Chamando CreateKey - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Chamando CreateKey

Um AWS KMS key é gerado como resultado de uma chamada para a chamada CreateKeyda API.

Veja a seguir um subconjunto da sintaxe da solicitação CreateKey.

{
  "Description": "string",
  "KeySpec": "string",
  "KeyUsage": "string",
  "Origin": "string";
  "Policy": "string"
}

A solicitação aceita os dados a seguir no formato JSON.

Descrição

(Opcional) Descrição da chave. Recomendamos que você escolha uma descrição que ajude a decidir se a chave é apropriada para uma tarefa.

KeySpec

Especifica o tipo de chave do KMS a ser criado. O valor padrão, SYMMETRIC_DEFAULT, cria uma chave do KMS com criptografia simétrica. Esse parâmetro é opcional para chaves de criptografia simétrica e é obrigatório para todas as outras especificações de chaves.

KeyUsage

Especifica o uso da chave. Os valores válidos são ENCRYPT_DECRYPT, SIGN_VERIFY ou GENERATE_VERIFY_MAC. O valor padrão é ENCRYPT_DECRYPT. Esse parâmetro é opcional para chaves de criptografia simétrica e é obrigatório para todas as outras especificações de chaves.

Origem

(Opcional) Especifica a origem do material de chave da chave do KMS. O valor padrão éAWS_KMS, que indica que AWS KMS gera e gerencia o material chave para a chave KMS. Outros valores válidos incluemEXTERNAL, que representa uma chave KMS criada sem material de chave para material de chave importado e AWS_CLOUDHSM que cria uma chave KMS em um armazenamento de chaves personalizado apoiado por um AWS CloudHSM cluster que você controla.

Política

(Opcional) Política a anexar à chave. Se a política for omitida, a chave será criada com a política padrão (a seguir) que permite que a conta raiz e as entidades principais do IAM com permissões do AWS KMS a gerenciem.

Para obter mais detalhes sobre a política, consulte Políticas de chaves no AWS KMS e Política de chave padrão, no Guia do desenvolvedor do AWS Key Management Service .

A solicitação CreateKey retorna uma resposta que inclui um ARN de chave.

arn:<partition>:kms:<region>:<account-id>:key/<key-id>

Se Origin for AWS_KMS, depois que o ARN for criado, será feita uma solicitação para um HSM do AWS KMS em uma sessão autenticada para provisionar uma chave de reserva (HBK) do módulo de segurança de hardware (HSM). O HBK é uma chave de 256 bits que está associada a essa ID de chave da chave do KMS. Ele pode ser gerado apenas em um HSM e foi projetado para nunca ser exportado fora do limite do HSM em texto simples. O HBK é criptografado com a chave de domínio atual, DK0. Esses tokens criptografados HBKs são chamados de tokens de chave criptografados (EKTs). Embora o HSMs possa ser configurado para usar uma variedade de métodos de agrupamento de chaves, a implementação atual usa o AES-256 no Galois Counter Mode (GCM), um esquema de criptografia autenticado. O modo de criptografia autenticada permite proteger alguns metadados de tokens de chaves exportados em texto simples.

Isso é representado estilisticamente como:

EKT = Encrypt(DK0, HBK)

Duas formas fundamentais de proteção são fornecidas para suas chaves KMS e as subsequentes HBKs: políticas de autorização definidas em suas chaves KMS e as proteções criptográficas em suas chaves associadas. HBKs As seções restantes descrevem as proteções criptográficas e a segurança das funções de gerenciamento em. AWS KMS

Além do ARN, você pode criar um nome fácil de usar e associá-lo à chave do KMS criando um alias para a chave. Depois que um alias tiver sido associado a uma chave do KMS, ele poderá ser usado para identificar essa chave em operações criptográficas. Para obter informações detalhadas, consulte Usar aliases, no Guia do desenvolvedor do AWS Key Management Service .

Vários níveis de autorizações envolvem o uso de chaves KMS. AWS KMS permite políticas de autorização separadas entre o conteúdo criptografado e a chave KMS. Por exemplo, um objeto criptografado em envelope AWS KMS do Amazon Simple Storage Service (Amazon S3) herda a política no bucket do Amazon S3. No entanto, o acesso à chave de criptografia necessária é determinado pela política de acesso na chave KMS. Para obter mais informações sobre como autorizar chaves do KMS, consulte Autenticação e controle de acesso para o AWS KMS, no Guia do desenvolvedor do AWS Key Management Service .