Identificar diferentes tipos de chaves

A coluna Tipo de chave da tabela Chaves gerenciadas pelo cliente mostra se cada chave do KMS é simétrica ou assimétrica. Você pode filtrar a tabela pelo valor de Tipo de chave para exibir somente chaves do KMS assimétricas. Para ter mais informações, consulte Classificar e filtrar suas chaves do KMS.

A guia Configuração criptográfica na página de detalhes de uma chave do KMS exibe o Tipo de chave, que indica se a chave é simétrica ou assimétrica. Ela também exibe o Uso da chave, que indica se sua chave do KMS assimétrica é usada para criptografia e descriptografia, assinatura e verificação ou derivação de segredos compartilhados.

Quando você chama a operação DescribeKey em uma chave do KMS assimétrica, a resposta inclui os valores KeySpec e KeyUsage, que podem ser usados para determinar se uma chave do KMS é simétrica ou assimétrica.

Se o valor de KeySpec for SYMMETRIC_DEFAULT, a chave será uma chave do KMS de criptografia simétrica. Para obter detalhes sobre as especificações da chave assimétrica, consulte Referência de especificação de chave.

Se o valor de KeyUsage for SIGN_VERIFY ou KEY_AGREEMENT, a chave será uma chave do KMS assimétrica.

A operação DescribeKey também retorna os detalhes a seguir para chaves do KMS assimétricas.

As chaves do KMS de HMAC estão incluídas na tabela de Chaves gerenciadas pelo cliente, mas você não pode classificar ou filtrar essa tabela com base na especificação da chave ou nos valores de uso da chave que identificam as chaves de HMAC. Para facilitar a localização de suas chaves de HMAC, atribua um alias ou etiqueta distinta a elas. Em seguida, você pode classificar ou filtrar com base no alias ou etiqueta.

A guia Configuração criptográfica na página de detalhes de uma chave do KMS exibe o Tipo de chave, que indica se a chave é simétrica ou assimétrica. As chaves do KMS de HMAC são simétricas. A guia Configuração criptográfica também exibe o Uso da chave. O valor de uso de chave para chaves do KMS de HMAC sempre será Gerar e verificar MAC.

Quando você chama a operação DescribeKey em uma chave do KMS de HMAC, a resposta inclui os valores KeySpec e KeyUsage. Para chaves do KMS de HMAC, o valor de uso da chave sempre será GENERATE_VERIFY_MAC e o valor da especificação da chave sempre começará com HMAC_.

A tabela Chaves gerenciadas pelo cliente mostra apenas as chaves do KMS na região selecionada. É possível visualizar chaves primárias e de réplica de várias regiões na região selecionada. Para alterar a AWS região, use o seletor de região no canto superior direito do console.

Para facilitar a identificação de chaves de várias regiões na tabela Chaves gerenciadas pelo cliente, adicione a coluna Regionalidade à sua tabela. Para obter ajuda, consulte Personalizar suas tabelas de chaves do KMS.

A página de detalhes das chaves do KMS de várias regiões inclui uma guia Regionalidade. A guia Regionality (Regionalidade) de uma chave primária inclui os botões Change primary Region (Alterar região primária) e Create new replica keys (Criar novas chaves de réplica). (A guia Regionality (Regionalidade) de uma chave de réplica não tem botão.) A seção Related multi-Region keys (Chaves de várias regiões relacionadas) lista todas as chaves de várias regiões relacionadas à atual. Se a chave atual for uma chave de réplica, essa lista incluirá a chave primária.

Se você escolher uma chave multirregional relacionada na tabela Chaves multirregionais relacionadas, o AWS KMS console mudará para a região da chave selecionada e abrirá a página de detalhes da chave. Por exemplo, se você escolher a chave de réplica na sa-east-1 região na seção de exemplo de chaves multirregionais relacionadas abaixo, o AWS KMS console mudará para a sa-east-1 região para exibir a página de detalhes dessa chave de réplica. Você pode fazer isso para exibir o alias ou a política de chave da chave de réplica. Para alterar novamente a região, use o seletor de região no canto superior direito da página.

Por padrão, as operações de AWS KMS API são regionais e retornam somente os recursos na região atual ou especificada. Porém, quando você chama a DescribeKey operação em uma chave KMS multirregional, a resposta inclui todas as chaves multirregionais relacionadas em outras AWS regiões no elemento. MultiRegionConfiguration

Para facilitar a identificação de chaves do KMS com material de chave importado na tabela Chaves gerenciadas pelo cliente, adicione a coluna Origem à sua tabela. A coluna Origin (Origem) facilita a identificação das chaves do KMS com um valor de propriedade de origem External (Import Key material) (Externa [Importar material-chave]). Para obter ajuda, consulte Personalizar suas tabelas de chaves do KMS.

A guia Configuração criptográfica na página de detalhes de uma chave do KMS exibe a Origem, que identifica a origem do material da chave do KMS. Para chaves do KMS com material de chave importado, o valor de origem sempre será Externo (importar material de chave). A página de detalhes também inclui uma guia Material de chave que disponibiliza informações detalhadas sobre o material de chave importado. A guia Material de chave é exibida apenas na página de detalhes para chaves do KMS com material de chave importado.

Quando você chama a operação DescribeKey em uma chave do KMS com material de chave importado, a resposta inclui os valores Origin, ExpirationModel e ValidTo. Para chaves do KMS com material de chave importado, o valor de origem sempre será EXTERNAL. O valor ExpirationModel indica se o material de chave está ou não configurado para expirar, e o valor ValidTo indica quando o material de chave expirará. Para obter mais informações, consulte Definir um prazo de validade (opcional).

Para facilitar a identificação de chaves KMS em AWS CloudHSM armazenamentos de chaves na tabela de chaves gerenciadas pelo cliente, adicione a coluna Origem à sua tabela. A coluna Origin (Origem) facilita a identificação das chaves do KMS com um valor de propriedade de origem AWS CloudHSM. Para obter ajuda, consulte Personalizar suas tabelas de chaves do KMS.

A guia Configuração criptográfica na página de detalhes de uma chave do KMS exibe a Origem, que identifica a origem do material da chave do KMS. Para chaves KMS em armazenamentos de AWS CloudHSM chaves, o valor de origem é sempre AWS CloudHSM.

Para uma chave KMS em um armazenamento de AWS CloudHSM chaves, a guia Configuração criptográfica inclui uma seção adicional, Armazenamento de chaves personalizadas, que fornece informações sobre o armazenamento de chaves e o AWS CloudHSM cluster associado à AWS CloudHSM chave KMS.

Quando você chama a operação DescribeKey em uma chave do KMS em um repositório de chaves do AWS CloudHSM , a resposta inclui Origin, que identifica a origem do material de chave. Para chaves KMS em um armazenamento de AWS CloudHSM chaves, o valor de origem é sempreAWS_CLOUDHSM. A operação também retorna os seguintes campos especiais para chaves KMS nos AWS CloudHSM armazenamentos de chaves:

Para facilitar a identificação de chaves do KMS em repositórios de chaves externos na tabela Chaves gerenciadas pelo cliente, adicione a coluna Origem à sua tabela. A coluna Origem facilita a identificação das chaves do KMS com um valor de propriedade de origem Repositório de chaves externo. Para obter ajuda, consulte Personalizar suas tabelas de chaves do KMS.

A guia Configuração criptográfica na página de detalhes de uma chave do KMS exibe a Origem, que identifica a origem do material da chave do KMS. Para chaves do KMS em repositórios de chaves externos, o valor de origem sempre será Repositório de chaves externo.

Para uma chave do KMS em um repositório de chaves externo, a guia Configuração criptográfica inclui mais duas seções, Repositório de chaves personalizado e Chave externa. A tabela Repositório de chaves personalizado fornece informações sobre o repositório de chaves externo associado à chave do KMS. A tabela Chave externa é exibida no console do AWS KMS somente para chaves do KMS em repositórios de chaves externos. Ela fornece informações sobre a chave externa associada à chave do KMS. A chave externa é uma chave criptográfica externa AWS que serve como material de chave para a chave KMS no armazenamento de chaves externo. Quando você criptografa ou descriptografa com a chave do KMS, a operação é executada pelo gerenciador de chaves externas usando a chave externa especificada.

Os valores a seguir são exibidos na seção External key (Chave externa).

Quando você chama a operação DescribeKey em uma chave do KMS em um repositório de chaves externo, a resposta inclui Origin, que identifica a origem do material de chave. Para chaves KMS em um armazenamento de AWS CloudHSM chaves, o valor de origem é sempreEXTERNAL_KEY_STORE. A operação também retorna o elemento CustomKeyStoreId, que identifica o repositório de chaves externo associado às chaves do KMS.