Referência de tipos de chaves - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Referência de tipos de chaves

O AWS KMS é compatível com diferentes recursos para chaves do KMS de tipos diferentes. Por exemplo, só é possível usar chaves do KMS de criptografia simétrica para gerar chaves de dados simétricas e pares de chaves de dados assimétricas. Além disso, a importação do material de chave e a alternância automática de chaves só são compatíveis com chaves do KMS de criptografia simétrica, e só é possível criar chaves do KMS de criptografia simétrica em um armazenamento personalizado de chaves.

Esta referência contém duas tabelas.

  • A tabela de tipos de chaves apresenta as operações do AWS KMS que são válidas para chaves de criptografia do KMS simétricas, chaves do KMS assimétricas e chaves do KMS de HMAC.

  • A tabela de recursos especiais apresenta as operações do AWS KMS que são válidas para chaves do KMS multirregionais, chaves do KMS com material de chave importado e chaves do KMS em armazenamentos de chaves personalizados.

Tabela de tipos de chave

Talvez seja necessário rolar horizontalmente ou verticalmente para ver todos os dados nessa tabela.

AWS KMS Operação de API Chaves do KMS de criptografia simétrica Chaves do KMS de HMAC Chaves do KMS assimétricas (ENCRYPT_DECRYPT) Chaves do KMS assimétricas (SIGN_VERIFY)

CancelKeyDeletion

CreateAlias

CreateGrant

CreateKey

Decrypt

DeleteAlias

DeleteImportedKeyMaterial

É válido somente em chaves do KMS com material de chave importado (Origin é EXTERNAL).

DescribeKey

DisableKey

DisableKeyRotation

É válido somente em chaves do KMS com material de chave do AWS KMS (Origin é AWS_KMS).

EnableKey

EnableKeyRotation

É válido somente em chaves do KMS com material de chave do AWS KMS (Origin é AWS_KMS).

Encrypt

GenerateDataKey

GenerateDataKeyPair

Gera um par de chaves de dados assimétricas que é protegido por uma chave do KMS de criptografia simétrica.

Não é válido com chaves do KMS em armazenamentos de chaves personalizados.

GenerateDataKeyPairWithoutPlaintext

Gera um par de chaves de dados assimétricas que é protegido por uma chave do KMS de criptografia simétrica.

Não é válido com chaves do KMS em armazenamentos de chaves personalizados.

GenerateDataKeyWithoutPlaintext

GenerateMac

GetKeyPolicy

GetKeyRotationStatus

(KeyRotationEnabled sempre será false.)

(KeyRotationEnabled sempre será false.)

(KeyRotationEnabled sempre será false.)

GetParametersForImport

É válido somente em chaves do KMS com material de chave importado (Origin é EXTERNAL).

GetPublicKey

ImportKeyMaterial

É válido somente em chaves do KMS com material de chave importado (Origin é EXTERNAL).

ListAliases

ListGrants

ListKeyPolicies

ListResourceTags

ListRetirableGrants

PutKeyPolicy

ReEncrypt

ReplicateKey

- Válido somente em chaves de várias regiões

RetireGrant

RevokeGrant

ScheduleKeyDeletion

Sign

TagResource

UntagResource

UpdateAlias

A chave do KMS atual e a nova chave do KMS devem ser do mesmo tipo (ambas simétricas, assimétricas ou HMAC) e devem ter o mesmo uso de chave.

UpdateKeyDescription

UpdateReplicaRegion

- Válido somente em chaves de várias regiões

Verificar

VerifyMac

Tabela de recursos especiais

Esta tabela mostra as operações de API do AWS KMS compatíveis com cada tipo de chave de propósito especial.

Ao ler esta tabela, esteja ciente destas interações:

  • Chaves de várias regiões:

    • Chaves do KMS multirregionais podem ser chaves de criptografia do KMS simétricas, chaves do KMS assimétricas, chaves do KMS de HMAC e chaves do KMS com material de chave importado.

    • Não é possível criar chaves de várias Regiões em um armazenamento de chaves personalizado.

  • Material de chave importado

    • É possível importar material de chave importado para chave do KMS simétricas, chaves do KMS assimétricas e chaves do KMS de HMAC.

    • É possível chaves de várias regiões com material de chave importado.

    • Você não pode criar chaves do KMS com material de chave em um armazenamento de chaves personalizado.

    • A alternância automática de chaves (EnableKeyRotation, DisableKeyRotation) não é compatível com chaves do KMS com material de chave importado.

  • Armazenamentos de chaves personalizados

    • Armazenamentos personalizados de chaves são compatíveis apenas com chaves do KMS de criptografia simétrica.

    • Operações simétricas em pares de chaves assimétricas (GenerateDataKeyPair, GenerateDataKeyPairWithoutPlaintext) não são compatíveis com chaves do KMS em armazenamentos de chaves personalizados.

    • A alternância automática de chaves (EnableKeyRotation, DisableKeyRotation) não é compatível com chaves do KMS em armazenamentos personalizados de chaves.

    • Não é possível criar chaves de várias regiões em armazenamentos personalizados de chaves.

Talvez seja necessário rolar horizontalmente ou verticalmente para ver todos os dados nessa tabela.

AWS KMS Operação de API Chaves de várias regiões Material de chave importado Chaves do KMS em um armazenamento de chaves personalizado

CancelKeyDeletion

CreateAlias

CreateGrant

CreateKey

Você pode usar CreateKey para criar uma chave primária multirregional, chaves do KMS com material de chave importado ou uma chave do KMS em um armazenamento de chaves personalizado. Para criar uma chave de réplica multirregional, use ReplicateKey.

Decrypt

Válido somente quando KeyUsage é ENCRYPT_DECRYPT

DeleteAlias

DeleteImportedKeyMaterial

É válido somente para chaves do KMS com material de chave importado (Origin é EXTERNAL)

DescribeKey

DisableKey

DisableKeyRotation

Válido somente em chaves de criptografia simétricas com material de chave do AWS KMS (Origin é AWS_KMS).

EnableKey

Válido somente em chaves do KMS de criptografia simétricas

EnableKeyRotation

Válido somente em chaves de criptografia simétricas com material de chave do AWS KMS (Origin é AWS_KMS).

Encrypt

Válido somente quando KeyUsage é ENCRYPT_DECRYPT

GenerateDataKey

Válido somente em chaves do KMS de criptografia simétricas

GenerateDataKeyPair

Válido somente em chaves do KMS de criptografia simétricas

GenerateDataKeyPairWithoutPlaintext

Válido somente em chaves do KMS de criptografia simétricas

GenerateDataKeyWithoutPlaintext

Válido somente em chaves do KMS de criptografia simétricas

GenerateMac

Válido somente em chaves do KMS de HMAC

GetKeyPolicy

GetKeyRotationStatus

(KeyRotationEnabled sempre será false.)

GetParametersForImport

É válido somente para chaves do KMS com material de chave importado (Origin é EXTERNAL).

GetPublicKey

Válido somente para chaves do KMS assimétricas.

ImportKeyMaterial

É válido somente para chaves do KMS com material de chave importado (Origin é EXTERNAL).

ListAliases

ListGrants

ListKeyPolicies

ListResourceTags

ListRetirableGrants

PutKeyPolicy

ReEncrypt

Válido somente quando KeyUsage é ENCRYPT_DECRYPT

ReplicateKey

Válido somente em chaves primárias multirregionais.

Válido somente em chaves primárias multirregionais.

RetireGrant

RevokeGrant

ScheduleKeyDeletion

Sign

Válido apenas quando KeyUsage é SIGN_VERIFY.

TagResource

UntagResource

UpdateAlias

- A chave do KMS atual e a nova chave do KMS devem ser do mesmo tipo (ambas simétricas, assimétricas ou HMAC) e devem ter o mesmo uso de chave.

UpdateKeyDescription

UpdateReplicaRegion

Válido somente em chaves multirregionais.

Verificar

Válido somente quando KeyUsage é SIGN_VERIFY.

VerifyMac

Válido somente em chaves do KMS de HMAC