Acceso y enumeración de detalles de claves KMS - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acceso y enumeración de detalles de claves KMS

Puede utilizar la consola de AWS KMS o la operación DescribeKey para acceder a información detallada sobre las claves KMS de la cuenta y la región y enumerarla.

Los siguientes procedimientos muestran cómo acceder a los detalles de claves KMS, como el ID de la clave, las especificaciones de la clave o el uso de la clave, entre otros.

En la página de detalles de cada clave KMS se muestran las propiedades de la clave KMS. Difiere ligeramente de los diferentes tipos de claves KMS.

Para mostrar información detallada sobre una clave KMS, haga clic en la página Claves administradas por AWS o Customer managed keys (Claves administradas por el cliente), elija el alias o el ID de clave de la clave KMS.

La página de detalles de una clave KMS incluye una Configuración general en la que se muestran las propiedades básicas de la clave KMS. Esto también incluye pestañas en las que puede ver y editar propiedades de la clave KMS, como su política de claves, configuración criptográfica, etiquetas, material de claves (para claves KMS con material de clave importado), rotación de claves (para claves KMS de cifrado simétricas), regionalidad (claves de varias regiones) y su clave pública (para claves KMS asimétricas).

nota

La consola de AWS KMS muestra las claves KMS que tiene permitido ver en la cuenta y en la región. Las claves KMS en otras Cuentas de AWS no aparecen en la consola, incluso si tiene permiso para verlas, administrarlas y usarlas. Para ver claves KMS en otras cuentas, utilice la operación DescribeKey.

Navegar a la página de detalles de clave de una clave KMS.

  1. Inicie sesión en la AWS Management Console y abra la consola AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. Si desea ver las claves de la cuenta que usted crea y administra, en el panel de navegación, elija Customer managed keys (Claves administradas por el cliente). Si desea ver las claves de su cuenta que AWS crea y administra, en el panel de navegación, elija claves administradas por AWS.

  4. Para abrir la página de detalles de clave, elija el ID de clave o el alias de la clave KMS.

    Si la clave KMS tiene varios alias, un resumen de alias (+n más) aparece junto al nombre de uno de los alias. Elegir el resumen de alias le llevará directamente a la pestaña Alias en la página de detalles de clave.

Clave administrada por el cliente details showing general configuration and cryptographic settings.

En la siguiente lista se describen los campos de la visualización detallada, incluido el campo de las pestañas. Algunos de estos campos también están disponibles como columnas en la visualización de tabla.

Alias

Dónde: Pestañas de Alias

Un nombre fácil de recordar para la clave KMS. Puede utilizar un alias para identificar la clave KMS en la consola y en algunos API de AWS KMS. Para obtener más información, consulte Alias en AWS KMS.

La pestaña de Alias muestra todos los alias asociados con la clave KMS en la región y la Cuenta de AWS.

ARN

Dónde: sección de configuración general

El Nombre de recurso de Amazon (ARN) de la clave de cifrado. Este valor únicamente identifica la clave KMS. Puede utilizarlo para identificar la clave KMS en las operaciones de la API de AWS KMS.

Estado de la conexión

Indica si un almacén de claves personalizado está conectado a su almacén de claves de respaldo. Este campo aparece únicamente cuando la clave de KMS se crea en un almacén de claves personalizado.

Para obtener información sobre los valores de este campo, consulte ConnectionState en la Referencia de la API de AWS KMS.

Fecha de creación

Dónde: sección de configuración general

La fecha y hora en que se creó la clave KMS. Este valor se muestra en la hora local del dispositivo. La zona horaria no varía en función de la región.

A diferencia de Expiration (Vencimiento), la creación se refiere únicamente a la clave KMS, no a su material de claves.

ID del clúster de CloudHSM

Dónde: pestaña de Configuración criptográfica

ID del clúster de AWS CloudHSM que contiene el material de claves de la clave KMS. Este campo aparece únicamente cuando la clave de KMS se crea en un almacén de claves personalizado.

Si elije en el ID del clúster de CloudHSM, se abre la página Clusters (Clústeres) de la consola de AWS CloudHSM.

ID del almacén de claves personalizadas

Dónde: pestaña de Configuración criptográfica

ID del almacén de claves personalizadas que contiene la clave KMS. Este campo aparece únicamente cuando la clave de KMS se crea en un almacén de claves personalizado.

Si hace clic en el ID el almacén de claves personalizadas, se abre la página Custom key stores (Almacenes de claves personalizadas) en la consola de AWS KMS.

Nombre del almacén de claves personalizadas

Dónde: pestaña de Configuración criptográfica

El nombre del almacén de claves personalizadas que contiene la clave KMS. Este campo aparece únicamente cuando la clave de KMS se crea en un almacén de claves personalizado.

Tipo de almacén de claves personalizado

Dónde: pestaña de Configuración criptográfica

Indica si el almacén de claves personalizado es un almacén de claves de AWS CloudHSM o un almacén de claves externo. Este campo aparece únicamente cuando la clave de KMS se crea en un almacén de claves personalizado.

Descripción

Dónde: sección de configuración general

Una descripción breve y opcional de la clave KMS que puede escribir y editar. Para agregar o actualizar la descripción de una clave administrada por el cliente, sobre General Configuration (Configuración general), seleccione Edit (Editar).

Algoritmos de cifrado

Dónde: pestaña de Configuración criptográfica

Enumera los algoritmos de cifrado que se pueden utilizar con la clave KMS en AWS KMS. Este campo aparece únicamente cuando el Key type (Tipo de clave) es Asymmetric (Asimétrico) y cuando el Key usage (Uso de la clave) es Encrypt and decrypt (Cifrar y descifrar). Para obtener información acerca de los algoritmos de cifrado que admite AWS KMS, consulte Especificación de clave SYMMETRIC_DEFAULT y Especificaciones de clave de RSA para el cifrado y el descifrado.

Fecha de vencimiento

Dónde: pestaña de Material de clave

Fecha y hora en la que el material de claves de la clave KMS vence. Este campo aparece únicamente en las claves KMS con material de claves importado, es decir, cuando el Origin (Origen) es External (Externo) y la clave KMS contiene material de claves que vence.

ID de clave externa

Dónde: pestaña de Configuración criptográfica

El ID de la clave externa que está asociado a una clave de KMS en un almacén de claves externo. Este campo solo aparece para las claves de KMS de un almacén de claves externo.

Estado de clave externa

Dónde: pestaña de Configuración criptográfica

El estado más reciente que el proxy del almacén de claves externo informó para la clave externa asociada a la clave de KMS. Este campo solo aparece para las claves de KMS de un almacén de claves externo.

Uso de clave externa

Dónde: pestaña de Configuración criptográfica

Las operaciones criptográficas que están habilitadas en la clave externa asociada a la clave de KMS. Este campo solo aparece para las claves de KMS de un almacén de claves externo.

Política de claves

Dónde: pestaña de Política de clave

Controla el acceso a la clave KMS junto con las políticas de IAM y las concesiones. Cada clave KMS tiene una política de claves. Es el único elemento de autorización obligatorio. Para cambiar la política de claves de una clave administrada por el cliente, en la pestaña Key policy (Política de claves), seleccione Edit (Editar). Para obtener más información, consulte Políticas clave en AWS KMS.

Rotación de claves

Dónde: pestaña de Rotación de claves

Habilita y desactiva la rotación automática del material de claves en una clave KMS administrada por el cliente. Para cambiar el estado de la rotación de claves de una clave administrada por el cliente, utilice la casilla de verificación que se encuentra en la pestaña Key rotation (Rotación de claves).

No puede habilitar ni desactivar la rotación del material de claves en una Clave administrada de AWS. Las Claves administradas por AWS rotan automáticamente cada año.

Especificación de clave

Dónde: pestaña de Configuración criptográfica

El tipo de material de claves de la clave KMS. AWS KMS admite las claves KMS de cifrado simétricas (SYMMETRIC_DEFAULT), claves KMS HMAC de diferentes longitudes, claves KMS para claves RSA de diferentes largos, y claves de curva elíptica con diferentes curvas. Para obtener más información, consulte Key spec.

Tipo de clave

Dónde: pestaña de Configuración criptográfica

Indica si la clave KMS es Symmetric (Simétrica) o Asymmetric (Asimétrica).

Uso de claves

Dónde: pestaña de Configuración criptográfica

Indica si una clave KMS se puede utilizar para Encrypt and decrypt (Cifrar y descifrar), Sign and verify (Firmar y verificar) o Generate and verify MAC (Generar y verificar MAC). Para obtener más información, consulte Key usage.

Origen

Dónde: pestaña de Configuración criptográfica

El origen del material de claves de la clave KMS. Los valores válidos son:

Algoritmos de MAC

Dónde: pestaña de Configuración criptográfica

Enumera los algoritmos MAC que se pueden utilizar con una clave KMS HMAC en AWS KMS. Este campo aparece únicamente cuando la Especificación de la clave es una especificación de la clave HMAC (HMAC_*). Para obtener información acerca de los algoritmos MAC de firma que admite AWS KMS, consulte Especificaciones de la clave para las claves KMS HMAC.

Clave principal

Dónde: pestaña de Regionalidad

Indica que esta clave KMS es una clave principal de varias regiones. Los usuarios autorizados pueden utilizar esta sección para cambiar la clave principal a una clave de varias regiones relacionada diferente. Este campo aparece únicamente cuando la clave KMS es una clave principal de varias regiones.

Clave pública

Dónde: pestaña de Clave pública

Muestra la clave pública de una clave KMS asimétrica. Los usuarios autorizados pueden utilizar esta pestaña para copiar y descargar la clave pública.

Regionalidad

Dónde: pestañas Sección de configuración general y Regionalidad

Indica si una clave KMS es una clave de una sola región, una clave principal de varias regiones o una clave de réplica de varias regiones. Este campo aparece únicamente cuando la clave KMS es una clave de varias regiones.

Claves de varias regiones relacionadas

Dónde: pestaña de Regionalidad

Muestra todas las claves de réplica y primaria de varias regiones relacionadas, excepto la clave KMS actual. Este campo aparece únicamente cuando la clave KMS es una clave de varias regiones.

En la sección Claves de varias regiones relacionadas de una clave principal, los usuarios autorizados pueden crear nuevas claves de réplica.

Clave de réplica

Dónde: pestaña de Regionalidad

Indica que esta clave KMS es una clave de réplica de varias regiones. Este campo aparece únicamente cuando la clave KMS es una clave de réplica de varias regiones.

Algoritmos de firma

Dónde: pestaña de Configuración criptográfica

Enumera los algoritmos de firma que se pueden utilizar con la clave KMS en AWS KMS. Este campo aparece únicamente cuando el Key type (Tipo de clave) es Asymmetric (Asimétrico) y cuando el Key usage (Uso de la clave) es Sign and verify (Firmar y verificar). Para obtener información acerca de los algoritmos de firma que admite AWS KMS, consulte Especificaciones de clave de RSA para la firma y la verificación y Especificaciones de clave de curva elíptica.

Status

Dónde: sección de configuración general

El estado de la clave KMS. Puede utilizar la clave KMS en operaciones criptográficas solo cuando el estado es Enabled (Habilitado). Para obtener una descripción detallada de cada estado de clave KMS y su impacto en las operaciones que puede ejecutar en la clave KMS, consulte Estados de clave de de las claves AWS KMS.

Etiquetas

Dónde: pestaña Etiquetas

Pares clave-valor opcionales que describen la clave KMS. Para agregar o cambiar las etiquetas de una clave KMS, en la pestaña Tags (Etiquetas), seleccione Edit (Editar).

Cuando se agregan etiquetas a los recursos de AWS, AWS genera un informe de asignación de costos con el uso y los costos agregados por etiquetas. Las etiquetas también pueden utilizarse para controlar el acceso a una clave KMS. Para obtener información acerca del etiquetado de claves KMS, consulte Etiquetas en AWS KMS y ABAC para AWS KMS.

La operación DescribeKey devuelve los detalles de la clave KMS especificada. Para identificar la clave KMS, utilice el ID de la clave, ARN de la clave, nombre de alias o ARN del alias.

A diferencia de la operación ListKeys, que muestra solo claves KMS en la cuenta y región de la persona que llama, los usuarios autorizados pueden utilizar la operación DescribeKey para obtener detalles sobre claves KMS en otras cuentas.

nota

La respuesta DescribeKey incluye tanto KeySpec como CustomerMasterKeySpec con los mismos valores. Este miembro CustomerMasterKeySpec está obsoleto.

Por ejemplo, esta llamada a DescribeKey devuelve información acerca de una clave KMS de cifrado simétrica. Los campos de la respuesta varían según la especificación de la AWS KMS key, el estado de la clave y el origen del material de la clave. Para ver ejemplos en varios lenguajes de programación, consulte DescribeKeyÚselo con una AWS SDK o CLI.

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "Enabled": true, "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1499988169.234, "MultiRegion": false, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }

Este ejemplo llama a la operación DescribeKey en una clave KMS asimétrica utilizada para la firma y la verificación. La respuesta incluye los algoritmos de firma que AWS KMS admite para esta clave KMS.

$ aws kms describe-key --key-id 0987dcba-09fe-87dc-65ba-ab0987654321 { "KeyMetadata": { "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "Origin": "AWS_KMS", "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "KeyState": "Enabled", "KeyUsage": "SIGN_VERIFY", "CreationDate": 1569973196.214, "Description": "", "KeySpec": "ECC_NIST_P521", "CustomerMasterKeySpec": "ECC_NIST_P521", "AWSAccountId": "111122223333", "Enabled": true, "MultiRegion": false, "KeyManager": "CUSTOMER", "SigningAlgorithms": [ "ECDSA_SHA_512" ] } }