Acessar e listar detalhes de chaves do KMS - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Acessar e listar detalhes de chaves do KMS

Você pode usar o console do AWS KMS ou a operação DescribeKey para acessar e listar informações detalhadas sobre as chaves do KMS na conta e na região.

Os procedimentos a seguir demonstram como acessar os detalhes da chave do KMS, como ID da chave, especificação da chave, uso da chave e muito mais.

A página de detalhes de cada chave do KMS mostra as propriedades da chave do KMS. Ela difere ligeiramente de acordo com os diversos tipos de chaves do KMS.

Para exibir informações detalhadas sobre uma chave do KMS, na página Chaves gerenciadas pela AWS ou Customer managed keys (Chaves gerenciadas pelo cliente), escolha o alias ou ID da chave do KMS.

A página de detalhes de uma chave do KMS contém uma seção General configuration (Configuração Geral), que mostra as propriedades básicas da chave do KMS. Ela também inclui guias nas quais é possível visualizar e editar propriedades da chave do KMS, Key policy (Política de chave), Cryptographic configuration (Configuração criptográfica), Tags (Etiquetas), Key material (Material de chave) (para chaves do KMS com material de chave importado), Key rotation (Alternância de chaves) (para chaves do KMS de criptografia simétrica), Regionality (Regionalidade) (para chaves de várias regiões) e Public key (Chave pública) (para chaves do KMS de criptografia assimétrica).

nota

O console do AWS KMS exibe as chaves do KMS para as quais você tem permissão de visualizar em sua conta e sua região. Chaves do KMS em outras Contas da AWS não aparecem no console, mesmo que você tenha permissão para visualizar, gerenciar e usá-las. Para visualizar chaves do KMS em outras contas, use a operação DescribeKey.

Para navegar até a página de detalhes de uma chave do KMS.

  1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a Região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.

  3. Para exibir as chaves em sua conta que você cria e gerencia, no painel de navegação, escolha Customer managed keys (Chaves gerenciadas de cliente). Para visualizar as chaves na sua conta que a AWS cria e gerencia para você, no painel de navegação, escolha AWS managed keys (Chaves gerenciadas pela AWS).

  4. Para abrir a página de detalhes da chave, na tabela de chaves, escolha o ID ou alias da chave do KMS.

    Se a chave do KMS incluir vários aliases, um resumo de aliases (+mais n) será exibido do lado do nome de um dos aliases. Escolher resumo de aliases leva você diretamente à guia Aliases na página de detalhes da chave.

Chave gerenciada pelo cliente details showing general configuration and cryptographic settings.

A lista a seguir descreve os campos na exibição detalhada, incluindo o campo nas guias. Alguns desses campos também estão disponíveis como colunas na exibição de tabela.

Aliases

Local: guia Aliases

Um nome amigável para a chave do KMS. Você pode usar um alias para identificar a chave do KMS no console e em algumas APIs do AWS KMS. Para obter detalhes, consulte Aliases em AWS KMS.

A guia Aliases mostra os aliases associados à chave do KMS na Conta da AWS e na Região.

ARN

Local: seção General configuration (Configuração geral)

O nome do recurso da Amazon (ARN) da chave do KMS. Esse valor identifica exclusivamente a chave do KMS. É possível usá-lo para identificar a chave do KMS nas operações de API do AWS KMS.

Estado da conexão

Indica se um armazenamento de chaves personalizado está conectado a seu armazenamento de chaves de reserva. Esse campo é exibido somente quando a chave do KMS é criada em um armazenamento de chaves personalizado.

Para obter informações sobre os valores nesse campo, consulte ConnectionState na Referência da API do AWS KMS.

Data de Criação

Local: seção General configuration (Configuração geral)

A data e a hora em que a chave do KMS foi criada. Esse valor é exibido na hora local do dispositivo. O fuso horário não depende da região.

Diferente de Expiration (Validade), a criação se refere somente à chave do KMS, e não ao seu material de chave.

ID do cluster do CloudHSM

Local: guia Cryptographic configuration (Configuração criptográfica)

O ID do cluster do AWS CloudHSM que contém o material de chave da chave do KMS. Esse campo é exibido somente quando a chave do KMS é criada em um armazenamento de chaves personalizado.

Se você escolher o ID do cluster do CloudHSM, a página Clusters será aberta no console do AWS CloudHSM.

ID do armazenamento de chaves personalizado

Local: guia Cryptographic configuration (Configuração criptográfica)

O ID do armazenamento de chaves personalizado que contém a chave do KMS. Esse campo é exibido somente quando a chave do KMS é criada em um armazenamento de chaves personalizado.

Se você escolher ID do armazenamento de chaves personalizado, a página Custom key stores (Armazenamentos de chaves personalizados) será aberta no console do AWS KMS.

Nome do armazenamento de chaves personalizado

Local: guia Cryptographic configuration (Configuração criptográfica)

O nome do armazenamento de chaves personalizado que contém a chave do KMS. Esse campo é exibido somente quando a chave do KMS é criada em um armazenamento de chaves personalizado.

Tipo do armazenamento de chaves personalizado

Local: guia Cryptographic configuration (Configuração criptográfica)

Indica se o armazenamento de chaves personalizado é um armazenamento de chaves do AWS CloudHSM ou um armazenamento de chaves externas. Esse campo é exibido somente quando a chave do KMS é criada em um armazenamento de chaves personalizado.

Descrição

Local: seção General configuration (Configuração geral)

Uma descrição breve e opcional da chave do KMS que é possível escrever e editar. Para adicionar ou atualizar a descrição de uma chave gerenciada pelo cliente, acima de General Configuration (Configuração geral), selecione Edit (Editar).

Algoritmos de criptografia

Local: guia Cryptographic configuration (Configuração criptográfica)

Lista os algoritmos de criptografia que podem ser usados com a chave do KMS no AWS KMS. Esse campo é exibido somente quando o Key type (Tipo de chave) é Asymmetric (Assimétrico) e o Key usage (Uso da chave) é Encrypt and decrypt (Criptografar e descriptografar). Para obter informações sobre os algoritmos de criptografia compatíveis com o AWS KMS, consulte Especificação da chave SYMMETRIC_DEFAULT e Especificações de chave RSA para criptografia e descriptografia.

Data de validade

Local: guia Key material (Material da chave)

A data e a hora quando o material de chave da chave do KMS expira. Esse campo é exibido somente para chaves do KMS com material de chave importado, ou seja, quando a Origem é Externa e a chave do KMS tem material de chave que expira.

ID da chave externa

Local: guia Cryptographic configuration (Configuração criptográfica)

O ID da chave externa associada a uma chave do KMS que está em um armazenamento de chaves externas. Esse campo é exibido somente para chaves do KMS em um armazenamento de chaves externas.

Status da chave externa

Local: guia Cryptographic configuration (Configuração criptográfica)

O status mais recente que o proxy do armazenamento de chaves externas relatou para a chave externa associada à chave do KMS. Esse campo é exibido somente para chaves do KMS em um armazenamento de chaves externas.

Uso de chaves externas

Local: guia Cryptographic configuration (Configuração criptográfica)

As operações de criptografia que estão habilitadas na chave externa associada à chave do KMS. Esse campo é exibido somente para chaves do KMS em um armazenamento de chaves externas.

Política de chave

Local: guia Key policy (Política de chaves)

Controla o acesso à chave do KMS juntamente com políticas do IAM e concessões. Cada chave do KMS tem uma política de chaves. Ela é o único elemento de autorização obrigatório. Para alterar a política de chaves de uma chave gerenciada pelo cliente, na guia Key policy (Política de chaves), selecione Edit (Editar). Para obter detalhes, consulte Políticas-chave em AWS KMS.

Alternância de chaves

Local: Guia Key rotation (Alternância de chaves)

Habilita e desabilita a alternância automática do material da chave em uma chave do KMS gerenciada pelo cliente. Para alterar o status da alternância de chaves de uma chave gerenciada pelo cliente, use a caixa de seleção na guia Key rotation (Alternância de chaves).

Não é possível habilitar ou desabilitar a alternância do material da chave em uma Chave gerenciada pela AWS. As Chaves gerenciadas pela AWS são alternadas automaticamente a cada ano.

Especificação da chave

Local: guia Cryptographic configuration (Configuração criptográfica)

O tipo de material de chave na chave do KMS. O AWS KMS é compatível com chaves do KMS de criptografia simétrica (SYMMETRIC_DEFAULT), chaves do KMS de Hash-based message authentication code (HMAC – Código de autenticação de mensagem por hash) com diferentes tamanhos, chaves do KMS para chaves RSA com diferentes tamanhos e chaves de curva elíptica com diferentes curvas. Para obter detalhes, consulte Key spec.

Tipo de chave

Local: guia Cryptographic configuration (Configuração criptográfica)

Indica se a chave do KMS é Simétrica ou Assimétrica.

Uso da chave

Local: guia Cryptographic configuration (Configuração criptográfica)

Indica se uma chave do KMS pode ser usada para criptografar e descriptografar, assinar e verificar ou gerar e verificar um MAC. Para obter detalhes, consulte Key usage.

Origem

Local: guia Cryptographic configuration (Configuração criptográfica)

A origem do material de chave da chave do KMS. Os valores válidos são:

Algoritmos de Message authentication code (MAC – Código de autenticação de mensagem)

Local: guia Cryptographic configuration (Configuração criptográfica)

Lista os algoritmos de Message authentication code (MAC – Código de autenticação de mensagem) que podem ser usados com uma chave do KMS de HMAC no AWS KMS. Esse campo só aparece quando a Key spec (Especificação da chave) é uma especificação de chave de HMAC (HMAC_*). Para obter informações sobre os algoritmos de MAC compatíveis com o AWS KMS, consulte Especificações de chave para chaves do KMS de HMAC.

Chave primária

Local: guia Regionality (Regionalidade)

Indica que essa chave do KMS é uma chave primária de várias regiões. Os usuários autorizados podem usar essa seção para transformar a chave primária em uma chave de várias Regiões relacionada diferente. Esse campo só aparece quando a chave do KMS é uma chave primária de várias regiões.

Chave pública

Local: guia Public key (Chave pública)

Exibe a chave pública de uma chave do KMS assimétrica. Os usuários autorizados podem usar essa guia para copiar e fazer download da chave pública.

Regionalidade

Local: seção General configuration (Configuração geral) e guias Regionality (Regionalidade)

Indica se uma chave do KMS é de região única, uma chave primária de várias regiões ou uma chave de réplica de várias regiões. Esse campo só aparece quando a chave do KMS é uma chave de várias regiões.

Chaves de várias regiões relacionadas

Local: guia Regionality (Regionalidade)

Exibe todas as chaves primárias e chaves de réplica de várias regiões relacionadas, exceto a chave do KMS atual. Esse campo só aparece quando a chave do KMS é uma chave de várias regiões.

Na seção Related multi-Region keys (Chaves de várias regiões relacionadas) de uma chave primária, os usuários autorizados podem criar novas chaves de réplica.

Chave de réplica

Local: guia Regionality (Regionalidade)

Indica que essa chave do KMS é uma chave de réplica de várias regiões. Esse campo só aparece quando a chave do KMS é uma chave de réplica de várias regiões.

Algoritmos de assinatura

Local: guia Cryptographic configuration (Configuração criptográfica)

Lista os algoritmos de assinatura que podem ser usados com a chave do KMS no AWS KMS. Esse campo é exibido somente quando o Key type (Tipo de chave) é Asymmetric (Assimétrico) e o Key usage (Uso da chave) é Sign and verify (Assinar e verificar). Para obter informações sobre os algoritmos de assinatura compatíveis com o AWS KMS, consulte Especificações de chave RSA para assinatura e verificação e Especificações da chave de curva elíptica.

Status

Local: seção General configuration (Configuração geral)

O estado da chave do KMS. É possível usar a chave do KMS em operações criptográficas somente quando o status é Enabled (Habilitado). Para obter uma descrição detalhada do status de cada chave do KMS e seu efeito nas operações que podem ser executadas na chave do KMS, consulte Estados das chaves do AWS KMS.

Tags

Local: guia Tags (Etiquetas)

Pares de chave-valor opcionais que descrevem a chave do KMS. Para adicionar ou alterar as etiquetas de uma chave do KMS, na guia Tags (Etiquetas), selecione Edit (Editar).

Ao adicionar tags aos recursos da AWS, a AWS gera um relatório de alocação de custos com utilização e custos agrupados por tags. Etiquetas também podem ser utilizadas para controlar o acesso a uma chave do KMS. Para informações sobre marcação de chaves do KMS, consulte Etiquetas no AWS KMS e ABAC para AWS KMS.

A operação DescribeKey retorna detalhes sobre a chave do KMS especificada. Para identificar a chave do KMS, use seu ID de chave, ARN de chave, nome de alias ou ARN de alias.

Ao contrário da operação ListKeys, que exibe apenas chaves do KMS na conta e na região do chamador, os usuários autorizados podem usar a operação DescribeKey para obter detalhes sobre as chaves do KMS em outras contas.

nota

A resposta de DescribeKey inclui os membros KeySpec e CustomerMasterKeySpec com os mesmos valores. O membro CustomerMasterKeySpec é defasado.

Por exemplo, essa chamada para DescribeKey retorna informações sobre uma chave do KMS de criptografia simétrica. Os campos na resposta variam de acordo com a especificação da AWS KMS key, o estado da chave e a origem do material de chave. Para obter exemplos em várias linguagens de programação, consulte Use DescribeKey com um AWS SDK ou CLI.

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "Enabled": true, "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1499988169.234, "MultiRegion": false, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }

Esse exemplo chama a operação DescribeKey em uma chave do KMS assimétrica usada para assinatura e verificação. A resposta inclui os algoritmos de assinatura compatíveis com o AWS KMS para essa chave do KMS.

$ aws kms describe-key --key-id 0987dcba-09fe-87dc-65ba-ab0987654321 { "KeyMetadata": { "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "Origin": "AWS_KMS", "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "KeyState": "Enabled", "KeyUsage": "SIGN_VERIFY", "CreationDate": 1569973196.214, "Description": "", "KeySpec": "ECC_NIST_P521", "CustomerMasterKeySpec": "ECC_NIST_P521", "AWSAccountId": "111122223333", "Enabled": true, "MultiRegion": false, "KeyManager": "CUSTOMER", "SigningAlgorithms": [ "ECDSA_SHA_512" ] } }