As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criar chaves
Você pode criar AWS KMS keys no AWS Management Console ou usando a CreateKeyoperação ou um AWS CloudFormationmodelo. Durante esse processo, você escolhe o tipo de chave do KMS, sua regionalidade (região única ou várias regiões) e a origem do material de chave (o AWS KMS cria o material de chave por padrão). Não é possível alterar essas propriedades depois que a chave do KMS é criada. Você também define a política de chaves da chave do KMS, que pode ser alterada a qualquer momento.
Este tópico explica como criar a chave básica do KMS, uma chave do KMS de criptografia simétrica para uma só região com material de chave do AWS KMS. Você pode usar essa chave do KMS para proteger seus recursos em um AWS service (Serviço da AWS). Para obter informações detalhadas sobre chaves do KMS de criptografia simétrica, consulte Especificação da chave SYMMETRIC_DEFAULT. Para obter ajuda na criação de outros tipos de chaves, consulte Chaves para fins especiais.
Se estiver criando uma chave do KMS para criptografar dados que você armazena ou gerencia em um serviço da AWS, crie uma chave do KMS de criptografia simétrica. Os serviços da AWS que são integrados ao AWS KMS
nota
Agora as chaves do KMS simétricas são chamadas de chaves do KMS de criptografia simétrica. O AWS KMS é compatível com dois tipos de chaves do KMS simétricas, chaves do KMS de criptografia simétrica (o tipo padrão) e chaves do KMS de Hash-based message authentication code (HMAC – Código de autenticação de mensagem por hash), que também são chaves simétricas.
Quando você cria uma chave do KMS no console do AWS KMS, é necessário fornecer um alias (nome amigável) a ela. A operação CreateKey não cria um alias para a nova chave do KMS. Para criar um alias para uma chave KMS nova ou existente, use a CreateAliasoperação. Para obter informações detalhadas sobre aliases no AWS KMS, consulte Usar aliases.
Este tópico explica como criar uma chave do KMS de criptografia simétrica. Use a tabela a seguir para encontrar instruções sobre como criar chaves do KMS de diferentes tipos.
Instruções para criar chaves do KMS | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Tipo de chave do KMS | Instruções | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Chave de criptografia simétrica (SYMMETRIC_DEFAULT) | Criar chaves do KMS de criptografia simétrica | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Chave assimétrica | Criar chaves do KMS assimétricas | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Chave de HMAC | Criar chaves do KMS de HMAC | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Chave de várias regiões (de qualquer tipo) | Criar uma chave primária com material de chave importado | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Material de chave importado (“Traga sua própria chave — BYOK”) | Etapa 1 da importação de material de chave: criar uma AWS KMS key sem material de chave | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Armazenamento de chaves do AWS CloudHSM | Criar chaves do KMS em um armazenamento de chaves do AWS CloudHSM | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Armazenamento externo de chaves (“Mantenha sua própria chave — HYOK”) | Criar chaves do KMS em um armazenamento de chaves externas | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Saiba mais:
-
Para criar chaves de dados para criptografia do lado do cliente, use a GenerateDataKeyoperação.
-
Para criar uma chave do KMS assimétrica para criptografia ou assinatura, consulte Criar chaves do KMS assimétricas.
-
Para criar uma chave do KMS de HMAC, consulte Criar chaves do KMS de HMAC.
-
Para criar uma chave KMS com material de chave importado (“traga sua própria chave”), consulte Etapa 1 da importação de material de chave: criar uma AWS KMS key sem material de chave.
-
Para criar uma chave primária ou uma chave de réplica de várias regiões, consulte Criar chaves de várias regiões.
-
Para criar uma chave do KMS em um armazenamento personalizado de chaves (a origem do material de chave é o armazenamento personalizado de chaves [CloudHSM]), consulte Criar chaves do KMS em um armazenamento de chaves do AWS CloudHSM.
-
Para usar um AWS CloudFormation modelo para criar uma chave KMS, consulte AWS::KMS::Keyo Guia do AWS CloudFormation usuário.
-
Para determinar se uma chave do KMS existente é simétrica ou assimétrica, consulte Identificar chaves do KMS assimétricas.
-
Para usar sua chave do KMS de forma programática e em operações da interface da linha de comando, é necessário um ID de chave ou um ARN de chave. Para obter instruções detalhadas, consulte Como encontrar o ID e o ARN da chave.
-
Para obter informações sobre cotas que se aplicam a chaves do KMS, consulte Cotas.
Permissões para criar chaves do KMS
Para criar uma chave do KMS no console ou usando as APIs, você deve ter a seguinte permissão em uma política do IAM. Sempre que possível, use chaves de condição para limitar as permissões. Por exemplo, você pode usar a chave de KeySpec condição kms: em uma política do IAM para permitir que os diretores criem somente chaves de criptografia simétricas.
Para obter um exemplo de uma política do IAM para entidades principais que criam chaves, consulte Permitir que um usuário crie chaves do KMS.
nota
Tenha cuidado ao conceder permissão a entidades principais para gerenciar etiquetas e aliases. Alterar uma etiqueta ou um alias pode conceder ou negar uma permissão à chave gerenciada pelo cliente. Para obter detalhes, consulte ABAC para AWS KMS.
-
kms: CreateKey é obrigatório.
-
kms: CreateAlias é necessário para criar uma chave KMS no console em que um alias é necessário para cada nova chave KMS.
-
kms: TagResource é necessário adicionar tags ao criar a chave KMS.
-
iam: CreateServiceLinkedRole é necessário para criar chaves primárias multirregionais. Para obter detalhes, consulte Controlar o acesso a chaves de várias Regiões.
A PutKeyPolicy permissão kms: não é necessária para criar a chave KMS. A permissão kms:CreateKey inclui permissão para definir a política de chaves inicial. Porém, você deve adicionar essa permissão à política de chaves ao criar a chave do KMS para garantir que seja possível controlar o acesso à chave do KMS. A alternativa é usar o BypassLockoutSafetyCheckparâmetro, o que não é recomendado.
As chaves do KMS pertencem à conta da AWS na qual foram criadas. O usuário do IAM que cria uma chave do KMS não é considerado o proprietário da chave e ele não recebe automaticamente permissão para usar ou gerenciar a chave do KMS que criou. Como qualquer outra entidade principal, o criador da chave precisa obter permissão por meio de uma política de chaves, política do IAM ou concessão. No entanto, as entidades principais que têm a permissão kms:CreateKey podem definir a política de chave inicial e conceder a si mesmas permissão para usar ou gerenciar a chave.
Criar chaves do KMS de criptografia simétrica
É possível criar chaves do KMS no AWS Management Console ou usando a API do AWS KMS.
Este tópico explica como criar a chave básica do KMS, uma chave do KMS de criptografia simétrica para uma só região com material de chave do AWS KMS. Você pode usar essa chave do KMS para proteger seus recursos em um AWS service (Serviço da AWS). Para obter ajuda na criação de outros tipos de chaves, consulte Chaves para fins especiais.
Criar chaves do KMS de criptografia simétrica (console)
Você pode usar o AWS Management Console para criar AWS KMS keys (chaves do KMS).
Importante
Não inclua informações confidenciais ou sigilosas no alias, na descrição ou nas tags. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.
-
Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms
. -
Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.
-
No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).
-
Escolha Create key (Criar chave).
-
Para criar uma chave do KMS de criptografia simétrica, em Key type (Tipo de chave), selecione Symmetric (Simétrica).
Para obter informações sobre como criar uma chave do KMS assimétrica no console do AWS KMS, consulte Criar chaves do KMS assimétricas (console).
-
Em Key usage (Uso da chave), a opção Encrypt and decrypt (Criptografar e descriptografar) é selecionada para você.
Para obter informações sobre como criar chaves do KMS que geram e verificam códigos de Message authentication code (MAC – Código de autenticação de mensagem), consulte Criar chaves do KMS de HMAC.
-
Escolha Próximo.
Para mais informações sobre as opções avançadas, consulte Chaves para fins especiais.
-
Digite um alias para a chave do KMS. O nome do alias não pode começar com
aws/. O prefixoaws/é reservado pela Amazon Web Services para representar as Chaves gerenciadas pela AWS na sua conta.nota
Adicionar, excluir ou atualizar um alias pode conceder ou negar uma permissão à chave do KMS. Para obter mais detalhes, consulte ABAC para AWS KMS e Usar aliases para controlar o acesso a chaves do KMS.
Um alias é um nome de exibição que identifica a chave do KMS. Recomendamos que você escolha um alias que indique o tipo de dados que pretende proteger ou a aplicação a ser usada com a chave do KMS.
Aliases são necessários ao criar uma chave do KMS no AWS Management Console. Eles são opcionais quando você usa a CreateKeyoperação.
-
(Opcional) Digite uma descrição para a chave do KMS.
Você pode adicionar uma descrição agora ou atualizá-la a qualquer momento, a não ser que o estado da chave seja
Pending DeletionouPending Replica Deletion. Para adicionar, alterar ou excluir a descrição de uma chave gerenciada pelo cliente existente, edite a descrição na operação AWS Management Console ou use a UpdateKeyDescriptionoperação. -
(Opcional) Digite uma chave de tag e um valor de tag opcional. Para adicionar mais de uma etiqueta à chave do KMS, selecione Add tag (Adicionar etiqueta).
nota
Marcar ou desmarcar uma chave do KMS pode conceder ou negar uma permissão a essa chave do KMS. Para obter mais detalhes, consulte ABAC para AWS KMS e Usar etiquetas para controlar o acesso a chaves do KMS.
Ao adicionar tags aos recursos da AWS, a AWS gera um relatório de alocação de custos com utilização e custos agrupados por tags. Etiquetas também podem ser utilizadas para controlar o acesso a uma chave do KMS. Para informações sobre marcação de chaves do KMS, consulte Marcar chaves com tags e ABAC para AWS KMS.
-
Escolha Próximo.
-
Selecione os usuários e as funções do IAM que podem administrar a chave do KMS.
nota
Esta política de chave concede controle total dessa chave do KMS à Conta da AWS. Ela permite que os administradores de conta usem políticas do IAM para conceder a outras entidades principais a permissão para gerenciar a chave do KMS. Para obter detalhes, consulte Política de chaves padrão.
As práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Sempre que possível, use os perfis do IAM, por fornecerem credenciais temporárias. Para obter detalhes, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.
-
(Opcional) Para evitar que os usuários e funções do IAM selecionados excluam essa chave do KMS, na seção Key deletion (Exclusão de chaves) na parte inferior da página, desmarque a caixa de seleção Allow key administrators to delete this key (Permitir que os administradores de chaves excluam essa chave).
-
Escolha Próximo.
-
Selecione os usuários e as funções do IAM que podem usar a chave em operações de criptografia.
nota
Esta política de chave concede controle total dessa chave do KMS à Conta da AWS. Ela permite que os administradores de conta usem políticas do IAM para conceder a outras entidades principais a permissão para usar a chave do KMS em operações de criptografia. Para obter detalhes, consulte Política de chaves padrão.
As práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Sempre que possível, use os perfis do IAM, por fornecerem credenciais temporárias. Para obter detalhes, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.
-
(Opcional) Você pode permitir que outras Contas da AWS usem essa chave do KMS para operações de criptografia. Para fazer isso, na parte inferior da página na seção Other Contas da AWS (Outras ), escolha Add another Conta da AWS (Adicionar outra ) e insira o número de identificação da Conta da AWS de uma conta externa. Para adicionar várias contas externas, repita essa etapa.
nota
Para permitir que as entidades principais de contas externas usem a chave do KMS, os administradores da conta externa devem criar políticas do IAM que forneçam essas permissões. Para ter mais informações, consulte Permitir que usuários de outras contas usem uma chave do KMS.
-
Escolha Próximo.
-
Revise as configurações que você escolheu. Ainda é possível voltar e alterar todas as configurações.
-
Selecione Finish (Concluir) para criar a chave do KMS.
Criar chaves do KMS de criptografia simétrica (API do AWS KMS)
Você pode usar a CreateKeyoperação para criar AWS KMS keys de todos os tipos. Estes exemplos usam a AWS Command Line Interface (AWS CLI)
Importante
Não inclua informações confidenciais ou sigilosas nos campos Description ou Tags. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.
A operação a seguir cria a chave do KMS mais usada, uma chave de criptografia simétrica em uma única região com o suporte de material de chave gerado por AWS KMS. Essa operação não tem os parâmetros obrigatórios. No entanto, você também pode usar o parâmetro Policy para especificar uma política de chaves. Você pode alterar a política de chaves (PutKeyPolicy) e adicionar elementos opcionais, como uma descrição e tags, a qualquer momento. Você também pode criar chaves assimétricas, chaves de várias Regiões, chaves com material de chave importado, e chaves em armazenamentos de chaves personalizados.
A CreateKey operação não permite que você especifique um alias, mas você pode usar a CreateAliasoperação para criar um alias para sua nova chave KMS.
Veja a seguir um exemplo de uma chamada para a operação CreateKey sem parâmetros. Esse comando usa todos os valores padrão. Ele cria uma chave do KMS de criptografia simétrica com o material de chave gerado pelo AWS KMS.
$aws kms create-key{ "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "Enabled": true, "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1502910355.475, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "MultiRegion": false "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], } }
Se você não especificar uma política de chaves para sua nova chave do KMS, a política de chave padrão aplicada por CreateKey será diferente da política de chaves padrão que o console aplica quando você o usa para criar uma nova chave do KMS.
Por exemplo, essa chamada para a GetKeyPolicyoperação retorna a política de chaves que CreateKey se aplica. Ela dá à Conta da AWS acesso à chave do KMS e permite que ele crie políticas do AWS Identity and Access Management(IAM) para a chave do KMS. Para obter informações detalhadas sobre as políticas do IAM e as políticas de chaves para chaves do KMS, consulte Autenticação e controle de acesso para AWS KMS
$aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text{ "Version" : "2012-10-17", "Id" : "key-default-1", "Statement" : [ { "Sid" : "Enable IAM User Permissions", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : "kms:*", "Resource" : "*" } ] }
