Crie uma chave assimétrica KMS - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Crie uma chave assimétrica KMS

Você pode criar KMSchaves assimétricas no AWS KMS console usando o CreateKeyAPI, ou usando o modelo AWS::KMS: AWS CloudFormation :Key. Uma KMS chave assimétrica representa um par de chaves pública e privada que pode ser usado para criptografia, assinatura ou derivação de segredos compartilhados. A chave privada permanece dentro AWS KMS. Para baixar a chave pública para uso fora do AWS KMS, consulteFazer download de chave pública.

Ao criar uma KMS chave assimétrica, você deve selecionar uma especificação de chave. Geralmente a especificação de chave escolhida é determinada por requisitos regulatórios, de segurança ou de negócios. Ela também pode ser influenciada pelo tamanho das mensagens que você precisa criptografar ou assinar. Em geral, chaves de criptografia maiores são mais resistentes a ataques de força bruta. Para obter uma descrição detalhada de todas as especificações de chave compatíveis, consulte Referência de especificação de chave.

AWS serviços que se integram com AWS KMS não oferecem suporte a chaves assimétricasKMS. Se você quiser criar uma KMS chave que criptografe os dados que você armazena ou gerencia em um AWS serviço, crie uma chave de criptografia KMS simétrica.

Para obter informações sobre as permissões necessárias para criar KMS chaves, consultePermissões para criar KMS chaves.

Você pode usar o AWS Management Console para criar AWS KMS keys (KMSchaves) assimétricas. Cada KMS chave assimétrica representa um par de chaves pública e privada.

Importante

Não inclua informações confidenciais ou sigilosas no alias, na descrição ou nas tags. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.

  1. Faça login no console AWS Management Console e abra o AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

  3. No painel de navegação, escolha Chaves gerenciadas pelo cliente.

  4. Escolha Criar chave.

  5. Para criar uma chave assimétrica, em Tipo de KMS chave, escolha Assimétrica.

  6. Para criar uma chave assimétrica para criptografia de KMS chave pública, em Uso da chave, escolha Criptografar e descriptografar.

    Para criar uma KMS chave assimétrica para assinar mensagens e verificar assinaturas, em Uso da chave, escolha Assinar e verificar.

    Para criar uma KMS chave assimétrica para derivar segredos compartilhados, em Uso da chave, escolha Acordo de chave.

    Para ajudar a escolher um valor de uso de chave, consulte Escolher o tipo de KMS chave a ser criada.

  7. Selecione uma especificação (especificação chave) para sua chave assimétricaKMS.

  8. Escolha Próximo.

  9. Digite um alias para a KMS chave. O nome do alias não pode começar com aws/. O prefixo aws/ é reservado pela Amazon Web Services para representar as Chaves gerenciadas pela AWS na sua conta.

    Um alias é um nome amigável que você pode usar para identificar a KMS chave no console e em alguns AWS KMS APIs. Recomendamos que você escolha um alias que indique o tipo de dados que você planeja proteger ou o aplicativo que planeja usar com a KMS chave.

    Os aliases são necessários quando você cria uma KMS chave no AWS Management Console. Você não pode especificar um alias ao usar a CreateKeyoperação, mas pode usar o console ou a CreateAliasoperação para criar um alias para uma chave existenteKMS. Para obter detalhes, consulte Aliases em AWS KMS.

  10. (Opcional) Digite uma descrição para a KMS chave.

    Insira uma descrição que explique o tipo de dados que você planeja proteger ou o aplicativo que planeja usar com a KMS chave.

    Você pode adicionar uma descrição agora ou atualizá-la a qualquer momento, a não ser que o estado da chave seja Pending Deletion ou Pending Replica Deletion. Para adicionar, alterar ou excluir a descrição de uma chave gerenciada pelo cliente existente, edite a descrição na página de detalhes da KMS chave AWS Management Console ou use a UpdateKeyDescriptionoperação.

  11. (Opcional) Digite uma chave de tag e um valor de tag opcional. Para adicionar mais de uma tag à KMS chave, escolha Adicionar tag.

    Quando você adiciona tags aos seus AWS recursos, AWS gera um relatório de alocação de custos com uso e custos agregados por tags. As tags também podem ser usadas para controlar o acesso a uma KMS chave. Para obter informações sobre a marcação de KMS chaves, consulte Etiquetas em AWS KMS e. ABAC para AWS KMS

  12. Escolha Próximo.

  13. Selecione os IAM usuários e funções que podem administrar a KMS chave.

    Observações

    Essa política de chaves dá o controle Conta da AWS total dessa KMS chave. Ele permite que os administradores da conta usem IAM políticas para dar permissão a outros diretores para gerenciar a KMS chave. Para obter detalhes, consulte Política de chaves padrão.

    IAMas melhores práticas desencorajam o uso de IAM usuários com credenciais de longo prazo. Sempre que possível, use IAM funções que forneçam credenciais temporárias. Para obter detalhes, consulte as melhores práticas de segurança IAM no Guia IAM do usuário.

    O AWS KMS console adiciona administradores de chaves à política de chaves sob o identificador "Allow access for Key Administrators" de instrução. A modificação desse identificador de declaração pode afetar a forma como o console exibe as atualizações que você faz na declaração.

  14. (Opcional) Para impedir que os IAM usuários e funções selecionados excluam essa KMS chave, na seção Exclusão de chave na parte inferior da página, desmarque a caixa de seleção Permitir que administradores de chaves excluam essa chave.

  15. Escolha Próximo.

  16. Selecione os IAM usuários e as funções que podem usar a KMS chave para operações criptográficas.

    Observações

    IAMas melhores práticas desencorajam o uso de IAM usuários com credenciais de longo prazo. Sempre que possível, use IAM funções que forneçam credenciais temporárias. Para obter detalhes, consulte as melhores práticas de segurança IAM no Guia IAM do usuário.

    O AWS KMS console adiciona os principais usuários à política de chaves sob os identificadores de declaração "Allow use of the key" e. "Allow attachment of persistent resources" A modificação desses identificadores de declaração pode afetar a forma como o console exibe as atualizações que você faz na declaração.

  17. (Opcional) Você pode permitir que outras Contas da AWS pessoas usem essa KMS chave para operações criptográficas. Para fazer isso, na parte inferior da página na seção Other Contas da AWS (Outras ), escolha Add another Conta da AWS (Adicionar outra ) e insira o número de identificação da Conta da AWS de uma conta externa. Para adicionar várias contas externas, repita essa etapa.

    nota

    Para permitir que os diretores das contas externas usem a KMS chave, os administradores da conta externa devem criar IAM políticas que forneçam essas permissões. Para obter mais informações, consulte Permitir que usuários de outras contas usem uma chave do KMS.

  18. Escolha Próximo.

  19. Analise as principais declarações de política para obter a chave. Para fazer alterações na política de chaves, selecione Editar.

  20. Escolha Próximo.

  21. Revise as configurações que você escolheu. Ainda é possível voltar e alterar todas as configurações.

  22. Escolha Concluir para criar a KMS chave.

Você pode usar a CreateKeyoperação para criar uma assimétrica AWS KMS key. Estes exemplos usam a AWS Command Line Interface (AWS CLI), mas você pode usar qualquer linguagem de programação compatível.

Ao criar uma KMS chave assimétrica, você deve especificar o KeySpec parâmetro, que determina o tipo de chave que você cria. Além disso, você deve especificar um KeyUsage valor de ENCRYPT SIGN _ DECRYPTVERIFY, _ ou KEY _AGREEMENT. Você não pode alterar essas propriedades após a criação da KMS chave.

A CreateKey operação não permite que você especifique um alias, mas você pode usar a CreateAliasoperação para criar um alias para sua nova KMS chave.

Importante

Não inclua informações confidenciais ou sigilosas nos campos Description ou Tags. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.

Crie um par de KMS chaves assimétrico para criptografia pública

O exemplo a seguir usa a CreateKey operação para criar uma KMS chave assimétrica de 4096 bits projetada para criptografia de chave RSA pública.

$ aws kms create-key --key-spec RSA_4096 --key-usage ENCRYPT_DECRYPT
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": 1569973196.214,
        "MultiRegion": false,
        "KeySpec": "RSA_4096",
        "CustomerMasterKeySpec": "RSA_4096",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "EncryptionAlgorithms": [
            "RSAES_OAEP_SHA_1",
            "RSAES_OAEP_SHA_256"
        ],
        "AWSAccountId": "111122223333",
        "Origin": "AWS_KMS",
        "Enabled": true
    }
}
Crie um par de KMS chaves assimétrico para assinatura e verificação

O comando de exemplo a seguir cria uma KMS chave assimétrica que representa um par de ECC chaves usadas para assinatura e verificação. Não é possível criar um par de chaves de curva elíptica para criptografia e descriptografia.

$ aws kms create-key --key-spec ECC_NIST_P521 --key-usage SIGN_VERIFY
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": 1570824817.837,
        "Origin": "AWS_KMS",
        "SigningAlgorithms": [
            "ECDSA_SHA_512"
        ],
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
        "AWSAccountId": "111122223333",
        "KeySpec": "ECC_NIST_P521",
        "CustomerMasterKeySpec": "ECC_NIST_P521",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Enabled": true,
        "MultiRegion": false,
        "KeyUsage": "SIGN_VERIFY"
    }
}
Crie um par de KMS chaves assimétrico para derivar segredos compartilhados

O comando de exemplo a seguir cria uma KMS chave assimétrica que representa um par de ECDH chaves usadas para derivar segredos compartilhados. Não é possível criar um par de chaves de curva elíptica para criptografia e descriptografia.

$ aws kms create-key --key-spec ECC_NIST_P256 --key-usage KEY_AGREEMENT
{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": "2023-12-27T19:10:15.063000+00:00",
        "Enabled": true,
        "Description": "",
        "KeyUsage": "KEY_AGREEMENT",
        "KeyState": "Enabled",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "ECC_NIST_P256",
        "KeySpec": "ECC_NIST_P256",
        "KeyAgreementAlgorithms": [
            "ECDH"
        ],
        "MultiRegion": false
    }
}