As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Identificar e visualizar chaves
Você pode usar [Console de gerenciamento da AWS](https://console.aws.amazon.com/kms)ou a [API AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/APIReference/) para visualizar AWS KMS keys em cada conta e região, incluindo as chaves KMS que você gerencia e as chaves KMS que são gerenciadas por. AWS
**Topics**
+ [Encontrar o ID e o ARN da chave](find-cmk-id-arn.md)
+ [Acessar e listar detalhes de chaves do KMS](finding-keys.md)
+ [Identificar diferentes tipos de chaves](identify-key-types.md)
+ [Personalizar a exibição do console](viewing-console-customize.md)
+ [Encontre chaves KMS e material de chaves em um armazenamento de AWS CloudHSM chaves](find-key-material.md)
# Encontrar o ID e o ARN da chave
Para identificar um AWS KMS key, você pode usar o [ID da chave](concepts.md#key-id-key-id) ou o Amazon Resource Name ([ARN da chave](concepts.md#key-id-key-ARN)). Em [operações de criptografia](kms-cryptography.md#cryptographic-operations), também é possível usar o [nome do alias](concepts.md#key-id-alias-name) ou o [ARN do alias](concepts.md#key-id-alias-ARN).
Você pode usar o [AWS KMS console](https://console.aws.amazon.com/kms) ou a [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)operação para identificar o ID e o ARN da chave de cada chave KMS em sua conta e região.
Para obter informações detalhadas sobre os identificadores de chave KMS compatíveis com AWS KMS, consulte. [Identificadores-chave () KeyId](concepts.md#key-id) Para obter ajuda para encontrar um nome de alias e um ARN de alias, consulte [Encontrar o nome e o ARN do alias para uma chave do KMS](alias-view.md).
## Usando o AWS KMS console
1. Abra o AWS KMS console em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.
1. Para exibir as chaves em sua conta que você cria e gerencia, no painel de navegação, escolha **Customer managed keys (Chaves gerenciadas de cliente)**. Para ver as chaves em sua conta que AWS cria e gerencia para você, no painel de navegação, escolha **chaves AWS gerenciadas**.
1. Para encontrar o [ID de chave](concepts.md#key-id-key-id) de uma chave do KMS, consulte a linha que começa com o alias da chave do KMS.
A coluna **Key ID (ID de chave)** aparece na tabela por padrão. Se a coluna Key ID (ID de chave) não for exibida na tabela, use o procedimento descrito em [Personalizar a exibição do console](viewing-console-customize.md) para restaurá-la. Também é possível visualizar o ID de chave de uma chave do KMS em sua página de detalhes.
![\[Chaves gerenciadas pelo cliente table showing Key ID for a single key-test alias.\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/images/find-key-id-new.png)
1. Para encontrar o Amazon Resource Name (ARN) da chave do KMS, escolha o alias ou o ID da chave. O [ARN da chave](concepts.md#key-id-key-ARN) é exibido na seção **General Configuration (Configuração geral)**.
![\[General configuration section showing key alias, status, and ARN details.\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/images/find-key-arn.png)
## Usando a AWS KMS API
Para encontrar o [ID da chave](concepts.md#key-id-key-id) [e o ARN](concepts.md#key-id-key-ARN) da chave de um AWS KMS key, use a [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)operação.
A operação `ListKeys` retorna o ID de chave e o nome do recurso da Amazon (ARN) de todas as chaves do KMS na conta e na região do chamador.
Por exemplo, essa chamada para a operação `ListKeys` retorna o ID e o ARN de cada chave do KMS nessa conta fictícia. Para obter exemplos em várias linguagens de programação, consulte [Use `ListKeys` com um AWS SDK ou CLI](example_kms_ListKeys_section.md).
```
$ aws kms list-keys
{
"Keys": [
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyArn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"KeyArn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
]
}
```
# Acessar e listar detalhes de chaves do KMS
Você pode usar o [AWS KMS console](https://console.aws.amazon.com/kms) ou a [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operação para acessar e listar informações detalhadas sobre as chaves KMS na conta e na região.
Os procedimentos a seguir demonstram como acessar os detalhes da chave do KMS, como ID da chave, especificação da chave, uso da chave e muito mais.
## Usando o AWS KMS console
A página de detalhes de cada chave do KMS mostra as propriedades da chave do KMS. Ela difere ligeiramente de acordo com os diversos tipos de chaves do KMS.
Para exibir informações detalhadas sobre uma chave KMS, na página **Chaves gerenciadas pela AWS **ou **Chaves gerenciadas pelo cliente**, escolha o alias ou ID da chave KMS.
A página de detalhes de uma chave do KMS contém uma seção **General configuration** (Configuração Geral), que mostra as propriedades básicas da chave do KMS. Também inclui guias nas quais você pode visualizar e editar as propriedades de chave do KMS, como **Política de chave**, **Configuração criptográfica**, **Tags**, **Material de chave e rodízios** (para chaves do KMS compatíveis com rodízio automático ou sob demanda), **Regionalidade** (para chaves multirregionais) e **Chave pública** (para chaves do KMS assimétricas).
**nota**
O AWS KMS console exibe as chaves KMS que você tem [permissão para visualizar](customer-managed-policies.md#iam-policy-example-read-only-console) em sua conta e região. As chaves KMS em outros Contas da AWS não aparecem no console, mesmo que você tenha permissão para visualizá-las, gerenciá-las e usá-las. Para visualizar as chaves KMS em outras contas, use a [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operação.
Para navegar até a página de detalhes de uma chave do KMS.
1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.
1. Para exibir as chaves em sua conta que você cria e gerencia, no painel de navegação, escolha **Customer managed keys (Chaves gerenciadas de cliente)**. Para ver as chaves em sua conta que AWS cria e gerencia para você, no painel de navegação, escolha **chaves AWS gerenciadas**.
1. Para abrir a página de detalhes da chave, na tabela de chaves, escolha o ID ou alias da chave do KMS.
Se a chave do KMS incluir vários aliases, um resumo de aliases (**\$1mais *n***) será exibido do lado do nome de um dos aliases. Escolher resumo de aliases leva você diretamente à guia **Aliases** na página de detalhes da chave.
![\[AWS KMSchave gerenciada pelo cliente details showing general and cryptographic configurations.\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/images/console-key-detail-view-symmetric-sm.png)
A lista a seguir descreve os campos na exibição detalhada, incluindo o campo nas guias. Alguns desses campos também estão disponíveis como colunas na exibição de tabela.
**Aliases**
Local: guia Aliases
Um nome amigável para a chave do KMS. Você pode usar um alias para identificar a chave KMS no console e em alguns. AWS KMS APIs Para obter detalhes, consulte [Aliases em AWS KMS](kms-alias.md).
A guia **Aliases** exibe todos os aliases associados à chave KMS na região e. Conta da AWS
**ARN**
Local: seção General configuration (Configuração geral)
O nome do recurso da Amazon (ARN) da chave do KMS. Esse valor identifica exclusivamente a chave do KMS. É possível usá-lo para identificar a chave do KMS nas operações de API do AWS KMS .
**Estado da conexão**
Indica se um [armazenamento de chaves personalizado](key-store-overview.md#custom-key-store-overview) está conectado a seu armazenamento de chaves de reserva. Esse campo é exibido somente quando a chave do KMS é criada em um armazenamento de chaves personalizado.
Para obter informações sobre os valores nesse campo, consulte [ConnectionState](https://docs.aws.amazon.com/kms/latest/APIReference/API_CustomKeyStoresListEntry.html#KMS-Type-CustomKeyStoresListEntry-ConnectionState)na *Referência da AWS KMS API*.
**Data de Criação**
Local: seção General configuration (Configuração geral)
A data e a hora em que a chave do KMS foi criada. Esse valor é exibido na hora local do dispositivo. O fuso horário não depende da região.
Diferente de **Expiration** (Validade), a criação se refere somente à chave do KMS, e não ao seu material de chave.
**ID do cluster do CloudHSM**
Local: guia Cryptographic configuration (Configuração criptográfica)
O ID do AWS CloudHSM cluster que contém o material de chave para a chave KMS. Esse campo é exibido somente quando a chave do KMS é criada em um [armazenamento de chaves personalizado](key-store-overview.md#custom-key-store-overview).
Se você escolher o ID do cluster do CloudHSM, ele abrirá **a página Clusters no** console. AWS CloudHSM
**Material de chave atual**
Local: seção General configuration (Configuração geral)
Chaves de criptografia simétrica com a origem `AWS_KMS` são compatíveis com rodízio automático e sob demanda. Chaves de criptografia simétricas com suporte de `EXTERNAL` origem para rotação sob demanda. Essas chaves podem ter vários materiais de chave associados a elas. O material de chave do rodízio mais recente pode ser usado tanto para criptografia quanto para descriptografia. Esse material chave é identificado como o material chave atual. Outros materiais de chave podem ser usados somente para descriptografia. O rodízio automático ou sob demanda de uma chave do KMS altera seu material de chave atual.
**ID do armazenamento de chaves personalizado**
Local: guia Cryptographic configuration (Configuração criptográfica)
O ID do [armazenamento de chaves personalizado](key-store-overview.md#custom-key-store-overview) que contém a chave do KMS. Esse campo é exibido somente quando a chave do KMS é criada em um armazenamento de chaves personalizado.
Se você escolher o ID de armazenamento de chaves personalizadas, ele abrirá a página **Armazenamentos de chaves personalizadas** no AWS KMS console.
**Nome do armazenamento de chaves personalizado**
Local: guia Cryptographic configuration (Configuração criptográfica)
O nome do [armazenamento de chaves personalizado](key-store-overview.md#custom-key-store-overview) que contém a chave do KMS. Esse campo é exibido somente quando a chave do KMS é criada em um armazenamento de chaves personalizado.
**Tipo do armazenamento de chaves personalizado**
Local: guia Cryptographic configuration (Configuração criptográfica)
Indica se o armazenamento de chaves personalizado é um [armazenamento de chaves do AWS CloudHSM](keystore-cloudhsm.md) ou um [armazenamento de chaves externas](keystore-external.md). Esse campo é exibido somente quando a chave do KMS é criada em um [armazenamento de chaves personalizado](key-store-overview.md#custom-key-store-overview).
**Description**
Local: seção General configuration (Configuração geral)
Uma descrição breve e opcional da chave do KMS que é possível escrever e editar. Para adicionar ou atualizar a descrição de uma chave gerenciada pelo cliente, acima de **General Configuration** (Configuração geral), selecione **Edit** (Editar).
**Algoritmos de criptografia**
Local: guia Cryptographic configuration (Configuração criptográfica)
Lista os algoritmos de criptografia que podem ser usados com a chave do KMS no AWS KMS. Esse campo é exibido somente quando o **Key type (Tipo de chave)** é **Asymmetric (Assimétrico)** e o **Key usage (Uso da chave)** é **Encrypt and decrypt (Criptografar e descriptografar)**. Para obter informações sobre os algoritmos de criptografia que oferecem AWS KMS suporte, consulte [Especificação da chave SYMMETRIC\$1DEFAULT](symm-asymm-choose-key-spec.md#symmetric-cmks) [Especificações de chave RSA para criptografia e descriptografia](symm-asymm-choose-key-spec.md#key-spec-rsa-encryption) e.
**Data de expiração**
Local: guia Key material (Material da chave)
A data e a hora quando o material de chave da chave do KMS expira. Esse campo é exibido somente para chaves do KMS com [material de chave importado](importing-keys.md), ou seja, quando a **Origem** é **Externa** e a chave do KMS tem material de chave que expira. As chaves de criptografia simétricas podem ter vários materiais de chave associados a elas. Para essas chaves, esse campo indica a primeira data e hora de expiração de um dos materiais de chave associados.
**ID da chave externa**
Local: guia Cryptographic configuration (Configuração criptográfica)
O ID da [chave externa](keystore-external.md#concept-external-key) associada a uma chave do KMS que está em um [armazenamento de chaves externas](keystore-external.md). Esse campo é exibido somente para chaves do KMS em um armazenamento de chaves externas.
**Status da chave externa**
Local: guia Cryptographic configuration (Configuração criptográfica)
O status mais recente que o [proxy do armazenamento de chaves externas](keystore-external.md#concept-xks-proxy) relatou para a [chave externa](keystore-external.md#concept-external-key) associada à chave do KMS. Esse campo é exibido somente para chaves do KMS em um armazenamento de chaves externas.
**Uso de chaves externas**
Local: guia Cryptographic configuration (Configuração criptográfica)
As operações de criptografia que estão habilitadas na [chave externa](keystore-external.md#concept-external-key) associada à chave do KMS. Esse campo é exibido somente para chaves do KMS em um armazenamento de chaves externas.
**Política de chave**
Local: guia Key policy (Política de chaves)
Controla o acesso à chave do KMS juntamente com [políticas do IAM](iam-policies.md) e [concessões](grants.md). Cada chave do KMS tem uma política de chaves. Ela é o único elemento de autorização obrigatório. Para alterar a política de chaves de uma chave gerenciada pelo cliente, na guia **Key policy** (Política de chaves), selecione **Edit** (Editar). Para obter detalhes, consulte [Políticas-chave em AWS KMS](key-policies.md).
**Material de chave e rodízios**
Onde: guia Material de chave e rodízios
Essa guia é exibida somente para chaves de criptografia simétrica com a origem `AWS_KMS` (compatíveis com rodízio automático e sob demanda), bem como para chaves de criptografia simétrica de região única com a origem `EXTERNAL` (compatíveis com rodízio sob demanda).
A guia tem três painéis:
Rodízio automático: habilita e desabilita o [rodízio automático](rotate-keys.md) do material de chave em uma [chave do KMS gerenciada pelo cliente](concepts.md#customer-mgn-key). Para alterar o status de rodízio de uma [chave gerenciada pelo cliente](concepts.md#customer-mgn-key), use a caixa de seleção. Não é possível habilitar ou desabilitar a alternância do material da chave em uma [Chave gerenciada pela AWS](concepts.md#aws-managed-key). As Chaves gerenciadas pela AWS são alternadas automaticamente a cada ano.
Rodízio sob demanda: inicie um [rodízio sob demanda](rotate-keys.md) do material de chave em uma [chave gerenciada pelo cliente](concepts.md#customer-mgn-key). Para chaves importadas, já deve haver um material de chave importado em estado `PENDING_ROTATION` para que a opção **Fazer rodízio agora** esteja disponível.
Materiais de chave: lista todos os materiais de chave associados à chave do KMS. Cada material de chave tem um identificador exclusivo e sua linha exibe informações adicionais sobre o material de chave, como a data de rodízio em que o material de chave ficou disponível para uso no KMS. Para chaves importadas, cada linha também tem um menu **Ações** que pode ser usado para excluir um material de chave específico ou reimportá-lo para a chave do KMS.
**Especificação da chave**
Local: guia Cryptographic configuration (Configuração criptográfica)
O tipo de material de chave na chave KMS. AWS KMS suporta chaves KMS de criptografia simétrica (SYMMETRIC\$1DEFAULT), chaves HMAC KMS de diferentes comprimentos, chaves KMS para chaves RSA de diferentes comprimentos e chaves de curva elíptica com curvas diferentes. Para obter detalhes, consulte [Key spec](create-keys.md#key-spec).
**Tipo de chave**
Local: guia Cryptographic configuration (Configuração criptográfica)
Indica se a chave do KMS é **Simétrica** ou **Assimétrica**.
**Uso da chave**
Local: guia Cryptographic configuration (Configuração criptográfica)
Indica se uma chave do KMS pode ser usada para **criptografar e descriptografar**, **assinar e verificar** ou **gerar e verificar um MAC**. Para obter detalhes, consulte [Key usage](create-keys.md#key-usage).
**Origem**
Local: guia Cryptographic configuration (Configuração criptográfica)
A origem do material de chave da chave do KMS. Os valores válidos são:
+ **AWS KMS** para material de chaves gerado pelo AWS KMS
+ **AWS CloudHSM** para chaves do KMS no [armazenamento de chaves do AWS CloudHSM](keystore-cloudhsm.md)
+ **Externa** para [material de chave importado](importing-keys.md) (BYOK)
+ **Armazenamento de chaves externas** para chaves do KMS em um [armazenamento de chaves externas](keystore-external.md)
**Algoritmos de Message authentication code (MAC – Código de autenticação de mensagem)**
Local: guia Cryptographic configuration (Configuração criptográfica)
Lista os algoritmos de Message authentication code (MAC – Código de autenticação de mensagem) que podem ser usados com uma chave do KMS de HMAC no AWS KMS. Esse campo só aparece quando a **Key spec** (Especificação da chave) é uma especificação de chave de HMAC (HMAC\$1\$1). Para obter informações sobre os algoritmos de MAC compatíveis com o AWS KMS , consulte [Especificações de chave para chaves do KMS de HMAC](symm-asymm-choose-key-spec.md#hmac-key-specs).
**Chave primária**
Local: guia Regionality (Regionalidade)
Indica que essa chave do KMS é uma [chave primária de várias regiões](multi-region-keys-overview.md#mrk-primary-key). Os usuários autorizados podem usar essa seção para [transformar a chave primária](multi-region-update.md) em uma chave de várias Regiões relacionada diferente. Esse campo só aparece quando a chave do KMS é uma chave primária de várias regiões.
**Chave pública**
Local: guia Public key (Chave pública)
Exibe a chave pública de uma chave do KMS assimétrica. Os usuários autorizados podem usar essa guia para [copiar e fazer download da chave pública](download-public-key.md).
**Regionalidade**
Local: seção General configuration (Configuração geral) e guias Regionality (Regionalidade)
Indica se uma chave do KMS é de região única, uma [chave primária de várias regiões](multi-region-keys-overview.md#mrk-primary-key) ou uma [chave de réplica de várias regiões](multi-region-keys-overview.md#mrk-replica-key). Esse campo só aparece quando a chave do KMS é uma chave de várias regiões.
**Chaves de várias regiões relacionadas**
Local: guia Regionality (Regionalidade)
Exibe todas as [chaves primárias e chaves de réplica de várias regiões](multi-region-keys-overview.md) relacionadas, exceto a chave do KMS atual. Esse campo só aparece quando a chave do KMS é uma chave de várias regiões.
Na seção **Related multi-Region keys** (Chaves de várias regiões relacionadas) de uma chave primária, os usuários autorizados podem [criar novas chaves de réplica](multi-region-keys-replicate.md).
**Chave de réplica**
Local: guia Regionality (Regionalidade)
Indica que essa chave do KMS é uma [chave de réplica de várias regiões](multi-region-keys-overview.md#mrk-replica-key). Esse campo só aparece quando a chave do KMS é uma chave de réplica de várias regiões.
**Algoritmos de assinatura**
Local: guia Cryptographic configuration (Configuração criptográfica)
Lista os algoritmos de assinatura que podem ser usados com a chave do KMS no AWS KMS. Esse campo é exibido somente quando o **Key type (Tipo de chave)** é **Asymmetric (Assimétrico)** e o **Key usage (Uso da chave)** é **Sign and verify (Assinar e verificar)**. Para obter informações sobre os algoritmos de assinatura que oferecem AWS KMS suporte, consulte [Especificações de chave RSA para assinatura e verificação](symm-asymm-choose-key-spec.md#key-spec-rsa-sign) [Especificações da chave de curva elíptica](symm-asymm-choose-key-spec.md#key-spec-ecc) e.
**Status**
Local: seção General configuration (Configuração geral)
O estado da chave do KMS. É possível usar a chave do KMS em [operações criptográficas](kms-cryptography.md#cryptographic-operations) somente quando o status é **Enabled** (Habilitado). Para obter uma descrição detalhada do status de cada chave do KMS e seu efeito nas operações que podem ser executadas na chave do KMS, consulte [Principais estados das AWS KMS chaves](key-state.md).
**Tags**
Local: guia Tags (Etiquetas)
Pares de chave-valor opcionais que descrevem a chave do KMS. Para adicionar ou alterar as etiquetas de uma chave do KMS, na guia **Tags** (Etiquetas), selecione **Edit** (Editar).
Quando você adiciona tags aos seus AWS recursos, AWS gera um relatório de alocação de custos com uso e custos agregados por tags. Etiquetas também podem ser utilizadas para controlar o acesso a uma chave do KMS. Para informações sobre marcação de chaves do KMS, consulte [Etiquetas em AWS KMS](tagging-keys.md) e [ABAC para AWS KMS](abac.md).
## Usando a AWS KMS API
A [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operação retorna detalhes sobre a chave KMS especificada. Para identificar a chave do KMS, use seu [ID de chave](concepts.md#key-id-key-id), [ARN de chave](concepts.md#key-id-key-ARN), [nome de alias](concepts.md#key-id-alias-name) ou [ARN de alias](concepts.md#key-id-alias-ARN).
Ao contrário da [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)operação, que exibe somente as chaves KMS na conta e na região do chamador, os usuários autorizados podem usar a `DescribeKey` operação para obter detalhes sobre as chaves KMS em outras contas.
**nota**
A resposta de `DescribeKey` inclui os membros `KeySpec` e `CustomerMasterKeySpec` com os mesmos valores. O membro `CustomerMasterKeySpec` é defasado.
Por exemplo, essa chamada para `DescribeKey` retorna informações sobre uma chave do KMS de criptografia simétrica. Os campos na resposta variam de acordo com a [especificação da AWS KMS key](create-keys.md#key-spec), o [estado da chave](key-state.md) e a [origem do material de chave](create-keys.md#key-origin). Para obter exemplos em várias linguagens de programação, consulte [Use `DescribeKey` com um AWS SDK ou CLI](example_kms_DescribeKey_section.md).
```
$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyMetadata": {
"Origin": "AWS_KMS",
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"Description": "",
"KeyManager": "CUSTOMER",
"Enabled": true,
"KeySpec": "SYMMETRIC_DEFAULT",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"CreationDate": 1499988169.234,
"MultiRegion": false,
"Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"AWSAccountId": "111122223333",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"CurrentKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
}
}
```
Esse exemplo chama a operação `DescribeKey` em uma chave do KMS assimétrica usada para assinatura e verificação. A resposta inclui os algoritmos de assinatura compatíveis com o AWS KMS para essa chave do KMS.
```
$ aws kms describe-key --key-id 0987dcba-09fe-87dc-65ba-ab0987654321
{
"KeyMetadata": {
"KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"Origin": "AWS_KMS",
"Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"KeyState": "Enabled",
"KeyUsage": "SIGN_VERIFY",
"CreationDate": 1569973196.214,
"Description": "",
"KeySpec": "ECC_NIST_P521",
"CustomerMasterKeySpec": "ECC_NIST_P521",
"AWSAccountId": "111122223333",
"Enabled": true,
"MultiRegion": false,
"KeyManager": "CUSTOMER",
"SigningAlgorithms": [
"ECDSA_SHA_512"
]
}
}
```
# Identificar diferentes tipos de chaves
Os tópicos a seguir explicam como identificar diferentes tipos de chaves no AWS KMS console e [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)nas respostas.
Para obter ajuda na navegação até a guia **Configuração criptográfica** na página de detalhes de uma chave do KMS, consulte [Acessar e listar detalhes de chaves do KMS](finding-keys.md).
**Topics**
+ [Identificar chaves do KMS assimétricas](#identify-asymm-keys)
+ [Identificar chaves do KMS de HMAC](#hmac-view)
+ [Identificar chaves do KMS de várias regiões](#multi-region-keys-view)
+ [Identificar chaves do KMS com material de chave importado](#identify-imported-keys)
+ [Identificar chaves KMS em lojas de AWS CloudHSM chaves](#identify-key-hsm-keystore)
+ [Identificar chaves do KMS em repositórios de chaves externos](#view-xks-key)
## Identificar chaves do KMS assimétricas
**No AWS KMS console**
A coluna **Tipo de chave** da tabela **Chaves gerenciadas pelo cliente** mostra se cada chave do KMS é simétrica ou assimétrica. Você pode filtrar a tabela pelo valor de **Tipo de chave** para exibir somente chaves do KMS assimétricas. Para obter mais informações, consulte [Classificar e filtrar suas chaves do KMS](viewing-console-customize.md#viewing-console-filter).
A guia **Configuração criptográfica** na página de detalhes de uma chave do KMS exibe o **Tipo de chave**, que indica se a chave é simétrica ou assimétrica. Ela também exibe o **Uso da chave**, que indica se sua chave do KMS assimétrica é usada para criptografia e descriptografia, assinatura e verificação ou derivação de segredos compartilhados.
**Nas DescribeKey respostas**
Quando você chama a operação `DescribeKey` em uma chave do KMS assimétrica, a resposta inclui os valores `KeySpec` e `KeyUsage`, que podem ser usados para determinar se uma chave do KMS é simétrica ou assimétrica.
Se o valor de `KeySpec` for `SYMMETRIC_DEFAULT`, a chave será uma chave do KMS de criptografia simétrica. Para obter detalhes sobre as especificações da chave assimétrica, consulte [Referência de especificação de chave](symm-asymm-choose-key-spec.md).
Se o valor de `KeyUsage` for `SIGN_VERIFY` ou `KEY_AGREEMENT`, a chave será uma chave do KMS assimétrica.
A operação `DescribeKey` também retorna os detalhes a seguir para chaves do KMS assimétricas.
+ Para chaves do KMS assimétricas com um valor `KeyUsage` de `ENCRYPT_DECRYPT`, a operação retorna `EncryptionAlgorithms`, que lista os algoritmos de criptografia válidos para a chave.
+ Para chaves do KMS assimétricas com um valor `KeyUsage` de `SIGN_VERIFY`, a operação retorna `SigningAlgorithms`, que lista os algoritmos de assinatura válidos para a chave.
+ Para chaves do KMS assimétricas com um valor `KeyUsage` de `KEY_AGREEMENT`, a operação retorna `KeyAgreementAlgorithms`, que lista os algoritmos de acordo de chave válidos para a chave.
Para obter mais informações sobre chaves do KMS assimétricas, consulte [Chaves assimétricas em AWS KMS](symmetric-asymmetric.md).
## Identificar chaves do KMS de HMAC
**No AWS KMS console**
As chaves do KMS de HMAC estão incluídas na tabela de **Chaves gerenciadas pelo cliente**, mas você não pode classificar ou filtrar essa tabela com base na especificação da chave ou nos valores de uso da chave que identificam as chaves de HMAC. Para facilitar a localização de suas chaves de HMAC, atribua um alias ou etiqueta distinta a elas. Em seguida, você pode classificar ou filtrar com base no alias ou etiqueta.
A guia **Configuração criptográfica** na página de detalhes de uma chave do KMS exibe o **Tipo de chave**, que indica se a chave é simétrica ou assimétrica. As chaves do KMS de HMAC são simétricas. A guia **Configuração criptográfica** também exibe o **Uso da chave**. O valor de uso de chave para chaves do KMS de HMAC sempre será **Gerar e verificar MAC**.
**Nas DescribeKey respostas**
Quando você chama a operação `DescribeKey` em uma chave do KMS de HMAC, a resposta inclui os valores `KeySpec` e `KeyUsage`. Para chaves do KMS de HMAC, o valor de uso da chave sempre será `GENERATE_VERIFY_MAC` e o valor da especificação da chave sempre começará com `HMAC_`.
Para obter mais informações sobre as chaves do KMS de HMAC, consulte [Chaves HMAC em AWS KMS](hmac.md).
## Identificar chaves do KMS de várias regiões
**No AWS KMS console**
A tabela **Chaves gerenciadas pelo cliente** mostra apenas as chaves do KMS na região selecionada. É possível visualizar chaves primárias e de réplica de várias regiões na região selecionada. Para alterar a AWS região, use o seletor de região no canto superior direito do console.
Para facilitar a identificação de chaves de várias regiões na tabela **Chaves gerenciadas pelo cliente**, adicione a coluna **Regionalidade** à sua tabela. Para obter ajuda, consulte [Personalizar suas tabelas de chaves do KMS](viewing-console-customize.md#console-customize-tables).
A página de detalhes das chaves do KMS de várias regiões inclui uma guia **Regionalidade**. A guia **Regionality** (Regionalidade) de uma chave primária inclui os botões Change primary Region (Alterar região primária) e Create new replica keys (Criar novas chaves de réplica). (A guia Regionality (Regionalidade) de uma chave de réplica não tem botão.) A seção **Related multi-Region keys** (Chaves de várias regiões relacionadas) lista todas as chaves de várias regiões relacionadas à atual. Se a chave atual for uma chave de réplica, essa lista incluirá a chave primária.
Se você escolher uma chave multirregional **relacionada na tabela Chaves multirregionais** relacionadas, o AWS KMS console mudará para a região da chave selecionada e abrirá a página de detalhes da chave. Por exemplo, se você escolher a chave de réplica na `sa-east-1` região na seção de exemplo de **chaves multirregionais relacionadas** abaixo, o AWS KMS console mudará para a `sa-east-1` região para exibir a página de detalhes dessa chave de réplica. Você pode fazer isso para exibir o alias ou a política de chave da chave de réplica. Para alterar novamente a região, use o seletor de região no canto superior direito da página.
**Nas DescribeKey respostas**
Por padrão, as operações de AWS KMS API são regionais e retornam somente os recursos na região atual ou especificada. Porém, quando você chama a `DescribeKey` operação em uma chave KMS multirregional, a resposta inclui todas as chaves multirregionais relacionadas em outras AWS regiões no elemento. `MultiRegionConfiguration`
Para obter mais informações sobre as chaves do KMS de várias regiões, consulte [Chaves multirregionais em AWS KMS](multi-region-keys-overview.md).
## Identificar chaves do KMS com material de chave importado
**No AWS KMS console**
Para facilitar a identificação de chaves do KMS com material de chave importado na tabela **Chaves gerenciadas pelo cliente**, adicione a coluna **Origem** à sua tabela. A coluna **Origin** (Origem) facilita a identificação das chaves do KMS com um valor de propriedade de origem **External (Import Key material)** (Externa [Importar material-chave]). Para obter ajuda, consulte [Personalizar suas tabelas de chaves do KMS](viewing-console-customize.md#console-customize-tables).
A guia **Configuração criptográfica** na página de detalhes de uma chave do KMS exibe a **Origem**, que identifica a origem do material da chave do KMS. Para chaves do KMS com material de chave importado, o valor de origem sempre será **Externo (importar material de chave)**. A página de detalhes também inclui uma guia **Material de chave** que disponibiliza informações detalhadas sobre o material de chave importado. As chaves de criptografia simétricas com `EXTERNAL` origem oferecem suporte a rotações sob demanda e podem ter vários materiais de chave associados a elas. Para essas chaves, a guia tem o rótulo **Material da chave e rodízios**.
**Nas DescribeKey respostas**
Quando você chama a operação `DescribeKey` em uma chave do KMS com material de chave importado, a resposta inclui os valores `Origin`, `ExpirationModel` e `ValidTo`. Para chaves do KMS com material de chave importado, o valor de origem sempre será `EXTERNAL`. O valor `ExpirationModel` indica se o material de chave está ou não configurado para expirar, e o valor `ValidTo` indica quando o material de chave expirará. Quando vários materiais de chave são associados a uma chave, o valor `ValidTo` indica a primeira data de expiração de validade de todos os materiais de chave (exceto o que está com rodízio pendente) e `ExpirationModel` é definido como `DOES_NOT_EXPIRE` somente se nenhum desses materiais de chave estiver definido para expirar. Para obter mais informações, consulte [Definir um prazo de validade (opcional)](importing-keys-import-key-material.md#importing-keys-expiration).
Para obter mais informações sobre chaves do KMS com material de chave importado, consulte [Importação de material chave para AWS KMS chaves](importing-keys.md).
## Identificar chaves KMS em lojas de AWS CloudHSM chaves
**No AWS KMS console**
Para facilitar a identificação de chaves KMS em AWS CloudHSM armazenamentos de chaves na tabela de **chaves gerenciadas pelo cliente**, adicione a coluna **Origem** à sua tabela. A coluna **Origem** facilita a identificação das chaves do KMS com um valor de propriedade de origem **AWS CloudHSM** . Para obter ajuda, consulte [Personalizar suas tabelas de chaves do KMS](viewing-console-customize.md#console-customize-tables).
A guia **Configuração criptográfica** na página de detalhes de uma chave do KMS exibe a **Origem**, que identifica a origem do material da chave do KMS. Para chaves KMS em armazenamentos de AWS CloudHSM chaves, o valor de origem é sempre **AWS CloudHSM**.
Para uma chave KMS em um armazenamento de AWS CloudHSM chaves, a guia **Configuração criptográfica** inclui uma seção adicional, **Armazenamento de chaves personalizadas**, que fornece informações sobre o armazenamento de chaves e o AWS CloudHSM cluster associado à AWS CloudHSM chave KMS.
**Nas DescribeKey respostas**
Quando você chama a operação `DescribeKey` em uma chave do KMS em um repositório de chaves do AWS CloudHSM , a resposta inclui `Origin`, que identifica a origem do material de chave. Para chaves KMS em um armazenamento de AWS CloudHSM chaves, o valor de origem é sempre`AWS_CLOUDHSM`. A operação também retorna os seguintes campos especiais para chaves KMS nos AWS CloudHSM armazenamentos de chaves:
+ `CloudHsmClusterId`
+ `CustomKeyStoreId`
Para obter mais informações sobre as AWS CloudHSM principais lojas, consulte[AWS CloudHSM lojas principais](keystore-cloudhsm.md).
## Identificar chaves do KMS em repositórios de chaves externos
**No AWS KMS console**
Para facilitar a identificação de chaves do KMS em repositórios de chaves externos na tabela **Chaves gerenciadas pelo cliente**, adicione a coluna **Origem** à sua tabela. A coluna **Origem** facilita a identificação das chaves do KMS com um valor de propriedade de origem **Repositório de chaves externo**. Para obter ajuda, consulte [Personalizar suas tabelas de chaves do KMS](viewing-console-customize.md#console-customize-tables).
A guia **Configuração criptográfica** na página de detalhes de uma chave do KMS exibe a **Origem**, que identifica a origem do material da chave do KMS. Para chaves do KMS em repositórios de chaves externos, o valor de origem sempre será **Repositório de chaves externo**.
Para uma chave do KMS em um repositório de chaves externo, a guia **Configuração criptográfica** inclui mais duas seções, **Repositório de chaves personalizado** e **Chave externa**. A tabela **Repositório de chaves personalizado** fornece informações sobre o repositório de chaves externo associado à chave do KMS. A tabela **Chave externa** é exibida no console do AWS KMS somente para chaves do KMS em repositórios de chaves externos. Ela fornece informações sobre a chave externa associada à chave do KMS. A [*chave externa*](keystore-external.md#concept-external-key) é uma chave criptográfica externa AWS que serve como material de chave para a chave KMS no armazenamento de chaves externo. Quando você criptografa ou descriptografa com a chave do KMS, a operação é executada pelo [gerenciador de chaves externas](keystore-external.md#concept-ekm) usando a chave externa especificada.
Os valores a seguir são exibidos na seção **External key** (Chave externa).
**ID da chave externa**
O identificador da chave externa no gerenciador de chaves externas. Este é o valor que o proxy de armazenamento de chaves externas usa para identificar a chave externa. Você especifica o ID da chave externa ao criar a chave do KMS e não pode alterá-la. Se o valor do ID da chave externa que você usou para criar a chave do KMS for alterado ou se tornar inválido, você deverá [agendar a exclusão da chave do KMS](deleting-keys.md) e [criar uma nova chave do KMS](create-xks-keys.md) com o valor correto do ID da chave externa.
**Nas DescribeKey respostas**
Quando você chama a operação `DescribeKey` em uma chave do KMS em um repositório de chaves externo, a resposta inclui `Origin`, que identifica a origem do material de chave. Para chaves KMS em um armazenamento de AWS CloudHSM chaves, o valor de origem é sempre`EXTERNAL_KEY_STORE`. A operação também retorna o elemento `CustomKeyStoreId`, que identifica o repositório de chaves externo associado às chaves do KMS.
Para mais informações sobre repositórios de chaves externos, consulte [Armazenamentos de chaves externas](keystore-external.md).
# Personalizar a exibição do console
Você pode personalizar a visualização do AWS KMS console para facilitar a localização de suas chaves KMS. Personalize as tabelas que aparecem nas páginas **Chaves gerenciadas pela AWS** e **Chaves gerenciadas pelo cliente** para mostrar as informações de que você mais precisa, ou classifique e filtre as chaves do KMS retornadas nas tabelas.
**Topics**
+ [Classificar e filtrar suas chaves do KMS](#viewing-console-filter)
+ [Personalizar suas tabelas de chaves do KMS](#console-customize-tables)
## Classificar e filtrar suas chaves do KMS
Para facilitar a localização das chaves do KMS no console, é possível classificar e filtrar as tabelas de chaves.
**Classificar**
É possível classificar chaves do KMS gerenciadas pelo cliente em ordem ascendente ou descendente pelos valores da coluna. Esse recurso classifica todas as chaves do KMS da tabela, mesmo se elas não forem exibidas na página atual da tabela.
As colunas classificáveis são indicadas por uma seta ao lado do nome da coluna. Na página **Chaves gerenciadas pela AWS**, você pode classificar por **Aliases** ou **ID da chave**. Na página **Customer managed keys** (Chaves gerenciadas pelo cliente), é possível classificar por **Aliases**, **Key ID** (ID de chave) ou **Key type** (Tipo de chave).
Para classificar em ordem ascendente, selecione o cabeçalho da coluna até que a seta aponte para cima. Para classificar em ordem descendente, selecione o cabeçalho da coluna até que a seta aponte para baixo. É possível classificar apenas por uma coluna de cada vez.
Por exemplo, é possível classificar chaves do KMS em ordem crescente por ID de chave, em vez de aliases, que é o padrão.
![\[Chaves gerenciadas pela AWS interface showing sortable columns for Aliases and Key ID.\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/images/console-sort.png)
Ao classificar as chaves do KMS na página **Customer managed keys** (Chaves gerenciadas pelo cliente) em ordem crescente por **Key type** (Tipo de chave), todas as chaves assimétricas são exibidas antes de todas as chaves simétricas.
**Filtro**
É possível filtrar todas as chaves do KMS com base em seus valores de propriedade ou etiquetas. O filtro aplica-se a todas as chaves do KMS da tabela, mesmo se elas não forem exibidas na página atual da tabela. O filtro não diferencia letras maiúsculas de minúsculas.
As propriedades filtráveis são listadas na caixa de filtro. Na página **Chaves gerenciadas pela AWS **, é possível filtrar por alias e ID da chave. Na página **Customer managed keys** (Chaves gerenciadas pelo cliente), é possível filtrar por alias, ID de chave e tipo de chave, bem como por etiquetas.
+ Na página **Chaves gerenciadas pela AWS**, é possível filtrar por alias e ID da chave.
+ Na página **Customer managed keys** (Chaves gerenciadas pelo cliente), é possível filtrar por etiquetas ou por alias, ID de chave, tipo de chave e regionalidade.
Para filtrar com base em um valor de propriedade, selecione o filtro, o nome da propriedade e uma opção na lista de valores de propriedade reais. Para filtrar com base em uma etiqueta, escolha a chave de etiqueta e depois selecione uma opção na lista de valores de etiquetas reais. Depois de escolher uma chave de etiqueta ou propriedade, também é possível digitar todo o valor da propriedade ou da etiqueta, ou parte do valor. Será exibida uma previsualização dos resultados antes de você fazer sua escolha.
Por exemplo, para exibir chaves do KMS com um nome de alias que contenha `aws/e`, escolha a caixa de filtro, escolha **Alias**, digite `aws/e` e pressione `Enter` ou `Return` para adicionar o filtro.
![\[Search box for Chaves gerenciadas pela AWS with Aliases filter and example entries.\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/images/filter-alias.png)
### Filtros sugeridos para a tabela de chaves do KMS
**Filtro para chaves do KMS assimétricas**
Para exibir somente chaves do KMS assimétricas na página **Customer managed keys** (Chaves gerenciadas pelo cliente), clique na caixa de filtro, escolha **Key type** (Tipo de chave) e escolha **Key type: Asymmetric** (Tipo de chave: assimétrica). A opção **Asymmetric** (Assimétrica) é exibida somente quando você tem chaves do KMS assimétricas na tabela.
**Filtro para chaves de várias regiões**
Para exibir apenas as chaves de várias Regiões, na página **Customer managed keys** (Chaves gerenciadas pelo cliente), selecione a caixa de filtro, escolha **Regionality** (Regionalidade) e depois **Regionality: Multi-Region** (Regionalidade: várias regiões). A opção **Multi-Region** (Várias regiões) será exibida apenas quando você tiver chaves de várias Regiões na tabela.
**Filtro para tags**
Para exibir apenas chaves do KMS com uma etiqueta específica, selecione a caixa de filtro, a chave de etiqueta e entre os valores de etiquetas reais. Também é possível digitar todo o valor da etiqueta ou parte dele.
A tabela resultante mostra todas as chaves do KMS com a etiqueta selecionada. Porém, essa tabela não mostra a etiqueta. Para ver a etiqueta, selecione o alias ou o ID da chave da KMS e, na página de detalhes, escolha a guia **Tags** (Etiquetas). As guias aparecem sob a seção **General configuration** (Configuração geral).
Esse filtro exige a chave e o valor da etiqueta. Ele não localizará chaves do KMS apenas com a chave da etiqueta ou apenas com seu valor. Para filtrar as tags por toda ou parte da chave ou valor da tag, use a [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)operação para obter chaves KMS marcadas e, em seguida, use os recursos de filtragem da sua linguagem de programação.
**Filtrar por texto**
Para procurar texto, na caixa de filtragem, digite todo o alias, ou parte dele, o ID de chave, o tipo de chave ou a chave da etiqueta. (Após a seleção da chave da etiqueta, você poderá procurar um valor de etiqueta). Será exibida uma previsualização dos resultados antes de você fazer sua escolha.
Por exemplo, para mostrar chaves do KMS com `test` em suas chaves de etiqueta ou propriedades filtráveis, digite `test` na caixa de filtragem. A previsualização exibe as chaves do KMS que o filtro selecionará. Nesse caso, `test` aparece somente na propriedade **Alias**.
## Personalizar suas tabelas de chaves do KMS
Você pode personalizar as tabelas que aparecem nas páginas de chaves gerenciadas pelo **cliente **Chaves gerenciadas pela AWS**e nas páginas de chaves gerenciadas** pelo cliente Console de gerenciamento da AWS para atender às suas necessidades. Você pode escolher as colunas da tabela, o número de AWS KMS keys em cada página (**Tamanho da página**) e a quebra de texto. A configuração escolhida será salva quando você confirmá-la e será reaplicada sempre que você abrir as páginas.
**Como personalizar suas tabelas de chaves do KMS**
1. Na página de **Chaves gerenciadas pela AWS** ou de **chaves gerenciadas pelo cliente**, escolha o ícone de configurações (![\[Gear or cog icon representing settings or configuration options.\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/images/console-icon-settings-new.png)) no canto superior direito da página.
1. Na página **Preferences (Preferências)**, escolha as configurações de preferência e selecione **Confirm (Confirmar)**.
Considere o uso da configuração **Page size** (Tamanho da página) para aumentar o número de chaves do KMS exibidas em cada página, principalmente se você costuma usar um dispositivo que tem a rolagem fácil.
As colunas de dados exibidas podem variar dependendo da tabela, da função do trabalho e dos tipos de chaves do KMS na conta e na região. A tabela a seguir oferece algumas configurações sugeridas. Para obter descrições das colunas, consulte [Usando o AWS KMS console](finding-keys.md#viewing-console-details).
### Configurações sugeridas para a tabela de chaves do KMS
Você pode personalizar as colunas que aparecem na tabela de chaves do KMS para exibir as informações necessárias sobre as suas chaves do KMS.
**Chaves gerenciadas pela AWS**
Por padrão, a tabela **Chave gerenciada pela AWS** exibe as colunas **Aliases**, **ID da chave** e **Status**. Essas colunas são ideais para a maioria dos casos de uso.
**Chaves do KMS de criptografia simétrica**
Se você usar somente chaves do KMS de criptografia simétrica com o material de chave gerado pelo AWS KMS, provavelmente as colunas **Aliases**, **ID da chave**, **Status** e **Data de criação** serão as mais úteis.
**Chaves do KMS assimétricas**
Se você usar chaves do KMS assimétricas, além das colunas **Aliases**, **ID da chave** e **Status**, considere adicionar as colunas **Tipo de chave**, **Especificação da chave** e **Uso da chave**. Essas colunas mostrarão se uma chave do KMS é simétrica ou assimétrica, o tipo do material de chave e se a chave do KMS pode ser usada para criptografia ou para assinatura.
**Chaves do KMS de HMAC**
Se você usar chaves do KMS HMAC, além das colunas **Aliases**, **ID da chave** e **Status**, avalie a possibilidade de adicionar as colunas **Especificação de chave** e **Uso da chave**. Essas colunas mostrarão se uma chave do KMS é uma chave de HMAC. Como você não pode classificar as chaves KMS por especificação ou uso da chave, use aliases e tags para identificar suas chaves HMAC e, em seguida, use os [recursos de filtro](#viewing-console-filter) do AWS KMS console para filtrar por aliases ou tags.
**Material de chave importado**
Se você tiver chaves do KMS com[material de chave importado](importing-keys.md), considere adicionar as colunas **Origin** (Origem) e**Expiration date** (Data de validade). Essas colunas mostrarão se o material chave em uma chave KMS é importado ou gerado por AWS KMS e quando o material da chave expira, se for o caso. O campo **Creation date** (Data de criação) exibe a data em que a chave do KMS foi criada (sem o material de chave). Ele não reflete nenhuma característica do material de chave.
**Chaves em armazenamentos de chaves personalizados**
Se você tiver chaves do KMS em [armazenamentos de chaves personalizados](key-store-overview.md#custom-key-store-overview), considere adicionar as colunas **Origin** (Origem) e **Custom key store ID** (ID do armazenamento de chaves personalizado). Essas colunas informam se a chave do KMS está em um armazenamento de chaves personalizado, exibem o tipo do armazenamento de chaves personalizado e identificam o armazenamento de chaves personalizado.
**Chaves de várias regiões**
Se você tiver [chaves de várias regiões](multi-region-keys-overview.md), considere adicionar a coluna **Regionality** (Regionalidade). Ela mostra se uma chave do KMS é de região única, uma [chave primária de várias regiões](multi-region-keys-overview.md#mrk-primary-key) ou uma [chave de réplica de várias regiões](multi-region-keys-overview.md#mrk-replica-key).
# Encontre chaves KMS e material de chaves em um armazenamento de AWS CloudHSM chaves
Se você gerencia um armazenamento de AWS CloudHSM chaves, talvez seja necessário identificar as chaves KMS em cada armazenamento de AWS CloudHSM chaves. Por exemplo, pode ser necessário executar uma das seguintes tarefas.
+ Rastreie as chaves KMS no armazenamento de AWS CloudHSM chaves nos AWS CloudTrail registros.
+ Preveja o efeito da desconexão de um armazenamento de chaves nas AWS CloudHSM chaves KMS.
+ Agende a exclusão das chaves KMS antes de excluir um armazenamento de AWS CloudHSM chaves.
Além disso, talvez você queira identificar as chaves em seu AWS CloudHSM cluster que servem como material chave para suas chaves KMS. Embora AWS KMS gerencie as chaves do KMS e o material de chaves, você ainda mantém o controle e a responsabilidade pelo gerenciamento do seu AWS CloudHSM cluster, bem como pelos backups HSMs e pelas chaves no HSMs. Talvez seja necessário identificar as chaves para auditar o material da chave, protegê-lo contra exclusão acidental ou excluí-lo dos backups do HSMs cluster após excluir a chave KMS.
Todo o material de chaves para as chaves KMS em seu armazenamento de AWS CloudHSM chaves é de propriedade do [usuário `kmsuser` criptográfico](keystore-cloudhsm.md#concept-kmsuser) (CU). AWS KMS define o atributo do rótulo da chave, que só pode ser visualizado em AWS CloudHSM, como o Amazon Resource Name (ARN) da chave KMS.
Para encontrar as chaves do KMS e o material de chave, use uma das técnicas a seguir.
+ [Encontre as chaves KMS em um armazenamento de AWS CloudHSM chaves](find-cmk-in-keystore.md)— Como identificar as chaves KMS em um ou em todos os seus armazenamentos de AWS CloudHSM chaves.
+ [Encontre todas as chaves de uma loja de AWS CloudHSM chaves](find-all-kmsuser-keys.md): como encontrar todas as chaves no cluster que funcionam como material de chave para as chaves do KMS no armazenamento de chaves do AWS CloudHSM .
+ [Encontre a AWS CloudHSM chave para uma chave KMS](find-handle-for-cmk-id.md)— Como encontrar a chave em seu cluster que serve como material chave para uma chave KMS específica em seu armazenamento de AWS CloudHSM chaves.
+ [Encontre a chave KMS para uma AWS CloudHSM chave](find-label-for-key-handle.md): como encontrar a chave do KMS para uma determinada chave no seu cluster.
# Encontre as chaves KMS em um armazenamento de AWS CloudHSM chaves
Se você gerencia um armazenamento de AWS CloudHSM chaves, talvez seja necessário identificar as chaves KMS em cada armazenamento de AWS CloudHSM chaves. Você pode usar essas informações para rastrear as operações da chave KMS em AWS CloudTrail registros, prever o efeito da desconexão de um armazenamento de chaves personalizado nas chaves KMS ou programar a exclusão das chaves KMS antes de excluir um armazenamento de chaves. AWS CloudHSM
## Para encontrar as chaves KMS em um armazenamento de AWS CloudHSM chaves (console)
Para encontrar as chaves KMS em um repositório de AWS CloudHSM chaves específico, na página **Chaves gerenciadas pelo cliente**, visualize os valores nos campos **Nome do armazenamento de chaves** **personalizadas ou ID do armazenamento de chaves personalizadas**. Para identificar chaves KMS em qualquer armazenamento de AWS CloudHSM chaves, procure chaves KMS com um valor de **origem** de. **AWS CloudHSM** Para adicionar colunas opcionais à exibição, selecione o ícone de engrenagem no canto superior direito da página.
## Para encontrar as chaves KMS em um armazenamento de AWS CloudHSM chaves (API)
Para encontrar as chaves KMS em um armazenamento de AWS CloudHSM chaves, use as [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operações [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)e e depois filtre por `CustomKeyStoreId` valor. Antes de executar os exemplos a seguir, substitua os valores fictícios de ID do repositório de chaves personalizado por um valor válido.
------
#### [ Bash ]
Para encontrar chaves KMS em um determinado repositório de AWS CloudHSM chaves, obtenha todas as suas chaves KMS na conta e na região. Filtre pelo ID do armazenamento de chaves personalizado.
```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ;
do aws kms describe-key --key-id $key |
grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done
```
Para obter chaves KMS em qualquer armazenamento de AWS CloudHSM chaves na conta e na região, pesquise `CustomKeyStoreType` com um valor de`AWS_CloudHSM`.
```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ;
do aws kms describe-key --key-id $key |
grep '"CustomKeyStoreType": "AWS_CloudHSM"' --context 100; done
```
------
#### [ PowerShell ]
Para encontrar chaves KMS em um determinado armazenamento de AWS CloudHSM chaves, use os KmsKey cmdlets [Get- KmsKeyList](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-KMSKeyList.html) e [Get-](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-KMSKey.html) para obter todas as suas chaves KMS na conta e na região. Filtre pelo ID do armazenamento de chaves personalizado.
```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'
```
Para obter as chaves KMS em qualquer armazenamento de AWS CloudHSM chaves na conta e na região, filtre pelo CustomKeyStoreType valor de`AWS_CLOUDHSM`.
```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreType -eq 'AWS_CLOUDHSM'
```
------
# Encontre todas as chaves de uma loja de AWS CloudHSM chaves
Você pode identificar as chaves em seu AWS CloudHSM cluster que servem como material chave para seu armazenamento de AWS CloudHSM chaves. Para fazer isso, use o comando [key list](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) na CLI do CloudHSM.
Você também pode usar o comando **key list** para encontrar a chave AWS KMS para uma AWS CloudHSM chave. Quando AWS KMS cria o material de chave para uma chave KMS em seu AWS CloudHSM cluster, ele grava o Amazon Resource Name (ARN) da chave KMS no rótulo da chave. O comando **key list** retorna `key-reference` e `label`.
**Observações**
Os procedimentos a seguir usam a ferramenta de linha de comando do AWS CloudHSM Client SDK 5, a CLI do [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html). A CLI do CloudHSM substitui `key-handle` por `key-reference`.
Em 1º de janeiro de 2025, AWS CloudHSM encerrará o suporte às ferramentas de linha de comando do Client SDK 3, ao CloudHSM Management Utility (CMU) e ao Key Management Utility (KMU). Para obter mais informações sobre as diferenças entre as ferramentas de linha de comando do Client SDK 3 e a ferramenta de linha de comando do Client SDK 5, consulte [Migrate from Client SDK 3 CMU and KMU to Client SDK 5 CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) no *Guia do usuário do AWS CloudHSM *.
Para executar esse procedimento, você precisa desconectar temporariamente o armazenamento de AWS CloudHSM chaves para poder fazer login como `kmsuser` UC.
1. Desconecte o armazenamento de AWS CloudHSM chaves, se ele ainda não estiver desconectado, faça login como`kmsuser`, conforme explicado em. [Como desconectar e fazer login](fix-keystore.md#login-kmsuser-1)
**nota**
Enquanto um armazenamento de chaves personalizado estiver desconectado, todas as tentativas de criar chaves do KMS nele ou de usar chaves do KMS existentes em operações de criptografia falharão. Essa ação pode impedir que os usuários armazenem e acessem dados sigilosos.
1. Use o comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) na CLI do CloudHSM para encontrar todas as chaves do usuário atual presente em seu cluster. AWS CloudHSM
Por padrão, somente 10 chaves do usuário atualmente conectado são exibidas, e somente o `key-reference` e `label` são exibidos como saída. Para mais opções, consulte [key list](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html#chsm-cli-key-list-syntax) no *Guia do usuário do AWS CloudHSM *.
```
aws-cloudhsm > key list
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000000123",
"attributes": {
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
},
{
"key-reference": "0x0000000000000456",
"attributes": {
"label": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
},.
...8 keys later...
],
"total_key_count": 56,
"returned_key_count": 10,
"next_token": "10"
}
}
```
1. Saia e reconecte o armazenamento de AWS CloudHSM chaves conforme descrito em[Como fazer logout e se conectar novamente](fix-keystore.md#login-kmsuser-2).
# Encontre a chave KMS para uma AWS CloudHSM chave
Se você souber a referência de chave ou o ID de uma chave que `kmsuser` possui no cluster, você pode usar esse valor para identificar a chave KMS associada em seu armazenamento de AWS CloudHSM chaves.
Quando AWS KMS cria o material de chave para uma chave KMS em seu AWS CloudHSM cluster, ele grava o Amazon Resource Name (ARN) da chave KMS no rótulo da chave. A menos que tenha alterado o valor do rótulo, você pode usar o comando [key list](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) na CLI do CloudHSM para identificar a chave do KMS associada à chave do AWS CloudHSM .
**Observações**
Os procedimentos a seguir usam a ferramenta de linha de comando do AWS CloudHSM Client SDK 5, a CLI do [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html). A CLI do CloudHSM substitui `key-handle` por `key-reference`.
Em 1º de janeiro de 2025, AWS CloudHSM encerrará o suporte às ferramentas de linha de comando do Client SDK 3, ao CloudHSM Management Utility (CMU) e ao Key Management Utility (KMU). Para obter mais informações sobre as diferenças entre as ferramentas de linha de comando do Client SDK 3 e a ferramenta de linha de comando do Client SDK 5, consulte [Migrate from Client SDK 3 CMU and KMU to Client SDK 5 CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) no *Guia do usuário do AWS CloudHSM *.
Para executar esses procedimentos, você precisa desconectar temporariamente o armazenamento de AWS CloudHSM chaves para poder fazer login como `kmsuser` UC.
**nota**
Enquanto um armazenamento de chaves personalizado estiver desconectado, todas as tentativas de criar chaves do KMS nele ou de usar chaves do KMS existentes em operações de criptografia falharão. Essa ação pode impedir que os usuários armazenem e acessem dados sigilosos.
**Topics**
+ [Identificar a chave do KMS associada a uma referência de chave](#key-reference-filter)
+ [Identificar a chave do KMS associada a um ID de chave de reserva](#backing-key-id-filter)
## Identificar a chave do KMS associada a uma referência de chave
Os procedimentos a seguir demonstram como usar o comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) na CLI do CloudHSM com o filtro de atributos `key-reference` para encontrar a chave no seu cluster que atua como material de chave para uma chave do KMS específica no seu repositório de chaves do AWS CloudHSM .
1. Desconecte o armazenamento de AWS CloudHSM chaves, se ele ainda não estiver desconectado, faça login como`kmsuser`, conforme explicado em. [Como desconectar e fazer login](fix-keystore.md#login-kmsuser-1)
1. Use o comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) na CLI do CloudHSM para filtrar pelo atributo `key-reference`. Especifique o argumento `verbose` para incluir todos os atributos e as informações de chave da chave correspondente. Se você não especificar o argumento `verbose`, a operação **key list** retornará somente a referência de chave e o atributo de rótulo da chave correspondente.
Antes de executar esse comando, substitua o exemplo de `key-reference` por um elemento válido da sua conta.
```
aws-cloudhsm > key list --filter attr.key-reference="0x0000000000120034" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0xbacking-key-id",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. Saia e reconecte o armazenamento de AWS CloudHSM chaves conforme descrito em[Como fazer logout e se conectar novamente](fix-keystore.md#login-kmsuser-2).
## Identificar a chave do KMS associada a um ID de chave de reserva
Todas as entradas de CloudTrail registro para operações criptográficas com uma chave KMS em um armazenamento de AWS CloudHSM chaves incluem um `additionalEventData` campo com e. `customKeyStoreId` `backingKeyId` O valor retornado no campo `backingKeyId` está correlacionado ao atributo `id` da chave do CloudHSM. Você pode filtrar a operação [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) pelo atributo `id` para identificar a chave do KMS associada a uma `backingKeyId` específica.
1. Desconecte o armazenamento de AWS CloudHSM chaves, se ele ainda não estiver desconectado, faça login como`kmsuser`, conforme explicado em. [Como desconectar e fazer login](fix-keystore.md#login-kmsuser-1)
1. Use o comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) na CLI do CloudHSM com o filtro de atributos para encontrar a chave no seu cluster que atua como material de chave para uma chave do KMS específica no seu repositório de chaves do AWS CloudHSM .
O exemplo a seguir demonstra como filtrar pelo `id` atributo. O AWS CloudHSM reconhece o valor de `id` como um valor hexadecimal. Para filtrar a operação da **lista de chaves** pelo `id` atributo, você deve primeiro converter o `backingKeyId` valor identificado na entrada do CloudTrail registro em um formato que AWS CloudHSM reconheça.
1. Use o seguinte comando do Linux para converter `backingKeyId` em uma representação hexadecimal.
```
echo backingKeyId | tr -d '\n' | xxd -p
```
O exemplo a seguir demonstra como converter a matriz de bytes `backingKeyId` em uma representação hexadecimal.
```
echo 5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d | tr -d '\n' | xxd -p
35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. Prefixe a representação hexadecimal de `backingKeyId` com `0x`.
```
0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. Use o valor `backingKeyId` convertido para filtrar pelo atributo `id`. Especifique o argumento `verbose` para incluir todos os atributos e as informações de chave da chave correspondente. Se você não especificar o argumento `verbose`, a operação **key list** retornará somente a referência de chave e o atributo de rótulo da chave correspondente.
```
aws-cloudhsm > key list --filter attr.id="0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. Saia e reconecte o armazenamento de AWS CloudHSM chaves conforme descrito em[Como fazer logout e se conectar novamente](fix-keystore.md#login-kmsuser-2).
# Encontre a AWS CloudHSM chave para uma chave KMS
Você pode usar o ID da chave KMS de uma chave KMS em um armazenamento de AWS CloudHSM chaves para identificar a chave em seu AWS CloudHSM cluster que serve como material de chave.
Quando AWS KMS cria o material de chave para uma chave KMS em seu AWS CloudHSM cluster, ele grava o Amazon Resource Name (ARN) da chave KMS no rótulo da chave. A menos que tenha alterado o valor do rótulo, você pode usar o comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) na CLI do CloudHSM para encontrar o recurso de chave e o id do material de chave da chave do KMS.
Todas as entradas de CloudTrail registro para operação criptográfica com uma chave KMS em um armazenamento de AWS CloudHSM chaves incluem um `additionalEventData` campo com e. `customKeyStoreId` `backingKeyId` O valor retornado no `backingKeyId` campo é o atributo `id` AWS CloudHSM chave. Você pode filtrar a operação da AWS CloudHSM CLI da **lista de chaves** pelo ARN da chave KMS para identificar o atributo da chave do CloudHSM associado a uma chave KMS específica. `id`
Para executar esse procedimento, você precisa desconectar temporariamente o armazenamento de AWS CloudHSM chaves para poder fazer login como `kmsuser` UC.
**Observações**
Os procedimentos a seguir usam a ferramenta de linha de comando do AWS CloudHSM Client SDK 5, a CLI do [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html). A CLI do CloudHSM substitui `key-handle` por `key-reference`.
Em 1º de janeiro de 2025, AWS CloudHSM encerrará o suporte às ferramentas de linha de comando do Client SDK 3, ao CloudHSM Management Utility (CMU) e ao Key Management Utility (KMU). Para obter mais informações sobre as diferenças entre as ferramentas de linha de comando do Client SDK 3 e a ferramenta de linha de comando do Client SDK 5, consulte [Migrate from Client SDK 3 CMU and KMU to Client SDK 5 CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) no *Guia do usuário do AWS CloudHSM *.
1. Desconecte o armazenamento de AWS CloudHSM chaves, se ele ainda não estiver desconectado, faça login como`kmsuser`, conforme explicado em. [Como desconectar e fazer login](fix-keystore.md#login-kmsuser-1)
**nota**
Enquanto um armazenamento de chaves personalizado estiver desconectado, todas as tentativas de criar chaves do KMS nele ou de usar chaves do KMS existentes em operações de criptografia falharão. Essa ação pode impedir que os usuários armazenem e acessem dados sigilosos.
1. Use o comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) na CLI do CloudHSM e `label` filtre por para encontrar a chave KMS de uma chave específica em seu cluster. AWS CloudHSM Especifique o argumento `verbose` para incluir todos os atributos e as informações de chave da chave correspondente. Se você não especificar o argumento `verbose`, a operação **key list** retornará somente os atributos de referência e rótulo de chave da chave correspondente.
O exemplo a seguir demonstra como filtrar pelo atributo `label` que armazena o ARN da chave do KMS. Antes de executar esse comando, substitua o ARN de chave do KSM de exemplo por um valor válido da sua conta.
```
aws-cloudhsm > key list --filter attr.label="arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0xbacking-key-id",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. Saia e reconecte o armazenamento de AWS CloudHSM chaves conforme descrito em[Como fazer logout e se conectar novamente](fix-keystore.md#login-kmsuser-2).