Propiedades de las claves de KMS en un almacén de claves externo Visualización de claves de KMS en un almacén de claves externo (consola)Visualización de claves de KMS en un almacén de claves externo (API de AWS KMS)

Visualización de claves de KMS en un almacén de claves externo

Para ver las claves de KMS en un almacén de claves externo, utilice la AWS KMS consola o la DescribeKeyoperación. Puede usar las mismas técnicas que usaría para ver cualquier clave de AWS KMS administrada por el cliente. Para conocer la información básica, consulte Consultar claves.

En la consola de AWS KMS, las claves de KMS en su almacén de claves externo se muestran en la página Customer managed keys (Claves administradas por el cliente), junto con todas las demás claves administradas por el cliente en su Cuenta de AWS y región. Para identificar las claves de KMS en un almacén de claves externo, filtre por el valor de origen distintivo, el almacén de claves externo y el ID del almacén de claves personalizado.

Para obtener más información, consulte Visualización de un almacén de claves externo, Monitoreo de un almacén de claves externo y Registrar llamadas a la AWS KMS API con AWS CloudTrail.

Temas

Propiedades de las claves de KMS en un almacén de claves externo
Visualización de claves de KMS en un almacén de claves externo (consola)
Visualización de claves de KMS en un almacén de claves externo (API de AWS KMS)

Propiedades de las claves de KMS en un almacén de claves externo

Al igual que todas las claves de KMS, las claves de KMS en un almacén de claves externo tienen un ARN de clave, una especificación de clave y valores de uso de clave, pero también tienen propiedades y valores de propiedad específicos para las claves de KMS en un almacén de claves externo. Por ejemplo, el valor de Origin (Origen) para todas las claves de KMS en almacenes de claves externos es External key store (Almacén de claves externas).

Para una clave de KMS en un almacén de claves externo, la pestaña Cryptographic configuration (Configuración criptográfica) en la consola de AWS KMS incluye dos secciones adicionales: Custom key store (Almacén de claves personalizado) y External key (Clave externa).

Propiedades del almacén de claves personalizado

Los siguientes valores aparecen en la sección Almacén de claves personalizado de la pestaña Configuración criptográfica y en la DescribeKeyrespuesta. Estas propiedades se aplican a todos los almacenes de claves personalizados, incluidos los almacenes de claves de AWS CloudHSM y los almacenes de claves externos.

ID del almacén de claves personalizadas: Un ID único que AWS KMS asigna al almacén de claves personalizado.
Nombre del almacén de claves personalizadas: Un nombre fácil de recordar que asigna al almacén de claves personalizado al crearlo. Puede cambiar este valor en cualquier momento.
Tipo de almacén de claves personalizado: El tipo de almacén de claves personalizado. Los valores válidos son AWS CloudHSM (AWS_CLOUDHSM) o Almacén de claves externo (EXTERNAL_KEY_STORE). No se puede cambiar el tipo después de crear el almacén de claves personalizado.
Fecha de creación: Fecha en la que se creó el almacén de claves personalizado. Este valor se muestra en la hora local de la Región de AWS.
Estado de la conexión: Indica si el almacén de claves personalizado está conectado a su almacén de claves de respaldo. El estado de conexión será DISCONNECTED solo si el almacén de claves personalizado nunca se ha conectado al almacén de claves de respaldo o se ha desconectado intencionadamente. Para obtener más detalles, consulte Estado de la conexión.

Propiedades de claves externas

Las propiedades de la clave externa aparecen en la sección Clave externa de la pestaña Configuración criptográfica y en el XksKeyConfiguration elemento de la DescribeKeyrespuesta.

La sección External key (Clave externa) aparece en la consola de AWS KMS solo para las claves de KMS de los almacenes de claves externos. Proporciona información sobre la clave externa asociada a la clave de KMS. La clave externa es una clave criptográfica fuera de AWS que se usa como material de claves para la clave de KMS en el almacén de claves externo. Cuando cifra o descifra con la clave de KMS, la operación la realiza su administrador de claves externo utilizando la clave externa especificada.

Los siguientes valores aparecen en la sección External key (Clave externa).

ID de clave externa: El identificador de la clave externa en su administrador de claves externo. Este es el valor que utiliza el proxy del almacén de claves externo para identificar la clave externa. Usted especifica el ID de la clave externa cuando crea la clave de KMS y no puede cambiarla. Si el valor del identificador de clave externa que utilizó para crear la clave de KMS cambia o deja de ser válida, debe programar la eliminación de la clave de KMS y crear una nueva clave de KMS con el valor de ID de clave externa correcto.

Visualización de claves de KMS en un almacén de claves externo (consola)

Para ver las claves de KMS en un almacén de claves externo (Consola)

Abra la consola de AWS KMS en https://console.aws.amazon.com/kms.
Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.
En el panel de navegación, elija Claves administradas por el cliente.
Para identificar las claves de KMS en su almacén de claves externo, agregue los campos de Origin (Origen) y de Custom key store ID (ID del almacén de claves personalizado) a su tabla de claves. Las claves de KMS de cualquier almacén de claves externo tienen un valor de Origin (Origen) de Custom key store ID (Almacén de claves externo).

En la esquina superior derecha, elija el icono de engranaje, elija Origin (Origen) y Custom key store ID (ID de almacén de clave personalizado), luego elija Confirm (Confirmar).
Elija el alias o ID de clave de una clave de KMS en un almacén de claves externo.
Para ver las propiedades específicas de las claves de KMS en un almacén de claves externo, elija la pestaña Cryptographic configuration (Configuración criptográfica). Los valores especiales para las claves de KMS de un almacén de claves externo aparecen en las secciones Custom key store (Almacén de claves personalizado) y External key (Clave externa).

Visualización de claves de KMS en un almacén de claves externo (API de AWS KMS)

Para ver las claves de KMS en un almacén de claves externo (API)

Utiliza las mismas operaciones de AWS KMS API para ver las claves de KMS en un almacén de claves externo que usaría para cualquier clave de KMS, incluidas ListKeys DescribeKey, y GetKeyPolicy. Por ejemplo, la siguiente operación describe-key en la AWS CLI muestra los campos especiales para una clave de KMS en un almacén de claves externo. Antes de ejecutar un comando de este tipo, reemplace el ID de la clave KMS de ejemplo por un valor válido.


$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
  "KeyMetadata": {
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "AWSAccountId": "111122223333",
    "CreationDate": "2022-12-02T07:48:55-07:00",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "CustomKeyStoreId": "cks-1234567890abcdef0",
    "Description": "",
    "Enabled": true,
    "EncryptionAlgorithms": [
      "SYMMETRIC_DEFAULT"
    ],
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeySpec": "SYMMETRIC_DEFAULT",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",
    "MultiRegion": false,
    "Origin": "EXTERNAL_KEY_STORE",
    "XksKeyConfiguration": {      
      "Id": "bb8562717f809024"           
    }
  }
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Crear claves de KMS en un almacén de claves externo

Utilizar claves de KMS en un almacén de claves externo