Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Criar uma chave do KMS HMAC

PDF
RSS
Modo de foco
Criar uma chave do KMS HMAC - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Você pode criar chaves HMAC KMS no AWS KMS console, usando o CreateKeyAPI ou usando o AWS::KMS::Key AWS CloudFormation modelo.

Ao criar uma chave HMAC KMS, você deve selecionar uma especificação de chave. AWS KMS suporta várias especificações principais para chaves HMAC KMS. A especificação de chave que você escolhe pode ser determinada por requisitos regulatórios, de segurança ou de negócios. Em geral, chaves maiores são mais resistentes a ataques de força bruta.

Para obter informações sobre as permissões necessárias para criar chaves do KMS, consulte Permissões para criar chaves do KMS.

Você pode usar o AWS Management Console para criar chaves HMAC KMS. As chaves do KMS de HMAC são chaves simétricas com um uso de chave para gerar e verificar Message authentication code (MAC – Código de autenticação de mensagem). Você também pode criar chaves de HMAC de várias regiões.

  1. Faça login no console AWS Management Console e abra o AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

  3. No painel de navegação, escolha Chaves gerenciadas pelo cliente.

  4. Escolha Criar chave.

  5. Para Key type (Tipo de chave), escolha Symmetric (Simétrica).

    As chaves do KMS de HMAC são simétricas. Você usa a mesma chave para gerar e verificar etiquetas de HMAC.

  6. Em Key usage (Uso de chave), escolha Generate and verify MAC (Gerar e verificar MAC).

    Gerar e verificar MAC é o único uso de chave válido para chaves do KMS de HMAC.

    nota

    Key usage (Uso de chave) é exibido para chaves simétricas somente quando as chaves do KMS de HMAC são compatíveis com a região selecionada.

  7. Escolha uma especificação (Key spec [Especificação de chave]) para sua chave do KMS de HMAC.

    A especificação de chave que você escolhe pode ser determinada por requisitos regulatórios, de segurança ou de negócios. Em geral, chaves mais longas são mais seguras.

  8. Para criar uma chave de HMAC primária de várias regiões, em Advanced options (Opções avançadas), escolha Multi-Region key (Chave de várias regiões). As propriedades compartilhadas que você define para essa chave do KMS, como o tipo de chave e o uso de chave, serão compartilhados com suas réplicas de chave.

    Não é possível aplicar esse procedimento para criar uma réplica de chave. Para criar uma réplica de chave de HMAC de várias regiões, siga as instruções para criar uma réplica de chave.

  9. Escolha Próximo.

  10. Insira um alias para a chave do KMS. O nome do alias não pode começar com aws/. O prefixo aws/ é reservado pela Amazon Web Services para representar as Chaves gerenciadas pela AWS na sua conta.

    Recomendamos que você use um alias que identifique a chave do KMS como uma chave de HMAC, p. ex., HMAC/test-key. Isso facilitará a identificação das chaves HMAC no AWS KMS console, onde você pode classificar e filtrar as chaves por tags e aliases, mas não por especificação ou uso da chave.

    Aliases são necessários ao criar uma chave do KMS no AWS Management Console. Você não pode especificar um alias ao usar a CreateKeyoperação, mas pode usar o console ou a CreateAliasoperação para criar um alias para uma chave KMS existente. Para obter detalhes, consulte Aliases em AWS KMS.

  11. (Opcional) Insira uma descrição para a chave do KMS.

    Insira uma descrição que explique o tipo de dados que você planeja proteger ou a aplicação que planeja usar com a chave do KMS.

    Você pode adicionar uma descrição agora ou atualizá-la a qualquer momento, a não ser que o estado da chave seja Pending Deletion ou Pending Replica Deletion. Para adicionar, alterar ou excluir a descrição de uma chave gerenciada pelo cliente existente, edite a descrição na página de detalhes da chave KMS AWS Management Console em AWS Management Console ou use a UpdateKeyDescriptionoperação.

  12. (Opcional) Insira uma chave de etiqueta e um valor opcional de etiqueta. Para adicionar mais de uma etiqueta à chave do KMS, selecione Adicionar tag.

    Considere a possibilidade de adicionar uma etiqueta que identifique a chave como uma chave de HMAC, p. ex., Type=HMAC. Isso facilitará a identificação das chaves HMAC no AWS KMS console, onde você pode classificar e filtrar as chaves por tags e aliases, mas não por especificação ou uso da chave.

    Quando você adiciona tags aos seus AWS recursos, AWS gera um relatório de alocação de custos com uso e custos agregados por tags. Etiquetas também podem ser utilizadas para controlar o acesso a uma chave do KMS. Para informações sobre marcação de chaves do KMS, consulte Etiquetas em AWS KMS e ABAC para AWS KMS.

  13. Escolha Próximo.

  14. Selecione os usuários e as funções do IAM que podem administrar a chave do KMS.

    Observações

    Essa política de chaves dá o controle Conta da AWS total dessa chave KMS. Ela permite que os administradores de conta usem políticas do IAM para conceder a outras entidades principais a permissão para gerenciar a chave do KMS. Para obter detalhes, consulte Política de chaves padrão.

    As práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Sempre que possível, use os perfis do IAM, por fornecerem credenciais temporárias. Para obter detalhes, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.

    O AWS KMS console adiciona administradores de chaves à política de chaves sob o identificador "Allow access for Key Administrators" de instrução. A modificação desse identificador de declaração pode afetar a forma como o console exibe as atualizações que você faz na declaração.

  15. (Opcional) Para evitar que os usuários e funções do IAM selecionados excluam essa chave do KMS, na seção Exclusão de chaves na parte inferior da página, desmarque a caixa de seleção Permitir que os administradores de chaves excluam essa chave.

  16. Escolha Próximo.

  17. Selecione os usuários e as funções do IAM que podem usar a chave do KMS para operações de criptografia.

    Observações

    As práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Sempre que possível, use os perfis do IAM, por fornecerem credenciais temporárias. Para obter detalhes, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.

    O AWS KMS console adiciona os principais usuários à política de chaves sob os identificadores de declaração "Allow use of the key" e. "Allow attachment of persistent resources" A modificação desses identificadores de declaração pode afetar a forma como o console exibe as atualizações que você faz na declaração.

  18. (Opcional) Você pode permitir que outras Contas da AWS pessoas usem essa chave KMS para operações criptográficas. Para fazer isso, na parte inferior da página na seção Other Contas da AWS (Outras ), escolha Add another Conta da AWS (Adicionar outra ) e insira o número de identificação da Conta da AWS de uma conta externa. Para adicionar várias contas externas, repita essa etapa.

    nota

    Para permitir que as entidades principais de contas externas usem a chave do KMS, os administradores da conta externa devem criar políticas do IAM que forneçam essas permissões. Para obter mais informações, consulte Permitir que usuários de outras contas usem uma chave do KMS.

  19. Escolha Próximo.

  20. Analise as principais declarações de política para obter a chave. Para fazer alterações na política de chaves, selecione Editar.

  21. Escolha Próximo.

  22. Revise as configurações que você escolheu. Ainda é possível voltar e alterar todas as configurações.

  23. Escolha Finish (Concluir) para criar a chave do KMS de HMAC.

Você pode usar o AWS Management Console para criar chaves HMAC KMS. As chaves do KMS de HMAC são chaves simétricas com um uso de chave para gerar e verificar Message authentication code (MAC – Código de autenticação de mensagem). Você também pode criar chaves de HMAC de várias regiões.

  1. Faça login no console AWS Management Console e abra o AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

  3. No painel de navegação, escolha Chaves gerenciadas pelo cliente.

  4. Escolha Criar chave.

  5. Para Key type (Tipo de chave), escolha Symmetric (Simétrica).

    As chaves do KMS de HMAC são simétricas. Você usa a mesma chave para gerar e verificar etiquetas de HMAC.

  6. Em Key usage (Uso de chave), escolha Generate and verify MAC (Gerar e verificar MAC).

    Gerar e verificar MAC é o único uso de chave válido para chaves do KMS de HMAC.

    nota

    Key usage (Uso de chave) é exibido para chaves simétricas somente quando as chaves do KMS de HMAC são compatíveis com a região selecionada.

  7. Escolha uma especificação (Key spec [Especificação de chave]) para sua chave do KMS de HMAC.

    A especificação de chave que você escolhe pode ser determinada por requisitos regulatórios, de segurança ou de negócios. Em geral, chaves mais longas são mais seguras.

  8. Para criar uma chave de HMAC primária de várias regiões, em Advanced options (Opções avançadas), escolha Multi-Region key (Chave de várias regiões). As propriedades compartilhadas que você define para essa chave do KMS, como o tipo de chave e o uso de chave, serão compartilhados com suas réplicas de chave.

    Não é possível aplicar esse procedimento para criar uma réplica de chave. Para criar uma réplica de chave de HMAC de várias regiões, siga as instruções para criar uma réplica de chave.

  9. Escolha Próximo.

  10. Insira um alias para a chave do KMS. O nome do alias não pode começar com aws/. O prefixo aws/ é reservado pela Amazon Web Services para representar as Chaves gerenciadas pela AWS na sua conta.

    Recomendamos que você use um alias que identifique a chave do KMS como uma chave de HMAC, p. ex., HMAC/test-key. Isso facilitará a identificação das chaves HMAC no AWS KMS console, onde você pode classificar e filtrar as chaves por tags e aliases, mas não por especificação ou uso da chave.

    Aliases são necessários ao criar uma chave do KMS no AWS Management Console. Você não pode especificar um alias ao usar a CreateKeyoperação, mas pode usar o console ou a CreateAliasoperação para criar um alias para uma chave KMS existente. Para obter detalhes, consulte Aliases em AWS KMS.

  11. (Opcional) Insira uma descrição para a chave do KMS.

    Insira uma descrição que explique o tipo de dados que você planeja proteger ou a aplicação que planeja usar com a chave do KMS.

    Você pode adicionar uma descrição agora ou atualizá-la a qualquer momento, a não ser que o estado da chave seja Pending Deletion ou Pending Replica Deletion. Para adicionar, alterar ou excluir a descrição de uma chave gerenciada pelo cliente existente, edite a descrição na página de detalhes da chave KMS AWS Management Console em AWS Management Console ou use a UpdateKeyDescriptionoperação.

  12. (Opcional) Insira uma chave de etiqueta e um valor opcional de etiqueta. Para adicionar mais de uma etiqueta à chave do KMS, selecione Adicionar tag.

    Considere a possibilidade de adicionar uma etiqueta que identifique a chave como uma chave de HMAC, p. ex., Type=HMAC. Isso facilitará a identificação das chaves HMAC no AWS KMS console, onde você pode classificar e filtrar as chaves por tags e aliases, mas não por especificação ou uso da chave.

    Quando você adiciona tags aos seus AWS recursos, AWS gera um relatório de alocação de custos com uso e custos agregados por tags. Etiquetas também podem ser utilizadas para controlar o acesso a uma chave do KMS. Para informações sobre marcação de chaves do KMS, consulte Etiquetas em AWS KMS e ABAC para AWS KMS.

  13. Escolha Próximo.

  14. Selecione os usuários e as funções do IAM que podem administrar a chave do KMS.

    Observações

    Essa política de chaves dá o controle Conta da AWS total dessa chave KMS. Ela permite que os administradores de conta usem políticas do IAM para conceder a outras entidades principais a permissão para gerenciar a chave do KMS. Para obter detalhes, consulte Política de chaves padrão.

    As práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Sempre que possível, use os perfis do IAM, por fornecerem credenciais temporárias. Para obter detalhes, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.

    O AWS KMS console adiciona administradores de chaves à política de chaves sob o identificador "Allow access for Key Administrators" de instrução. A modificação desse identificador de declaração pode afetar a forma como o console exibe as atualizações que você faz na declaração.

  15. (Opcional) Para evitar que os usuários e funções do IAM selecionados excluam essa chave do KMS, na seção Exclusão de chaves na parte inferior da página, desmarque a caixa de seleção Permitir que os administradores de chaves excluam essa chave.

  16. Escolha Próximo.

  17. Selecione os usuários e as funções do IAM que podem usar a chave do KMS para operações de criptografia.

    Observações

    As práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Sempre que possível, use os perfis do IAM, por fornecerem credenciais temporárias. Para obter detalhes, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.

    O AWS KMS console adiciona os principais usuários à política de chaves sob os identificadores de declaração "Allow use of the key" e. "Allow attachment of persistent resources" A modificação desses identificadores de declaração pode afetar a forma como o console exibe as atualizações que você faz na declaração.

  18. (Opcional) Você pode permitir que outras Contas da AWS pessoas usem essa chave KMS para operações criptográficas. Para fazer isso, na parte inferior da página na seção Other Contas da AWS (Outras ), escolha Add another Conta da AWS (Adicionar outra ) e insira o número de identificação da Conta da AWS de uma conta externa. Para adicionar várias contas externas, repita essa etapa.

    nota

    Para permitir que as entidades principais de contas externas usem a chave do KMS, os administradores da conta externa devem criar políticas do IAM que forneçam essas permissões. Para obter mais informações, consulte Permitir que usuários de outras contas usem uma chave do KMS.

  19. Escolha Próximo.

  20. Analise as principais declarações de política para obter a chave. Para fazer alterações na política de chaves, selecione Editar.

  21. Escolha Próximo.

  22. Revise as configurações que você escolheu. Ainda é possível voltar e alterar todas as configurações.

  23. Escolha Finish (Concluir) para criar a chave do KMS de HMAC.

Você pode usar a CreateKeyoperação para criar uma chave HMAC KMS. Estes exemplos usam a AWS Command Line Interface (AWS CLI), mas você pode usar qualquer linguagem de programação compatível.

Ao criar uma chave do KMS de HMAC, você deve especificar o parâmetro KeySpec, que determina o tipo de chave do KMS. Além disso, você deve especificar um valor de GENERATE_VERIFY_MAC para KeyUsage, mesmo que seja o único valor válido de uso de chave para chaves de HMAC. Para criar uma chave do KMS de HMAC de várias regiões, adicione o parâmetro MultiRegion com um valor de true. Não é possível alterar essas propriedades depois que a chave do KMS é criada.

A CreateKey operação não permite que você especifique um alias, mas você pode usar a CreateAliasoperação para criar um alias para sua nova chave KMS. Recomendamos que você use um alias que identifique a chave do KMS como uma chave de HMAC, p. ex., HMAC/test-key. Isso facilitará a identificação das chaves HMAC no AWS KMS console, onde você pode classificar e filtrar as chaves por alias, mas não por especificação ou uso da chave.

Se você tentar criar uma chave HMAC KMS em uma Região da AWS na qual as chaves HMAC não sejam suportadas, a CreateKey operação retornará um UnsupportedOperationException

O exemplo a seguir usa a operação CreateKey para criar uma chave do KMS de HMAC de 512 bits.

$ aws kms create-key --key-spec HMAC_512 --key-usage GENERATE_VERIFY_MAC
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": 1669973196.214,
        "MultiRegion": false,
        "KeySpec": "HMAC_512",
        "CustomerMasterKeySpec": "HMAC_512",
        "KeyUsage": "GENERATE_VERIFY_MAC",
        "MacAlgorithms": [
            "HMAC_SHA_512"
        ],
        "AWSAccountId": "111122223333",
        "Origin": "AWS_KMS",
        "Enabled": true
    }
}

Você pode usar a CreateKeyoperação para criar uma chave HMAC KMS. Estes exemplos usam a AWS Command Line Interface (AWS CLI), mas você pode usar qualquer linguagem de programação compatível.

Ao criar uma chave do KMS de HMAC, você deve especificar o parâmetro KeySpec, que determina o tipo de chave do KMS. Além disso, você deve especificar um valor de GENERATE_VERIFY_MAC para KeyUsage, mesmo que seja o único valor válido de uso de chave para chaves de HMAC. Para criar uma chave do KMS de HMAC de várias regiões, adicione o parâmetro MultiRegion com um valor de true. Não é possível alterar essas propriedades depois que a chave do KMS é criada.

A CreateKey operação não permite que você especifique um alias, mas você pode usar a CreateAliasoperação para criar um alias para sua nova chave KMS. Recomendamos que você use um alias que identifique a chave do KMS como uma chave de HMAC, p. ex., HMAC/test-key. Isso facilitará a identificação das chaves HMAC no AWS KMS console, onde você pode classificar e filtrar as chaves por alias, mas não por especificação ou uso da chave.

Se você tentar criar uma chave HMAC KMS em uma Região da AWS na qual as chaves HMAC não sejam suportadas, a CreateKey operação retornará um UnsupportedOperationException

O exemplo a seguir usa a operação CreateKey para criar uma chave do KMS de HMAC de 512 bits.

$ aws kms create-key --key-spec HMAC_512 --key-usage GENERATE_VERIFY_MAC
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": 1669973196.214,
        "MultiRegion": false,
        "KeySpec": "HMAC_512",
        "CustomerMasterKeySpec": "HMAC_512",
        "KeyUsage": "GENERATE_VERIFY_MAC",
        "MacAlgorithms": [
            "HMAC_SHA_512"
        ],
        "AWSAccountId": "111122223333",
        "Origin": "AWS_KMS",
        "Enabled": true
    }
}
PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.