Tabla de tipos de claves Tabla de características especiales

Referencia de tipos de claves

AWS KMS admite diferentes funciones para claves KMS de diferentes tipos. Por ejemplo, solo puede utilizar las claves KMS de cifrado simétricas para generar claves de datos simétricas y pares de claves de datos asimétricas. Además, la importación del material de claves y la rotación automática de claves son compatibles únicamente con las claves KMS de cifrado simétricas. Asimismo, solo puede crear claves KMS de cifrado simétricas en un almacén de claves personalizadas.

Esta referencia incluye dos tablas.

La Tabla de tipos de claves muestra las operaciones de AWS KMS que son válidas para las claves de KMS de cifrado simétricas, las claves de KMS asimétricas y las claves de KMS HMAC.
La tabla de características especiales muestra las operaciones de AWS KMS que son válidas para las claves de KMS para varias regiones, las claves de KMS con material de claves importado y las claves de KMS de almacenes de claves personalizados.

Tabla de tipos de claves

Es posible que tenga que desplazarse horizontal o verticalmente para ver todos los datos de esta tabla.

AWS KMS Operación de la API	Claves KMS de cifrado simétricas	Claves KMS HMAC	Claves de KMS asimétricas (ENCRYPT_DECRYPT)	Claves de KMS asimétricas (SIGN_VERIFY)
CancelKeyDeletion
CreateAlias
CreateGrant
CreateKey
Decrypt
DeleteAlias
DeleteImportedKeyMaterial Válido solo en las claves de KMS con material de claves importado (`Origin` es `EXTERNAL`).
DescribeKey
DisableKey
DisableKeyRotation	Válido solo en claves de KMS con material de claves de AWS KMS (`Origin` es `AWS_KMS`).
EnableKey
EnableKeyRotation	Válido solo en claves de KMS con material de claves de AWS KMS (`Origin` es `AWS_KMS`).
Encrypt
GenerateDataKey
GenerateDataKeyPair Genera un par de claves de datos asimétricos protegido por una clave de KMS de cifrado simétrica.	No es válido en claves de KMS en almacenes de claves personalizados.
GenerateDataKeyPairWithoutPlaintext Genera un par de claves de datos asimétricos protegido por una clave de KMS de cifrado simétrica.	No es válido en claves de KMS en almacenes de claves personalizados.
GenerateDataKeyWithoutPlaintext
GenerateMac
GetKeyPolicy
GetKeyRotationStatus		(`KeyRotationEnabled` siempre será `false`.)	(`KeyRotationEnabled` siempre será `false`.)	(`KeyRotationEnabled` siempre será `false`.)
GetParametersForImport Válido solo en las claves de KMS con material de claves importado (`Origin` es `EXTERNAL`).
GetPublicKey
ImportKeyMaterial Válido solo en las claves de KMS con material de claves importado (`Origin` es `EXTERNAL`).
ListAliases
ListGrants
ListKeyPolicies
ListResourceTags
ListRetirableGrants
PutKeyPolicy
ReEncrypt
ReplicateKey - Válido solo en claves de varias regiones
RetireGrant
RevokeGrant
ScheduleKeyDeletion
Sign
TagResource
UntagResource
UpdateAlias La clave de KMS actual y la nueva clave de KMS deben ser del mismo tipo (ambas simétricas o ambas asimétricas o ambas HMAC) y deben tener el mismo uso de clave.
UpdateKeyDescription
UpdateReplicaRegion - Válido solo en claves de varias regiones
Verificar
VerifyMac

Tabla de características especiales

En esta tabla, se muestran las operaciones de la API de AWS KMS que se admiten en cada tipo de clave de uso especial.

Al leer esta tabla, debe tener en cuenta las siguientes interacciones:

Claves de varias regiones:
- Las claves de varias regiones pueden ser claves de KMS de cifrado simétrico, claves de KMS asimétricas, claves de KMS HMAC y claves de KMS con material de claves importado.
- No puede crear claves de varias regiones en un almacén de claves personalizado.
Material de claves importado
- Puede importar material de claves de KMS de cifrado simétrico, claves de KMS asimétricas y claves HMAC de KMS.
- Puede crear claves de varias regiones con material de claves importado.
- No puede crear claves con material de claves importado en un almacén de claves personalizado.
- La rotación automática de claves EnableKeyRotation, DisableKeyRotation) no es compatible con las claves KMS con el material de claves importado.
Almacenes de claves personalizados
- Los almacenes de claves personalizados solo admiten claves KMS de cifrado simétricas.
- Las operaciones simétricas en pares de claves asimétricas (GenerateDataKeyPair, GenerateDataKeyPairWithoutPlaintext) no se admiten en las claves de KMS de los almacenes de claves personalizados.
- Las claves KMS de almacenes de claves personalizados no admiten la rotación automática de claves (EnableKeyRotation, DisableKeyRotation).
- No puede crear claves de varias regiones en almacenes de claves personalizados.

Es posible que tenga que desplazarse horizontal o verticalmente para ver todos los datos de esta tabla.

AWS KMS Operación de la API	Claves de varias regiones	Material de claves importado
CancelKeyDeletion
CreateAlias
CreateGrant
CreateKey Puede utilizar `CreateKey` para crear una clave principal de varias regiones, una clave de KMS con material de claves importado o una clave de KMS en un almacén de claves personalizado. Para crear una clave de réplica de varias regiones, utilice `ReplicateKey`.
Decrypt	Válido solo cuando `KeyUsage` es `ENCRYPT_DECRYPT`
DeleteAlias
DeleteImportedKeyMaterial	Válido solo para claves con material de claves importado (`Origin` es `EXTERNAL`)
DescribeKey
DisableKey
DisableKeyRotation	Válido solo en claves de cifrado simétricas con material de claves de AWS KMS (`Origin` es `AWS_KMS`).
EnableKey	Válido solo con claves de cifrado de KMS simétricas
EnableKeyRotation	Válido solo en claves de cifrado simétricas con material de claves de AWS KMS (`Origin` es `AWS_KMS`).
Encrypt	Válido solo cuando `KeyUsage` es `ENCRYPT_DECRYPT`
GenerateDataKey	Válido solo con claves de cifrado de KMS simétricas
GenerateDataKeyPair	Válido solo con claves de cifrado de KMS simétricas
GenerateDataKeyPairWithoutPlaintext	Válido solo con claves de cifrado de KMS simétricas
GenerateDataKeyWithoutPlaintext	Válido solo con claves de cifrado de KMS simétricas
GenerateMac Válido solo en claves HMAC de KMS
GetKeyPolicy
GetKeyRotationStatus		(`KeyRotationEnabled` siempre será `false`.)
GetParametersForImport	Válido solo para claves con material de claves importado (`Origin` es `EXTERNAL`).
GetPublicKey Válido solo para claves de KMS asimétricas.
ImportKeyMaterial	Válido solo para claves con material de claves importado (`Origin` es `EXTERNAL`).
ListAliases
ListGrants
ListKeyPolicies
ListResourceTags
ListRetirableGrants
PutKeyPolicy
ReEncrypt	Válido solo cuando `KeyUsage` es `ENCRYPT_DECRYPT`
ReplicateKey	Válido solo en claves principales de varias regiones.	Válido solo en claves principales de varias regiones.
RetireGrant
RevokeGrant
ScheduleKeyDeletion
Sign Válido solo cuando `KeyUsage` es `SIGN_VERIFY`.
TagResource
UntagResource
UpdateAlias La clave de KMS actual y la nueva clave de KMS deben ser del mismo tipo (ambas simétricas o ambas asimétricas o ambas HMAC) y deben tener el mismo uso de clave.
UpdateKeyDescription
UpdateReplicaRegion		Válido solo en claves de varias regiones.
Verificar Solo es válido cuando `KeyUsage` es `SIGN_VERIFY`.
VerifyMac Válido solo en claves HMAC de KMS

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Solución de problemas de almacenes de claves externos

Seguridad