Identificación de diferentes tipos de claves - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Identificación de diferentes tipos de claves

En los temas siguientes se explica cómo identificar los distintos tipos de claves en la consola de AWS KMS y en las respuestas de DescribeKey.

Para obtener ayuda para acceder a la pestaña de configuración criptográfica de la página de detalles de una clave KMS, consulte Acceso y enumeración de detalles de claves KMS.

Identificación de claves KMS asimétricas

En la consola de AWS KMS

Las columnas Key type (Tipo de clave) de la tabla Customer managed keys (Claves administradas por el cliente) muestran si cada clave KMS es simétrica o asimétrica. Puede filtrar la tabla por el valor de Key type (Tipo de clave) para mostrar solo las claves KMS asimétricas. Para obtener más información, consulte Ordenar y filtrar las claves KMS.

La pestaña Cryptographic configuration (Configuración criptográfica) en la página de detalles para una clave KMS muestra el Key type (Tipo de clave), que indica si la clave es simétrica o asimétrica. También muestra Key Usage (Uso de claves), que indica si la clave KMS asimétrica se utiliza para cifrar y descifrar, firmar y verificar o para obtener secretos compartidos.

En respuestas de DescribeKey

Cuando se llama a la operación DescribeKey en una clave KMS asimétrica, la respuesta incluye los valores de KeySpec y KeyUsage, que se pueden usar para determinar si una clave KMS es simétrica o asimétrica.

Si el valor de KeySpec es SYMMETRIC_DEFAULT, la clave es una clave KMS de cifrado simétrica. Para obtener más información sobre las especificaciones de las claves asimétricas, consulte Referencia de especificaciones de clave.

Si el valor de KeyUsage es SIGN_VERIFY o KEY_AGREEMENT, la clave es una clave KMS asimétrica.

La operación DescribeKey también devuelve los siguientes detalles para claves KMS asimétricas.

  • En el caso de las claves KMS asimétricas con un valor KeyUsage de ENCRYPT_DECRYPT, la operación devuelve EncryptionAlgorithms, que muestra los algoritmos de cifrado válidos para la clave.

  • En el caso de las claves KMS asimétricas con un valor KeyUsage de SIGN_VERIFY, la operación devuelve SigningAlgorithms, que muestra los algoritmos de firma válidos para la clave.

  • En el caso de las claves KMS asimétricas con un valor KeyUsage de KEY_AGREEMENT, la operación devuelve KeyAgreementAlgorithms, que muestra los algoritmos de acuerdo de claves válidos para la clave.

Para obtener más información sobre claves KMS, consulte Claves asimétricas en AWS KMS.

Identificación de claves KMS HMAC

En la consola de AWS KMS

Las claves KMS HMAC se incluyen en la tabla Customer managed keys (Claves administradas por el cliente), pero no puede ordenar ni filtrar esta tabla por las especificaciones de clave ni por valores de uso de claves que identifican las claves de HMAC. Para facilitar la búsqueda de las claves HMAC, asígneles un alias o una etiqueta distintiva. A continuación, puede ordenar o filtrar por el alias o la etiqueta.

La pestaña Cryptographic configuration (Configuración criptográfica) en la página de detalles para una clave KMS muestra el Key type (Tipo de clave), que indica si la clave es simétrica o asimétrica. Las claves KMS HMAC son simétricas. La pestaña Cryptographic configuration (Configuración criptográfica) también muestra Key Usage (Uso de claves). Para las claves KMS HMAC, Generar y verificar MAC es siempre el valor uso de clave.

En respuestas de DescribeKey

Cuando llama a la operación DescribeKey en una clave KMS HMAC, la respuesta incluye los valores KeySpec y KeyUsage. En el caso de las claves KMS HMAC, el valor de uso de clave es siempre GENERATE_VERIFY_MAC y el valor de la especificación de clave siempre empieza por HMAC_.

Para obtener más información sobre claves KMS HMAC, consulte Claves HMAC en AWS KMS.

Identificación de claves KMS de varias regiones

En la consola de AWS KMS

La tabla Customer managed keys (Claves administradas por clientes) solo muestra las claves KMS en la región seleccionada. Puede ver las claves principales y de réplica de varias regiones en la región seleccionada. Para cambiar la región de AWS, utilice el selector de regiones en la esquina superior derecha de la consola.

Para facilitar la identificación de las claves de varias regiones en la tabla Customer managed keys (Claves administradas por clientes), añada la columna Regionality (Regionalidad) a la tabla. Para obtener ayuda, consulte Personalización de las tablas de claves KMS.

La página de detalles de las claves KMS de varias regiones incluye una pestaña Regionality (Regionalidad). La pestaña Regionality (Regionalidad) de una clave principal incluye los botones Change primary Region (Cambiar región principal) y Create new replica keys (Crear nuevas claves de réplica). (La pestaña Regionality (Regionalidad) de una clave de réplica no tiene ningún botón). La sección Related multi-Region keys (Claves de varias regiones relacionadas) enumera todas las claves de varias regiones relacionadas con la actual. Si la clave actual es una clave de réplica, esta lista incluye la clave principal.

Si elige una clave de varias regiones relacionada de la tabla Related multi-Region keys (Claves de varias regiones relacionadas), la tabla de la consola AWS KMS cambia a la región de la clave seleccionada y abre la página de detalles de la clave. Por ejemplo, si elige la clave de réplica en la región sa-east-1 de la sección de ejemplo Related multi-Region keys (Claves multde varias regiones relacionadas) que aparece a continuación, la consola AWS KMS cambia a la región sa-east-1 para mostrar la página de detalles de esa clave de réplica. Puede hacer esto para ver el alias o la política de clave de la clave de réplica. Para cambiar la región nuevamente, utilice el selector de regiones en la esquina superior derecha de la página.

En respuestas de DescribeKey

De forma predeterminada, las operaciones de la API AWS KMS son regionales y solo devuelven los recursos de la región actual o de la especificada. Pero cuando se llama a la operación DescribeKey en una clave KMS de varias regiones, la respuesta incluye todas las claves de varias regiones relacionadas en otras regiones de AWS del elemento MultiRegionConfiguration.

Para obtener más información sobre claves KMS de varias regiones, consulte Claves de varias regiones en AWS KMS.

Identificación de claves KMS con material de claves importado

En la consola de AWS KMS

Para facilitar la identificación de las claves KMS con material de claves importado en la tabla Customer managed keys (Claves administradas por el cliente), añada la columna Origin (Origen) a la tabla. La columna Origen facilita la identificación de las claves de KMS que tienen un valor de propiedad de origen Externo (Importar material de claves). Para obtener ayuda, consulte Personalización de las tablas de claves KMS.

La pestaña Cryptographic configuration (Configuración criptográfica) de la página de detalles de una clave KMS muestra Origin (Origen), que identifica el origen del material de claves de la clave KMS. En el caso de las claves KMS con material de claves importado, el valor de origen es siempre External (Import Key material) [Externo (material de claves de importación)]. La página de detalles también incluye una pestaña Key material (Material de claves) que proporciona información detallada sobre el material de claves importado. La pestaña Key material (Material de claves) solo aparece en la página de detalles para claves KMS con material de claves importado.

En respuestas de DescribeKey

Cuando se llama a la operación DescribeKey en una clave KMS con material de claves importado, la respuesta incluye los valores Origin, ExpirationModel y ValidTo. En el caso de las claves KMS con material de claves importado, el valor de origen es siempre EXTERNAL. El valor ExpirationModel indica si el material de claves está configurado para que caduque o no, y el valor ValidTo indica cuándo caducará el material de claves. Para obtener más información, consulte Configuración de una fecha de vencimiento (opcional).

Para obtener información sobre las claves KMS con material de claves importado, consulte Importación de material clave para AWS KMS llaves.

Identificación de claves KMS en almacenes de claves de AWS CloudHSM

En la consola de AWS KMS

Para facilitar la identificación de las claves KMS en almacenes de claves de AWS CloudHSM en la tabla Customer managed keys (Claves administradas por el cliente), añada la columna Origin (Origen) a la tabla. La columna Origin (Origen) facilita la identificación de las claves KMS que tienen un valor de propiedad de origen AWS CloudHSM. Para obtener ayuda, consulte Personalización de las tablas de claves KMS.

La pestaña Cryptographic configuration (Configuración criptográfica) de la página de detalles de una clave KMS muestra Origin (Origen), que identifica el origen del material de claves de la clave KMS. En el caso de las claves KMS en almacenes de claves de AWS CloudHSM, el valor de origen es siempre AWS CloudHSM.

En el caso de una clave KMS en un almacén de claves de AWS CloudHSM, la pestaña Cryptographic configuration (Configuración criptográfica) incluye una sección adicional, Custom key store (Almacén de claves personalizado), que proporciona información sobre el almacén de claves de AWS CloudHSM y el clúster de AWS CloudHSM asociados a la clave KMS.

En respuestas de DescribeKey

Cuando se llama a la operación DescribeKey con una clave KMS en un almacén de claves de AWS CloudHSM, la respuesta incluye Origin, que identifica el origen del material de claves. En el caso de las claves KMS en un almacén de claves de AWS CloudHSM, el valor de origen es siempre AWS_CLOUDHSM. La operación también devuelve los siguientes campos especiales para las claves KMS de los almacenes de claves de AWS CloudHSM:

  • CloudHsmClusterId

  • CustomKeyStoreId

Para obtener más información sobre los almacenes de claves de AWS CloudHSM, consulte Almacén de claves de AWS CloudHSM.

Identificación de claves KMS en almacenes de claves externos

En la consola de AWS KMS

Para facilitar la identificación de las claves KMS en almacenes de claves externos en la tabla Customer managed keys (Claves administradas por el cliente), añada la columna Origin (Origen) a la tabla. La columna Origin (Origen) facilita la identificación de las claves KMS que tienen un valor de propiedad de origen External key store (Almacén de claves externo). Para obtener ayuda, consulte Personalización de las tablas de claves KMS.

La pestaña Cryptographic configuration (Configuración criptográfica) de la página de detalles de una clave KMS muestra Origin (Origen), que identifica el origen del material de claves de la clave KMS. Por ejemplo, el valor de origen para todas las claves KMS en el almacén de claves externo es siempre External key store (Almacén de claves externo).

Para una clave KMS en un almacén de claves externo, la pestaña Cryptographic configuration (Configuración criptográfica) incluye dos secciones adicionales: Custom key store (Almacén de claves personalizado) y External key (Clave externa). La tabla Custom key store (Almacén de claves personalizado) proporciona información sobre el almacén de claves externo asociado a la clave KMS. La tabla External key (Clave externa) aparece en la consola de AWS KMS solo para las claves KMS de los almacenes de claves externos. Proporciona información sobre la clave externa asociada a la clave de KMS. La clave externa es una clave criptográfica fuera de AWS que se usa como material de claves para la clave de KMS en el almacén de claves externo. Cuando cifra o descifra con la clave de KMS, la operación la realiza su administrador de claves externo utilizando la clave externa especificada.

Los siguientes valores aparecen en la sección External key (Clave externa).

ID de clave externa

El identificador de la clave externa en su administrador de claves externo. Este es el valor que utiliza el proxy del almacén de claves externo para identificar la clave externa. Usted especifica el ID de la clave externa cuando crea la clave de KMS y no puede cambiarla. Si el valor del identificador de clave externa que utilizó para crear la clave de KMS cambia o deja de ser válida, debe programar la eliminación de la clave de KMS y crear una nueva clave de KMS con el valor de ID de clave externa correcto.

En respuestas de DescribeKey

Cuando se llama a la operación DescribeKey con una clave KMS en un almacén de claves externo, la respuesta incluye Origin, que identifica el origen del material de claves. En el caso de las claves KMS en un almacén de claves de AWS CloudHSM, el valor de origen es siempre EXTERNAL_KEY_STORE. La operación también devuelve el elemento CustomKeyStoreId, que identifica el almacén de claves externo asociado a las claves KMS.

Para obtener más información sobre los almacenes de claves, consulte Almacenes de claves externos.