Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acceso y enumeración de detalles de claves KMS
Puede utilizar la consola de AWS KMS
Los siguientes procedimientos muestran cómo acceder a los detalles de claves KMS, como el ID de la clave, las especificaciones de la clave o el uso de la clave, entre otros.
En la página de detalles de cada clave KMS se muestran las propiedades de la clave KMS. Difiere ligeramente de los diferentes tipos de claves KMS.
Para mostrar información detallada sobre una clave KMS, haga clic en la página Claves administradas por AWS o Customer managed keys (Claves administradas por el cliente), elija el alias o el ID de clave de la clave KMS.
La página de detalles de una clave KMS incluye una Configuración general en la que se muestran las propiedades básicas de la clave KMS. Esto también incluye pestañas en las que puede ver y editar propiedades de la clave KMS, como su política de claves, configuración criptográfica, etiquetas, material de claves (para claves KMS con material de clave importado), rotación de claves (para claves KMS de cifrado simétricas), regionalidad (claves de varias regiones) y su clave pública (para claves KMS asimétricas).
nota
La consola de AWS KMS muestra las claves KMS que tiene permitido ver en la cuenta y en la región. Las claves KMS en otras Cuentas de AWS no aparecen en la consola, incluso si tiene permiso para verlas, administrarlas y usarlas. Para ver claves KMS en otras cuentas, utilice la operación DescribeKey.
Navegar a la página de detalles de clave de una clave KMS.
-
Inicie sesión en la AWS Management Console y abra la consola AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms
. -
Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.
-
Si desea ver las claves de la cuenta que usted crea y administra, en el panel de navegación, elija Customer managed keys (Claves administradas por el cliente). Si desea ver las claves de su cuenta que AWS crea y administra, en el panel de navegación, elija claves administradas por AWS.
-
Para abrir la página de detalles de clave, elija el ID de clave o el alias de la clave KMS.
Si la clave KMS tiene varios alias, un resumen de alias (+n más) aparece junto al nombre de uno de los alias. Elegir el resumen de alias le llevará directamente a la pestaña Alias en la página de detalles de clave.
En la siguiente lista se describen los campos de la visualización detallada, incluido el campo de las pestañas. Algunos de estos campos también están disponibles como columnas en la visualización de tabla.
- Alias
-
Dónde: Pestañas de Alias
Un nombre fácil de recordar para la clave KMS. Puede utilizar un alias para identificar la clave KMS en la consola y en algunos API de AWS KMS. Para obtener más información, consulte Alias en AWS KMS.
La pestaña de Alias muestra todos los alias asociados con la clave KMS en la región y la Cuenta de AWS.
- ARN
-
Dónde: sección de configuración general
El Nombre de recurso de Amazon (ARN) de la clave de cifrado. Este valor únicamente identifica la clave KMS. Puede utilizarlo para identificar la clave KMS en las operaciones de la API de AWS KMS.
- Estado de la conexión
-
Indica si un almacén de claves personalizado está conectado a su almacén de claves de respaldo. Este campo aparece únicamente cuando la clave de KMS se crea en un almacén de claves personalizado.
Para obtener información sobre los valores de este campo, consulte ConnectionState en la Referencia de la API de AWS KMS.
- Fecha de creación
-
Dónde: sección de configuración general
La fecha y hora en que se creó la clave KMS. Este valor se muestra en la hora local del dispositivo. La zona horaria no varía en función de la región.
A diferencia de Expiration (Vencimiento), la creación se refiere únicamente a la clave KMS, no a su material de claves.
- ID del clúster de CloudHSM
-
Dónde: pestaña de Configuración criptográfica
ID del clúster de AWS CloudHSM que contiene el material de claves de la clave KMS. Este campo aparece únicamente cuando la clave de KMS se crea en un almacén de claves personalizado.
Si elije en el ID del clúster de CloudHSM, se abre la página Clusters (Clústeres) de la consola de AWS CloudHSM.
- ID del almacén de claves personalizadas
-
Dónde: pestaña de Configuración criptográfica
ID del almacén de claves personalizadas que contiene la clave KMS. Este campo aparece únicamente cuando la clave de KMS se crea en un almacén de claves personalizado.
Si hace clic en el ID el almacén de claves personalizadas, se abre la página Custom key stores (Almacenes de claves personalizadas) en la consola de AWS KMS.
- Nombre del almacén de claves personalizadas
-
Dónde: pestaña de Configuración criptográfica
El nombre del almacén de claves personalizadas que contiene la clave KMS. Este campo aparece únicamente cuando la clave de KMS se crea en un almacén de claves personalizado.
- Tipo de almacén de claves personalizado
-
Dónde: pestaña de Configuración criptográfica
Indica si el almacén de claves personalizado es un almacén de claves de AWS CloudHSM o un almacén de claves externo. Este campo aparece únicamente cuando la clave de KMS se crea en un almacén de claves personalizado.
- Descripción
-
Dónde: sección de configuración general
Una descripción breve y opcional de la clave KMS que puede escribir y editar. Para agregar o actualizar la descripción de una clave administrada por el cliente, sobre General Configuration (Configuración general), seleccione Edit (Editar).
- Algoritmos de cifrado
-
Dónde: pestaña de Configuración criptográfica
Enumera los algoritmos de cifrado que se pueden utilizar con la clave KMS en AWS KMS. Este campo aparece únicamente cuando el Key type (Tipo de clave) es Asymmetric (Asimétrico) y cuando el Key usage (Uso de la clave) es Encrypt and decrypt (Cifrar y descifrar). Para obtener información acerca de los algoritmos de cifrado que admite AWS KMS, consulte Especificación de clave SYMMETRIC_DEFAULT y Especificaciones de clave de RSA para el cifrado y el descifrado.
- Fecha de vencimiento
-
Dónde: pestaña de Material de clave
Fecha y hora en la que el material de claves de la clave KMS vence. Este campo aparece únicamente en las claves KMS con material de claves importado, es decir, cuando el Origin (Origen) es External (Externo) y la clave KMS contiene material de claves que vence.
- ID de clave externa
-
Dónde: pestaña de Configuración criptográfica
El ID de la clave externa que está asociado a una clave de KMS en un almacén de claves externo. Este campo solo aparece para las claves de KMS de un almacén de claves externo.
- Estado de clave externa
-
Dónde: pestaña de Configuración criptográfica
El estado más reciente que el proxy del almacén de claves externo informó para la clave externa asociada a la clave de KMS. Este campo solo aparece para las claves de KMS de un almacén de claves externo.
- Uso de clave externa
-
Dónde: pestaña de Configuración criptográfica
Las operaciones criptográficas que están habilitadas en la clave externa asociada a la clave de KMS. Este campo solo aparece para las claves de KMS de un almacén de claves externo.
- Política de claves
-
Dónde: pestaña de Política de clave
Controla el acceso a la clave KMS junto con las políticas de IAM y las concesiones. Cada clave KMS tiene una política de claves. Es el único elemento de autorización obligatorio. Para cambiar la política de claves de una clave administrada por el cliente, en la pestaña Key policy (Política de claves), seleccione Edit (Editar). Para obtener más información, consulte Políticas clave en AWS KMS.
- Rotación de claves
-
Dónde: pestaña de Rotación de claves
Habilita y desactiva la rotación automática del material de claves en una clave KMS administrada por el cliente. Para cambiar el estado de la rotación de claves de una clave administrada por el cliente, utilice la casilla de verificación que se encuentra en la pestaña Key rotation (Rotación de claves).
No puede habilitar ni desactivar la rotación del material de claves en una Clave administrada de AWS. Las Claves administradas por AWS rotan automáticamente cada año.
- Especificación de clave
-
Dónde: pestaña de Configuración criptográfica
El tipo de material de claves de la clave KMS. AWS KMS admite las claves KMS de cifrado simétricas (SYMMETRIC_DEFAULT), claves KMS HMAC de diferentes longitudes, claves KMS para claves RSA de diferentes largos, y claves de curva elíptica con diferentes curvas. Para obtener más información, consulte Key spec.
- Tipo de clave
-
Dónde: pestaña de Configuración criptográfica
Indica si la clave KMS es Symmetric (Simétrica) o Asymmetric (Asimétrica).
- Uso de claves
-
Dónde: pestaña de Configuración criptográfica
Indica si una clave KMS se puede utilizar para Encrypt and decrypt (Cifrar y descifrar), Sign and verify (Firmar y verificar) o Generate and verify MAC (Generar y verificar MAC). Para obtener más información, consulte Key usage.
- Origen
-
Dónde: pestaña de Configuración criptográfica
El origen del material de claves de la clave KMS. Los valores válidos son:
-
AWS KMS para material de claves que genera AWS KMS
-
AWS CloudHSM para claves de KMS en el almacén de claves de AWS CloudHSM
-
Externo para material de claves importado (BYOK)
-
Almacén de claves externo para claves de KMS en un almacén de claves externo
-
- Algoritmos de MAC
-
Dónde: pestaña de Configuración criptográfica
Enumera los algoritmos MAC que se pueden utilizar con una clave KMS HMAC en AWS KMS. Este campo aparece únicamente cuando la Especificación de la clave es una especificación de la clave HMAC (HMAC_*). Para obtener información acerca de los algoritmos MAC de firma que admite AWS KMS, consulte Especificaciones de la clave para las claves KMS HMAC.
- Clave principal
-
Dónde: pestaña de Regionalidad
Indica que esta clave KMS es una clave principal de varias regiones. Los usuarios autorizados pueden utilizar esta sección para cambiar la clave principal a una clave de varias regiones relacionada diferente. Este campo aparece únicamente cuando la clave KMS es una clave principal de varias regiones.
- Clave pública
-
Dónde: pestaña de Clave pública
Muestra la clave pública de una clave KMS asimétrica. Los usuarios autorizados pueden utilizar esta pestaña para copiar y descargar la clave pública.
- Regionalidad
-
Dónde: pestañas Sección de configuración general y Regionalidad
Indica si una clave KMS es una clave de una sola región, una clave principal de varias regiones o una clave de réplica de varias regiones. Este campo aparece únicamente cuando la clave KMS es una clave de varias regiones.
- Claves de varias regiones relacionadas
-
Dónde: pestaña de Regionalidad
Muestra todas las claves de réplica y primaria de varias regiones relacionadas, excepto la clave KMS actual. Este campo aparece únicamente cuando la clave KMS es una clave de varias regiones.
En la sección Claves de varias regiones relacionadas de una clave principal, los usuarios autorizados pueden crear nuevas claves de réplica.
- Clave de réplica
-
Dónde: pestaña de Regionalidad
Indica que esta clave KMS es una clave de réplica de varias regiones. Este campo aparece únicamente cuando la clave KMS es una clave de réplica de varias regiones.
- Algoritmos de firma
-
Dónde: pestaña de Configuración criptográfica
Enumera los algoritmos de firma que se pueden utilizar con la clave KMS en AWS KMS. Este campo aparece únicamente cuando el Key type (Tipo de clave) es Asymmetric (Asimétrico) y cuando el Key usage (Uso de la clave) es Sign and verify (Firmar y verificar). Para obtener información acerca de los algoritmos de firma que admite AWS KMS, consulte Especificaciones de clave de RSA para la firma y la verificación y Especificaciones de clave de curva elíptica.
- Status
-
Dónde: sección de configuración general
El estado de la clave KMS. Puede utilizar la clave KMS en operaciones criptográficas solo cuando el estado es Enabled (Habilitado). Para obtener una descripción detallada de cada estado de clave KMS y su impacto en las operaciones que puede ejecutar en la clave KMS, consulte Estados de clave de de las claves AWS KMS.
- Etiquetas
-
Dónde: pestaña Etiquetas
Pares clave-valor opcionales que describen la clave KMS. Para agregar o cambiar las etiquetas de una clave KMS, en la pestaña Tags (Etiquetas), seleccione Edit (Editar).
Cuando se agregan etiquetas a los recursos de AWS, AWS genera un informe de asignación de costos con el uso y los costos agregados por etiquetas. Las etiquetas también pueden utilizarse para controlar el acceso a una clave KMS. Para obtener información acerca del etiquetado de claves KMS, consulte Etiquetas en AWS KMS y ABAC para AWS KMS.
La operación DescribeKey devuelve los detalles de la clave KMS especificada. Para identificar la clave KMS, utilice el ID de la clave, ARN de la clave, nombre de alias o ARN del alias.
A diferencia de la operación ListKeys, que muestra solo claves KMS en la cuenta y región de la persona que llama, los usuarios autorizados pueden utilizar la operación DescribeKey
para obtener detalles sobre claves KMS en otras cuentas.
nota
La respuesta DescribeKey
incluye tanto KeySpec
como CustomerMasterKeySpec
con los mismos valores. Este miembro CustomerMasterKeySpec
está obsoleto.
Por ejemplo, esta llamada a DescribeKey
devuelve información acerca de una clave KMS de cifrado simétrica. Los campos de la respuesta varían según la especificación de la AWS KMS key, el estado de la clave y el origen del material de la clave. Para ver ejemplos en varios lenguajes de programación, consulte DescribeKeyÚselo con una AWS SDK o CLI.
$
aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{ "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "Enabled": true, "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1499988169.234, "MultiRegion": false, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }
Este ejemplo llama a la operación DescribeKey
en una clave KMS asimétrica utilizada para la firma y la verificación. La respuesta incluye los algoritmos de firma que AWS KMS admite para esta clave KMS.
$
aws kms describe-key --key-id 0987dcba-09fe-87dc-65ba-ab0987654321
{ "KeyMetadata": { "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "Origin": "AWS_KMS", "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "KeyState": "Enabled", "KeyUsage": "SIGN_VERIFY", "CreationDate": 1569973196.214, "Description": "", "KeySpec": "ECC_NIST_P521", "CustomerMasterKeySpec": "ECC_NIST_P521", "AWSAccountId": "111122223333", "Enabled": true, "MultiRegion": false, "KeyManager": "CUSTOMER", "SigningAlgorithms": [ "ECDSA_SHA_512" ] } }