Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Identificación de diferentes tipos de claves
En los temas siguientes se explica cómo identificar los distintos tipos de claves en la consola de AWS KMS y en las respuestas de DescribeKey.
Para obtener ayuda para acceder a la pestaña de configuración criptográfica de la página de detalles de una clave KMS, consulte Acceso y enumeración de detalles de claves KMS.
Temas
- Identificación de claves KMS asimétricas
- Identificación de claves KMS HMAC
- Identificación de claves KMS de varias regiones
- Identificación de claves KMS con material de claves importado
- Identificación de claves KMS en almacenes de claves de AWS CloudHSM
- Identificación de claves KMS en almacenes de claves externos
Identificación de claves KMS asimétricas
- En la consola de AWS KMS
-
Las columnas Key type (Tipo de clave) de la tabla Customer managed keys (Claves administradas por el cliente) muestran si cada clave KMS es simétrica o asimétrica. Puede filtrar la tabla por el valor de Key type (Tipo de clave) para mostrar solo las claves KMS asimétricas. Para obtener más información, consulte Ordenar y filtrar las claves KMS.
La pestaña Cryptographic configuration (Configuración criptográfica) en la página de detalles para una clave KMS muestra el Key type (Tipo de clave), que indica si la clave es simétrica o asimétrica. También muestra Key Usage (Uso de claves), que indica si la clave KMS asimétrica se utiliza para cifrar y descifrar, firmar y verificar o para obtener secretos compartidos.
- En respuestas de DescribeKey
-
Cuando se llama a la operación
DescribeKey
en una clave KMS asimétrica, la respuesta incluye los valores deKeySpec
yKeyUsage
, que se pueden usar para determinar si una clave KMS es simétrica o asimétrica.Si el valor de
KeySpec
esSYMMETRIC_DEFAULT
, la clave es una clave KMS de cifrado simétrica. Para obtener más información sobre las especificaciones de las claves asimétricas, consulte Referencia de especificaciones de clave.Si el valor de
KeyUsage
esSIGN_VERIFY
oKEY_AGREEMENT
, la clave es una clave KMS asimétrica.La operación
DescribeKey
también devuelve los siguientes detalles para claves KMS asimétricas.-
En el caso de las claves KMS asimétricas con un valor
KeyUsage
deENCRYPT_DECRYPT
, la operación devuelveEncryptionAlgorithms
, que muestra los algoritmos de cifrado válidos para la clave. -
En el caso de las claves KMS asimétricas con un valor
KeyUsage
deSIGN_VERIFY
, la operación devuelveSigningAlgorithms
, que muestra los algoritmos de firma válidos para la clave. -
En el caso de las claves KMS asimétricas con un valor
KeyUsage
deKEY_AGREEMENT
, la operación devuelveKeyAgreementAlgorithms
, que muestra los algoritmos de acuerdo de claves válidos para la clave.
-
Para obtener más información sobre claves KMS, consulte Claves asimétricas en AWS KMS.
Identificación de claves KMS HMAC
- En la consola de AWS KMS
-
Las claves KMS HMAC se incluyen en la tabla Customer managed keys (Claves administradas por el cliente), pero no puede ordenar ni filtrar esta tabla por las especificaciones de clave ni por valores de uso de claves que identifican las claves de HMAC. Para facilitar la búsqueda de las claves HMAC, asígneles un alias o una etiqueta distintiva. A continuación, puede ordenar o filtrar por el alias o la etiqueta.
La pestaña Cryptographic configuration (Configuración criptográfica) en la página de detalles para una clave KMS muestra el Key type (Tipo de clave), que indica si la clave es simétrica o asimétrica. Las claves KMS HMAC son simétricas. La pestaña Cryptographic configuration (Configuración criptográfica) también muestra Key Usage (Uso de claves). Para las claves KMS HMAC, Generar y verificar MAC es siempre el valor uso de clave.
- En respuestas de DescribeKey
-
Cuando llama a la operación
DescribeKey
en una clave KMS HMAC, la respuesta incluye los valoresKeySpec
yKeyUsage
. En el caso de las claves KMS HMAC, el valor de uso de clave es siempreGENERATE_VERIFY_MAC
y el valor de la especificación de clave siempre empieza porHMAC_
.
Para obtener más información sobre claves KMS HMAC, consulte Claves HMAC en AWS KMS.
Identificación de claves KMS de varias regiones
- En la consola de AWS KMS
-
La tabla Customer managed keys (Claves administradas por clientes) solo muestra las claves KMS en la región seleccionada. Puede ver las claves principales y de réplica de varias regiones en la región seleccionada. Para cambiar la región de AWS, utilice el selector de regiones en la esquina superior derecha de la consola.
Para facilitar la identificación de las claves de varias regiones en la tabla Customer managed keys (Claves administradas por clientes), añada la columna Regionality (Regionalidad) a la tabla. Para obtener ayuda, consulte Personalización de las tablas de claves KMS.
La página de detalles de las claves KMS de varias regiones incluye una pestaña Regionality (Regionalidad). La pestaña Regionality (Regionalidad) de una clave principal incluye los botones Change primary Region (Cambiar región principal) y Create new replica keys (Crear nuevas claves de réplica). (La pestaña Regionality (Regionalidad) de una clave de réplica no tiene ningún botón). La sección Related multi-Region keys (Claves de varias regiones relacionadas) enumera todas las claves de varias regiones relacionadas con la actual. Si la clave actual es una clave de réplica, esta lista incluye la clave principal.
Si elige una clave de varias regiones relacionada de la tabla Related multi-Region keys (Claves de varias regiones relacionadas), la tabla de la consola AWS KMS cambia a la región de la clave seleccionada y abre la página de detalles de la clave. Por ejemplo, si elige la clave de réplica en la región
sa-east-1
de la sección de ejemplo Related multi-Region keys (Claves multde varias regiones relacionadas) que aparece a continuación, la consola AWS KMS cambia a la regiónsa-east-1
para mostrar la página de detalles de esa clave de réplica. Puede hacer esto para ver el alias o la política de clave de la clave de réplica. Para cambiar la región nuevamente, utilice el selector de regiones en la esquina superior derecha de la página. - En respuestas de DescribeKey
-
De forma predeterminada, las operaciones de la API AWS KMS son regionales y solo devuelven los recursos de la región actual o de la especificada. Pero cuando se llama a la operación
DescribeKey
en una clave KMS de varias regiones, la respuesta incluye todas las claves de varias regiones relacionadas en otras regiones de AWS del elementoMultiRegionConfiguration
.
Para obtener más información sobre claves KMS de varias regiones, consulte Claves de varias regiones en AWS KMS.
Identificación de claves KMS con material de claves importado
- En la consola de AWS KMS
-
Para facilitar la identificación de las claves KMS con material de claves importado en la tabla Customer managed keys (Claves administradas por el cliente), añada la columna Origin (Origen) a la tabla. La columna Origen facilita la identificación de las claves de KMS que tienen un valor de propiedad de origen Externo (Importar material de claves). Para obtener ayuda, consulte Personalización de las tablas de claves KMS.
La pestaña Cryptographic configuration (Configuración criptográfica) de la página de detalles de una clave KMS muestra Origin (Origen), que identifica el origen del material de claves de la clave KMS. En el caso de las claves KMS con material de claves importado, el valor de origen es siempre External (Import Key material) [Externo (material de claves de importación)]. La página de detalles también incluye una pestaña Key material (Material de claves) que proporciona información detallada sobre el material de claves importado. La pestaña Key material (Material de claves) solo aparece en la página de detalles para claves KMS con material de claves importado.
- En respuestas de DescribeKey
-
Cuando se llama a la operación
DescribeKey
en una clave KMS con material de claves importado, la respuesta incluye los valoresOrigin
,ExpirationModel
yValidTo
. En el caso de las claves KMS con material de claves importado, el valor de origen es siempreEXTERNAL
. El valorExpirationModel
indica si el material de claves está configurado para que caduque o no, y el valorValidTo
indica cuándo caducará el material de claves. Para obtener más información, consulte Configuración de una fecha de vencimiento (opcional).
Para obtener información sobre las claves KMS con material de claves importado, consulte Importación de material clave para AWS KMS llaves.
Identificación de claves KMS en almacenes de claves de AWS CloudHSM
- En la consola de AWS KMS
-
Para facilitar la identificación de las claves KMS en almacenes de claves de AWS CloudHSM en la tabla Customer managed keys (Claves administradas por el cliente), añada la columna Origin (Origen) a la tabla. La columna Origin (Origen) facilita la identificación de las claves KMS que tienen un valor de propiedad de origen AWS CloudHSM. Para obtener ayuda, consulte Personalización de las tablas de claves KMS.
La pestaña Cryptographic configuration (Configuración criptográfica) de la página de detalles de una clave KMS muestra Origin (Origen), que identifica el origen del material de claves de la clave KMS. En el caso de las claves KMS en almacenes de claves de AWS CloudHSM, el valor de origen es siempre AWS CloudHSM.
En el caso de una clave KMS en un almacén de claves de AWS CloudHSM, la pestaña Cryptographic configuration (Configuración criptográfica) incluye una sección adicional, Custom key store (Almacén de claves personalizado), que proporciona información sobre el almacén de claves de AWS CloudHSM y el clúster de AWS CloudHSM asociados a la clave KMS.
- En respuestas de DescribeKey
-
Cuando se llama a la operación
DescribeKey
con una clave KMS en un almacén de claves de AWS CloudHSM, la respuesta incluyeOrigin
, que identifica el origen del material de claves. En el caso de las claves KMS en un almacén de claves de AWS CloudHSM, el valor de origen es siempreAWS_CLOUDHSM
. La operación también devuelve los siguientes campos especiales para las claves KMS de los almacenes de claves de AWS CloudHSM:-
CloudHsmClusterId
-
CustomKeyStoreId
-
Para obtener más información sobre los almacenes de claves de AWS CloudHSM, consulte Almacén de claves de AWS CloudHSM.
Identificación de claves KMS en almacenes de claves externos
- En la consola de AWS KMS
-
Para facilitar la identificación de las claves KMS en almacenes de claves externos en la tabla Customer managed keys (Claves administradas por el cliente), añada la columna Origin (Origen) a la tabla. La columna Origin (Origen) facilita la identificación de las claves KMS que tienen un valor de propiedad de origen External key store (Almacén de claves externo). Para obtener ayuda, consulte Personalización de las tablas de claves KMS.
La pestaña Cryptographic configuration (Configuración criptográfica) de la página de detalles de una clave KMS muestra Origin (Origen), que identifica el origen del material de claves de la clave KMS. Por ejemplo, el valor de origen para todas las claves KMS en el almacén de claves externo es siempre External key store (Almacén de claves externo).
Para una clave KMS en un almacén de claves externo, la pestaña Cryptographic configuration (Configuración criptográfica) incluye dos secciones adicionales: Custom key store (Almacén de claves personalizado) y External key (Clave externa). La tabla Custom key store (Almacén de claves personalizado) proporciona información sobre el almacén de claves externo asociado a la clave KMS. La tabla External key (Clave externa) aparece en la consola de AWS KMS solo para las claves KMS de los almacenes de claves externos. Proporciona información sobre la clave externa asociada a la clave de KMS. La clave externa es una clave criptográfica fuera de AWS que se usa como material de claves para la clave de KMS en el almacén de claves externo. Cuando cifra o descifra con la clave de KMS, la operación la realiza su administrador de claves externo utilizando la clave externa especificada.
Los siguientes valores aparecen en la sección External key (Clave externa).
- ID de clave externa
-
El identificador de la clave externa en su administrador de claves externo. Este es el valor que utiliza el proxy del almacén de claves externo para identificar la clave externa. Usted especifica el ID de la clave externa cuando crea la clave de KMS y no puede cambiarla. Si el valor del identificador de clave externa que utilizó para crear la clave de KMS cambia o deja de ser válida, debe programar la eliminación de la clave de KMS y crear una nueva clave de KMS con el valor de ID de clave externa correcto.
- En respuestas de DescribeKey
-
Cuando se llama a la operación
DescribeKey
con una clave KMS en un almacén de claves externo, la respuesta incluyeOrigin
, que identifica el origen del material de claves. En el caso de las claves KMS en un almacén de claves de AWS CloudHSM, el valor de origen es siempreEXTERNAL_KEY_STORE
. La operación también devuelve el elementoCustomKeyStoreId
, que identifica el almacén de claves externo asociado a las claves KMS.
Para obtener más información sobre los almacenes de claves, consulte Almacenes de claves externos.