Identifica los diferentes tipos de claves - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Identifica los diferentes tipos de claves

En los temas siguientes se explica cómo identificar los distintos tipos de claves en la AWS KMS consola y DescribeKeylas respuestas.

Si necesita ayuda para acceder a la pestaña de configuración criptográfica de la página de detalles de una KMS clave, consulte. Acceder a los detalles KMS clave y enumerarlos

Identifique las claves asimétricas KMS

En la consola AWS KMS

La columna de tipo de clave de la tabla de claves gestionadas por el cliente muestra si cada KMS clave es simétrica o asimétrica. Puede filtrar la tabla por el valor del tipo de clave para mostrar solo las claves asimétricasKMS. Para obtener más información, consulte Ordene y filtre KMS las claves.

La pestaña de configuración criptográfica de la página de detalles de una KMS clave muestra el tipo de clave, que indica si la clave es simétrica o asimétrica. También muestra el uso de la clave, que indica si la KMS clave asimétrica se utiliza para cifrar y descifrar, firmar y verificar o para obtener secretos compartidos.

En DescribeKey las respuestas

Cuando se llama a la DescribeKey operación en una KMS clave asimétrica, la respuesta incluye los KeyUsage valores KeySpec y, que se pueden usar para determinar si una KMS clave es simétrica o asimétrica.

Si el KeySpec valor esSYMMETRIC_DEFAULT, la clave es una clave de cifrado simétrica. KMS Para obtener más información sobre las especificaciones de las claves asimétricas, consulte. Referencia de especificaciones clave

Si el KeyUsage valor es SIGN_VERIFY oKEY_AGREEMENT, la clave es una clave asimétricaKMS.

La DescribeKey operación también devuelve los siguientes detalles para las claves asimétricasKMS.

  • Para KMS las claves asimétricas con un KeyUsage valor deENCRYPT_DECRYPT, la operación devuelve elEncryptionAlgorithms, que muestra los algoritmos de cifrado válidos para la clave.

  • Para KMS las claves asimétricas con un KeyUsage valor deSIGN_VERIFY, la operación devuelve elSigningAlgorithms, que muestra los algoritmos de firma válidos para la clave.

  • En el caso de KMS las claves asimétricas con un KeyUsage valor deKEY_AGREEMENT, la operación devuelve elKeyAgreementAlgorithms, que muestra los algoritmos de concordancia de claves válidos para la clave.

Para obtener más información sobre las KMS claves asimétricas, consulte. Teclas asimétricas en AWS KMS

Identifique las claves HMAC KMS

En la AWS KMS consola

HMACKMSlas claves se incluyen en la tabla de claves gestionadas por el cliente, pero no se puede ordenar ni filtrar esta tabla por la especificación o los valores de uso de claves que identifican HMAC las claves. Para facilitar la búsqueda de HMAC las claves, asígneles un alias o una etiqueta distintivos. A continuación, puede ordenar o filtrar por el alias o la etiqueta.

La pestaña de configuración criptográfica de la página de detalles de una KMS clave muestra el tipo de clave, que indica si la clave es simétrica o asimétrica. HMACKMSlas claves son simétricas. La pestaña de configuración criptográfica también muestra el uso de claves. En el caso de HMAC KMS las claves, el valor de uso de la clave siempre es Generar y verificar MAC.

En DescribeKey las respuestas

Cuando se llama a la DescribeKey operación con una HMAC KMS tecla, la respuesta incluye los KeyUsage valores KeySpec y. En el HMAC KMS caso de las claves, el valor de uso de la clave es siempre GENERATE_VERIFY_MAC y el valor de la especificación clave siempre empieza HMAC_ por.

Para obtener más información sobre HMAC KMS las claves, consulteHMACllaves en AWS KMS.

Identifique las claves multirregionales KMS

En la consola AWS KMS

La tabla de claves gestionadas por el cliente solo muestra KMS las claves de la región seleccionada. Puede ver las claves principales y de réplica de varias regiones en la región seleccionada. Para cambiar la AWS región, utilice el selector de regiones situado en la esquina superior derecha de la consola.

Para facilitar la identificación de las claves multirregionales en la tabla de claves gestionadas por el cliente, añada la columna de regionalidad a la tabla. Para obtener ayuda, consulte Personaliza tus tablas KMS clave.

La página de detalles de KMS las claves multirregionales incluye una pestaña de regionalidad. La pestaña Regionality (Regionalidad) de una clave principal incluye los botones Change primary Region (Cambiar región principal) y Create new replica keys (Crear nuevas claves de réplica). (La pestaña Regionality (Regionalidad) de una clave de réplica no tiene ningún botón). La sección Related multi-Region keys (Claves de varias regiones relacionadas) enumera todas las claves de varias regiones relacionadas con la actual. Si la clave actual es una clave de réplica, esta lista incluye la clave principal.

Si selecciona una clave multirregional relacionada de la tabla de claves multirregionales relacionadas, la AWS KMS consola cambiará a la región de la clave seleccionada y abrirá la página de detalles de la clave. Por ejemplo, si elige la clave de réplica de la sa-east-1 región en la sección de claves multirregionales relacionadas que aparece a continuación, la AWS KMS consola cambiará a la sa-east-1 región para mostrar la página de detalles de esa clave de réplica. Puede hacer esto para ver el alias o la política de clave de la clave de réplica. Para cambiar la región nuevamente, utilice el selector de regiones en la esquina superior derecha de la página.

En DescribeKey las respuestas

De forma predeterminada, AWS KMS API las operaciones son regionales y solo devuelven los recursos de la región actual o especificada. Sin embargo, si se llama a la DescribeKey operación con una KMS clave multirregional, la respuesta incluye todas las claves multirregionales relacionadas de las demás AWS regiones del MultiRegionConfiguration elemento.

Para obtener más información sobre las KMS claves multirregionales, consulte. Claves multirregionales en AWS KMS

Identifique KMS las claves con material clave importado

En la AWS KMS consola

Para facilitar la identificación de KMS las claves con material clave importado en la tabla de claves gestionadas por el cliente, añada la columna Origin a la tabla. La columna Origen facilita la identificación de KMS las claves con un valor de propiedad de origen externo (material de la clave de importación). Para obtener ayuda, consulte Personaliza tus tablas KMS clave.

La pestaña de configuración criptográfica de la página de detalles de una KMS clave muestra el origen, que identifica el origen del material clave de la KMS clave. En el KMS caso de las claves con material clave importado, el valor de origen es siempre externo (material clave de importación). La página de detalles también incluye una pestaña de material clave que proporciona información detallada sobre el material clave importado. La pestaña Material clave solo aparece en la página de detalles de las KMS claves con material clave importado.

En DescribeKey las respuestas

Cuando se llama a la DescribeKey operación en una KMS clave con material clave importadoOrigin, la respuesta incluye ValidTo los valoresExpirationModel, y. En el KMS caso de las claves con material clave importado, el valor de origen es siempreEXTERNAL. El ExpirationModel valor indica si el material clave está configurado para caducar o no, y el ValidTo valor indica cuándo caducará el material clave. Para obtener más información, consulte Configuración de una fecha de vencimiento (opcional).

Para obtener más información sobre KMS las claves con material clave importado, consulteImportación de material clave para AWS KMS llaves.

Identifique KMS las claves en los almacenes de AWS CloudHSM claves

En la AWS KMS consola

Para facilitar la identificación de KMS las claves en los almacenes de AWS CloudHSM claves de la tabla de claves gestionadas por el cliente, añade la columna Origin a la tabla. La columna Origen facilita la identificación de KMS las claves con un valor de propiedad de AWS CloudHSMorigen. Para obtener ayuda, consulte Personaliza tus tablas KMS clave.

La pestaña de configuración criptográfica de la página de detalles de una KMS clave muestra el origen, que identifica el origen del material clave de la KMS clave. En AWS CloudHSM el KMS caso de las claves de los almacenes de claves, el valor de origen es siempre AWS CloudHSM.

Para una KMS clave de un almacén de AWS CloudHSM claves, la pestaña de configuración criptográfica incluye una sección adicional, el almacén de claves personalizado, que proporciona información sobre el almacén de AWS CloudHSM claves y el AWS CloudHSM clúster asociados a la KMS clave.

En DescribeKey las respuestas

Cuando se llama a la DescribeKey operación con una KMS clave de un almacén de AWS CloudHSM clavesOrigin, la respuesta incluye la, que identifica la fuente del material clave. En el KMS caso de las claves de un almacén de AWS CloudHSM claves, el valor de origen es siempreAWS_CLOUDHSM. La operación también devuelve los siguientes campos especiales para KMS las claves de los almacenes de AWS CloudHSM claves:

  • CloudHsmClusterId

  • CustomKeyStoreId

Para obtener más información sobre los almacenes de AWS CloudHSM claves, consulteAWS CloudHSM tiendas clave.

Identifique KMS las claves en almacenes de claves externos

En la AWS KMS consola

Para facilitar la identificación de KMS las claves en los almacenes de claves externos de la tabla de claves gestionadas por el cliente, añada la columna Origin a la tabla. La columna Origen facilita la identificación de KMS las claves con un valor de propiedad de origen del almacén de claves externo. Para obtener ayuda, consulte Personaliza tus tablas KMS clave.

La pestaña de configuración criptográfica de la página de detalles de una KMS clave muestra el origen, que identifica el origen del material clave de la KMS clave. En el KMS caso de las claves de almacenes de claves externos, el valor de origen es siempre un almacén de claves externo.

Para una KMS clave de un almacén de claves externo, la pestaña de configuración criptográfica incluye dos secciones adicionales: almacén de claves personalizado y clave externa. La tabla del almacén de claves personalizado proporciona información sobre el almacén de claves externo asociado a la KMS clave. La tabla de claves externas aparece en la AWS KMS consola solo para KMS las claves de los almacenes de claves externos. Proporciona información sobre la clave externa asociada a la KMS clave. La clave externa es una clave criptográfica externa AWS que sirve como material clave para la KMS clave del almacén de claves externo. Al cifrar o descifrar con la KMS clave, el administrador de claves externo realiza la operación utilizando la clave externa especificada.

Los siguientes valores aparecen en la sección External key (Clave externa).

ID de clave externa

El identificador de la clave externa en su administrador de claves externo. Este es el valor que utiliza el proxy del almacén de claves externo para identificar la clave externa. El identificador de la clave externa se especifica al crear la KMS clave y no se puede cambiar. Si el valor de ID de clave externa que utilizó para crear la KMS clave cambia o deja de ser válido, debe programar la eliminación de la KMS clave y crear una nueva KMS clave con el valor de ID de clave externa correcto.

En DescribeKey las respuestas

Al realizar la DescribeKey operación con una KMS clave de un almacén de claves externo, la respuesta incluye la claveOrigin, que identifica la fuente del material clave. En el KMS caso de las claves de un almacén de AWS CloudHSM claves, el valor de origen es siempreEXTERNAL_KEY_STORE. La operación también devuelve el CustomKeyStoreId elemento, que identifica el almacén de claves externo asociado a las KMS claves.

Para obtener más información sobre los almacenes de claves externos, consulteAlmacenes de claves externos.