Referência de tipos de chaves - AWS Key Management Service

Referência de tipos de chaves

O AWS KMS é compatível com diferentes recursos para chaves do KMS de tipos diferentes. Por exemplo, só é possível usar chaves do KMS de criptografia simétrica para gerar chaves de dados simétricas e pares de chaves de dados assimétricas. Além disso, a importação do material de chave e a alternância automática de chaves só são compatíveis com chaves do KMS de criptografia simétrica, e só é possível criar chaves do KMS de criptografia simétrica em um armazenamento personalizado de chaves.

Além das informações nesta tabela, as chaves do KMS podem ser usadas nos recursos especiais do AWS KMS a seguir.

  • Chaves de várias regiões:

    • Todas as operações de API compatíveis com chaves do KMS simétricas também são compatíveis chaves do KMS simétricas de várias regiões. Todas as operações de API compatíveis com chaves do KMS assimétricas também são compatíveis chaves do KMS assimétricas de várias regiões.

    • Você pode criar chaves de várias regiões com material de chave importado.

    • Não é possível criar chaves de várias Regiões em um armazenamento de chaves personalizado.

  • Material de chave importado

    • Somente chaves do KMS de criptografia simétrica podem ter material de chave importado.

    • Chaves do KMS assimétricas, chaves do KMS de Hash-based message authentication code (HMAC – Código de autenticação de mensagem por hash) ou chaves do KMS em armazenamentos personalizados de chaves não podem ter material de chave importado.

    • As chaves de criptografia simétrica de várias regiões podem ter material de chave importado.

    • A alternância automática de chaves (EnableKeyRotation, DisableKeyRotation) não é compatível com chaves do KMS com material de chave importado.

  • Armazenamentos de chaves personalizados

    • Armazenamentos personalizados de chaves são compatíveis apenas com chaves do KMS de criptografia simétrica.

    • Operações simétricas em pares de chaves assimétricas (GenerateDataKeyPair, GenerateDataKeyPairWithoutPlaintext) não são compatíveis com chaves do KMS em armazenamentos personalizados de chaves.

    • A alternância automática de chaves (EnableKeyRotation, DisableKeyRotation) não é compatível com chaves do KMS em armazenamentos personalizados de chaves.

    • Não é possível criar chaves de várias regiões em armazenamentos personalizados de chaves.

A tabela a seguir lista as operações do AWS KMS que podem ser usadas para criar e gerenciar chaves do KMS de cada tipo. Se você usar a operação em uma chave do KMS não compatível com ela, essa operação falhará.

Talvez seja necessário rolar horizontalmente ou verticalmente para ver todos os dados nessa tabela.

AWS KMS Operação de API Chaves do KMS de criptografia simétrica Chaves do KMS de HMAC Chaves do KMS assimétricas (ENCRYPT_DECRYPT) Chaves do KMS assimétricas (SIGN_VERIFY)

CancelKeyDeletion

CreateAlias

CreateGrant

CreateKey

- Com material de chave importado (origem = EXTERNAL (EXTERNA))

 

- Em um armazenamento de chaves personalizado (Origem = AWS_CLOUSDHSM)

 

- Criar uma chave primária de várias regiões

Decrypt

DeleteAlias

DeleteImportedKeyMaterial

- Compatível com chaves de várias regiões

- Não é compatível com chaves do KMS assimétricas, chaves do KMS de HMAC ou chaves do KMS em armazenamentos personalizados de chaves.

DescribeKey

DisableKey

DisableKeyRotation

- Não é compatível com chaves do KMS assimétricas, chaves do KMS de HMAC, chaves do KMS em armazenamentos personalizados de chaves e chaves do KMS com material de chave importado.

EnableKey

EnableKeyRotation

- Não é compatível com chaves do KMS assimétricas, chaves do KMS de HMAC, chaves do KMS em armazenamentos personalizados de chaves e chaves do KMS com material de chave importado.

Encrypt

GenerateDataKey

GenerateDataKeyPair

- Não é compatível com chaves do KMS assimétricas, chaves do KMS de HMAC ou chaves do KMS em armazenamentos personalizados de chaves.

[1]

GenerateDataKeyPairWithoutPlaintext

- Não é compatível com chaves do KMS assimétricas, chaves do KMS de HMAC ou chaves do KMS em armazenamentos personalizados de chaves.

[1]

GenerateDataKeyWithoutPlaintext

GenerateMac

GetKeyPolicy

GetKeyRotationStatus

(KeyRotationEnabled sempre será false.)

(KeyRotationEnabled sempre será false.)

(KeyRotationEnabled sempre será false.)

GetParametersForImport

- Compatível com chaves de várias regiões

- Não é compatível com chaves do KMS assimétricas, chaves do KMS de HMAC, chaves do KMS em armazenamentos personalizados de chaves e chaves do KMS com material de chave importado.

GetPublicKey

ImportKeyMaterial

- Compatível com chaves de várias regiões

- Não é compatível com chaves do KMS assimétricas, chaves do KMS de HMAC, chaves do KMS em armazenamentos personalizados de chaves e chaves do KMS com material de chave importado.

ListAliases

ListGrants

ListKeyPolicies

ListResourceTags

ListRetirableGrants

PutKeyPolicy

ReEncrypt

ReplicateKey

- Válido somente em chaves de várias regiões

RetireGrant

RevokeGrant

ScheduleKeyDeletion

Sign

TagResource

UntagResource

UpdateAlias

A chave do KMS atual e a nova chave do KMS devem ser do mesmo tipo (ambas simétricas ou assimétricas) e devem ter o mesmo uso de chave.

UpdateKeyDescription

updateReplicaRegion

- Válido somente em chaves de várias regiões

Verificar

VerifyMac

[1] GenerateDataKeyPair e GenerateDataKeyPairWithoutPlaintext geram um par de chaves de dados assimétricas que é protegido por uma chave do KMS de criptografia simétrica.