Criar chaves - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar chaves

É possível criar simétricas e assimétricas chaves mestras do cliente (CMKs) no Console de gerenciamento da AWS ou usando a operação CreateKey. Durante esse processo, determine a configuração criptográfica da CMK e a origem de seu material de chave. Não é possível alterar essas propriedades depois que a CMK é criada. Você também define a política de chave da CMK, que pode ser alterada a qualquer momento.

Se você estiver criando um CMK para criptografar dados armazenados ou gerenciados em um serviço da AWS, crie um CMK simétrico.Os serviços da AWS integrados ao AWS KMS usam CMKs simétricas para criptografar os dados. Esses serviços não oferecem suporte a CMKs assimétricas. Para ajudar a decidir qual tipo de CMK criar, consulte Como escolher a configuração da CMK.

Quando você cria uma CMK no console do AWS KMS, é necessário fornecer um alias (nome amigável) a ela. A operação CreateKey não cria um alias para a nova CMK. Para criar um alias para uma CMK nova ou existente, use a operação CreateAlias. Para obter informações detalhadas sobre aliases no AWS KMS, consulte Usar aliases.

Para criar uma CMK no console ou usando a APIs, é necessário ter a permissão kms:CreateKey em uma política do IAM. Para adicionar tags ao criar uma chave, você deve ter a permissão kms:TagResource. Se estiver usando o console no qual um alias é necessário para cada nova CMK, você precisará da permissão kms:CreateAlias na CMK e no alias. Para obter detalhes, incluindo políticas demonstrativas, consulte Permitir que um usuário crie CMKs.

Saiba mais:

Criar CMKs simétricas

É possível criar CMKs simétricas no Console de gerenciamento da AWS ou usando a API do AWS KMS. A criptografia de chave simétrica usa a mesma chave para criptografar e descriptografar dados.

É possível usar o Console de gerenciamento da AWS para criar chaves mestras do cliente (CMKs).

  1. Faça login no Console de gerenciamento da AWS e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a região do AWS, use o seletor Region (Região) no canto superior direito da página.

  3. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas de cliente).

  4. Selecione Create key (Criar chave).

  5. Para criar uma CMK simétrica, para Tipo de chave, selecione Simétrica.

    Para obter informações sobre como criar uma CMK assimétrica no console do AWS KMS, consulte Criar CMKs assimétricas (console).

  6. Selecione Next (Próximo).

  7. Digite um alias para a CMK. O nome do alias não pode começar com aws/. O prefixo aws/ é reservado pela Amazon Web Services para representar o AWS gerenciado pela CMKs na sua conta.

    Um alias é um nome de exibição que identifica a CMK. Recomendamos que você escolha um alias que indique o tipo de dados que pretende proteger ou a aplicação a ser usada com a CMK.

    Os aliases são necessários ao criar uma CMK no Console de gerenciamento da AWS. Eles são opcionais quando você usa a operação CreateKey.

  8. (Opcional) Digite a descrição da CMK.

    Insira uma descrição que explique o tipo de dados que pretende proteger ou a aplicação que pretende usar com a CMK. Não use o formato de descrição usado para CMKs gerenciadas pela AWS. O formato de descrição chave mestra padrão que protege meu ... quando nenhuma outra chave está definida é reservado para CMKs gerenciadas pela AWS.

    Você pode adicionar uma descrição agora ou atualizá-la a qualquer momento, a menos que o estado da chave seja Pending Deletion. Para adicionar, alterar ou excluir a descrição de um CMK gerenciado pelo cliente existente, edite o CMK no ou use a operação Console de gerenciamento da AWSUpdateKeyDescription.

  9. Selecione Next (Próximo).

  10. (Opcional) Digite uma chave de tag e um valor de tag opcional. Para adicionar mais de uma tag à CMK, selecione Adicionar tag.

    Ao adicionar tags aos recursos da AWS, a AWS gera um relatório de alocação de custos com utilização e custos agrupados por tags. Para informações sobre como marcar CMKs, consulte Marcar chaves.

  11. Selecione Next (Próximo).

  12. Selecione os usuários e as funções do IAM que podem administrar a CMK.

    nota

    As políticas do IAM podem conceder a outros usuários e funções do IAM permissão para gerenciar a CMK.

  13. (Opcional) Para impedir que os usuários e funções selecionados do IAM excluam essa CMK, na seção Key deletion (Exclusão de chaves), na parte inferior da página, desmarque a caixa de seleção Allow key administrators to delete this key (Permitir que administradores de chaves excluam esta chave).

  14. Selecione Next (Próximo).

  15. Selecione os usuários e as funções do IAM que podem usar a CMK para operações criptográficas.

    nota

    A conta da AWS (usuário raiz) tem permissões completas, por padrão. Como resultado, qualquer política do IAM também pode conceder aos usuários e funções permissão para usar a CMK para operações criptográficas.

  16. (Opcional) Você pode permitir que outras contas da AWS usem essa CMK para operações criptográficas. Para fazer isso, na seção Other AWS accounts (Outras contas da AWS) na parte inferior da página, escolha Add another AWS account (Adicionar outra conta da AWS) e insira o número de identificação da conta da AWS de uma conta externa. Para adicionar várias contas externas, repita essa etapa.

    nota

    Para permitir que os principais de contas externas usem a CMK, os administradores da conta externa devem criar políticas do IAM que forneçam essas permissões. Para obter mais informações, consulte Permitir que usuários de outras contas usem uma CMK.

  17. Selecione Next (Próximo).

  18. Analise o documento de política de chaves que foi criado de acordo com as suas opções. Você também pode editá-lo.

  19. Selecione Concluir para criar a CMK.

Você pode usar a operação CreateKey para criar uma nova Chave mestra do cliente simétrica (CMK). Estes exemplos usam a AWS Command Line Interface (AWS CLI), mas você pode usar qualquer linguagem de programação compatível.

Essa operação não tem os parâmetros obrigatórios. No entanto, você também pode usar o parâmetro Policy para especificar uma política de chaves. Você pode alterar a política de chaves (PutKeyPolicy) e adicionar elementos opcionais, como uma descrição e tags a qualquer momento. Além disso, se estiver criando uma CMK para material de chave importada ou uma CMK em um armazenamento de chaves personalizado, o parâmetro Origin será necessário.

Veja a seguir um exemplo de uma chamada para a operação CreateKey sem parâmetros. Esse comando usa todos os valores padrão. Ele cria uma CMK simétrica para criptografar e descriptografar com material de chave gerado pelo AWS KMS.

$ aws kms create-key { "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "Enabled": true, "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1502910355.475, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333" "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }

Se você não especificar uma política de chaves para sua nova CMK, a política de chave padrão aplicada por CreateKey será diferente da política de chaves padrão que o console aplica quando você o usa para criar uma nova CMK.

Por exemplo, esta chamada para a operação GetKeyPolicy retorna a política de chaves aplicada pelo CreateKey. Ela concede à conta da AWS acesso à CMK e permite que ele crie políticas do AWS Identity and Access Management (IAM) para a CMK. Para obter informações detalhadas sobre as políticas do IAM e as políticas de chave para CMKs, consulte Autenticação e controle de acesso para o AWS KMS

$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text { "Version" : "2012-10-17", "Id" : "key-default-1", "Statement" : [ { "Sid" : "Enable IAM User Permissions", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : "kms:*", "Resource" : "*" } ] }

Criar CMKs assimétricas

É possível criar CMKs assimétricas no Console de gerenciamento da AWS ou usando a API do AWS KMS. Uma CMK assimétrica representa um par de chaves pública e privada que pode ser usado para criptografia ou para assinatura.

Se você estiver criando uma CMK para criptografar dados armazenados ou gerenciados em um serviço da AWS, use uma CMK simétrica. Os serviços da AWS que se integram ao AWS KMS não oferecem suporte a CMKs assimétricas. Para ajudar a decidir se deseja criar uma CMK simétrica ou assimétrica, consulte Como escolher a configuração da CMK.

É possível usar o Console de gerenciamento da AWS para criar chaves mestras do cliente (CMKs) assimétricas. Cada CMK assimétrica representa um par de chaves pública e privada.

  1. Faça login no Console de gerenciamento da AWS e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a região do AWS, use o seletor Region (Região) no canto superior direito da página.

  3. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas de cliente).

  4. Selecione Create key (Criar chave).

  5. Para criar uma CMK assimétrica, em Tipo de chave, selecione Assimétrica.

    Para obter informações sobre como criar uma CMK simétrica no console do AWS KMS, consulte Criar CMKs simétricas (console).

  6. Para criar uma CMK assimétrica para assinar mensagens e verificar assinaturas, em Uso de chave, selecione Criptografar e descriptografar. Ou, para criar uma CMK assimétrica para assinar mensagens e verificar assinaturas, em Uso de chave, selecione Assinar e verificar.

    Para ajudar a escolher um valor de uso de chave, consulte Selecionar o uso de chave.

  7. Escolha uma especificação (Especificação da chave) para a CMK assimétrica.

    Geralmente a especificação de chave escolhida é determinada pelos requisitos regulatórios, de segurança ou de negócios. Ela também pode ser influenciada pelo tamanho das mensagens que você precisa criptografar ou assinar. Em geral, chaves de criptografia maiores são mais resistentes a ataques de força bruta.

    Para ajudar para escolher uma especificação de chave, consulte Selecionar a especificação de chave.

  8. Selecione Next (Próximo).

  9. Digite um alias para a CMK. O nome do alias não pode começar com aws/. O prefixo aws/ é reservado pela Amazon Web Services para representar o AWS gerenciado pela CMKs na sua conta.

    Um alias é um nome de exibição que identifica a CMK. Recomendamos que você escolha um alias que indique o tipo de dados que pretende proteger ou a aplicação a ser usada com a CMK.

    Os aliases são necessários ao criar uma CMK no Console de gerenciamento da AWS. Eles são opcionais quando você usa a operação CreateKey.

  10. (Opcional) Digite a descrição da CMK.

    Insira uma descrição que explique o tipo de dados que pretende proteger ou a aplicação que pretende usar com a CMK. Não use o formato de descrição usado para CMKs gerenciadas pela AWS. O formato de descrição chave mestra padrão que protege meu ... quando nenhuma outra chave está definida é reservado para CMKs gerenciadas pela AWS.

    Você pode adicionar uma descrição agora ou atualizá-la a qualquer momento, a menos que o estado da chave seja Pending Deletion. Para adicionar, alterar ou excluir a descrição de um CMK existente gerenciado pelo cliente, edite o CMK no Console de gerenciamento da AWS ou use a operação UpdateKeyDescription.

  11. (Opcional) Digite uma chave de tag e um valor de tag opcional. Para adicionar mais de uma tag à CMK, selecione Adicionar tag.

    Ao adicionar tags aos recursos da AWS, a AWS gera um relatório de alocação de custos com utilização e custos agrupados por tags. Para informações sobre como marcar CMKs, consulte Marcar chaves.

  12. Selecione Next (Próximo).

  13. Selecione os usuários e as funções do IAM que podem administrar a CMK.

    nota

    As políticas do IAM podem conceder a outros usuários e funções do IAM permissão para gerenciar a CMK.

  14. (Opcional) Para impedir que os usuários e funções selecionados do IAM excluam essa CMK, na seção Key deletion (Exclusão de chaves), na parte inferior da página, desmarque a caixa de seleção Allow key administrators to delete this key (Permitir que administradores de chaves excluam esta chave).

  15. Selecione Next (Próximo).

  16. Selecione os usuários e as funções do IAM que podem usar a CMK para operações criptográficas.

    nota

    A conta da AWS (usuário raiz) tem permissões completas, por padrão. Como resultado, qualquer política do IAM também pode conceder aos usuários e funções permissão para usar a CMK para operações criptográficas.

  17. (Opcional) Você pode permitir que outras contas da AWS usem essa CMK para operações criptográficas. Para fazer isso, na seção Other AWS accounts (Outras contas da AWS) na parte inferior da página, escolha Add another AWS account (Adicionar outra conta da AWS) e insira o número de identificação da conta da AWS de uma conta externa. Para adicionar várias contas externas, repita essa etapa.

    nota

    Para permitir que os principais de contas externas usem a CMK, os administradores da conta externa devem criar políticas do IAM que forneçam essas permissões. Para obter mais informações, consulte Permitir que usuários de outras contas usem uma CMK.

  18. Selecione Next (Próximo).

  19. Analise o documento de política de chaves que foi criado de acordo com as suas opções. Você também pode editá-lo.

  20. Selecione Concluir para criar a CMK.

Você pode usar a operação CreateKey para criar uma Chave mestra do cliente assimétrica (CMK). Estes exemplos usam a AWS Command Line Interface (AWS CLI), mas você pode usar qualquer linguagem de programação compatível.

Ao criar uma CMK assimétrica, é necessário especificar o parâmetro CustomerMasterKeySpec, que determina o tipo de chaves criadas. Além disso, é necessário especificar um valor KeyUsage de ENCRYPT_DECRYPT ou SIGN_VERIFY. Não é possível alterar essas propriedades depois que a CMK é criada.

O exemplo a seguir usa a operação CreateKey para criar uma CMK assimétrica de chaves RSA de 4096 bits projetada para criptografia de chave pública.

$ aws kms create-key --customer-master-key-spec RSA_4096 --key-usage ENCRYPT_DECRYPT { "KeyMetadata": { "KeyState": "Enabled", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CustomerMasterKeySpec": "RSA_4096", "KeyManager": "CUSTOMER", "Description": "", "KeyUsage": "ENCRYPT_DECRYPT", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1569973196.214, "EncryptionAlgorithms": [ "RSAES_OAEP_SHA_1", "RSAES_OAEP_SHA_256" ], "AWSAccountId": "111122223333", "Origin": "AWS_KMS", "Enabled": true } }

O comando demonstrativo a seguir cria uma CMK assimétrica que representa um par de chaves ECDSA usado para assinatura e verificação. Não é possível criar um par de chaves de curva elíptica para criptografia e descriptografia.

$ aws kms create-key --customer-master-key-spec ECC_NIST_P521 --key-usage SIGN_VERIFY { "KeyMetadata": { "KeyState": "Enabled", "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1570824817.837, "Origin": "AWS_KMS", "SigningAlgorithms": [ "ECDSA_SHA_512" ], "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "AWSAccountId": "111122223333", "CustomerMasterKeySpec": "ECC_NIST_P521", "KeyManager": "CUSTOMER", "Description": "", "Enabled": true, "KeyUsage": "SIGN_VERIFY" } }