As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Fazer download de chaves públicas
Você pode visualizar, copiar e baixar a chave pública de um par de chaves KMS assimétrico usando a AWS Management Console ou a API. AWS KMS É necessário ter a permissão kms:GetPublicKey
na chave do KMS assimétrica.
Cada par de chaves KMS assimétrico consiste em uma chave privada que nunca sai AWS KMS sem criptografia e uma chave pública que você pode baixar e compartilhar.
Você pode compartilhar uma chave pública para permitir que outras pessoas criptografem dados além dos AWS KMS que você pode descriptografar somente com sua chave privada. Ou para permitir que outras pessoas verifiquem uma assinatura digital fora do AWS KMS que você gerou com a chave privada. Ou compartilhar sua chave pública com um colega para obter um segredo compartilhado.
Ao usar a chave pública em sua chave KMS assimétrica AWS KMS, você se beneficia da autenticação, autorização e registro que fazem parte de cada operação. AWS KMS Você também reduz o risco de criptografar dados que não podem ser descriptografados. Esses recursos não são eficazes fora do AWS KMS. Para obter detalhes, consulte Considerações especiais sobre o download de chaves públicas.
dica
Está procurando por chaves de dados ou chaves SSH? Este tópico explica como gerenciar chaves assimétricas no AWS Key Management Service, onde a chave privada não é exportável. Para pares de chaves de dados exportáveis em que a chave privada é protegida por uma chave KMS de criptografia simétrica, consulte. GenerateDataKeyPair Para obter ajuda com o download da chave pública associada a uma instância do Amazon EC2, consulte Recuperação da chave pública no Guia do usuário do Amazon EC2 e no Guia do usuário do Amazon EC2.
Tópicos
Considerações especiais sobre o download de chaves públicas
Para proteger suas chaves KMS, AWS KMS fornece controles de acesso, criptografia autenticada e registros detalhados de cada operação. AWS KMS também permite impedir o uso de chaves KMS, temporária ou permanentemente. Por fim, AWS KMS as operações são projetadas para minimizar o risco de criptografar dados que não podem ser descriptografados. Esses recursos não estão disponíveis quando você usa chaves públicas baixadas fora do AWS KMS.
- Autorização
-
Políticas-chave e políticas do IAM que controlam o acesso à chave KMS interna AWS KMS não afetam as operações realizadas fora da AWS. Qualquer usuário que possa obter a chave pública pode usá-la externamente, AWS KMS mesmo que não tenha permissão para criptografar dados ou verificar assinaturas com a chave KMS.
- Restrições de uso da chave
-
As principais restrições de uso não são efetivas fora do AWS KMS. Se você chamar a operação Criptografar com uma chave KMS que tenha um
KeyUsage
ofSIGN_VERIFY
, a AWS KMS operação falhará. Mas se você criptografar dados externos AWS KMS com uma chave pública de uma chave KMS com umKeyUsage
deSIGN_VERIFY
ouKEY_AGREEMENT
, os dados não poderão ser descriptografados. - Restrições de algoritmo
-
Restrições nos algoritmos de criptografia e assinatura AWS KMS compatíveis não são efetivas fora do AWS KMS. Se você criptografar dados com a chave pública de uma chave KMS externa e usar um algoritmo de AWS KMS criptografia incompatível, os dados AWS KMS não poderão ser descriptografados.
- Desabilitar e excluir chaves do KMS
-
As ações que você pode tomar para impedir o uso da chave KMS em uma operação criptográfica interna AWS KMS não impedem que ninguém use a chave pública fora dela. AWS KMS Por exemplo, desabilitar uma chave do KMS, programar a exclusão de uma chave do KMS, excluir uma chave do KMS ou excluir o material de chave de uma chave do KMS não têm efeito em uma chave pública fora do AWS KMS. Se você excluir uma chave KMS assimétrica ou excluir ou perder seu material de chaves, os dados que você criptografa com uma chave pública externa não poderão ser recuperados. AWS KMS
- Registro em log
-
AWS CloudTrail registros que registram todas as AWS KMS operações, incluindo solicitação, resposta, data, hora e usuário autorizado, não registram o uso da chave pública fora do AWS KMS.
- Verificação offline com pares de chaves SM2 (somente nas regiões da China)
-
Para verificar uma assinatura externa AWS KMS com uma chave pública SM2, você deve especificar a ID distintiva. Por padrão, AWS KMS usa
1234567812345678
como ID distintiva. Para obter mais informações, consulte Verificação offline com pares de chaves SM2 (somente nas regiões da China).
Baixar uma chave pública (console)
Você pode usar o AWS Management Console para visualizar, copiar e baixar a chave pública de uma chave KMS assimétrica em seu. Conta da AWS Para baixar a chave pública de uma chave KMS assimétrica em diferente Conta da AWS, use a API. AWS KMS
-
Faça login AWS Management Console e abra o console AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms
. -
Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.
-
No painel de navegação, escolha Chaves gerenciadas pelo cliente.
-
Escolha o alias ou o ID de chave de uma chave do KMS assimétrica.
-
Selecione a guia Cryptographic configuration (Configuração criptográfica). Registre os valores dos campos Key spec (Especificação da chave), Key usage (Uso da chave) e Encryption algorithms (Algoritmos de criptografia) ou Signing Algorithms (Algoritmos de assinatura). Você precisará usar esses valores para usar a chave pública fora do AWS KMS. Compartilhe essas informações ao compartilhar a chave pública.
-
Selecione a guia Public key (Chave pública).
-
Para copiar a chave pública para a área de transferência, selecione Copy (Copiar). Para fazer download da chave pública em um arquivo, selecione Download (Fazer download).
Baixando uma chave pública (AWS KMS API)
A GetPublicKeyoperação retorna a chave pública em uma chave KMS assimétrica. Ele também retorna informações críticas das quais você precisa usar corretamente a chave pública fora dela AWS KMS, incluindo o uso da chave e os algoritmos de criptografia. Salve esses valores e compartilhe-os sempre que compartilhar a chave pública.
Os exemplos nesta seção usam a AWS Command Line Interface
(AWS CLI)
Para especificar uma chave do KMS, use seu ID de chave, ARN de chave, nome de alias ou ARN de alias. Ao usar um nome de alias, use alias/ como prefixo dele. Para especificar uma chave KMS em outra Conta da AWS, você deve usar o ARN da chave ou o alias ARN.
Antes de executar esse comando, substitua o nome de alias de exemplo por um identificador válido para a chave do KMS. Para executar esse comando, é necessário ter as permissões kms:GetPublicKey
na chave do KMS.
$
aws kms get-public-key --key-id
alias/example_RSA_3072
{ "KeySpec": "RSA_3072", "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "KeyUsage": "ENCRYPT_DECRYPT", "EncryptionAlgorithms": [ "RSAES_OAEP_SHA_1", "RSAES_OAEP_SHA_256" ], "PublicKey": "MIIBojANBgkqhkiG..." }