro, elija **Key type (Tipo de clave)** y, a continuación, elija **Key type: Asymmetric (Tipo de clave: Asimétrica)**. La opción **Asymmetric (Asimétrica)** solo aparece cuando tiene claves KMS asimétricas en la tabla.
**Filtrar por claves de varias regiones**
Para mostrar solo las claves de varias regiones, en la página **Customer managed keys (Claves administradas por el cliente)**, elija el cuadro de filtro, seleccione **Regionality (Regionalidad)** y luego elija **Regionality: Multi-Region (Regionalidad: varias regiones)**. La opción **Multi-Region (Varias regiones)** solo aparece cuando tiene claves de varias regiones en la tabla.
**Filtrar por etiquetas**
Para mostrar solo las claves KMS con una etiqueta concreta, elija el cuadro de filtro, elija la clave de etiqueta y, a continuación, elija entre los valores de etiqueta reales. También puede introducir una parte o el valor de la etiqueta completo.
La tabla resultante muestra todas las claves KMS con la etiqueta elegida. Sin embargo, no muestra la etiqueta. Para ver la etiqueta, elija el ID de clave o alias de la clave KMS y, en su página de detalles, elija la pestaña **Tags (Etiquetas)**. Las pestañas aparecen debajo de la sección **General configuration (Configuración general)**.
Este filtro requiere la clave y el valor de la etiqueta. No encontrará claves KMS escribiendo solo la clave de etiqueta o solo su valor. Para filtrar las etiquetas por la totalidad o parte de la clave o el valor de la etiqueta, utilice la [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)operación para obtener las claves KMS etiquetadas y, a continuación, utilice las funciones de filtrado del lenguaje de programación.
**Filtrar por texto**
Para buscar texto, introduzca una parte o todo el alias, el ID de clave, el tipo de clave o la clave de etiqueta en el cuadro de filtro. (Después de seleccionar la clave de etiqueta, puede buscar un valor de etiqueta). Verá una vista previa de los resultados antes de tomar su decisión.
Por ejemplo, para mostrar claves KMS con `test` en sus claves de etiqueta o propiedades filtrables, escriba `test` en el cuadro de filtro. La vista previa muestra las claves KMS que seleccionará el filtro. En este caso, `test` solo aparece en la propiedad **Alias**.
## Personalización de las tablas de claves KMS
Puede personalizar las tablas que aparecen en las páginas de **claves administradas por el cliente **Claves administradas por AWS****y las que aparecen en ellas Consola de administración de AWS para adaptarlas a sus necesidades. Puede elegir las columnas de la tabla, el número de columnas de cada AWS KMS keys **página (tamaño** de página) y el formato del texto. La configuración que seleccione se guarda cuando la confirma y se vuelve a aplicar cuando abre las páginas.
**Personalización de las tablas clave KMS**
1. En la página **Claves administradas por AWS** o **Claves administradas por el cliente**, elija el icono de configuración (![\[Gear or cog icon representing settings or configuration options.\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/console-icon-settings-new.png)) en la parte superior derecha de la página.
1. En la página **Preferences (Preferencias)**, elija su configuración preferida y, a continuación, **Confirm (Confirmar)**.
Considere utilizar la configuración **Page size** (Tamaño de página) para aumentar el número de clave KMS que se muestran en cada página, especialmente si suele utilizar un dispositivo que es fácil de desplazar.
Las columnas de datos que muestra pueden variar en función de la tabla, el rol de trabajo y los tipos de claves KMS de la cuenta y la región. En la siguiente tabla aparecen algunas sugerencias de configuración. Para obtener descripciones de las columnas, consulte [Uso de la AWS KMS consola](finding-keys.md#viewing-console-details).
### Configuraciones de tabla clave KMS sugeridas
Puede personalizar las columnas que aparecen en la tabla de claves KMS para mostrar la información que necesita sobre sus claves KMS.
**Claves administradas por AWS**
De forma predeterminada, la tabla **Clave administrada de AWS** muestra las columnas **Alias**, **ID de clave** y **Estado**. Estas columnas son ideales para la mayoría de casos de uso.
**Claves KMS de cifrado simétricas**
Si utiliza únicamente las claves de KMS de cifrado simétricas con el material de claves que genera AWS KMS, es probable que las columnas **Alias**, **ID de clave**, **Estado** y **Fecha de creación** sean las más útiles.
**Claves KMS asimétricas**
Si utiliza claves KMS asimétricas, además de las columnas **Alias**, **ID de clave** y **Estado**, debe considerar la adición de las columnas **Tipo de clave**, **Especificación de clave** y **Uso de clave**. Estas columnas le mostrarán si una clave KMS es simétrica o asimétrica, el tipo de material de claves y si la clave KMS se puede utilizar para el cifrado o la firma.
**Claves KMS HMAC**
Si utiliza claves KMS HMAC, además de las columnas **Alias**, **ID de clave** y **Estado**, debe considerar la adición de las columnas **Especificación de clave** y **Uso de clave**. Estas columnas le mostrarán si una clave KMS es una clave HMAC. Como no puede ordenar las claves de KMS por especificación o uso de clave, utilice alias y etiquetas para identificar las claves HMAC y, a continuación, utilice las [funciones de filtrado](#viewing-console-filter) de la AWS KMS consola para filtrar por alias o etiquetas.
**Material de claves importado**
Si tiene claves KMS con [material de claves importado](importing-keys.md), considere agregar las columnas **Origen** (Origen) y **Expiration date (Fecha de vencimiento)**. Estas columnas le mostrarán si el material clave de una clave de KMS se ha importado o generado antes de que caduque el material clave, si es que caduca, si es que caduca. AWS KMS El campo **Creation date (Fecha de creación)** muestra la fecha en la que se creó la clave KMS (sin el material de claves). No refleja ninguna característica del material de claves.
**Claves de los almacenes de claves personalizadas**
Si tiene claves de KMS en [almacenes de claves personalizados](key-store-overview.md#custom-key-store-overview), considere agregar las columnas **Origin** (Origen) y **Custom key store ID** (ID del almacén de claves personalizado). Estas columnas muestran que la clave de KMS se encuentra en un almacén de claves personalizado, indican qué tipo de almacén es y lo identifican.
**Claves para varias regiones**
Si tiene [claves para varias regiones](multi-region-keys-overview.md), considere agregar la columna **Regionality (Regionalidad)**. Esto muestra si una clave KMS es una clave de una sola región, una [clave principal de varias regiones](multi-region-keys-overview.md#mrk-primary-key) o una [clave de réplica de varias regiones](multi-region-keys-overview.md#mrk-replica-key).
# Encuentre las claves y el material clave de KMS en un almacén de AWS CloudHSM claves
Si administra un almacén de AWS CloudHSM claves, es posible que necesite identificar las claves de KMS en cada uno AWS CloudHSM de ellos. Por ejemplo, es probable que deba realizar algunas de las siguientes tareas.
+ Realice un seguimiento de las claves de KMS en el almacén de AWS CloudHSM claves de AWS CloudTrail los registros.
+ Prediga el efecto que tendrá en las claves de KMS la desconexión de un almacén de AWS CloudHSM claves.
+ Programa la eliminación de las claves de KMS antes de eliminar un almacén de AWS CloudHSM claves.
Además, es posible que desee identificar las claves del AWS CloudHSM clúster que sirven como material clave para las claves de KMS. Aunque AWS KMS administra las claves de KMS y el material clave, usted sigue teniendo el control y la responsabilidad de la administración de su AWS CloudHSM clúster, así como de las copias de seguridad HSMs y las claves que contiene HSMs. Es posible que necesite identificar las claves para auditar el material clave, protegerlo de una eliminación accidental o eliminarlo de las copias de seguridad del clúster o de las copias de HSMs seguridad del clúster después de eliminar la clave de KMS.
Todo el material clave de las claves de KMS de tu almacén de AWS CloudHSM claves es propiedad del [usuario `kmsuser` criptográfico](keystore-cloudhsm.md#concept-kmsuser) (CU). AWS KMS establece el atributo de etiqueta clave, que solo se puede ver en AWS CloudHSM, en el nombre de recurso de Amazon (ARN) de la clave de KMS.
Para buscar las claves KMS y el material de claves, puede utilizar cualquiera de las técnicas siguientes.
+ [Busque las claves KMS en un almacén de AWS CloudHSM claves](find-cmk-in-keystore.md)— Cómo identificar las claves KMS en uno o todos sus almacenes de AWS CloudHSM claves.
+ [Busque todas las claves de un almacén de AWS CloudHSM claves](find-all-kmsuser-keys.md): cómo encontrar todas las claves en su clúster que actúan como material de claves para las claves de KMS en su almacén de claves de AWS CloudHSM .
+ [Busque la AWS CloudHSM clave de una clave KMS](find-handle-for-cmk-id.md)— Cómo encontrar la clave en su clúster que sirve como material clave para una clave de KMS concreta en su almacén de AWS CloudHSM claves.
+ [Busque la clave KMS de una AWS CloudHSM clave](find-label-for-key-handle.md): Cómo encontrar la clave KMS para una clave concreta en su clúster.
# Busque las claves KMS en un almacén de AWS CloudHSM claves
Si administra un almacén de AWS CloudHSM claves, es posible que necesite identificar las claves de KMS en cada uno AWS CloudHSM de ellos. Puede usar esta información para realizar un seguimiento de las operaciones de claves de KMS en AWS CloudTrail los registros, predecir el efecto de desconectar un almacén de claves personalizado en las claves de KMS o programar la eliminación de las claves de KMS antes de eliminar un almacén de AWS CloudHSM claves.
## Para buscar las claves de KMS en un almacén de AWS CloudHSM claves (consola)
Para buscar las claves de KMS en un almacén de AWS CloudHSM claves concreto, en la página de **claves administradas por el cliente**, consulte los valores de los campos **Nombre del almacén de claves personalizado** **o ID del almacén de claves personalizado**. Para identificar las claves de KMS en cualquier almacén de AWS CloudHSM claves, busque las claves de KMS con un valor de **origen** de **AWS CloudHSM**. Para agregar columnas opcionales a la pantalla, elija el icono de engranaje en la esquina superior derecha de la página.
## Para encontrar las claves de KMS en un almacén de AWS CloudHSM claves (API)
Para buscar las claves de KMS en un almacén de AWS CloudHSM claves, utilice las [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operaciones [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)y y, a continuación, filtre por `CustomKeyStoreId` valor. Antes de ejecutar los siguientes ejemplos, reemplace los valores ficticios del ID del almacén de claves personalizado por un ID válido.
------
#### [ Bash ]
Para encontrar las claves de KMS en un almacén de AWS CloudHSM claves concreto, obtén todas las claves de KMS de la cuenta y la región. A continuación, filtre por el ID del almacén de claves personalizado.
```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ;
do aws kms describe-key --key-id $key |
grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done
```
Para obtener las claves de KMS en cualquier almacén de AWS CloudHSM claves de la cuenta y la región, busca `CustomKeyStoreType` con un valor de`AWS_CloudHSM`.
```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ;
do aws kms describe-key --key-id $key |
grep '"CustomKeyStoreType": "AWS_CloudHSM"' --context 100; done
```
------
#### [ PowerShell ]
[Para buscar las claves de KMS en un almacén de AWS CloudHSM claves concreto, usa los KmsKey cmdlets [Get KmsKeyList y Get](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-KMSKey.html) para obtener todas las claves de KMS de la cuenta y la región.](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-KMSKeyList.html) A continuación, filtre por el ID del almacén de claves personalizado.
```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'
```
Para obtener las claves de KMS en cualquier almacén de AWS CloudHSM claves de la cuenta y la región, filtra por el CustomKeyStoreType valor de. `AWS_CLOUDHSM`
```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreType -eq 'AWS_CLOUDHSM'
```
------
# Busque todas las claves de un almacén de AWS CloudHSM claves
Puede identificar las claves de su AWS CloudHSM clúster que sirven como material clave para su almacén de AWS CloudHSM claves. Para ello, utilice el comando [key list](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) en la CLI de CloudHSM.
También puede usar el comando **key list** para buscar la AWS KMS clave de una AWS CloudHSM clave. Cuando AWS KMS crea el material clave para una clave de KMS en el AWS CloudHSM clúster, escribe el nombre de recurso de Amazon (ARN) de la clave de KMS en la etiqueta de la clave. El comando **key list** devuelve el `key-reference` y el `label`.
**Notas**
Los siguientes procedimientos utilizan la herramienta de línea de comandos AWS CloudHSM Client SDK 5, [CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html). La CLI de CloudHSM reemplaza `key-handle` por `key-reference`.
El 1 de enero de 2025, AWS CloudHSM dejará de ser compatible con las herramientas de línea de comandos Client SDK 3, la utilidad de administración CloudHSM (CMU) y la utilidad de administración de claves (KMU). Para obtener más información sobre las diferencias entre las herramientas de línea de comandos Client SDK 3 y Client SDK 5, consulte [Migrate from Client SDK 3 CMU and KMU to Client SDK 5 CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) en la *Guía del usuario de AWS CloudHSM *.
Para ejecutar este procedimiento, debe desconectar temporalmente el almacén de AWS CloudHSM claves para poder iniciar sesión como CU. `kmsuser`
1. Desconecte el almacén de AWS CloudHSM claves, si aún no está desconectado, inicie sesión como se explica en[Cómo desconectar e iniciar sesión](fix-keystore.md#login-kmsuser-1). `kmsuser`
**nota**
Mientras un almacén de claves personalizado esté desconectado, todos los intentos de crear claves KMS en el almacén de claves personalizado o de usar claves KMS existentes en operaciones criptográficas fallarán. Esta acción puede impedir que los usuarios almacenen y accedan a datos confidenciales.
1. Utilice el comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) de la CLI de CloudHSM para buscar todas las claves del usuario actual presentes AWS CloudHSM en el clúster.
De forma predeterminada, solo se muestran 10 claves del usuario que ha iniciado sesión y solo se muestran las `key-reference` y `label`. Para obtener más opciones, consulte la [lista de claves](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html#chsm-cli-key-list-syntax) en la *Guía del usuario de AWS CloudHSM *.
```
aws-cloudhsm > key list
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000000123",
"attributes": {
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
},
{
"key-reference": "0x0000000000000456",
"attributes": {
"label": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
},.
...8 keys later...
],
"total_key_count": 56,
"returned_key_count": 10,
"next_token": "10"
}
}
```
1. Cierre sesión y vuelva a conectar el almacén de AWS CloudHSM claves como se describe en. [Cómo cerrar sesión y volver a conectar](fix-keystore.md#login-kmsuser-2)
# Busque la clave KMS de una AWS CloudHSM clave
Si conoce la referencia clave o el ID de una clave que `kmsuser` posee en el clúster, puede usar ese valor para identificar la clave de KMS asociada en su almacén de AWS CloudHSM claves.
Cuando AWS KMS crea el material clave para una clave de KMS en el AWS CloudHSM clúster, escribe el nombre de recurso de Amazon (ARN) de la clave de KMS en la etiqueta de la clave. A menos que haya cambiado el valor de la etiqueta, puede utilizar el comando [key list](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) en la CLI de CloudHSM para identificar la clave KMS asociada a la clave de AWS CloudHSM .
**Notas**
Los siguientes procedimientos utilizan la herramienta de línea de comandos AWS CloudHSM Client SDK 5, [CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html). La CLI de CloudHSM reemplaza `key-handle` por `key-reference`.
El 1 de enero de 2025, AWS CloudHSM dejará de ser compatible con las herramientas de línea de comandos Client SDK 3, la utilidad de administración CloudHSM (CMU) y la utilidad de administración de claves (KMU). Para obtener más información sobre las diferencias entre las herramientas de línea de comandos Client SDK 3 y Client SDK 5, consulte [Migrate from Client SDK 3 CMU and KMU to Client SDK 5 CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) en la *Guía del usuario de AWS CloudHSM *.
Para ejecutar estos procedimientos, debe desconectar temporalmente el almacén de AWS CloudHSM claves para poder iniciar sesión como CU. `kmsuser`
**nota**
Mientras un almacén de claves personalizado esté desconectado, todos los intentos de crear claves KMS en el almacén de claves personalizado o de usar claves KMS existentes en operaciones criptográficas fallarán. Esta acción puede impedir que los usuarios almacenen y accedan a datos confidenciales.
**Topics**
+ [Identificación de la clave KMS asociada a una clave de referencia](#key-reference-filter)
+ [Identificación de la clave de KMS asociada a un ID de clave de respaldo](#backing-key-id-filter)
## Identificación de la clave KMS asociada a una clave de referencia
Los siguientes procedimientos muestran cómo utilizar el comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) en la CLI de CloudHSM con el filtro de atributos `key-reference` para encontrar la clave en el clúster que actúa como material de claves para una clave KMS en particular en su almacén de claves de AWS CloudHSM .
1. Desconecte el almacén de AWS CloudHSM claves, si aún no está desconectado, inicie sesión como se explica en[Cómo desconectar e iniciar sesión](fix-keystore.md#login-kmsuser-1). `kmsuser`
1. Utilice el comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) en la CLI de CloudHSM para filtrar por el atributo `key-reference`. Especifique el argumento `verbose` para incluir todos los atributos y la información de claves de la clave coincidente. Si no especifica el argumento `verbose`, la operación **key list** solo devuelve la referencia de clave y el atributo de etiqueta de la clave coincidente.
Antes de ejecutar este comando, reemplace el `key-reference` de ejemplo por uno válido de su cuenta.
```
aws-cloudhsm > key list --filter attr.key-reference="0x0000000000120034" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0xbacking-key-id",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. Cierre la sesión y vuelva a conectar el almacén de AWS CloudHSM claves como se describe en[Cómo cerrar sesión y volver a conectar](fix-keystore.md#login-kmsuser-2).
## Identificación de la clave de KMS asociada a un ID de clave de respaldo
Todas las entradas de CloudTrail registro de operaciones criptográficas con una clave KMS en un almacén de AWS CloudHSM claves incluyen un `additionalEventData` campo con la `customKeyStoreId` letra y. `backingKeyId` El valor devuelto en el campo `backingKeyId` se correlaciona con el atributo `id` de clave de CloudHSM. Puede filtrar la operación [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) por el atributo `id` para identificar la clave KMS asociada a un `backingKeyId` específico.
1. Desconecte el almacén de AWS CloudHSM claves, si aún no está desconectado, e inicie sesión como `kmsuser` se explica en[Cómo desconectar e iniciar sesión](fix-keystore.md#login-kmsuser-1).
1. Utilice el comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) en la CLI de CloudHSM con el filtro de atributo para encontrar la clave en el clúster que actúa como material de claves para una clave KMS en particular en su almacén de claves de AWS CloudHSM .
En el siguiente ejemplo se muestra cómo filtrar por atributo `id`. AWS CloudHSM reconoce el valor de `id` como un valor hexadecimal. Para filtrar la operación de la **lista de claves** por `id` atributo, primero debe convertir el `backingKeyId` valor que identificó en la entrada de CloudTrail registro a un formato que AWS CloudHSM reconozca.
1. Utilice el siguiente comando de Linux para convertir `backingKeyId` en una representación hexadecimal.
```
echo backingKeyId | tr -d '\n' | xxd -p
```
El siguiente ejemplo muestra cómo convertir la matriz de bytes de `backingKeyId` en una representación hexadecimal.
```
echo 5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d | tr -d '\n' | xxd -p
35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. Anexe la representación hexadecimal del `backingKeyId` con `0x`.
```
0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. Utilice el valor de `backingKeyId` convertido para filtrar por atributo `id`. Especifique el argumento `verbose` para incluir todos los atributos y la información de claves de la clave coincidente. Si no especifica el argumento `verbose`, la operación **key list** solo devuelve la referencia de clave y el atributo de etiqueta de la clave coincidente.
```
aws-cloudhsm > key list --filter attr.id="0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. Cierre la sesión y vuelva a conectar el almacén de AWS CloudHSM claves como se describe en[Cómo cerrar sesión y volver a conectar](fix-keystore.md#login-kmsuser-2).
# Busque la AWS CloudHSM clave de una clave KMS
Puede usar el ID de clave de KMS de una clave de KMS de un AWS CloudHSM almacén de claves para identificar la clave del AWS CloudHSM clúster que sirve como material clave.
Cuando AWS KMS crea el material clave para una clave de KMS en el AWS CloudHSM clúster, escribe el nombre de recurso de Amazon (ARN) de la clave de KMS en la etiqueta de la clave. A menos que haya cambiado el valor de la etiqueta, puede usar el comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) en la CLI de CloudHSM para encontrar el identificador y el recurso de clave del material de claves para la clave KMS.
Todas las entradas de CloudTrail registro para operaciones criptográficas con una clave KMS en un almacén de AWS CloudHSM claves incluyen un `additionalEventData` campo con la `customKeyStoreId` letra y. `backingKeyId` El valor devuelto en el `backingKeyId` campo es el atributo `id` AWS CloudHSM clave. Puede filtrar la operación AWS CloudHSM CLI de la **lista de claves** por el ARN de la clave de KMS para identificar el `id` atributo de clave de CloudHSM asociado a una clave de KMS específica.
Para ejecutar este procedimiento, debe desconectar temporalmente el almacén de AWS CloudHSM claves para poder iniciar sesión como CU. `kmsuser`
**Notas**
Los siguientes procedimientos utilizan la herramienta de línea de comandos AWS CloudHSM Client SDK 5, [CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html). La CLI de CloudHSM reemplaza `key-handle` por `key-reference`.
El 1 de enero de 2025, AWS CloudHSM dejará de ser compatible con las herramientas de línea de comandos Client SDK 3, la utilidad de administración CloudHSM (CMU) y la utilidad de administración de claves (KMU). Para obtener más información sobre las diferencias entre las herramientas de línea de comandos Client SDK 3 y Client SDK 5, consulte [Migrate from Client SDK 3 CMU and KMU to Client SDK 5 CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) en la *Guía del usuario de AWS CloudHSM *.
1. Desconecte el almacén de AWS CloudHSM claves, si aún no está desconectado, e inicie sesión como `kmsuser` se explica en. [Cómo desconectar e iniciar sesión](fix-keystore.md#login-kmsuser-1)
**nota**
Mientras un almacén de claves personalizado esté desconectado, todos los intentos de crear claves KMS en el almacén de claves personalizado o de usar claves KMS existentes en operaciones criptográficas fallarán. Esta acción puede impedir que los usuarios almacenen y accedan a datos confidenciales.
1. Utilice el comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) de la CLI de CloudHSM y `label` filtre para encontrar la clave de KMS de una clave AWS CloudHSM concreta del clúster. Especifique el argumento `verbose` para incluir todos los atributos y la información de claves de la clave coincidente. Si no especifica el argumento `verbose`, la operación **key list** solo devuelve la referencia de clave y los atributos de etiqueta de la clave coincidente.
En el siguiente ejemplo se muestra cómo filtrar por el atributo `label` que almacena el ARN de clave KMS. Antes de ejecutar este comando, reemplace el ARN de clave KMS de ejemplo por uno válido de su cuenta.
```
aws-cloudhsm > key list --filter attr.label="arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0xbacking-key-id",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. Cierre sesión y vuelva a conectar el almacén de AWS CloudHSM claves como se describe en. [Cómo cerrar sesión y volver a conectar](fix-keystore.md#login-kmsuser-2)