Identificar diferentes tipos de chaves - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Identificar diferentes tipos de chaves

Os tópicos a seguir explicam como identificar diferentes tipos de chaves no console do AWS KMS e as respostas DescribeKey.

Para obter ajuda na navegação até a guia Configuração criptográfica na página de detalhes de uma chave do KMS, consulte Acessar e listar detalhes de chaves do KMS.

Identificar chaves do KMS assimétricas

No console do AWS KMS

A coluna Tipo de chave da tabela Chaves gerenciadas pelo cliente mostra se cada chave do KMS é simétrica ou assimétrica. Você pode filtrar a tabela pelo valor de Tipo de chave para exibir somente chaves do KMS assimétricas. Para ter mais informações, consulte Classificar e filtrar suas chaves do KMS .

A guia Configuração criptográfica na página de detalhes de uma chave do KMS exibe o Tipo de chave, que indica se a chave é simétrica ou assimétrica. Ela também exibe o Uso da chave, que indica se sua chave do KMS assimétrica é usada para criptografia e descriptografia, assinatura e verificação ou derivação de segredos compartilhados.

Em respostas DescribeKey

Quando você chama a operação DescribeKey em uma chave do KMS assimétrica, a resposta inclui os valores KeySpec e KeyUsage, que podem ser usados para determinar se uma chave do KMS é simétrica ou assimétrica.

Se o valor de KeySpec for SYMMETRIC_DEFAULT, a chave será uma chave do KMS de criptografia simétrica. Para obter detalhes sobre as especificações da chave assimétrica, consulte Referência de especificação de chave.

Se o valor de KeyUsage for SIGN_VERIFY ou KEY_AGREEMENT, a chave será uma chave do KMS assimétrica.

A operação DescribeKey também retorna os detalhes a seguir para chaves do KMS assimétricas.

  • Para chaves do KMS assimétricas com um valor KeyUsage de ENCRYPT_DECRYPT, a operação retorna EncryptionAlgorithms, que lista os algoritmos de criptografia válidos para a chave.

  • Para chaves do KMS assimétricas com um valor KeyUsage de SIGN_VERIFY, a operação retorna SigningAlgorithms, que lista os algoritmos de assinatura válidos para a chave.

  • Para chaves do KMS assimétricas com um valor KeyUsage de KEY_AGREEMENT, a operação retorna KeyAgreementAlgorithms, que lista os algoritmos de acordo de chave válidos para a chave.

Para obter mais informações sobre chaves do KMS assimétricas, consulte Chaves assimétricas no AWS KMS.

Identificar chaves do KMS de HMAC

No console do AWS KMS

As chaves do KMS de HMAC estão incluídas na tabela de Chaves gerenciadas pelo cliente, mas você não pode classificar ou filtrar essa tabela com base na especificação da chave ou nos valores de uso da chave que identificam as chaves de HMAC. Para facilitar a localização de suas chaves de HMAC, atribua um alias ou etiqueta distinta a elas. Em seguida, você pode classificar ou filtrar com base no alias ou etiqueta.

A guia Configuração criptográfica na página de detalhes de uma chave do KMS exibe o Tipo de chave, que indica se a chave é simétrica ou assimétrica. As chaves do KMS de HMAC são simétricas. A guia Configuração criptográfica também exibe o Uso da chave. O valor de uso de chave para chaves do KMS de HMAC sempre será Gerar e verificar MAC.

Em respostas DescribeKey

Quando você chama a operação DescribeKey em uma chave do KMS de HMAC, a resposta inclui os valores KeySpec e KeyUsage. Para chaves do KMS de HMAC, o valor de uso da chave sempre será GENERATE_VERIFY_MAC e o valor da especificação da chave sempre começará com HMAC_.

Para obter mais informações sobre as chaves do KMS de HMAC, consulte Chaves de HMAC no AWS KMS.

Identificar chaves do KMS de várias regiões

No console do AWS KMS

A tabela Chaves gerenciadas pelo cliente mostra apenas as chaves do KMS na região selecionada. É possível visualizar chaves primárias e de réplica de várias regiões na região selecionada. Para alterar a região da AWS, use o Seletor de regiões no canto superior direito do console.

Para facilitar a identificação de chaves de várias regiões na tabela Chaves gerenciadas pelo cliente, adicione a coluna Regionalidade à sua tabela. Para obter ajuda, consulte Personalizar suas tabelas de chaves do KMS.

A página de detalhes das chaves do KMS de várias regiões inclui uma guia Regionalidade. A guia Regionality (Regionalidade) de uma chave primária inclui os botões Change primary Region (Alterar região primária) e Create new replica keys (Criar novas chaves de réplica). (A guia Regionality (Regionalidade) de uma chave de réplica não tem botão.) A seção Related multi-Region keys (Chaves de várias regiões relacionadas) lista todas as chaves de várias regiões relacionadas à atual. Se a chave atual for uma chave de réplica, essa lista incluirá a chave primária.

Se você escolher uma chave de várias regiões relacionada na lista Related multi-Region keys (Chaves de várias regiões relacionadas), o console do AWS KMS muda para a região da chave selecionada e abrirá a página de detalhes da chave. Por exemplo, se você escolher a chave de réplica na região sa-east-1 da seção de exemplo Related multi-Region keys (Chaves de várias regiões relacionadas) abaixo, o console AWS KMS alterará para a região sa-east-1 a fim de exibir a página de detalhes dessa chave de réplica. Você pode fazer isso para exibir o alias ou a política de chave da chave de réplica. Para alterar novamente a região, use o seletor de região no canto superior direito da página.

Em respostas DescribeKey

Por padrão, as operações de API do AWS KMS são regionais e retornam somente os recursos na região atual ou especificada. Porém, quando você chama a operação DescribeKey em uma chave do KMS de várias regiões, a resposta inclui todas as chaves de várias regiões relacionadas em outras regiões do AWS no elemento MultiRegionConfiguration.

Para obter mais informações sobre as chaves do KMS de várias regiões, consulte Chaves de várias regiões em AWS KMS.

Identificar chaves do KMS com material de chave importado

No console do AWS KMS

Para facilitar a identificação de chaves do KMS com material de chave importado na tabela Chaves gerenciadas pelo cliente, adicione a coluna Origem à sua tabela. A coluna Origin (Origem) facilita a identificação das chaves do KMS com um valor de propriedade de origem External (Import Key material) (Externa [Importar material-chave]). Para obter ajuda, consulte Personalizar suas tabelas de chaves do KMS.

A guia Configuração criptográfica na página de detalhes de uma chave do KMS exibe a Origem, que identifica a origem do material da chave do KMS. Para chaves do KMS com material de chave importado, o valor de origem sempre será Externo (importar material de chave). A página de detalhes também inclui uma guia Material de chave que disponibiliza informações detalhadas sobre o material de chave importado. A guia Material de chave é exibida apenas na página de detalhes para chaves do KMS com material de chave importado.

Em respostas DescribeKey

Quando você chama a operação DescribeKey em uma chave do KMS com material de chave importado, a resposta inclui os valores Origin, ExpirationModel e ValidTo. Para chaves do KMS com material de chave importado, o valor de origem sempre será EXTERNAL. O valor ExpirationModel indica se o material de chave está ou não configurado para expirar, e o valor ValidTo indica quando o material de chave expirará. Para ter mais informações, consulte Definir um prazo de validade (opcional).

Para obter mais informações sobre chaves do KMS com material de chave importado, consulte Importação de material chave para AWS KMS chaves.

Identificar chaves do KMS em repositórios de chaves do AWS CloudHSM

No console do AWS KMS

Para facilitar a identificação de chaves em repositórios de chaves do AWS CloudHSM na tabela Chaves gerenciadas pelo cliente, adicione a coluna Origem à sua tabela. A coluna Origin (Origem) facilita a identificação das chaves do KMS com um valor de propriedade de origem AWS CloudHSM. Para obter ajuda, consulte Personalizar suas tabelas de chaves do KMS.

A guia Configuração criptográfica na página de detalhes de uma chave do KMS exibe a Origem, que identifica a origem do material da chave do KMS. Para chaves do KMS em repositórios de chaves do AWS CloudHSM, o valor de origem sempre será AWS CloudHSM.

Para uma chave do KMS em um repositório de chaves do AWS CloudHSM, a guia Configuração criptográfica inclui uma seção adicional, Repositório de chaves personalizado, que apresenta informações sobre o repositório de chaves do AWS CloudHSM e o cluster do AWS CloudHSM associado à chave do KMS.

Em respostas DescribeKey

Quando você chama a operação DescribeKey em uma chave do KMS em um repositório de chaves do AWS CloudHSM, a resposta inclui Origin, que identifica a origem do material de chave. Para chaves do KMS em um repositório de chaves do AWS CloudHSM, o valor de origem sempre será AWS_CLOUDHSM. A operação também retorna os seguintes campos especiais para chaves do KMS em repositórios de chaves do AWS CloudHSM:

  • CloudHsmClusterId

  • CustomKeyStoreId

Para obter mais informações sobre repositórios de chaves do AWS CloudHSM, consulte Armazenamentos de chaves do AWS CloudHSM.

Identificar chaves do KMS em repositórios de chaves externos

No console do AWS KMS

Para facilitar a identificação de chaves do KMS em repositórios de chaves externos na tabela Chaves gerenciadas pelo cliente, adicione a coluna Origem à sua tabela. A coluna Origem facilita a identificação das chaves do KMS com um valor de propriedade de origem Repositório de chaves externo. Para obter ajuda, consulte Personalizar suas tabelas de chaves do KMS.

A guia Configuração criptográfica na página de detalhes de uma chave do KMS exibe a Origem, que identifica a origem do material da chave do KMS. Para chaves do KMS em repositórios de chaves externos, o valor de origem sempre será Repositório de chaves externo.

Para uma chave do KMS em um repositório de chaves externo, a guia Configuração criptográfica inclui mais duas seções, Repositório de chaves personalizado e Chave externa. A tabela Repositório de chaves personalizado fornece informações sobre o repositório de chaves externo associado à chave do KMS. A tabela Chave externa é exibida no console do AWS KMS somente para chaves do KMS em repositórios de chaves externos. Ela fornece informações sobre a chave externa associada à chave do KMS. A chave externa é uma chave de criptografia fora da AWS que serve como material de chave para a chave do KMS no armazenamento de chaves externas. Quando você criptografa ou descriptografa com a chave do KMS, a operação é executada pelo gerenciador de chaves externas usando a chave externa especificada.

Os valores a seguir são exibidos na seção External key (Chave externa).

ID da chave externa

O identificador da chave externa no gerenciador de chaves externas. Este é o valor que o proxy de armazenamento de chaves externas usa para identificar a chave externa. Você especifica o ID da chave externa ao criar a chave do KMS e não pode alterá-la. Se o valor do ID da chave externa que você usou para criar a chave do KMS for alterado ou se tornar inválido, você deverá agendar a exclusão da chave do KMS e criar uma nova chave do KMS com o valor correto do ID da chave externa.

Em respostas DescribeKey

Quando você chama a operação DescribeKey em uma chave do KMS em um repositório de chaves externo, a resposta inclui Origin, que identifica a origem do material de chave. Para chaves do KMS em um repositório de chaves do AWS CloudHSM, o valor de origem sempre será EXTERNAL_KEY_STORE. A operação também retorna o elemento CustomKeyStoreId, que identifica o repositório de chaves externo associado às chaves do KMS.

Para mais informações sobre repositórios de chaves externos, consulte Armazenamentos de chaves externas.