As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Identificar diferentes tipos de chaves
Os tópicos a seguir explicam como identificar diferentes tipos de chaves no console do AWS KMS e as respostas DescribeKey.
Para obter ajuda na navegação até a guia Configuração criptográfica na página de detalhes de uma chave do KMS, consulte Acessar e listar detalhes de chaves do KMS.
Tópicos
Identificar chaves do KMS assimétricas
- No console do AWS KMS
-
A coluna Tipo de chave da tabela Chaves gerenciadas pelo cliente mostra se cada chave do KMS é simétrica ou assimétrica. Você pode filtrar a tabela pelo valor de Tipo de chave para exibir somente chaves do KMS assimétricas. Para ter mais informações, consulte Classificar e filtrar suas chaves do KMS .
A guia Configuração criptográfica na página de detalhes de uma chave do KMS exibe o Tipo de chave, que indica se a chave é simétrica ou assimétrica. Ela também exibe o Uso da chave, que indica se sua chave do KMS assimétrica é usada para criptografia e descriptografia, assinatura e verificação ou derivação de segredos compartilhados.
- Em respostas DescribeKey
-
Quando você chama a operação
DescribeKey
em uma chave do KMS assimétrica, a resposta inclui os valoresKeySpec
eKeyUsage
, que podem ser usados para determinar se uma chave do KMS é simétrica ou assimétrica.Se o valor de
KeySpec
forSYMMETRIC_DEFAULT
, a chave será uma chave do KMS de criptografia simétrica. Para obter detalhes sobre as especificações da chave assimétrica, consulte Referência de especificação de chave.Se o valor de
KeyUsage
forSIGN_VERIFY
ouKEY_AGREEMENT
, a chave será uma chave do KMS assimétrica.A operação
DescribeKey
também retorna os detalhes a seguir para chaves do KMS assimétricas.-
Para chaves do KMS assimétricas com um valor
KeyUsage
deENCRYPT_DECRYPT
, a operação retornaEncryptionAlgorithms
, que lista os algoritmos de criptografia válidos para a chave. -
Para chaves do KMS assimétricas com um valor
KeyUsage
deSIGN_VERIFY
, a operação retornaSigningAlgorithms
, que lista os algoritmos de assinatura válidos para a chave. -
Para chaves do KMS assimétricas com um valor
KeyUsage
deKEY_AGREEMENT
, a operação retornaKeyAgreementAlgorithms
, que lista os algoritmos de acordo de chave válidos para a chave.
-
Para obter mais informações sobre chaves do KMS assimétricas, consulte Chaves assimétricas no AWS KMS.
Identificar chaves do KMS de HMAC
- No console do AWS KMS
-
As chaves do KMS de HMAC estão incluídas na tabela de Chaves gerenciadas pelo cliente, mas você não pode classificar ou filtrar essa tabela com base na especificação da chave ou nos valores de uso da chave que identificam as chaves de HMAC. Para facilitar a localização de suas chaves de HMAC, atribua um alias ou etiqueta distinta a elas. Em seguida, você pode classificar ou filtrar com base no alias ou etiqueta.
A guia Configuração criptográfica na página de detalhes de uma chave do KMS exibe o Tipo de chave, que indica se a chave é simétrica ou assimétrica. As chaves do KMS de HMAC são simétricas. A guia Configuração criptográfica também exibe o Uso da chave. O valor de uso de chave para chaves do KMS de HMAC sempre será Gerar e verificar MAC.
- Em respostas DescribeKey
-
Quando você chama a operação
DescribeKey
em uma chave do KMS de HMAC, a resposta inclui os valoresKeySpec
eKeyUsage
. Para chaves do KMS de HMAC, o valor de uso da chave sempre seráGENERATE_VERIFY_MAC
e o valor da especificação da chave sempre começará comHMAC_
.
Para obter mais informações sobre as chaves do KMS de HMAC, consulte Chaves de HMAC no AWS KMS.
Identificar chaves do KMS de várias regiões
- No console do AWS KMS
-
A tabela Chaves gerenciadas pelo cliente mostra apenas as chaves do KMS na região selecionada. É possível visualizar chaves primárias e de réplica de várias regiões na região selecionada. Para alterar a região da AWS, use o Seletor de regiões no canto superior direito do console.
Para facilitar a identificação de chaves de várias regiões na tabela Chaves gerenciadas pelo cliente, adicione a coluna Regionalidade à sua tabela. Para obter ajuda, consulte Personalizar suas tabelas de chaves do KMS.
A página de detalhes das chaves do KMS de várias regiões inclui uma guia Regionalidade. A guia Regionality (Regionalidade) de uma chave primária inclui os botões Change primary Region (Alterar região primária) e Create new replica keys (Criar novas chaves de réplica). (A guia Regionality (Regionalidade) de uma chave de réplica não tem botão.) A seção Related multi-Region keys (Chaves de várias regiões relacionadas) lista todas as chaves de várias regiões relacionadas à atual. Se a chave atual for uma chave de réplica, essa lista incluirá a chave primária.
Se você escolher uma chave de várias regiões relacionada na lista Related multi-Region keys (Chaves de várias regiões relacionadas), o console do AWS KMS muda para a região da chave selecionada e abrirá a página de detalhes da chave. Por exemplo, se você escolher a chave de réplica na região
sa-east-1
da seção de exemplo Related multi-Region keys (Chaves de várias regiões relacionadas) abaixo, o console AWS KMS alterará para a regiãosa-east-1
a fim de exibir a página de detalhes dessa chave de réplica. Você pode fazer isso para exibir o alias ou a política de chave da chave de réplica. Para alterar novamente a região, use o seletor de região no canto superior direito da página. - Em respostas DescribeKey
-
Por padrão, as operações de API do AWS KMS são regionais e retornam somente os recursos na região atual ou especificada. Porém, quando você chama a operação
DescribeKey
em uma chave do KMS de várias regiões, a resposta inclui todas as chaves de várias regiões relacionadas em outras regiões do AWS no elementoMultiRegionConfiguration
.
Para obter mais informações sobre as chaves do KMS de várias regiões, consulte Chaves de várias regiões em AWS KMS.
Identificar chaves do KMS com material de chave importado
- No console do AWS KMS
-
Para facilitar a identificação de chaves do KMS com material de chave importado na tabela Chaves gerenciadas pelo cliente, adicione a coluna Origem à sua tabela. A coluna Origin (Origem) facilita a identificação das chaves do KMS com um valor de propriedade de origem External (Import Key material) (Externa [Importar material-chave]). Para obter ajuda, consulte Personalizar suas tabelas de chaves do KMS.
A guia Configuração criptográfica na página de detalhes de uma chave do KMS exibe a Origem, que identifica a origem do material da chave do KMS. Para chaves do KMS com material de chave importado, o valor de origem sempre será Externo (importar material de chave). A página de detalhes também inclui uma guia Material de chave que disponibiliza informações detalhadas sobre o material de chave importado. A guia Material de chave é exibida apenas na página de detalhes para chaves do KMS com material de chave importado.
- Em respostas DescribeKey
-
Quando você chama a operação
DescribeKey
em uma chave do KMS com material de chave importado, a resposta inclui os valoresOrigin
,ExpirationModel
eValidTo
. Para chaves do KMS com material de chave importado, o valor de origem sempre seráEXTERNAL
. O valorExpirationModel
indica se o material de chave está ou não configurado para expirar, e o valorValidTo
indica quando o material de chave expirará. Para ter mais informações, consulte Definir um prazo de validade (opcional).
Para obter mais informações sobre chaves do KMS com material de chave importado, consulte Importação de material chave para AWS KMS chaves.
Identificar chaves do KMS em repositórios de chaves do AWS CloudHSM
- No console do AWS KMS
-
Para facilitar a identificação de chaves em repositórios de chaves do AWS CloudHSM na tabela Chaves gerenciadas pelo cliente, adicione a coluna Origem à sua tabela. A coluna Origin (Origem) facilita a identificação das chaves do KMS com um valor de propriedade de origem AWS CloudHSM. Para obter ajuda, consulte Personalizar suas tabelas de chaves do KMS.
A guia Configuração criptográfica na página de detalhes de uma chave do KMS exibe a Origem, que identifica a origem do material da chave do KMS. Para chaves do KMS em repositórios de chaves do AWS CloudHSM, o valor de origem sempre será AWS CloudHSM.
Para uma chave do KMS em um repositório de chaves do AWS CloudHSM, a guia Configuração criptográfica inclui uma seção adicional, Repositório de chaves personalizado, que apresenta informações sobre o repositório de chaves do AWS CloudHSM e o cluster do AWS CloudHSM associado à chave do KMS.
- Em respostas DescribeKey
-
Quando você chama a operação
DescribeKey
em uma chave do KMS em um repositório de chaves do AWS CloudHSM, a resposta incluiOrigin
, que identifica a origem do material de chave. Para chaves do KMS em um repositório de chaves do AWS CloudHSM, o valor de origem sempre seráAWS_CLOUDHSM
. A operação também retorna os seguintes campos especiais para chaves do KMS em repositórios de chaves do AWS CloudHSM:-
CloudHsmClusterId
-
CustomKeyStoreId
-
Para obter mais informações sobre repositórios de chaves do AWS CloudHSM, consulte Armazenamentos de chaves do AWS CloudHSM.
Identificar chaves do KMS em repositórios de chaves externos
- No console do AWS KMS
-
Para facilitar a identificação de chaves do KMS em repositórios de chaves externos na tabela Chaves gerenciadas pelo cliente, adicione a coluna Origem à sua tabela. A coluna Origem facilita a identificação das chaves do KMS com um valor de propriedade de origem Repositório de chaves externo. Para obter ajuda, consulte Personalizar suas tabelas de chaves do KMS.
A guia Configuração criptográfica na página de detalhes de uma chave do KMS exibe a Origem, que identifica a origem do material da chave do KMS. Para chaves do KMS em repositórios de chaves externos, o valor de origem sempre será Repositório de chaves externo.
Para uma chave do KMS em um repositório de chaves externo, a guia Configuração criptográfica inclui mais duas seções, Repositório de chaves personalizado e Chave externa. A tabela Repositório de chaves personalizado fornece informações sobre o repositório de chaves externo associado à chave do KMS. A tabela Chave externa é exibida no console do AWS KMS somente para chaves do KMS em repositórios de chaves externos. Ela fornece informações sobre a chave externa associada à chave do KMS. A chave externa é uma chave de criptografia fora da AWS que serve como material de chave para a chave do KMS no armazenamento de chaves externas. Quando você criptografa ou descriptografa com a chave do KMS, a operação é executada pelo gerenciador de chaves externas usando a chave externa especificada.
Os valores a seguir são exibidos na seção External key (Chave externa).
- ID da chave externa
-
O identificador da chave externa no gerenciador de chaves externas. Este é o valor que o proxy de armazenamento de chaves externas usa para identificar a chave externa. Você especifica o ID da chave externa ao criar a chave do KMS e não pode alterá-la. Se o valor do ID da chave externa que você usou para criar a chave do KMS for alterado ou se tornar inválido, você deverá agendar a exclusão da chave do KMS e criar uma nova chave do KMS com o valor correto do ID da chave externa.
- Em respostas DescribeKey
-
Quando você chama a operação
DescribeKey
em uma chave do KMS em um repositório de chaves externo, a resposta incluiOrigin
, que identifica a origem do material de chave. Para chaves do KMS em um repositório de chaves do AWS CloudHSM, o valor de origem sempre seráEXTERNAL_KEY_STORE
. A operação também retorna o elementoCustomKeyStoreId
, que identifica o repositório de chaves externo associado às chaves do KMS.
Para mais informações sobre repositórios de chaves externos, consulte Armazenamentos de chaves externas.