As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# AWS KMS keys
<a name="concepts"></a><a name="key-mgmt"></a><a name="kms_keys"></a>

As chaves do KMS que você cria e gerencia para uso em suas próprias aplicações criptográficas são de um tipo conhecido como *chaves gerenciadas pelo cliente*. As chaves gerenciadas pelo cliente também podem ser usadas em conjunto com AWS serviços que usam chaves KMS para criptografar os dados que o serviço armazena em seu nome. As chaves gerenciadas pelo cliente são recomendadas para clientes que desejam controle total sobre o ciclo de vida e o uso de suas chaves. Há um custo mensal para ter uma chave gerenciada pelo cliente em sua conta. Além disso, as solicitações de uso para and/or gerenciar a chave incorrem em um custo de uso. Para obter mais detalhes, consulte [Preços do AWS Key Management Service](https://aws.amazon.com/kms/pricing/).

Há casos em que um cliente pode querer um AWS serviço para criptografar seus dados, mas não quer a sobrecarga de gerenciar chaves e não quer pagar por uma chave. Uma *Chave gerenciada pela AWS* é uma chave do KMS que existe na sua conta, mas que só pode ser usada sob determinadas circunstâncias. Especificamente, ela só pode ser usada no contexto do AWS serviço em que você está operando e só pode ser usada pelos diretores da conta em que a chave existe. Você não pode gerenciar nada sobre o ciclo de vida ou as permissões dessas chaves. Ao usar recursos de criptografia nos AWS serviços, você pode ver Chaves gerenciadas pela AWS; eles usam um alias no formato “aws<service code>”. Por exemplo, uma chave do `aws/ebs` só pode ser usada para criptografar volumes do EBS e somente para volumes usados por entidades principais do IAM na mesma conta da chave. Pense em um Chave gerenciada pela AWS que tenha um escopo reduzido para uso somente por usuários em sua conta para recursos em sua conta. Você não pode compartilhar recursos criptografados sob e Chave gerenciada pela AWS com outras contas. Embora a existência de um Chave gerenciada pela AWS seja gratuita em sua conta, você é cobrado por qualquer uso desse tipo de chave pelo AWS serviço atribuído à chave.

Chaves gerenciadas pela AWS são um tipo de chave herdado que não está mais sendo criado para novos AWS serviços a partir de 2021. Em vez disso, AWS serviços novos (e antigos) estão usando o que é conhecido como an *Chave pertencente à AWS*para criptografar os dados do cliente por padrão. An Chave pertencente à AWS é uma chave KMS que está em uma conta gerenciada pelo AWS serviço, para que os operadores do serviço tenham a capacidade de gerenciar seu ciclo de vida e permissões de uso. Ao usar Chaves pertencentes à AWS, AWS os serviços podem criptografar seus dados de forma transparente e permitir o fácil compartilhamento de dados entre contas ou regiões sem que você precise se preocupar com as principais permissões. Use Chaves pertencentes à AWS para encryption-by-default cargas de trabalho que fornecem proteção de dados mais fácil e automatizada. Como essas chaves pertencem e são gerenciadas por AWS, você não é cobrado pela existência ou uso delas, não pode alterar suas políticas, não pode auditar atividades nessas chaves e não pode excluí-las. Use chaves gerenciadas pelo cliente quando o controle for importante, mas use Chaves pertencentes à AWS quando a conveniência for mais importante.


|  |  |  |  | 
| --- |--- |--- |--- |
|  |  Chaves gerenciadas pelo cliente  |  Chaves gerenciadas pela AWS  |  Chaves pertencentes à AWS  | 
|  Política de chave  | Controlada exclusivamente pelo cliente | Controlada pelo serviço; visível para o cliente | Controlado exclusivamente e visível apenas pelo AWS serviço que criptografa seus dados | 
|  Registro em log  | CloudTrail rastreamento de clientes ou armazenamento de dados de eventos | CloudTrail rastreamento de clientes ou armazenamento de dados de eventos | Não visível para o cliente | 
|  Gerenciamento de ciclo de vida  | O cliente gerencia a alternância, a exclusão e a localização regional | AWS KMS gerencia a rotação (anual), a exclusão e a localização regional | AWS service (Serviço da AWS) gerencia rotação, exclusão e localização regional | 
|  Preços  |  Tarifa mensal por existência das chaves (pro rata por hora). Também há cobrança pelo uso da chave  | Sem taxa mensal; mas o chamador é cobrado pelo uso da API nessas chaves | Sem cobranças para o cliente | 

As chaves do KMS que você cria são [chaves gerenciadas pelo cliente](#customer-mgn-key). Os Serviços da AWS que usam chaves do KMS para criptografar seus recursos dos serviços geralmente criam chaves para você. As chaves KMS Serviços da AWS criadas em sua AWS conta são [Chaves gerenciadas pela AWS](#aws-managed-key). As chaves KMS Serviços da AWS criadas em uma conta de serviço são [Chaves pertencentes à AWS](#aws-owned-key).


| Tipo de chave do KMS | Pode visualizar metadados da chave do KMS | Pode gerenciar a chave do KMS | Usado apenas para o meu Conta da AWS | [Rotação automática](rotate-keys.md) | [Preços](https://aws.amazon.com/kms/pricing/) | 
| --- | --- | --- | --- | --- | --- | 
| [Chave gerenciada pelo cliente](#customer-mgn-key) | Sim | Sim | Sim | Opcional. | Tarifa mensal (proporcional por hora)Tarifa por uso | 
| [Chave gerenciada pela AWS](#aws-managed-key) | Sim | Não | Sim | Obrigatório. A cada ano (aproximadamente 365 dias). | Nenhuma tarifa mensalTaxa por uso (alguns Serviços da AWS pagam essa taxa para você) | 
| [Chave pertencente à AWS](#aws-owned-key) | Não | Não | Não | O AWS service (Serviço da AWS) gerencia a estratégia de rotação | Nenhuma tarifa | 

[AWS os serviços que se integram AWS KMS](service-integration.md) diferem em seu suporte às chaves KMS. Alguns AWS serviços criptografam seus dados por padrão com um Chave pertencente à AWS ou um Chave gerenciada pela AWS. Alguns AWS serviços oferecem suporte a chaves gerenciadas pelo cliente. Outros AWS serviços oferecem suporte a todos os tipos de chaves KMS para permitir a facilidade Chave pertencente à AWS, a visibilidade de uma Chave gerenciada pela AWS chave ou o controle de uma chave gerenciada pelo cliente. Para obter informações detalhadas sobre as opções de criptografia que um AWS serviço oferece, consulte o tópico *Criptografia em repouso* no guia do usuário ou no guia do desenvolvedor do serviço.

## Chaves gerenciadas pelo cliente
<a name="customer-mgn-key"></a>

As chaves do KMS que você cria são *chaves gerenciadas pelo cliente*. As chaves gerenciadas pelo cliente são chaves KMS Conta da AWS que você cria, possui e gerencia. Você tem controle total sobre essas chaves do KMS, incluindo estabelecer e manter suas [políticas de chaves, políticas do IAM e concessões](control-access.md), além de [habilitá-las e desabilitá-las](enabling-keys.md), [alternar seu material criptográfico](rotate-keys.md), [adicionar etiquetas](tagging-keys.md), [criar aliases](alias-create.md) que fazem referência às chaves do KMS e [programar a exclusão de chaves do KMS](deleting-keys.md). 

Chaves gerenciadas pelo cliente são exibidas na página **Chaves gerenciadas pelo cliente** do Console de gerenciamento da AWS para o AWS KMS. Para identificar definitivamente uma chave gerenciada pelo cliente, use a operação [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html). Para chaves gerenciadas pelo cliente, o valor do campo `KeyManager` da resposta `DescribeKey` é `CUSTOMER`.

Você pode usar suas chaves gerenciadas pelo cliente em operações de criptografia e auditar o uso em logs do AWS CloudTrail . Além disso, muitos [serviços da AWS que se integram com o AWS KMS](service-integration.md) permitem que você especifique uma chave gerenciada pelo cliente para proteger os dados armazenados e gerenciados. 

Chaves gerenciadas pelo cliente geram uma taxa mensal e uma taxa para uso que excede o nível gratuito. Eles são contabilizados de acordo com as AWS KMS [cotas](limits.md) da sua conta. Para obter mais detalhes, consulte [AWS Key Management Service Definição de preço](https://aws.amazon.com/kms/pricing/) e [Cotas](limits.md).

## Chaves gerenciadas pela AWS
<a name="aws-managed-key"></a>

*Chaves gerenciadas pela AWS*são chaves KMS em sua conta que são criadas, gerenciadas e usadas em seu nome por um [AWS serviço integrado a. AWS KMS](https://aws.amazon.com/kms/features/#AWS_Service_Integration)

Alguns AWS serviços permitem que você escolha uma chave gerenciada pelo cliente Chave gerenciada pela AWS ou uma chave gerenciada pelo cliente para proteger seus recursos nesse serviço. Em geral, a menos que você precise controlar a chave de criptografia que protege seus recursos, uma Chave gerenciada pela AWS é uma boa escolha. Você não precisa criar ou manter a chave ou sua política de chave, e nenhuma tarifa mensal é necessária para uma Chave gerenciada pela AWS.

Você tem permissão para [visualizá-los Chaves gerenciadas pela AWS](viewing-keys.md) em sua conta, [visualizar suas principais políticas](key-policy-viewing.md) e [auditar seu uso](logging-using-cloudtrail.md) nos AWS CloudTrail registros. No entanto, você não pode alterar nenhuma propriedade Chaves gerenciadas pela AWS, alterná-las, alterar suas políticas de chaves ou programá-las para exclusão. E você não pode usar diretamente Chaves gerenciadas pela AWS em operações criptográficas; o serviço que as cria as usa em seu nome. 

As [políticas de controle de recursos](resource-control-policies.md) de sua organização não se aplicam a Chaves gerenciadas pela AWS.

Chaves gerenciadas pela AWS aparecem na **Chaves gerenciadas pela AWS**página do Console de gerenciamento da AWS formulário AWS KMS. Você também pode se identificar Chaves gerenciadas pela AWS por seus aliases, que têm o formato`aws/service-name`, como`aws/redshift`. Para identificar definitivamente um Chaves gerenciadas pela AWS, use a [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operação. Para Chaves gerenciadas pela AWS, o valor do campo `KeyManager` da resposta `DescribeKey` é `AWS`.

Todos Chaves gerenciadas pela AWS são alternados automaticamente todos os anos. alternarNão é possível alterar essa programação de rotação.

**nota**  
Em maio de 2022, AWS KMS alterou o cronograma de rotação Chaves gerenciadas pela AWS de três em três anos (aproximadamente 1.095 dias) para todos os anos (aproximadamente 365 dias).

Não há taxa mensal para Chaves gerenciadas pela AWS. Eles podem estar sujeitos a taxas de uso além do nível gratuito, mas alguns AWS serviços cobrem esses custos para você. Para obter detalhes, consulte o tópico *Criptografia em repouso*, no manual do usuário ou no guia do desenvolvedor do serviço. Para obter mais informações, consulte [Definição de preço do AWS Key Management Service](https://aws.amazon.com/kms/pricing/).

Chaves gerenciadas pela AWS não conte com as cotas de recursos o número de chaves KMS em cada região da sua conta. No entanto, quando usadas em nome de uma entidade principal na sua conta, essas chaves do KMS contam para as cotas de solicitações. Para obter detalhes, consulte [Cotas](limits.md).

## Chaves pertencentes à AWS
<a name="aws-owned-key"></a>

*Chaves pertencentes à AWS*são uma coleção de chaves KMS que um AWS serviço possui e gerencia para uso em várias Contas da AWS. Embora não Chaves pertencentes à AWS estejam na sua Conta da AWS, um AWS serviço pode usar um Chave pertencente à AWS para proteger os recursos da sua conta.

Alguns AWS serviços permitem que você escolha uma chave gerenciada pelo cliente Chave pertencente à AWS ou uma chave gerenciada pelo cliente. Em geral, a menos que você precise auditar ou controlar a chave de criptografia que protege seus recursos, uma Chave pertencente à AWS é uma boa escolha. Chaves pertencentes à AWS são totalmente gratuitos (sem taxas mensais ou taxas de uso), não contam nas [AWS KMS cotas](limits.md) da sua conta e são fáceis de usar. Você não precisa criar ou manter a chave ou sua política de chave.

A rotação de Chaves pertencentes à AWS varia entre os serviços. Para obter informações sobre a rotação de um determinado serviço Chave pertencente à AWS, consulte o tópico *Criptografia em repouso* no guia do usuário ou no guia do desenvolvedor do serviço.

## AWS KMS key hierarquia
<a name="key-hierarchy"></a>

Sua hierarquia de chaves começa com uma chave lógica de nível superior, uma. AWS KMS key Uma chave KMS representa um contêiner para o material de chave de nível superior e é definida exclusivamente dentro do namespace de serviço AWS com um Nome do Recurso Amazon (ARN). O ARN inclui um identificador de chave gerado exclusivamente, um *ID de chave.* Uma chave KMS é criada com base em uma solicitação iniciada pelo usuário por meio de. AWS KMS Após a recepção, AWS KMS solicita a criação de uma chave de apoio inicial do HSM (HBK) para ser colocada no contêiner da chave KMS. O HBK é gerado em um HSM no domínio e foi projetado para nunca ser exportado do HSM em texto simples. Em vez disso, o HBK é exportado criptografado em chaves de domínio gerenciadas por HSM. Esses exportados HBKs são chamados de tokens de chave exportados ()EKTs.

O EKT é exportado para um armazenamento altamente durável e de baixa latência. Por exemplo, suponha que você receba um ARN para a chave KMS lógica. Para você, isso representa o topo de uma hierarquia de chaves, ou contexto criptográfico. Você pode criar várias chaves KMS em sua conta e definir políticas para suas chaves KMS como qualquer outro recurso AWS nomeado.

Dentro da hierarquia de uma chave KMS específica, o HBK pode ser considerado uma versão da chave KMS. Quando você deseja alternar a chave KMS AWS KMS, um novo HBK é criado e associado à chave KMS como o HBK ativo para a chave KMS. Os mais antigos HBKs são preservados e podem ser usados para descriptografar e verificar dados previamente protegidos. Mas somente a chave criptográfica ativa pode ser usada para proteger novas informações. 

![\[AWS KMS key hierarquia.\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/images/CMK-Hierarchy.png)


Você pode fazer solicitações AWS KMS para usar suas chaves KMS para proteger diretamente as informações ou solicitar chaves adicionais geradas pelo HSM que estejam protegidas por sua chave KMS. Essas chaves são chamadas de chaves de dados do cliente ou CDKs. CDKs podem ser retornados criptografados como texto cifrado (CT), em texto simples ou ambos. Todos os objetos criptografados em uma chave KMS (dados fornecidos pelo cliente ou chaves geradas pelo HSM) só podem ser descriptografados em um HSM por meio de uma chamada. AWS KMS

O texto cifrado retornado, ou a carga útil descriptografada, nunca é armazenado nele. AWS KMS As informações são retornadas a você através da sua conexão TLS com o AWS KMS. Isso também se aplica às chamadas feitas pelos AWS serviços em seu nome. 

A hierarquia de chaves e as propriedades específicas de chave aparecem na tabela a seguir.


| Chave | Description | Ciclo de vida | 
| --- | --- | --- | 
|  **Chave de domínio**  |  Uma chave AES-GCM de 256 bits somente na memória de um HSM usado para quebrar versões das chaves KMS, as chaves de reserva HSM.  |  Alternado diariamente1  | 
|  **Chave de reserva HSM**  |  Uma chave simétrica de 256 bits ou chave privada RSA ou curva elíptica, usada para proteger dados e chaves do cliente e armazenada criptografada sob chaves de domínio. Uma ou mais chaves de apoio HSM formam a chave KMS, representada pelo keyID.  |  Alternadas anualmente2 (configuração opcional)  | 
|  **Chave de criptografia derivada**  |  Uma chave AES-GCM de 256 bits somente na memória de um HSM usado para criptografar dados e chaves do cliente. Derivado de um HBK para cada criptografia.  |  Usado uma vez por criptografia e regenerado ao descriptografar   | 
|  **Chave de dados do cliente**  |  Chave simétrica ou assimétrica definida pelo usuário exportada do HSM em texto simples e texto cifrado. Criptografado com uma chave de reserva HSM e retornado aos usuários autorizados pelo canal TLS.  |  Alternância e uso controlados por aplicação  | 

De tempos em tempos, é AWS KMS possível reduzir a rotação da chave de domínio para, no máximo, uma vez por semana, para contabilizar as tarefas de administração e configuração do domínio.

2 Os padrões Chaves gerenciadas pela AWS criados e gerenciados por AWS KMS em seu nome são alternados automaticamente anualmente.

## Identificadores-chave () KeyId
<a name="key-id"></a>

Identificadores de chave atuam como nomes para suas chaves do KMS. Eles ajudam a reconhecer suas chaves do KMS no console. Você poderá usá-las para indicar quais chaves do KMS deseja usar em operações de API do AWS KMS , políticas do IAM e concessões. Os valores do identificador de chave não estão completamente relacionados ao material de chaves associado à chave KMS.

AWS KMS define vários identificadores-chave. Quando você cria uma chave KMS, AWS KMS gera um ARN e ID da chave, que são propriedades da chave KMS. Quando você cria um [alias](kms-alias.md), AWS KMS gera um ARN de alias com base no nome do alias que você define. Você pode ver os identificadores de chave e alias na Console de gerenciamento da AWS e na AWS KMS API. 

No AWS KMS console, você pode visualizar e filtrar as chaves KMS pelo ARN da chave, ID da chave ou nome do alias e classificar por ID da chave e nome do alias. Para obter ajuda para encontrar os identificadores de chave no console, consulte [Encontrar o ID e o ARN da chave](find-cmk-id-arn.md).

Na AWS KMS API, os parâmetros que você usa para identificar uma chave KMS são nomeados `KeyId` ou uma variação, como `TargetKeyId` ou`DestinationKeyId`. No entanto, os valores desses parâmetros não estão limitados à chave IDs. Alguns podem usar qualquer identificador de chave válido. Para obter informações sobre os valores de cada parâmetro, consulte a descrição do parâmetro na Referência da AWS Key Management Service API.

**nota**  
Ao usar a AWS KMS API, tenha cuidado com o identificador de chave que você usa. Diferentes APIs exigem identificadores de chave diferentes. Em geral, use o identificador de chave mais completo e prático para a sua tarefa.

AWS KMS suporta os seguintes identificadores-chave.

**ARN de chave**  <a name="key-id-key-ARN"></a>
O ARN de chave é o Amazon Resource Name (ARN) de uma chave do KMS. É um identificador exclusivo e totalmente qualificado para a chave do KMS. O ARN da chave inclui a Conta da AWS região e o ID da chave. Para obter ajuda para encontrar o ARN de chave de uma chave do KMS, consulte [Encontrar o ID e o ARN da chave](find-cmk-id-arn.md).  
O formato de um ARN de chave é o seguinte:  

```
arn:<partition>:kms:<region>:<account-id>:key/<key-id>
```
Veja a seguir um exemplo de ARN de chave para uma chave do KMS de região única.  

```
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
```
O *key-id* elemento da chave ARNs das [chaves multirregionais](multi-region-keys-overview.md) começa com o `mrk-` prefixo. Veja a seguir um exemplo de ARN de chave para uma chave do KMS de várias regiões.  

```
arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab
```

**ID da chave**  <a name="key-id-key-id"></a>
O ID de chave identifica exclusivamente uma chave do KMS dentro de uma conta e uma região. Para obter ajuda para encontrar o ID de chave de uma chave do KMS, consulte [Encontrar o ID e o ARN da chave](find-cmk-id-arn.md).  
Veja a seguir um exemplo de ID de chave para uma chave do KMS de região única.  

```
1234abcd-12ab-34cd-56ef-1234567890ab
```
A chave IDs das [chaves multirregionais](multi-region-keys-overview.md) começa com o `mrk-` prefixo. Veja a seguir um exemplo de ID de chave para uma chave do KMS de várias regiões.  

```
mrk-1234abcd12ab34cd56ef1234567890ab
```

**ARN do alias**  <a name="key-id-alias-ARN"></a>
O alias ARN é o Amazon Resource Name (ARN) de um alias. AWS KMS É um identificador exclusivo e totalmente qualificado para o alias e para a chave do KMS que ele representa. Um ARN de alias inclui Conta da AWS a Região e o nome do alias.  
A qualquer momento, um ARN de alias identificará uma chave do KMS específica. No entanto, como é possível alterar a chaves do KMS associada ao alias, o ARN do alias pode identificar diferentes chaves do KMS em momentos diferentes. Para obter ajuda para encontrar o ARN de alias de uma chave do KMS, consulte [Encontrar o nome e o ARN do alias para uma chave do KMS](alias-view.md).  
O formato de um ARN de alias é o seguinte:  

```
arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>
```
Veja a seguir o ARN de alias de um fictício `ExampleAlias`.  

```
arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias
```

**Nome do alias**  <a name="key-id-alias-name"></a>
O nome do alias é uma string com até 256 caracteres. Ele identifica exclusivamente uma chave do KMS associada em uma conta e uma região. Na AWS KMS API, os nomes de alias sempre começam com`alias/`. Para obter ajuda para encontrar o nome de alias de uma chave do KMS, consulte [Encontrar o nome e o ARN do alias para uma chave do KMS](alias-view.md).  
O formato de um nome de alias é o seguinte:  

```
alias/<alias-name>
```
Por exemplo:  

```
alias/ExampleAlias
```
O prefixo `aws/` de um nome de alias é reservado para [Chaves gerenciadas pela AWS](#aws-managed-key). Não é possível criar um alias com esse prefixo. Por exemplo, o nome de alias do Chave gerenciada pela AWS Amazon Simple Storage Service (Amazon S3) é o seguinte.  

```
alias/aws/s3
```

# Chaves assimétricas em AWS KMS
<a name="symmetric-asymmetric"></a>

Uma *chave do KMS assimétrica* representa um par de chave pública e chave privada matematicamente relacionadas. É possível dar a chave privada para qualquer pessoa, mesmo se ela não for confiável, mas a chave privada deve ser mantida em segredo. 

Em uma chave KMS assimétrica, a chave privada é criada AWS KMS e nunca sai sem criptografia. AWS KMS Para usar a chave privada, você deve ligar AWS KMS. Você pode usar a chave pública interna AWS KMS chamando as operações AWS KMS da API. Ou você pode [baixar a chave pública](download-public-key.md) e usá-la fora do AWS KMS.

Se seu caso de uso exigir criptografia externa AWS por usuários que não podem ligar AWS KMS, as chaves KMS assimétricas são uma boa opção. No entanto, se você estiver criando uma chave KMS para criptografar os dados que você armazena ou gerencia em um AWS serviço, use uma chave KMS de criptografia simétrica. [AWS os serviços integrados AWS KMS](https://aws.amazon.com/kms/features/#AWS_Service_Integration) usam somente chaves KMS de criptografia simétrica para criptografar seus dados. Esses serviços não fornecem suporte para criptografia com chaves do KMS assimétricas.

Ao assinar mensagens maiores que 4 KB com AWS KMS, você deve fazer o hash da mensagem fora de AWS KMS antes de assinar. AWS KMS fornece três `MessageType` opções para lidar com a entrada de mensagens: `RAW` para mensagens de texto simples (onde AWS KMS executa o hash), `DIGEST` para mensagens pré-criptografadas (onde AWS KMS pula a etapa de hash) e, `EXTERNAL_MU` especificamente, para especificações de chave KMS do ML-DSA em que a entrada é um valor μ representativo de 64 bytes. [https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html)

AWS KMS suporta vários tipos de chaves KMS assimétricas. 

**Chaves do KMS RSA**  
Uma chave KMS com um par de chaves RSA para criptografia e descriptografia ou assinatura e verificação (mas não ambas). AWS KMS suporta vários comprimentos de chave para diferentes requisitos de segurança.  
Para obter detalhes técnicos sobre os algoritmos de criptografia e assinatura que oferecem AWS KMS suporte às chaves RSA KMS, consulte as especificações da chave [RSA](symm-asymm-choose-key-spec.md#key-spec-rsa).

**Chaves do KMS de curva elíptica (ECC)**  
Uma chave KMS com um par de chaves de curva elíptica para assinatura e verificação ou derivação de segredos compartilhados (mas não ambos). AWS KMS suporta várias curvas comumente usadas.  
Para obter detalhes técnicos sobre os algoritmos de assinatura que oferecem AWS KMS suporte às chaves ECC KMS, consulte Especificações da chave da curva [elíptica](symm-asymm-choose-key-spec.md#key-spec-ecc).

**Chaves do KMS ML-DSA**  
Uma chave do KMS com um par de chaves ML-DSA para assinatura e verificação. O ML-DSA é um padrão de criptografia pós-quântica desenvolvido pelo US National Institute of Standards and Technology (NIST) para proteger contra as ameaças à segurança representadas pela computação quântica. O ML-DSA é o algoritmo de assinatura digital recomendado para organizações que estão fazendo a transição dos algoritmos de assinatura digital RSA ou Elliptic Curve para a criptografia segura pós-quântica.  
AWS KMS suporta vários comprimentos de chave para diferentes requisitos de segurança. [Para obter detalhes técnicos sobre os algoritmos de assinatura que oferecem AWS KMS suporte às chaves KMS ML-DSA, consulte Especificação da chave ML-DSA.](symm-asymm-choose-key-spec.md#key-spec-mldsa)

**SM2 Chaves KMS (somente regiões da China)**  
Uma chave KMS com um par de SM2 chaves para criptografia e descriptografia, assinatura e verificação ou derivação de segredos compartilhados (você deve escolher um tipo). [Key usage](create-keys.md#key-usage)  
Para obter detalhes técnicos sobre os algoritmos de criptografia e assinatura AWS KMS compatíveis com chaves SM2 KMS (somente regiões da China), consulte as [especificações da SM2 chave](symm-asymm-choose-key-spec.md#key-spec-sm).

Para obter ajuda na escolha da sua configuração de chave assimétrica, consulte [Escolher qual tipo de chave do KMS criar](create-keys.md#symm-asymm-choose). 

**Regiões**

As chaves KMS assimétricas e os pares de chaves de dados assimétricos são aceitos em todos os suportes. Regiões da AWS AWS KMS 

**Saiba mais**
+ Para criar chaves do KMS assimétricas, consulte [Criar uma chave do KMS assimétrica](asymm-create-key.md). 
+ Para criar chaves do KMS assimétricas de várias regiões, consulte [Criar chaves primárias de várias regiões](create-primary-keys.md).
+ Para saber como assinar mensagens e verificar assinaturas com chaves do KMS assimétricas, consulte [Assinatura digital com o novo recurso de chaves assimétricas do AWS KMS](https://aws.amazon.com/blogs/security/digital-signing-asymmetric-keys-aws-kms/) no *Blog de segurança da AWS *.
+ Para saber mais sobre considerações especiais sobre a exclusão de chaves do KMS assimétricas, consulte [Deleting asymmetric KMS keys](deleting-keys.md#deleting-asymmetric-cmks).
+ Para identificar e visualizar chaves do KMS assimétricas, consulte [Identificar chaves do KMS assimétricas](identify-key-types.md#identify-asymm-keys).

# Chaves HMAC em AWS KMS
<a name="hmac"></a>

As chaves KMS do Código de Autenticação de Mensagens Baseado em Hash (HMAC) são chaves simétricas que você usa para gerar e verificar dentro delas. HMACs AWS KMS O material exclusivo de chave associado a cada chave do KMS de HMAC fornece a chave secreta exigida pelos algoritmos de HMAC. Você pode usar uma chave do KMS de HMAC com as operações `[GenerateMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html)` e [https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html) para verificar a integridade e a autenticidade dos dados no AWS KMS.

Os algoritmos de HMAC combinam uma função de hash criptográfica e uma chave secreta compartilhada. Eles pegam uma mensagem e uma chave secreta, como o material da chave em uma chave do KMS de HMAC, e retornam um código ou *etiqueta* exclusiva e de tamanho fixo. Se até mesmo um caractere da mensagem mudar, ou se a chave secreta não for idêntica, a etiqueta resultante será totalmente diferente. Ao exigir uma chave secreta, o HMAC também fornece autenticidade; é impossível gerar uma tag HMAC idêntica sem a chave secreta. HMACs às vezes são chamadas de *assinaturas simétricas*, porque funcionam como assinaturas digitais, mas usam uma única chave para assinatura e verificação.

[As chaves HMAC KMS e os algoritmos HMAC AWS KMS usados estão em conformidade com os padrões do setor definidos na RFC 2104.](https://datatracker.ietf.org/doc/html/rfc2104) A AWS KMS [GenerateMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html)operação gera tags HMAC padrão. As chaves HMAC KMS são geradas em módulos de segurança de AWS KMS hardware certificados pelo [Programa de Validação de Módulos Criptográficos FIPS 140-3 (](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884)exceto nas regiões da China (Pequim) e China (Ningxia)) e nunca saem sem criptografia. AWS KMS Para usar uma chave do KMS de HMAC, é necessário chamar o AWS KMS.

Você pode usar chaves do KMS de HMAC para determinar a autenticidade de uma mensagem, como um JSON Web Token (JWT), informações tokenizadas de cartão de crédito ou uma senha enviada. Eles também podem ser usados como Funções de Derivação de Chave (KDFs) seguras, especialmente em aplicativos que exigem chaves determinísticas.

As chaves HMAC KMS oferecem uma vantagem em relação ao HMACs software aplicativo porque o material da chave é gerado e usado inteiramente internamente AWS KMS, sujeito aos controles de acesso que você define na chave.

**dica**  
As práticas recomendadas sugerem que você limite o tempo durante o qual qualquer mecanismo de assinatura, inclusive um HMAC, permanece vigente. Isso dissuade um ataque no qual o protagonista usa uma mensagem assinada para estabelecer a validade repetidamente ou muito depois que a mensagem é substituída. As etiquetas de HMAC não incluem um carimbo de data/hora, mas você pode incluir um carimbo de data/hora no token ou na mensagem para ajudar você a detectar quando está na hora de atualizar o HMAC. 

**Operações criptográficas compatíveis**  
As chaves do KMS de HMAC só são compatíveis com as operações criptográficas [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html) e [https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html). Você não pode usar chaves do KMS de HMAC para criptografar dados ou assinar mensagens, nem usar nenhum outro tipo de chave do KMS em operações de HMAC. Ao usar a operação `GenerateMac`, você fornece uma mensagem de até 4.096 bytes, uma chave do KMS de HMAC e o algoritmo de Message authentication code (MAC – Código de autenticação de mensagem) compatível com a especificação de chave de HMAC, e `GenerateMac` calcula a etiqueta de HMAC. Para verificar uma etiqueta de HMAC, você deve fornecer a etiqueta de HMAC e a mesma mensagem, a chave do KMS de HMAC e o algoritmo de MAC que `GenerateMac` usou para calcular a etiqueta original de HMAC. A operação `VerifyMac` calcula a etiqueta de HMAC e verifica se ela é idêntica à etiqueta de HMAC fornecida. Se as etiquetas de HMAC recebidas e calculadas não forem idênticas, a verificação falhará.   
As chaves do KMS de HMAC *não* são compatíveis com [alternância automática de chaves](rotate-keys.md) e não é possível criar uma chave do KMS de HMAC em um [armazenamento personalizado de chaves](key-store-overview.md#custom-key-store-overview).  
Se você estiver criando uma chave KMS para criptografar dados em um AWS serviço, use uma chave de criptografia simétrica. Não é possível usar uma chave do KMS de HMAC.

**Regiões**  
As chaves HMAC KMS são suportadas em todos os Regiões da AWS suportes. AWS KMS 

**Saiba mais**
+ Para criar chaves do KMS de HMAC, consulte [Criar uma chave do KMS HMAC](hmac-create-key.md).
+ Para criar chaves do KMS de HMAC de várias regiões, consulte [Chaves multirregionais em AWS KMS](multi-region-keys-overview.md).
+ Para examinar a diferença na política de chaves padrão que o AWS KMS console define para chaves HMAC KMS, consulte. [Permite que usuários de chaves usem uma chave do KMS para operações de criptografia](key-policy-default.md#key-policy-users-crypto)
+ Para identificar e visualizar chaves do KMS de HMAC, consulte [Identificar chaves do KMS de HMAC](identify-key-types.md#hmac-view).
+ Para saber como usar HMACs para criar tokens web JSON, consulte [Como se proteger HMACs internamente AWS KMS](https://aws.amazon.com/blogs/security/how-to-protect-hmacs-inside-aws-kms/) no *Blog AWS de segurança*.
+ Ouça um podcast: [Apresentando HMACs o AWS Key Management Service](https://aws.amazon.com/podcasts/introducing-hmacs-apis-in-aws-key-management-service) *The Official AWS Podcast*.

# Chaves ML-DSA em AWS KMS
<a name="mldsa"></a>

AWS Key Management Service (AWS KMS) suporta o algoritmo de assinatura digital Module-Lattice (ML-DSA) para assinaturas criptográficas pós-quânticas. Essa implementação segue o [padrão 204 do Federal Information Processing Standards (FIPS)](https://csrc.nist.gov/pubs/fips/204/final) para ajudar a proteger contra futuras ameaças de computação quântica. O AWS KMS cria e protege todas as chaves e operações de assinatura ML-DSA nos módulos de segurança de hardware validados pelo FIPS 140-3 Security Level 3. Para ajudar a equilibrar segurança com desempenho, o ML-DSA in AWS KMS oferece três níveis de segurança distintos por meio de diferentes especificações-chave, ML\$1DSA\$144, ML\$1DSA\$165 e ML\$1DSA\$187.

AWS KMS suporta assinaturas de chave assimétrica para mensagens de até 4 KB usando o `RAW` tipo de mensagem. Para mensagens maiores, você deve calcular externamente o μ de representação de mensagem de 64 bytes usado na assinatura ML-DSA, conforme definido no NIST FIPS 204 seção 6.2. Use o tipo de `EXTERNAL_MU` mensagem na operação AWS KMS [Assinar](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) para especificar essa mensagem pré-processada de 64 bytes. As assinaturas produzidas pelo μ computado externamente são iguais às `RAW` ao usar a mesma mensagem e chave privada. Observe que essa assinatura é diferente da ML-DSA “pré-hash” ou HashML-DSA da seção 5.4 do NIST FIPS 204 .

Para obter mais informações sobre como usar ML-DSA e o tipo de mensagem EXTERNAL\$1MU, consulte [Especificações de chave ML-DSA](symm-asymm-choose-key-spec.md#key-spec-mldsa).

Para obter um exemplo de uso de ML-DSA e do tipo de mensagem EXTERNAL\$1MU, consulte [Verificação off-line com pares de chaves ML-DSA](offline-operations.md#mldsa-offline-verification).

# Chaves multirregionais em AWS KMS
<a name="multi-region-keys-overview"></a>

AWS KMS suporta *chaves multirregionais*, que são AWS KMS keys diferentes Regiões da AWS e podem ser usadas de forma intercambiável, como se você tivesse a mesma chave em várias regiões. Cada conjunto de chaves multirregionais *relacionadas* tem o mesmo material de chave e [ID de chave](concepts.md#key-id-key-id), portanto, você pode criptografar dados em uma Região da AWS e descriptografá-las em outra Região da AWS sem precisar recriptografar ou fazer uma chamada entre regiões. AWS KMS

Como todas as chaves KMS, as chaves multirregionais nunca saem AWS KMS sem criptografia. Você pode criar chaves de várias regiões simétricas ou assimétricas para criptografia ou assinatura, criar chaves de várias regiões de HMAC para gerar e verificar etiquetas de HMAC, e criar [chaves de várias regiões com material de chave importado](importing-keys.md) ou o material de chave que o AWS KMS gera. Você deve gerenciar cada chave de várias regiões de maneira independente, incluindo a criação de aliases e tags, a definição de suas principais políticas e concessões e sua habilitação e sua desabilitação seletivas. Você pode usar chaves de várias regiões em todas as operações de criptografia que podem ser feitas com chaves de região única.

As chaves de várias regiões são uma solução flexível e eficiente para vários cenários comuns de segurança de dados.

**Recuperação de desastres **  
Em uma arquitetura de backup e recuperação, as chaves multirregionais permitem que você processe dados criptografados sem interrupção, mesmo no caso de uma Região da AWS interrupção. Os dados mantidos na região de backup podem ser descriptografados nessa região, enquanto os dados recém-criptografados na região de backup podem ser descriptografados na região principal quando esta for restaurada.

**Gerenciamento de dados globais**  
As empresas que operam globalmente precisam de dados distribuídos globalmente que estejam disponíveis de forma consistente entre Regiões da AWS. Você pode criar chaves de várias regiões em todas as regiões nas quais seus dados residem e, em seguida, usar essas chaves como se fossem uma chave de região única, sem a latência de uma chamada entre regiões ou o custo de recriptografar os dados com uma chave diferente em cada região.

**Aplicações de assinatura distribuídas**  
As aplicações que exigem recursos de assinatura entre regiões podem usar chaves de assinatura assimétrica de várias regiões para gerar assinaturas digitais idênticas de maneira consistente e repetida em diferentes Regiões da AWS.   
Se você usa o encadeamento de certificados com um único repositório confiável global (para uma única autoridade de certificação (CA) raiz e um intermediário regional CAs assinado pela CA raiz, você não precisa de chaves multirregionais. No entanto, se seu sistema não oferecer suporte a intermediários CAs, como assinatura de aplicativos, você poderá usar chaves multirregionais para dar consistência às certificações regionais.

**Aplicações ativas-ativas que abrangem várias regiões**  
Algumas workloads e aplicações podem abranger várias regiões em arquiteturas ativas-ativas. Para essas aplicações, chaves de várias regiões podem reduzir a complexidade, fornecendo o mesmo material de chave para operações simultâneas de criptografia e descriptografia em dados que podem estar se movendo pelos limites da região.

Você pode usar chaves de várias regiões com bibliotecas de criptografia do lado do cliente, como [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/), [AWS Database Encryption SDK](https://docs.aws.amazon.com/dynamodb-encryption-client/latest/devguide/) e a [criptografia do lado do cliente do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html). 

Atualmente, a maioria dos [AWS serviços que se integram AWS KMS](https://aws.amazon.com/kms/features/) para criptografia em repouso ou assinaturas digitais tratam as chaves multirregionais como se fossem chaves de uma única região. Elas podem reempacotar ou criptografar novamente os dados movidos entre Regiões. Por exemplo, a replicação entre regiões do Amazon S3 decodifica e recriptografa dados sob uma chave KMS na região de destino, mesmo ao replicar objetos protegidos por uma chave multirregional. Consulte a documentação específica do serviço para entender como um serviço replica dados criptografados e se trata as chaves multirregionais de forma diferente.

Chaves de várias Regiões não são globais. Você cria uma chave primária de várias Regiões e, em seguida, a replica em Regiões selecionadas em uma [partição da AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html). Em seguida, você gerencia a chave de várias Regiões em cada Região independentemente. AWS Nem AWS KMS nunca cria ou replica automaticamente chaves multirregionais em qualquer região em seu nome. [Chaves gerenciadas pela AWS](concepts.md#aws-managed-key), as chaves KMS que AWS os serviços criam em sua conta para você, são sempre chaves de região única.

Nas regiões China, você pode usar o atributo de chave multirregional para replicar chaves do KMS dentro da partição Regiões China (`aws-cn`). Por exemplo, você pode replicar uma chave da região China (Pequim) para China (Ningxia) ou vice-versa. Ao replicar uma chave de uma região da China para outra, você concorda em usar a AWS Key Management Service da região de destino e cumprir todos os termos de contrato aplicáveis à região de destino. Você não pode replicar uma chave das regiões de Pequim e Ningxia em uma AWS região fora da partição das regiões da China. Da mesma forma, você não pode replicar uma chave de uma região fora da partição Regiões China para as regiões Pequim e Ningxia.

Não é possível converter uma chave de Região única existente em uma chave de várias Regiões. Esse design garante que todos os dados protegidos com chaves de Região única existentes mantenham as mesmas propriedades de residência e soberania dos dados.

Para a maioria das necessidades de segurança de dados, o isolamento regional e a tolerância a falhas dos recursos regionais tornam as chaves padrão AWS KMS de região única a solução mais adequada. No entanto, quando você precisa criptografar ou assinar dados em aplicações no lado do cliente em várias Regiões, as chaves de várias Regiões podem ser a melhor solução.



**Regiões**

As chaves multirregionais são suportadas em todos Regiões da AWS os AWS KMS suportes.

**Preços e cotas**

Cada chave em um conjunto de chaves de várias Regiões relacionado conta como uma única chave do KMS para preços e cotas. As [cotas do AWS KMS](limits.md) são calculadas separadamente para cada Região de uma conta. O uso e o gerenciamento das chaves de várias Regiões em cada Região contam para as cotas para essa Região.

**Tipos de chave do KMS com suporte**

É possível criar os seguintes tipos de chaves KMS multirregionais:
+ Chaves do KMS de criptografia simétrica
+ Chaves do KMS assimétricas
+ Chaves do KMS de HMAC
+ Chaves do KMS com material de chave importado

Não é possível criar chaves de várias Regiões em um armazenamento de chaves personalizado.

**Saiba mais**
+ Para saber como controlar o acesso a chaves do KMS de várias regiões, consulte [Controlar o acesso a chaves de várias regiões](multi-region-keys-auth.md).
+ Para criar chaves do KMS primárias de várias regiões, consulte [Criar chaves primárias de várias regiões](create-primary-keys.md).
+ Para criar chaves do KMS de réplica de várias regiões, consulte [Criar chaves de réplica de várias regiões](multi-region-keys-replicate.md).
+ Para atualizar a região primária, consulte [Alterar a chave primária em um conjunto de chaves de várias regiões](multi-region-update.md).
+ Para identificar e visualizar chaves do KMS de várias regiões, consulte [Identificar chaves do KMS de HMAC](identify-key-types.md#hmac-view).
+ Para saber mais sobre considerações especiais sobre a exclusão de chaves do KMS de várias regiões, consulte [Deleting multi-Region keys](deleting-keys.md#deleting-mrks).

## Terminologia e conceitos
<a name="multi-region-concepts"></a>

Os seguintes termos e conceitos são usados com chaves de várias Regiões.

### Chave de várias Regiões
<a name="multi-Region-concept"></a>

A *chave de várias Regiões* é uma chave de um conjunto de chaves do KMS com o mesmo ID de chave e material de chave (e outras [propriedades compartilhadas](#mrk-replica-key)) em diferentes Regiões da AWS. Cada chave de várias Regiões é uma chave do KMS totalmente funcional que pode ser usada de maneira independente de suas chaves de várias Regiões relacionadas. Como todas as chaves multirregionais *relacionadas* têm o mesmo ID e material de chave, elas são *interoperáveis*, ou seja, qualquer chave multirregional relacionada em qualquer uma delas Região da AWS pode descriptografar texto cifrado criptografado por qualquer outra chave multirregional relacionada.

Você define a propriedade de várias Regiões de uma chave do KMS ao criá-la. Não é possível alterar a propriedade de várias regiões em uma chave existente. Não é possível converter uma chave de região única em chave de várias regiões nem converter uma chave de várias regiões em uma chave de região única. Para mover workloads existentes para cenários de várias regiões, é necessário recriptografar seus dados ou criar novas assinaturas com novas chaves de várias regiões.

[Uma chave multirregional pode ser [simétrica ou assimétrica](symmetric-asymmetric.md) e pode usar material chave ou material AWS KMS chave importado.](importing-keys.md) Não é possível criar chaves de várias Regiões em um [armazenamento de chaves personalizado](key-store-overview.md#custom-key-store-overview).

Em um conjunto de chaves de várias Regiões relacionadas, há exatamente uma [chave primária](#mrk-primary-key) em um determinado momento. Você pode criar [chaves de réplica](#mrk-replica-key) dessa chave primária em outras Regiões da AWS. Também pode [atualizar a região primária](multi-region-update.md#update-primary-console), o que transforma a chave primária em uma chave de réplica e transforma uma chave de réplica especificada na chave primária. No entanto, você pode manter somente uma chave primária ou chave de réplica em cada uma Região da AWS. Todas as Regiões devem estar na mesma [partição da AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).

Você pode ter diversos conjuntos de chaves de várias regiões relacionadas nas mesmas Regiões da AWS ou em regiões diferentes. Embora chaves de várias Regiões relacionadas sejam interoperáveis, chaves de várias Regiões não relacionadas não são interoperáveis.

### Chave primária
<a name="mrk-primary-key"></a>

Uma *chave primária multirregional é uma chave* KMS que pode ser replicada em outra Regiões da AWS na mesma partição. Cada conjunto de chaves de várias Regiões tem somente uma chave primária.

Uma chave primária é diferente de uma chave de réplica nos seguintes aspectos:
+ Somente uma chave primária pode ser [replicada](multi-region-keys-replicate.md).
+ A chave primária é a fonte de [propriedades compartilhadas](#mrk-replica-key) de suas [chaves de réplica](#mrk-replica-key), incluindo o material da chave e o ID da chave. 
+ Você pode habilitar e desabilitar a [alternância automática de chaves](rotate-keys.md) somente em uma chave primária.
+ Você pode [programar a exclusão de uma chave primária](deleting-keys.md#deleting-mrks) a qualquer momento. Mas não AWS KMS excluirá uma chave primária até que todas as suas chaves de réplica sejam excluídas.

Entretanto, as chaves primárias e de réplica não diferem em nenhuma propriedade criptográfica. É possível usar uma chave primária e suas chaves de réplica alternadamente. 

Não é necessário replicar uma chave primária. Você pode usá-la como faria com qualquer chave do KMS e replicá-la se e quando ela for útil. No entanto, como chaves de várias Regiões têm propriedades de segurança diferentes das chaves de uma única Região, recomendamos criar uma chave de várias Regiões apenas quando você planeja replicá-la.

### Chave de réplica
<a name="mrk-replica-key"></a>

Uma *chave de réplica* de várias regiões é uma chave do KMS que tem o mesmo [ID de chave](concepts.md#key-id-key-id) e material de chave da sua [chave primária](#mrk-primary-key) e chaves de réplica relacionadas, mas existe em outra Região da AWS. 

Uma chave de réplica é uma chave do KMS totalmente funcional com sua própria política de chave, concessões, alias, etiquetas e outras propriedades. Ela não é uma cópia ou ponteiro da chave primária ou de qualquer outra chave. Você pode usar uma chave de réplica mesmo quando sua chave primária e todas as chaves de réplica relacionadas estão desabilitadas. Também pode converter uma chave de réplica em uma chave primária, e vice-versa. Depois de criada, uma chave de réplica depende de sua chave primária somente para [alternância de chaves](rotate-keys.md#multi-region-rotate) e [atualização da Região primária](multi-region-update.md). 

Chaves primárias e de réplica não diferem em nenhuma propriedade criptográfica. É possível usar uma chave primária e suas chaves de réplica alternadamente. Os dados criptografados por uma chave primária ou uma chave de réplica podem ser descriptografados pela mesma chave ou por qualquer chave primária ou chave de réplica relacionada.

### Replicar
<a name="replicate"></a>

Você pode *replicar* uma [chave primária](#mrk-primary-key) multirregional em outra Região da AWS na mesma partição. Ao fazer isso, AWS KMS cria uma [chave de réplica](#mrk-replica-key) multirregional na região especificada com o mesmo [ID de chave](concepts.md#key-id-key-id) e outras [propriedades compartilhadas](#mrk-sync-properties) da chave primária. Para chaves KMS com `AWS_KMS` origem, transporta com AWS KMS segurança o material da chave através do limite da região e o associa à nova chave de réplica, tudo dentro. AWS KMS Para chaves KMS com `EXTERNAL` origem, você deve importar o mesmo material de chave que você importou para a chave de região primária para cada réplica de chave de região individualmente.

### Propriedades compartilhadas
<a name="mrk-sync-properties"></a>

As *propriedades compartilhadas* são propriedades de uma chave primária multirregional que são compartilhadas com suas chaves de réplica. AWS KMS cria as chaves de réplica com os mesmos valores de propriedade compartilhada da chave primária. Em seguida, ele sincroniza periodicamente os valores das propriedades compartilhadas da chave primária com suas chaves de réplica. Não é possível definir essas propriedades em uma chave de réplica. 

Veja a seguir as propriedades compartilhadas de chaves de várias Regiões. 
+ [ID da chave](concepts.md#key-id-key-id): (O elemento `Region` do elemento do é diferente do [ARN da chave](concepts.md#key-id-key-ARN).)
+ [Material chave](create-keys.md#key-origin) — As chaves primária e de réplica em um conjunto de chaves multirregionais relacionadas compartilham o mesmo material chave. Para chaves multirregionais cujo material principal é gerado por AWS KMS (`AWS_KMS`origem), transporta AWS KMS com segurança todos os materiais principais do primário para cada réplica quando a réplica é criada ou quando um novo material de chave é criado por meio de rotação automática ou sob demanda. Para chaves multirregionais com material de chave importado (`EXTERNAL`origem), AWS KMS sincroniza o identificador do material da chave primária, mas você deve importar o material da chave para cada chave de réplica de forma independente. 
+ [Origem do material de chave](create-keys.md#key-origin)
+ [Especificação da chave](create-keys.md#key-spec) e algoritmos de criptografia
+ [Uso da chave](create-keys.md#key-usage)
+ [Alternância da chave automática](rotating-keys-enable.md):: você pode habilitar e desabilitar a alternância automática de chaves somente em uma chave primária. Novas chaves de réplica são criadas com todas as versões do material de chave compartilhado. Para obter detalhes, consulte [Rotating multi-Region keys](rotate-keys.md#multi-region-rotate).
+ [Alternância sob demanda](rotating-keys-on-demand.md): você só pode realizar a alternância sob demanda na chave primária. Para chaves multirregionais cujo material de chave é gerado por AWS KMS (`AWS_KMS`origem), AWS KMS cria chaves de réplica com todas as versões do material de chave compartilhado. Para chaves multirregionais com material de chave importado (`EXTERNAL`origem), AWS KMS propaga o ID do material-chave e a descrição do material-chave da chave primária para as chaves de réplica, mas não o material da chave. Você deve importar o material de chave correto para cada chave de réplica individualmente. Para obter detalhes, consulte [Rotating multi-Region keys](rotate-keys.md#multi-region-rotate).

Você também pode pensar nemas designações primárias e de réplicas de chaves de várias Regiões relacionadas como propriedades compartilhadas. Quando você [cria novas chaves de réplica](#mrk-replica-key) ou [atualiza a chave primária](multi-region-update.md#update-primary-console), AWS KMS sincroniza a alteração com todas as chaves multirregionais relacionadas. Quando essas alterações estiverem concluídas, todas as chaves de várias Regiões relacionadas listarão suas chaves primárias e chaves de réplica com precisão.

[Todas as outras propriedades das chaves multirregionais são *propriedades independentes*, incluindo a descrição da chave, a [política da chave](key-policies.md), as [concessões](grants.md), os [estados da chave ativada e desativada, os](enabling-keys.md)[aliases](kms-alias.md) e as tags.](tagging-keys.md) Você pode definir os mesmos valores para essas propriedades em todas as chaves de várias regiões relacionadas. Porém, se você alterar o valor de uma propriedade independente, o AWS KMS não a sincronizará.

Você pode rastrear a sincronização das propriedades compartilhadas das suas chaves de várias regiões. Em seu AWS CloudTrail registro, procure o [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md)evento.

# Considerações de segurança de chaves de várias Regiões
<a name="mrk-when-to-use"></a>

Use uma chave AWS KMS multirregional somente quando precisar de uma. Chaves de várias Regiões fornecem uma solução flexível e escalável para workloads que movem dados criptografados entre Regiões da AWS ou que precisam de acesso entre Regiões. Considere usar uma chave de várias Regiões se precisar compartilhar, mover ou fazer backup de dados protegidos entre Regiões ou se precisar criar assinaturas digitais idênticas de aplicações que operam em Regiões diferentes.

No entanto, o processo de criar uma chave de várias Regiões move seu material de chave entre limites de Região da AWS dentro do AWS KMS. O texto criptografado gerado por uma chave de várias Regiões pode ser descriptografado por várias chaves relacionadas em diversas localizações geográficas. Existem também benefícios significativos para serviços e recursos regionalmente isolados. Cada Região da AWS é independente e isolada das outras Regiões. As regiões fornecem tolerância a falhas, estabilidade e resiliência e também podem reduzir a latência. Elas permitem criar recursos redundantes que permanecem disponíveis e não são afetados por uma interrupção em outra Região. Em AWS KMS, eles também garantem que cada texto cifrado possa ser decifrado por apenas uma chave.

As chaves de várias Regiões também levantam novas considerações de segurança:
+ É mais complexo controlar o acesso e impor a política de segurança de dados com chaves de várias Regiões. Você precisa garantir que a política seja auditada de maneira consistente na chave entre várias regiões isoladas. Também precisa usar políticas para impor limites, em vez de depender de chaves separadas.

  Por exemplo, você precisa definir condições de políticas nos dados para evitar que equipes de folha de pagamento em uma região possam ler dados de folha de pagamento de uma Região diferente. Além disso, você deve usar o controle de acesso para evitar um cenário em que uma chave de várias Regiões em uma Região protege os dados de um locatário e uma chave de várias Regiões relacionada em outra Região protege os dados de um locatário diferente.
+ A auditoria de chaves entre Regiões também é mais complexa. Com chaves de várias Regiões, você precisa examinar e reconciliar atividades de auditoria em várias Regiões para obter uma compreensão completa das principais atividades em dados protegidos.
+ A conformidade com exigências de residência de dados pode ser mais complexa. Com Regiões isoladas, você garante a conformidade da residência de dados e a soberania dos dados. As chaves do KMS em uma determinada Região podem descriptografar dados sigilosos somente nessa Região. Os dados criptografados em uma Região permanecem protegidos e inacessíveis em qualquer outra Região.

  Para verificar a residência e a soberania dos dados com chaves multirregionais, você precisa implementar políticas de acesso e compilar AWS CloudTrail eventos em várias regiões.

[Para facilitar o gerenciamento do controle de acesso em chaves multirregionais, a permissão para replicar uma chave multirregional ([kms: ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)) é separada da permissão padrão para criar chaves (kms:). CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) Além disso, AWS KMS oferece suporte a várias condições de política para chaves multirregionais`kms:MultiRegion`, inclusive, que permite ou nega permissão para criar, usar ou gerenciar chaves multirregionais e `kms:ReplicaRegion` que restringe as regiões nas quais uma chave multirregional pode ser replicada. Para obter detalhes, consulte [Controlar o acesso a chaves de várias regiões](multi-region-keys-auth.md).

# Como funcionam chaves de várias Regiões
<a name="mrk-how-it-works"></a>

Você começa criando uma [chave primária multirregional](multi-region-keys-overview.md#mrk-primary-key) simétrica ou assimétrica em uma Região da AWS que AWS KMS ofereça suporte, como Leste dos EUA (Norte da Virgínia). Você decide se uma chave é de Região única ou de várias Regiões apenas ao criá-la. Não será possível alterar essa propriedade mais tarde. Como em qualquer chave do KMS, você define uma política de chave para a chave de várias Região, além de poder criar concessões e adicionar aliases e tags para categorização e autorização. (Estas são [propriedades independentes](multi-region-keys-overview.md#mrk-sync-properties) que não são compartilhadas ou sincronizadas com outras chaves.) Você pode usar sua chave primária de várias Regiões em operações de criptografia para criptografia ou assinatura.

Você pode [criar uma chave primária multirregional](create-primary-keys.md) no AWS KMS console ou usando a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API com o `MultiRegion` parâmetro definido como. `true` Observe que chaves de várias Regiões têm um ID de chave distintivo que começa com `mrk-`. Você pode usar o `mrk-` prefixo para identificar MRKs programaticamente.

![\[Multi-Region primary key icon with red key symbol and sample key ID format.\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/images/multi-region-primary-key.png)


Se você escolher, poderá [replicar](multi-region-keys-overview.md#replicate) a chave primária multirregional em uma ou mais diferentes Regiões da AWS na mesma [AWS partição](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html), como Europa (Irlanda). Ao fazer isso, AWS KMS cria uma [chave de réplica](multi-region-keys-overview.md#mrk-replica-key) na região especificada com o mesmo ID de chave e outras [propriedades compartilhadas](multi-region-keys-overview.md#mrk-sync-properties) da chave primária. O resultado são duas chaves de várias Regiões *relacionados*, uma chave primária e uma chave de réplica, que podem ser usadas de maneira intercambiável.

Você pode [criar uma chave de réplica multirregional](multi-region-keys-replicate.md) no AWS KMS console ou usando a [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)API. 

![\[Diagram showing multi-Region primary and replica keys in US East and EU regions with key IDs.\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/images/multi-region-replica-key.png)


A [chave de réplica de várias Regiões](multi-region-keys-overview.md#mrk-replica-key) resultante é uma chave do KMS totalmente funcional com as mesmas [propriedades compartilhadas](multi-region-keys-overview.md#mrk-sync-properties) que a chave primária. Em todos os outros aspectos, ela é uma chave do KMS independente com sua própria descrição, política de chave, concessões, aliases e etiquetas. Habilitar ou desabilitar uma chave de várias Regiões não tem efeito sobre chaves de várias Regiões relacionadas. Você pode usar as chaves primárias e de réplica independentemente em operações de criptografia ou coordenar seu uso. Por exemplo, você pode criptografar dados com a chave primária na região Leste dos EUA (Norte da Virgínia), mover os dados até a região Europa (Irlanda) e usar a chave de réplica para descriptografar esses dados. 

Chaves de várias Regiões relacionadas têm o mesmo ID de chave. Sua chave ARNs (Amazon Resource Names) difere somente no campo Região. Por exemplo, a chave primária multirregional e as chaves de réplica podem ter o seguinte exemplo de chave. ARNs O ID da chave, o último elemento no ARN da chave, é idêntico. Ambas as chaves têm o ID de chave distinto de chaves de várias regiões, que começa com **mrk-**.

```
Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
```

Ter o mesmo ID de chave é um requisito para interoperabilidade. Ao criptografar, AWS KMS vincula a ID da chave KMS ao texto cifrado para que o texto cifrado possa ser descriptografado somente com essa chave KMS ou com uma chave KMS com a mesma ID de chave. Esse recurso também torna as chaves de várias Regiões relacionadas fáceis de reconhecer e facilita sua utilização intercambiável. Por exemplo, ao usá-las em uma aplicação, você pode fazer referência a chaves de várias Regiões relacionadas com base no ID de chave compartilhada. Em seguida, se necessário, especifique a Região ou o ARN para diferenciá-las. 

Conforme suas necessidades de dados mudam, você pode replicar a chave primária para outra Regiões da AWS na mesma partição, como Oeste dos EUA (Oregon) e Ásia-Pacífico (Sydney). O resultado são quatro chaves multirregionais *relacionadas* com o mesmo material e chave IDs, conforme mostrado no diagrama a seguir. Você gerencia as chaves de maneira independente. Para chaves multirregionais com material de chave importado, você é responsável por importar o material de chaves para cada chave relacionada individualmente. Elas podem ser usadas de maneira independente ou coordenada. Por exemplo, é possível criptografar dados com a chave de réplica na região Ásia-Pacífico (Sydney), mover os dados para a região Oeste dos EUA (Oregon) e descriptografá-los com a chave de réplica na região Oeste dos EUA (Oregon). 

![\[As chaves primária e réplica em uma chave multirregional\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/images/multi-region-keys.png)


Outras considerações para chaves de várias Regiões incluem as seguintes.

*Sincronização de propriedades compartilhadas* [— Se uma [propriedade compartilhada](multi-region-keys-overview.md#mrk-sync-properties) das chaves multirregionais for alterada, AWS KMS sincronizará automaticamente a alteração da [chave primária](multi-region-keys-overview.md#mrk-primary-key) para todas as suas chaves de réplica.](multi-region-keys-overview.md#mrk-replica-key) Você não pode solicitar ou forçar uma sincronização de propriedades compartilhadas. AWS KMS detecta e sincroniza todas as alterações para você. No entanto, você pode auditar a sincronização usando o [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md)evento nos CloudTrail registros.

Por exemplo, se você habilitar a rotação automática de chaves em uma chave primária multirregional simétrica com `AWS_KMS` origem, AWS KMS copiará essa configuração para todas as chaves de réplica. Quando o material de chave é alternado, a alternância é sincronizada entre todas as chaves de várias Regiões relacionadas, para que elas continuem a ter o mesmo material de chave atual e também acesso a todas as versões mais antigas do material de chave. Se você criar uma nova chave de réplica, ela terá o mesmo material de chave atual de todas as chaves de várias Regiões relacionadas e terá acesso a todas as versões anteriores do material de chave. Para obter detalhes, consulte [Rotating multi-Region keys](rotate-keys.md#multi-region-rotate).

*Alterar a chave primária*: todo conjunto de chaves de várias Regiões deve ter exatamente uma chave primária. A [chave primária](multi-region-keys-overview.md#mrk-primary-key) é a única que pode ser replicada. Ela é também a fonte das propriedades compartilhadas das suas chaves de réplica. Porém, você pode transformar a chave primária em uma réplica e promover uma das chaves de réplica para chave primária. Você pode fazer isso para excluir uma chave primária de várias Regiões de uma determinada Região ou localizar a chave primária em uma Região mais próxima dos administradores do projeto. Para obter detalhes, consulte [Alterar a chave primária em um conjunto de chaves de várias regiões](multi-region-update.md).

*Excluindo chaves multirregionais — Como todas as chaves* KMS, você deve programar a exclusão das chaves multirregionais antes de excluí-las. AWS KMS Enquanto a exclusão da chave estiver pendente, não será possível usá-la em operações de criptografia. No entanto, não AWS KMS excluirá uma chave primária multirregional até que todas as chaves de réplica sejam excluídas. Para obter mais detalhes, consulte [Deleting multi-Region keys](deleting-keys.md#deleting-mrks).

# Importação de material chave para AWS KMS chaves
<a name="importing-keys"></a>

Você pode criar uma AWS KMS keys (chave KMS) com o material de chave fornecido por você. 

Uma chave do KMS é uma representação lógica de uma chave de dados. Os metadados de uma chave do KMS incluem o ID do material de chave usado para executar operações criptográficas. Quando você [cria uma chave KMS](create-keys.md), por padrão, AWS KMS gera o material da chave para essa chave KMS. No entanto, você pode criar uma chave do KMS sem material de chave e importar o seu próprio material de chaves para essa chave do KMS, um recurso normalmente conhecido como "traga sua própria chave" (BYOK).

![\[Ícone de chave que destaca o material de chave que ele representa.\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/images/import-key.png)


**nota**  
AWS KMS não suporta a descriptografia de nenhum AWS KMS texto cifrado criptografado por uma chave KMS de criptografia simétrica externa AWS KMS, mesmo que o texto cifrado tenha sido criptografado em uma chave KMS com material de chave importado. AWS KMS não publica o formato de texto cifrado exigido por essa tarefa e o formato pode ser alterado sem aviso prévio.

Ao usar material de chave importado, você permanece responsável pelo material de chaves, AWS KMS permitindo o uso de uma cópia dele. Você pode optar por fazer isso por um ou mais dos seguintes motivos:
+ Para comprovar que o material de chaves foi gerado usando uma origem de entropia que atende aos seus requisitos. 
+ Para usar o material chave de sua própria infraestrutura com AWS serviços e AWS KMS para gerenciar o ciclo de vida desse material chave em seu interior. AWS
+ Para usar chaves existentes e bem estabelecidas AWS KMS, como chaves para assinatura de código, assinatura de certificado PKI e aplicativos fixados em certificados
+ Para definir um prazo de validade para o material de chave AWS e [excluí-lo manualmente](importing-keys-delete-key-material.md), mas também para disponibilizá-lo novamente no futuro. Por outro lado, [programar a exclusão de chaves](deleting-keys.md#deleting-keys-how-it-works) exige um período de espera de 7 a 30 dias, após os quais você não pode recuperar a chave do KMS excluída.
+ Possuir a cópia original do material principal e mantê-la do lado de fora AWS para maior durabilidade e recuperação de desastres durante todo o ciclo de vida do material principal.
+ Para chaves assimétricas e chaves HMAC, a importação cria chaves compatíveis e interoperáveis que operam dentro e fora dela. AWS

**Tipos de chave do KMS com suporte**

AWS KMS suporta material de chave importado para os seguintes tipos de chaves KMS. Não é possível importar material de chave para chaves do KMS em [repositórios de chaves personalizados](key-store-overview.md#custom-key-store-overview).
+ [Chaves do KMS de criptografia simétrica](symm-asymm-choose-key-spec.md#symmetric-cmks)
+ [Chaves do KMS assimétricas (exceto chaves ML-DSA)](symmetric-asymmetric.md)
+ [Chaves do KMS de HMAC](hmac.md)
+ [Chaves multirregionais](multi-region-keys-overview.md) de todos os tipos compatíveis.

**Regiões**

O material chave importado é suportado em todos Regiões da AWS os AWS KMS suportes.

Nas regiões da China, os requisitos de material de chave para chaves do KMS de criptografia simétrica são diferentes dos requisitos de outras regiões. Para obter detalhes, consulte [Etapa 3: Criptografar o material de chave](importing-keys-encrypt-key-material.md).

**Saiba mais**
+ Para criar chaves do KMS com material de chave importado, consulte [Criar uma chave do KMS com material de chave importado](importing-keys-conceptual.md).
+ Para criar um alarme que envie uma notificação quando o material de chave importado em uma chave do KMS estiver se aproximando da data de expiração, consulte [Crie um CloudWatch alarme para expiração do material chave importado](imported-key-material-expiration-alarm.md).
+ Para reimportar o material de chave para uma chave do KMS, consulte [Reimportar material de chave](importing-keys-import-key-material.md#reimport-key-material).
+ Para importar novo material de chave para uma chave do KMS para rodízio sob demanda, consulte [Importar novo material de chave](importing-keys-import-key-material.md#import-new-key-material) e [Executar alternância de chaves sob demanda](rotating-keys-on-demand.md). 
+ Para identificar e visualizar chaves do KMS com material de chave importado, consulte [Identificar chaves do KMS com material de chave importado](identify-key-types.md#identify-imported-keys).
+ Para conhecer considerações especiais sobre a exclusão de chaves do KMS com material de chave importado, consulte [Deleting KMS keys with imported key material](deleting-keys.md#import-delete-key).

# Considerações espeicias para material de chave importado
<a name="importing-keys-considerations"></a>

Antes de decidir importar material de chave para AWS KMS, você deve compreender as seguintes características do material de chave importado.

**Você gera o material de chave**  
Você é responsável por gerar o material de chaves usando uma origem de aleatoriedade que atende aos seus requisitos de segurança.

**Você é responsável pela disponibilidade e durabilidade**  
AWS KMS foi projetado para manter o material chave importado altamente disponível. Mas AWS KMS não mantém a durabilidade do material chave importado no mesmo nível do material chave AWS KMS gerado. Para obter detalhes, consulte [Proteger o material de chave importada](import-keys-protect.md).

**Você pode excluir o material de chave.**  
Você pode [excluir material de chave importado](importing-keys-delete-key-material.md) de uma chave do KMS, tornando imediatamente a chave do KMS inutilizável. Além disso, ao importar o material de chave para uma chave do KMS, é possível determinar se a chave expira e [definir seu prazo de validade](importing-keys-import-key-material.md#importing-keys-expiration). Quando o prazo de validade chegar, AWS KMS [exclui o material da chave](importing-keys-delete-key-material.md). Sem o material de chave, a chave do KMS não pode ser usada em nenhuma operação criptográfica. Para restaurar a chave, é necessário reimportar o mesmo material de chave para a chave. 

**Você não pode alterar o material da chave para chaves assimétricas e HMAC**  
Quando você importa o material de chave para uma chave do KMS, esta é associada permanentemente a esse material de chave. Você pode [reimportar o mesmo material de chaves](importing-keys-import-key-material.md#reimport-key-material), mas não pode importar outro material de chaves para essa chave do KMS. Além disso, não é possível [habilitar a alternância automática de chaves](rotate-keys.md) de uma chave do KMS com material de chaves importado. No entanto, você pode [alternar manualmente uma chave do KMS](rotate-keys-manually.md) com material de chave importado. 

**Você pode executar a rotação sob demanda em chaves de criptografia simétricas**  
Chaves de criptografia simétricas com material de chave importado oferecem suporte à rotação sob demanda. Você pode [importar vários materiais de chave](importing-keys-import-key-material.md#import-new-key-material) para essas chaves e usar [rodízio sob demanda](rotating-keys-on-demand.md) para atualizar o material de chave atual. O material de chave atual é usado tanto para criptografia quanto para descriptografia, mas outros materiais de chave (não atuais) podem ser usados somente para decodificação. 

**Não é possível alterar a origem do material de chave**  
As chaves do KMS projetadas para material de chave importado têm um valor de [origem](create-keys.md#key-origin) de `EXTERNAL` que não pode ser alterado. Você não pode converter uma chave KMS de material de chave importado para usar material de chave de qualquer outra fonte, inclusive AWS KMS. Da mesma forma, você não pode converter uma chave KMS com material de AWS KMS chave em uma projetada para material de chave importado.

**Não é possível exportar material de chave**  
Você não pode exportar nenhum material de chave que tenha importado. AWS KMS não é possível devolver o material da chave importada para você de nenhuma forma. Você deve manter uma cópia do material de chaves importado fora dele AWS, de preferência em um gerenciador de chaves, como um módulo de segurança de hardware (HSM), para poder reimportar o material de chaves se você excluí-lo ou se ele expirar.

**É possível criar chaves de várias regiões com material de chave importado.**  
A chave de várias regiões com material de chave importado tem recursos das chaves do KMS com material de chave importado e pode interoperar entre as Regiões da AWS. Para criar uma chave de várias regiões com material de chave importado, você deve importar o mesmo material de chave para a chave do KMS primária e para cada chave de réplica. Para obter mais detalhes sobre a importação de materiais essenciais para chaves multirregionais, consulte. [Importar novo material de chave](importing-keys-import-key-material.md#import-new-key-material)

**As chaves assimétricas e as chaves de HMAC são portáteis e interoperáveis**  
Você pode usar seu material de chave assimétrica e material de chave HMAC externamente AWS para interoperar com AWS KMS chaves com o mesmo material de chave importado.   
Ao contrário do texto cifrado AWS KMS simétrico, que está inextricavelmente vinculado à chave KMS usada no algoritmo, AWS KMS usa formatos HMAC e assimétricos padrão para criptografia, assinatura e geração de MAC. Como resultado, as chaves são portáteis e compatíveis com cenários tradicionais de garantia de chaves.  
Quando sua chave KMS tiver importado material de chave, você poderá usar o material de chave importado de fora AWS para realizar as seguintes operações.  
+ Chaves de HMAC — É possível verificar uma etiqueta de HMAC que foi gerada pela chave do KMS de HMAC com material de chave importado. Você também pode usar a chave HMAC KMS com o material de chave importado para verificar uma tag HMAC que foi gerada pelo material de chave externo. AWS
+ Chaves de criptografia assimétricas — Você pode usar sua chave privada de criptografia assimétrica externa para AWS descriptografar um texto cifrado criptografado pela chave KMS com a chave pública correspondente. Você também pode usar sua chave KMS assimétrica para descriptografar um texto cifrado assimétrico que foi gerado fora do. AWS
+ Chaves de assinatura assimétrica — Você pode usar sua chave KMS de assinatura assimétrica com material de chave importado para verificar as assinaturas digitais geradas por sua chave de assinatura privada fora da. AWS Você também pode usar sua chave de assinatura pública assimétrica no exterior AWS para verificar as assinaturas geradas pela sua chave KMS assimétrica.
+ Chaves de acordo de chave assimétrica: é possível usar a chave do KMS de acordo de chave assimétrica com material de chave importado para obter segredos compartilhados com um par fora da AWS.
Se você importar o mesmo material de chave para chaves do KMS diferentes da mesma Região da AWS, essas chaves também serão interoperáveis. Para criar chaves KMS interoperáveis em diferentes Regiões da AWS, crie uma chave multirregional com material de chave importado.  

**Chaves privadas RSA**
+ AWS KMS exige que as chaves privadas RSA importadas tenham fatores primos em conformidade com o teste descrito no [FIPS 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf), Seção A. 1.3. Outros software ou dispositivos podem usar algoritmos diferentes para validar esses fatores primos de chaves privadas RSA. Em casos raros, chaves validadas usando outros algoritmos podem não ser aceitas pelo AWS KMS.

**As chaves de criptografia simétricas não são portáteis nem interoperáveis**  
Os textos cifrados simétricos que AWS KMS produz não são portáteis nem interoperáveis. AWS KMS não publica o formato de texto cifrado simétrico exigido pela portabilidade, e o formato pode mudar sem aviso prévio.   
+ AWS KMS não é possível descriptografar textos cifrados simétricos que você criptografa fora AWS, mesmo se você usar material de chave que tenha importado. 
+ AWS KMS não suporta a descriptografia de nenhum texto cifrado AWS KMS simétrico fora do AWS KMS, mesmo que o texto cifrado tenha sido criptografado em uma chave KMS com material de chave importado.
+ As chaves do KMS com o mesmo material de chave importado não são interoperáveis. O texto cifrado simétrico que AWS KMS gera um texto cifrado específico para cada chave KMS. Esse formato de texto cifrado garante que somente a chave do KMS que criptografou os dados poderá descriptografá-los. 
Além disso, você não pode usar nenhuma AWS ferramenta, como a [criptografia do lado do cliente [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)ou do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html), para descriptografar textos cifrados simétricos. AWS KMS   
Como resultado, você não pode usar chaves com material de chave importado para apoiar acordos de custódia de chaves em que um terceiro autorizado com acesso condicional ao material de chaves possa decifrar determinados textos cifrados fora do. AWS KMS Para oferecer suporte à garantia de chave, use o [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/java-example-code.html#java-example-multiple-providers) para criptografar sua mensagem em uma chave que seja independente do AWS KMS.

# Proteger o material de chave importada
<a name="import-keys-protect"></a>

O material de chave importada é protegido em trânsito e em repouso. Antes de importar o material da chave, você criptografa (ou “empacota”) o material da chave com a chave pública de um par de chaves RSA gerado nos módulos de segurança de AWS KMS hardware (HSMs) validados pelo Programa de Validação do Módulo Criptográfico [FIPS 140-3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884). É possível criptografar o material da chave diretamente com a chave pública de empacotamento ou criptografar o material da chave com uma chave simétrica AES e, em seguida, criptografar a chave simétrica AES com a chave pública RSA.

Após o recebimento, AWS KMS descriptografa o material da chave com a chave privada correspondente em um AWS KMS HSM e o recriptografa sob uma chave simétrica AES que existe somente na memória volátil do HSM. O material de chave nunca sai do HSM em texto sem formatação. Ele é descriptografado somente enquanto está em uso e somente dentro dele. AWS KMS HSMs

O uso da chave do KMS com material de chave importado é determinado exclusivamente pelas [políticas de controle de acesso](control-access.md) que você define na chave do KMS. Além disso, é possível usar [aliases](kms-alias.md) e [tags](tagging-keys.md) para identificar e [controlar o acesso](abac.md) à chave do KMS. É possível [habilitar e desabilitar](enabling-keys.md) a chave, [visualizar](viewing-keys.md) e [monitorar](monitoring-overview.md) a chave usando serviços como o AWS CloudTrail. 

No entanto, você mantém a única cópia à prova de falhas do seu material de chave. Em troca dessa medida extra de controle, você é responsável pela durabilidade e disponibilidade geral do material chave importado. AWS KMS foi projetado para manter o material chave importado altamente disponível. Mas AWS KMS não mantém a durabilidade do material chave importado no mesmo nível do material chave AWS KMS gerado.

Essa diferença em durabilidade é importante nos seguintes casos:
+ Quando você [define um prazo de validade](importing-keys-import-key-material.md#importing-keys-expiration) para o material de chaves importado, AWS KMS exclui o material de chaves depois que ele expira. AWS KMS não exclui a chave KMS nem seus metadados. Você pode [criar um CloudWatch alarme da Amazon](imported-key-material-expiration-alarm.md) que o notifique quando o material de chave importado estiver se aproximando da data de expiração.

  Você não pode excluir o material de chave AWS KMS gerado para uma chave KMS e não pode definir que o material de AWS KMS chave expire.
+ Quando você [exclui manualmente o material da chave importada](importing-keys-delete-key-material.md), AWS KMS exclui o material da chave, mas não exclui a chave KMS ou seus metadados. Por outro lado, o [agendamento da exclusão da chave](deleting-keys.md#deleting-keys-how-it-works) requer um período de espera de 7 a 30 dias, após o qual exclui AWS KMS permanentemente a chave KMS, seus metadados e seu material de chaves.
+ No caso improvável de certas falhas em toda a região que afetem AWS KMS (como perda total de energia), AWS KMS não é possível restaurar automaticamente o material de chave importado. No entanto, AWS KMS pode restaurar a chave KMS e seus metadados.

Você *deve* reter uma cópia do material de chave importado fora AWS de um sistema que você controla. Recomendamos armazenar uma cópia exportável do material de chave importado em um sistema de gerenciamento de chaves, como um HSM. Como prática recomendada, você deve armazenar uma referência ao ARN da chave do KMS e ao ID do material de chave gerado pelo AWS KMS junto com a cópia exportável do material de chave. Se o material de chave importado for excluído ou expirar, a chave do KMS associada se tornará inutilizável até que você reimporte o mesmo material de chave. Se o material de chave importada for perdido permanentemente, todo texto cifrado criptografado sob a chave do KMS será irrecuperável. 

**Importante**  
As chaves de criptografia simétricas podem ter vários materiais de chave associados a elas. Toda a chave KMS se torna inutilizável assim que você exclui qualquer um desses materiais de chave ou se algum desses materiais de chave expirar (a menos que o material de chave excluído ou expirado seja ou). `PENDING_ROTATION` `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` Você deve reimportar qualquer material de chave expirado ou excluído associado a essa chave antes que a chave se torne utilizável para operações criptográficas. 

# Chaves do KMS em um repositório de chaves do CloudHSM
<a name="manage-cmk-keystore"></a>

Você pode criar, visualizar, gerenciar, usar e programar a exclusão do AWS KMS keys em um armazenamento de AWS CloudHSM chaves. Os procedimentos são muito semelhantes aos usados em outras chaves do KMS. A única diferença é que você especifica um armazenamento de AWS CloudHSM chaves ao criar a chave KMS. Em seguida, AWS KMS cria material de chave não extraível para a chave KMS no AWS CloudHSM cluster associado ao AWS CloudHSM armazenamento de chaves. Quando você usa uma chave KMS em um armazenamento de AWS CloudHSM chaves, as [operações criptográficas](#use-cmk-keystore) são executadas HSMs no cluster.

**Recursos compatíveis**  
Além dos procedimentos discutidos nesta seção, você pode fazer o seguinte com as chaves KMS em um AWS CloudHSM armazenamento de chaves:  
+ Usar políticas de chaves, políticas do IAM e concessões para [autorizar o acesso](control-access.md) às chaves do KMS.
+ [Habilite e desabilite](enabling-keys.md) as chaves do KMS. 
+ Atribua [etiquetas](tagging-keys.md), crie [aliases](kms-alias.md) e use o controle de acesso por atributo (ABAC) para autorizar o acesso às chaves do KMS.
+ Use as chaves do KMS para executar as seguintes operações de criptografia:
  + [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
  + [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
  + [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)
  + [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)
  + [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)

  As operações que geram pares de chaves de dados assimétricos, [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)e [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html), *não* são suportadas em armazenamentos de chaves personalizadas.
+ Use as chaves do KMS com [serviços da AWS que se integram ao AWS KMS](service-integration.md) e oferecem suporte a chaves gerenciadas pelo cliente.
+ Acompanhe o uso de suas chaves KMS nos [AWS CloudTrail registros](logging-using-cloudtrail.md) e nas [ferramentas de CloudWatch monitoramento da Amazon](monitoring-overview.md).

**Atributos não compatíveis**  
+ AWS CloudHSM os armazenamentos de chaves oferecem suporte somente a chaves KMS de criptografia simétrica. Você não pode criar chaves HMAC KMS, chaves KMS assimétricas ou pares de chaves de dados assimétricos em um armazenamento de chaves. AWS CloudHSM 
+ Você não pode [importar material de chaves](importing-keys.md) para uma chave KMS em um armazenamento de AWS CloudHSM chaves. AWS KMS gera o material chave para a chave KMS no AWS CloudHSM cluster.
+ Você não pode ativar ou desativar a [rotação automática](rotate-keys.md) do material da chave para uma chave KMS em um armazenamento de AWS CloudHSM chaves.

**Usando chaves KMS em um armazenamento de AWS CloudHSM chaves**  
Ao usar sua chave KMS em uma solicitação, identifique a chave KMS por seu ID ou alias; você não precisa especificar o armazenamento de AWS CloudHSM chaves ou o cluster. AWS CloudHSM A resposta inclui os mesmos campos que são retornados para qualquer chave do KMS de criptografia simétrica.  
No entanto, quando você usa uma chave KMS em um armazenamento de AWS CloudHSM chaves, a operação criptográfica é executada inteiramente dentro do AWS CloudHSM cluster associado ao armazenamento de AWS CloudHSM chaves. A operação usa o material de chave no cluster associado à chave do KMS escolhida.  
Para tornar isso possível, as seguintes condições são necessárias.  
+ O [estado de chave](key-state.md) da chave do KMS deve ser `Enabled`. Para encontrar o estado da chave, use o campo **Status** no [AWS KMS console](finding-keys.md#viewing-console-details) ou o `KeyState` campo na [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)resposta.
+ O armazenamento de AWS CloudHSM chaves deve estar conectado ao AWS CloudHSM cluster. Seu **status** no [AWS KMS console](view-keystore.md) ou `ConnectionState` na [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)resposta deve ser`CONNECTED`.
+ O AWS CloudHSM cluster associado ao armazenamento de chaves personalizadas deve conter pelo menos um HSM ativo. Para encontrar o número de ativos HSMs no cluster, use o [AWS KMS console](view-keystore.md), o AWS CloudHSM console ou a [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operação.
+ O AWS CloudHSM cluster deve conter o material chave da chave KMS. Se o material de chaves foi excluído do cluster ou um HSM foi criado de um backup que não incluía o material de chaves, haverá falha na operação de criptografia.
Se essas condições não forem atendidas, a operação criptográfica falhará e AWS KMS retornará uma `KMSInvalidStateException` exceção. Normalmente, você só precisa [reconectar o armazenamento de AWS CloudHSM chaves](connect-keystore.md). Para obter ajuda adicional, consulte [Como corrigir uma chave do KMS com falha](fix-keystore.md#fix-cmk-failed).  
Ao usar as chaves KMS em um AWS CloudHSM armazenamento de chaves, esteja ciente de que as chaves KMS em cada AWS CloudHSM armazenamento de chaves compartilham uma [cota de solicitação de armazenamento de chaves personalizada](requests-per-second.md#rps-key-stores) para operações criptográficas. Se você exceder a cota, AWS KMS retorna a. `ThrottlingException` Se o AWS CloudHSM cluster associado ao armazenamento de AWS CloudHSM chaves estiver processando vários comandos, incluindo aqueles não relacionados ao armazenamento de AWS CloudHSM chaves, você poderá obter um `ThrottlingException` com uma taxa ainda menor. Se você receber uma `ThrottlingException` para qualquer solicitação, diminua a sua taxa de solicitações e tente os comandos novamente. Para obter detalhes sobre a cota de solicitações do armazenamento de chaves personalizado, consulte [Cotas de solicitação de armazenamento de chaves personalizadas](requests-per-second.md#rps-key-stores).

**Saiba mais**  
+ Para saber mais sobre as AWS CloudHSM principais lojas, consulte[AWS CloudHSM lojas principais](keystore-cloudhsm.md).
+ Para criar chaves KMS em um armazenamento de AWS CloudHSM chaves, consulte[Criar uma chave KMS em um armazenamento de AWS CloudHSM chaves](create-cmk-keystore.md).
+ Para identificar e visualizar as chaves KMS em um armazenamento de AWS CloudHSM chaves, consulte[Identificar chaves KMS em lojas de AWS CloudHSM chaves](identify-key-types.md#identify-key-hsm-keystore).
+ Para encontrar chaves KMS e material de chaves em um armazenamento de AWS CloudHSM chaves, consulte[Encontre chaves KMS e material de chaves em um armazenamento de AWS CloudHSM chaves](find-key-material.md).
+ Para saber mais sobre considerações especiais para excluir chaves KMS em um armazenamento de chaves, consulte [Excluindo AWS CloudHSM chaves KMS de um armazenamento de chaves](deleting-keys.md#delete-cmk-keystore). AWS CloudHSM 

# Chaves do KMS em repositórios de chaves externos
<a name="keystore-external-key-manage"></a>

Para criar, visualizar, gerenciar, usar e programar a exclusão de chaves do KMS em um armazenamento de chaves externas, use procedimentos muito semelhantes aos usados para outras chaves do KMS. No entanto, ao criar uma chave do KMS em um armazenamento de chaves externas, especifique um [armazenamento de chaves externas](keystore-external.md#concept-external-key-store) e uma [chave externa](keystore-external.md#concept-external-key). Quando você usa uma chave do KMS em um armazenamento de chaves externas, [as operações de criptografia e descriptografia](keystore-external.md#xks-how-it-works) são executadas pelo gerenciador de chaves externas usando a chave externa especificada. 

AWS KMS não pode criar, visualizar, atualizar ou excluir nenhuma chave criptográfica em seu gerenciador de chaves externo. AWS KMS nunca acessa diretamente seu gerenciador de chaves externo ou qualquer chave externa. Todas as solicitações de operações de criptografia são mediadas por seu [proxy de armazenamento de chaves externas](keystore-external.md#concept-xks-proxy). Para usar uma chave do KMS em um armazenamento de chaves externas, o armazenamento de chaves externas que hospeda a chave do KMS deve estar [conectado](xks-connect-disconnect.md) ao proxy de armazenamento de chaves externas.

**Recursos compatíveis**  
Além dos procedimentos discutidos nesta seção, você pode fazer o seguinte com chaves do KMS de um armazenamento de chaves externas:   
+ Use [políticas de chaves](key-policies.md), [políticas do IAM](iam-policies.md) e [concessões](grants.md) para autorizar o acesso às chaves do KMS.
+ [Habilite e desabilite](enabling-keys.md) as chaves do KMS. Essas ações não afetam a chave externa no gerenciador de chaves externas.
+ Atribua [etiquetas](tagging-keys.md), crie [aliases](kms-alias.md) e use o [controle de acesso por atributo](abac.md) (ABAC) para autorizar o acesso às chaves do KMS.
+ Use as chaves do KMS para executar as seguintes operações de criptografia:
  + [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
  + [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
  + [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)
  + [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)
  + [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)

  As operações que geram pares de chaves de dados assimétricos, [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)e [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html), *não* são suportadas em armazenamentos de chaves personalizadas.
+ Usar as chaves do KMS com [Serviços da AWS que se integram ao AWS KMS](https://aws.amazon.com/kms/features/#AWS_Service_Integration) e oferecem suporte a [chaves gerenciadas pelo cliente](concepts.md#customer-mgn-key).

**Atributos não compatíveis**  
+ Armazenamentos de chaves externas são compatíveis apenas com [chaves do KMS de criptografia simétrica](symm-asymm-choose-key-spec.md#symmetric-cmks). Você não pode criar chaves do KMS de HMAC ou assimétricas em um armazenamento de chaves externas.
+ [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)e não [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)são compatíveis com chaves KMS em um armazenamento de chaves externo.
+ Você não pode usar um [AWS::KMS::Key CloudFormation modelo](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html) para criar um armazenamento de chaves externo ou uma chave KMS em um armazenamento de chaves externo.
+ As [chaves multirregionais](multi-region-keys-overview.md) não são compatíveis com o armazenamento de chaves externas.
+ As chaves do KMS com [material de chave importado](importing-keys.md) não são compatíveis com o armazenamento de chaves externas.
+ A [alternância automática de chaves](rotate-keys.md) não é compatível com chaves do KMS em armazenamentos de chaves externas.

**Usar chaves do KMS em um repositório de chaves externo**  
Ao usar sua chave do KMS em uma solicitação, identifique a chave do KMS pelo [ID de chave, ARN de chave, alias ou ARN do alias](concepts.md#key-id). Não é necessário especificar o armazenamento de chaves externas. A resposta inclui os mesmos campos que são retornados para qualquer chave do KMS de criptografia simétrica. Porém, quando você usa uma chave do KMS em um armazenamento de chaves externas, as operações de criptografia e descriptografia são executadas pelo gerenciador de chaves externas usando a chave externa que está associada à chave do KMS.  
[Para garantir que o texto cifrado criptografado por uma chave KMS em um armazenamento de chaves externo seja pelo menos tão seguro quanto qualquer texto cifrado criptografado por uma chave KMS padrão, use criptografia dupla. AWS KMS](keystore-external.md#concept-double-encryption) Os dados são primeiro criptografados AWS KMS usando material AWS KMS chave. Em seguida, ele é criptografado pelo gerenciador de chaves externas usando a chave externa para a chave do KMS. Para descriptografar texto cifrado com criptografia dupla, o texto cifrado é primeiro descriptografado pelo gerenciador de chaves externas usando a chave externa para a chave do KMS. Em seguida, ele é descriptografado AWS KMS usando o material de AWS KMS chave da chave KMS.  
Para tornar isso possível, as seguintes condições são necessárias.  
+ O [estado de chave](key-state.md) da chave do KMS deve ser `Enabled`. Para encontrar o estado da chave, consulte o campo **Status** das chaves gerenciadas pelo cliente, o [AWS KMS console](finding-keys.md#viewing-console-details) ou o `KeyState` campo na [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)resposta.
+ O armazenamento de chaves externas que hospeda a chave do KMS deve estar conectado ao [proxy de armazenamento de chaves externas](keystore-external.md#concept-xks-proxy), ou seja, o [estado da conexão](xks-connect-disconnect.md#xks-connection-state) do armazenamento de chaves externas deve ser `CONNECTED`. 

  Você pode ver o estado da conexão na página **Armazenamentos externos de chaves** no AWS KMS console ou na [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)resposta. O estado de conexão do armazenamento de chaves externas também é exibido na página de detalhes da chave do KMS no console do AWS KMS . Na página de detalhes, escolha a guia **Cryptographic configuration** (Configuração criptográfica) e veja o campo **Connection state** (Estado da conexão) na seção **Custom key store** (Armazenamento de chaves personalizado).

  Se o estado da conexão for `DISCONNECTED`, primeiro é necessário conectá-lo. Se o estado da conexão for `FAILED`, você deverá resolver o problema, desconectar o armazenamento de chaves externas e conectá-lo. Para instruções, consulte [Conectar e desconectar repositórios de chaves externos](xks-connect-disconnect.md).
+ O proxy de armazenamento de chaves externas deve ser capaz de encontrar a chave externa. 
+ A chave externa deve estar habilitada e deve executar criptografia e descriptografia. 

  O status da chave externa é independente e não é afetado por alterações no [estado da chave](key-state.md) da chave do KMS, inclusive habilitar e desabilitar a chave do KMS. Da mesma forma, desabilitar ou excluir a chave externa não alterará o estado da chave do KMS, mas as operações de criptografia que usam a chave do KMS associada falharão.
Se essas condições não forem atendidas, a operação criptográfica falhará e AWS KMS retornará uma `KMSInvalidStateException` exceção. Talvez seja necessário [reconectar o armazenamento de chaves externas](xks-connect-disconnect.md) ou usar as ferramentas do gerenciador de chaves externas para reconfigurar ou reparar a chave externa. Para obter ajuda adicional, consulte [Solução de problemas de armazenamentos de chaves externas](xks-troubleshooting.md).  
Ao usar as chaves do KMS em um armazenamento de chaves externas, esteja ciente de que as chaves do KMS em cada armazenamento de chaves externas compartilha uma [cota de solicitações de armazenamento de chaves personalizado](requests-per-second.md#rps-key-stores) para operações de criptografia. Se você exceder a cota, AWS KMS retorna a. `ThrottlingException` Para obter detalhes sobre a cota de solicitações do armazenamento de chaves personalizado, consulte [Cotas de solicitação de armazenamento de chaves personalizadas](requests-per-second.md#rps-key-stores).

**Saiba mais**  
+ Para saber mais sobre repositórios de chaves externos, consulte [Armazenamentos de chaves externas](keystore-external.md).
+ Para saber mais sobre material de chave em repositórios de chaves externos, consulte [Chave externa](keystore-external.md#concept-external-key).
+ Para criar chaves do KMS em um repositório de chaves externo, consulte [Criar uma chave do KMS em repositórios de chaves externos](create-xks-keys.md).
+ Para identificar e visualizar chaves do KMS em um repositório de chaves externo, consulte [Identificar chaves do KMS em repositórios de chaves externos](identify-key-types.md#view-xks-key).
+ Para saber mais sobre considerações especiais sobre a exclusão de chaves do KMS em um repositório de chaves externo, consulte [Excluir chaves do KMS de um repositório de chaves externo](deleting-keys.md#delete-xks-key).