Identificación de diferentes tipos de claves - AWS Key Management Service
Identificación de claves KMS asimétricasIdentificación de claves KMS HMACIdentificación de claves KMS de varias regionesIdentificación de claves KMS con material de claves importadoIdentifique las claves de KMS en los almacenes de AWS CloudHSM clavesIdentificación de claves KMS en almacenes de claves externos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Identificación de diferentes tipos de claves

En los temas siguientes se explica cómo identificar los distintos tipos de claves en la AWS KMS consola y DescribeKeylas respuestas.

Para obtener ayuda para acceder a la pestaña de configuración criptográfica de la página de detalles de una clave KMS, consulte Acceso y enumeración de detalles de claves KMS.

Identificación de claves KMS asimétricas

En la AWS KMS consola

Las columnas Key type (Tipo de clave) de la tabla Customer managed keys (Claves administradas por el cliente) muestran si cada clave KMS es simétrica o asimétrica. Puede filtrar la tabla por el valor de Tipo de clave para mostrar solo las claves de KMS asimétricas. Para obtener más información, consulte Ordenar y filtrar las claves KMS.

La pestaña Cryptographic configuration (Configuración criptográfica) en la página de detalles para una clave KMS muestra el Key type (Tipo de clave), que indica si la clave es simétrica o asimétrica. También muestra Key Usage (Uso de claves), que indica si la clave KMS asimétrica se utiliza para cifrar y descifrar, firmar y verificar o para obtener secretos compartidos.

En DescribeKey respuestas

Cuando se llama a la operación DescribeKey en una clave KMS asimétrica, la respuesta incluye los valores de KeySpec y KeyUsage, que se pueden usar para determinar si una clave KMS es simétrica o asimétrica.

Si el valor de KeySpec es SYMMETRIC_DEFAULT, la clave es una clave KMS de cifrado simétrica. Para obtener más información sobre las especificaciones de las claves asimétricas, consulte Referencia de especificaciones de clave.

Si el valor de KeyUsage es SIGN_VERIFY o KEY_AGREEMENT, la clave es una clave KMS asimétrica.

La operación DescribeKey también devuelve los siguientes detalles para claves KMS asimétricas.

  • En el caso de las claves KMS asimétricas con un valor KeyUsage de ENCRYPT_DECRYPT, la operación devuelve EncryptionAlgorithms, que muestra los algoritmos de cifrado válidos para la clave.

  • En el caso de las claves KMS asimétricas con un valor KeyUsage de SIGN_VERIFY, la operación devuelve SigningAlgorithms, que muestra los algoritmos de firma válidos para la clave.

  • En el caso de las claves KMS asimétricas con un valor KeyUsage de KEY_AGREEMENT, la operación devuelve KeyAgreementAlgorithms, que muestra los algoritmos de acuerdo de claves válidos para la clave.

Para obtener más información sobre claves KMS, consulte Teclas asimétricas en AWS KMS.

Identificación de claves KMS HMAC

En la AWS KMS consola

Las claves de KMS HMAC se incluyen en la tabla Claves administradas por el cliente, pero no puede ordenar ni filtrar esta tabla por las especificaciones de clave ni por valores de uso de claves que identifican las claves de HMAC. Para facilitar la búsqueda de las claves HMAC, asígneles un alias o una etiqueta distintiva. A continuación, puede ordenar o filtrar por el alias o la etiqueta.

La pestaña Cryptographic configuration (Configuración criptográfica) en la página de detalles para una clave KMS muestra el Key type (Tipo de clave), que indica si la clave es simétrica o asimétrica. Las claves KMS HMAC son simétricas. La pestaña Cryptographic configuration (Configuración criptográfica) también muestra Key Usage (Uso de claves). Para las claves KMS HMAC, Generar y verificar MAC es siempre el valor uso de clave.

En DescribeKey respuestas

Cuando llama a la operación DescribeKey en una clave KMS HMAC, la respuesta incluye los valores KeySpec y KeyUsage. En el caso de las claves KMS HMAC, el valor de uso de clave es siempre GENERATE_VERIFY_MAC y el valor de la especificación de clave siempre empieza por HMAC_.

Para obtener más información sobre claves KMS HMAC, consulte Teclas HMAC en AWS KMS.

Identificación de claves KMS de varias regiones

En la AWS KMS consola

La tabla Customer managed keys (Claves administradas por clientes) solo muestra las claves KMS en la región seleccionada. Puede ver las claves principales y de réplica de varias regiones en la región seleccionada. Para cambiar la AWS región, usa el selector de regiones en la esquina superior derecha de la consola.

Para facilitar la identificación de las claves de varias regiones en la tabla Claves administradas por el cliente, añada la columna Regionalidad a la tabla. Para obtener ayuda, consulte Personalización de las tablas de claves KMS.

La página de detalles de las claves KMS de varias regiones incluye una pestaña Regionality (Regionalidad). La pestaña Regionality (Regionalidad) de una clave principal incluye los botones Change primary Region (Cambiar región principal) y Create new replica keys (Crear nuevas claves de réplica). (La pestaña Regionality (Regionalidad) de una clave de réplica no tiene ningún botón). La sección Related multi-Region keys (Claves de varias regiones relacionadas) enumera todas las claves de varias regiones relacionadas con la actual. Si la clave actual es una clave de réplica, esta lista incluye la clave principal.

Si selecciona una clave multirregional relacionada de la tabla de claves multirregionales relacionadas, la AWS KMS consola cambiará a la región de la clave seleccionada y abrirá la página de detalles de la clave. Por ejemplo, si elige la clave de réplica de la sa-east-1 región en la sección de claves multirregionales relacionadas que aparece a continuación, la AWS KMS consola cambiará a la sa-east-1 región para mostrar la página de detalles de esa clave de réplica. Puede hacer esto para ver el alias o la política de clave de la clave de réplica. Para cambiar la región nuevamente, utilice el selector de regiones en la esquina superior derecha de la página.

En DescribeKey las respuestas

De forma predeterminada, las operaciones de la AWS KMS API son regionales y solo devuelven los recursos de la región actual o especificada. Sin embargo, cuando se llama a la DescribeKey operación en una clave KMS multirregional, la respuesta incluye todas las claves multirregionales relacionadas de otras AWS regiones del MultiRegionConfiguration elemento.

Para obtener más información sobre claves KMS de varias regiones, consulte Claves multirregionales en AWS KMS.

Identificación de claves KMS con material de claves importado

En la consola AWS KMS

Para facilitar la identificación de las claves KMS con material de claves importado en la tabla Customer managed keys (Claves administradas por el cliente), añada la columna Origin (Origen) a la tabla. La columna Origen facilita la identificación de las claves de KMS que tienen un valor de propiedad de origen Externo (Importar material de claves). Para obtener ayuda, consulte Personalización de las tablas de claves KMS.

La pestaña Cryptographic configuration (Configuración criptográfica) de la página de detalles de una clave KMS muestra Origin (Origen), que identifica el origen del material de claves de la clave KMS. En el caso de las claves KMS con material de claves importado, el valor de origen es siempre External (Import Key material) [Externo (material de claves de importación)]. La página de detalles también incluye una pestaña Key material (Material de claves) que proporciona información detallada sobre el material de claves importado. La pestaña Key material (Material de claves) solo aparece en la página de detalles para claves KMS con material de claves importado.

En DescribeKey respuestas

Cuando se llama a la operación DescribeKey en una clave KMS con material de claves importado, la respuesta incluye los valores Origin, ExpirationModel y ValidTo. En el caso de las claves KMS con material de claves importado, el valor de origen es siempre EXTERNAL. El valor ExpirationModel indica si el material de claves está configurado para que caduque o no, y el valor ValidTo indica cuándo caducará el material de claves. Para obtener más información, consulte Configuración de una fecha de vencimiento (opcional).

Para obtener información sobre las claves KMS con material de claves importado, consulte Importación de material clave para AWS KMS llaves.

Identifique las claves de KMS en los almacenes de AWS CloudHSM claves

En la AWS KMS consola

Para facilitar la identificación de las claves de KMS en AWS CloudHSM los almacenes de claves de la tabla de claves gestionadas por el cliente, añada la columna Origin a la tabla. La columna Origin (Origen) facilita la identificación de las claves KMS que tienen un valor de propiedad de origen AWS CloudHSM. Para obtener ayuda, consulte Personalización de las tablas de claves KMS.

La pestaña Configuración criptográfica de la página de detalles de una clave de KMS muestra Origen, que identifica el origen del material de claves de la clave de KMS. En AWS CloudHSM el caso de las claves KMS de los almacenes de claves, el valor de origen es siempre AWS CloudHSM.

En el caso de una clave KMS en un almacén de AWS CloudHSM claves, la pestaña de configuración criptográfica incluye una sección adicional, el almacén de claves personalizado, que proporciona información sobre el almacén de AWS CloudHSM claves y el AWS CloudHSM clúster asociados a la clave KMS.

En DescribeKey las respuestas

Cuando se llama a la operación DescribeKey con una clave KMS en un almacén de claves de AWS CloudHSM , la respuesta incluye Origin, que identifica el origen del material de claves. En el caso de las claves KMS de un almacén de AWS CloudHSM claves, el valor de origen es siempreAWS_CLOUDHSM. La operación también devuelve los siguientes campos especiales para las claves de KMS de los almacenes de AWS CloudHSM claves:

  • CloudHsmClusterId

  • CustomKeyStoreId

Para obtener más información sobre los almacenes de AWS CloudHSM claves, consulteAWS CloudHSM tiendas clave.

Identificación de claves KMS en almacenes de claves externos

En la AWS KMS consola

Para facilitar la identificación de las claves KMS en almacenes de claves externos en la tabla Customer managed keys (Claves administradas por el cliente), añada la columna Origin (Origen) a la tabla. La columna Origin (Origen) facilita la identificación de las claves KMS que tienen un valor de propiedad de origen External key store (Almacén de claves externo). Para obtener ayuda, consulte Personalización de las tablas de claves KMS.

La pestaña Configuración criptográfica de la página de detalles de una clave de KMS muestra Origen, que identifica el origen del material de claves de la clave de KMS. Por ejemplo, el valor de origen para todas las claves KMS en el almacén de claves externo es siempre External key store (Almacén de claves externo).

Para una clave KMS en un almacén de claves externo, la pestaña Cryptographic configuration (Configuración criptográfica) incluye dos secciones adicionales: Custom key store (Almacén de claves personalizado) y External key (Clave externa). La tabla Custom key store (Almacén de claves personalizado) proporciona información sobre el almacén de claves externo asociado a la clave KMS. La tabla External key (Clave externa) aparece en la consola de AWS KMS solo para las claves KMS de los almacenes de claves externos. Proporciona información sobre la clave externa asociada a la clave de KMS. La clave externa es una clave criptográfica externa AWS que sirve como material clave para la clave KMS en el almacén de claves externo. Cuando cifra o descifra con la clave de KMS, la operación la realiza su administrador de claves externo utilizando la clave externa especificada.

Los siguientes valores aparecen en la sección External key (Clave externa).

ID de clave externa

El identificador de la clave externa en su administrador de claves externo. Este es el valor que utiliza el proxy del almacén de claves externo para identificar la clave externa. Usted especifica el ID de la clave externa cuando crea la clave de KMS y no puede cambiarla. Si el valor del identificador de clave externa que utilizó para crear la clave de KMS cambia o deja de ser válida, debe programar la eliminación de la clave de KMS y crear una nueva clave de KMS con el valor de ID de clave externa correcto.

En DescribeKey las respuestas

Cuando se llama a la operación DescribeKey con una clave KMS en un almacén de claves externo, la respuesta incluye Origin, que identifica el origen del material de claves. En el caso de las claves KMS de un almacén de AWS CloudHSM claves, el valor de origen es siempreEXTERNAL_KEY_STORE. La operación también devuelve el elemento CustomKeyStoreId, que identifica el almacén de claves externo asociado a las claves de KMS.

Para obtener más información sobre los almacenes de claves, consulte Almacenes de claves externos.