Visualizar chaves do KMS no console

No AWS Management Console, é possível visualizar listas de suas chaves do KMS na conta e região, além de detalhes sobre cada uma das chaves do KMS.

nota

O console do AWS KMS exibe as chaves do KMS para as quais você tem permissão de visualizar em sua conta e sua região. Chaves do KMS em outras Contas da AWS não aparecem no console, mesmo que você tenha permissão para visualizar, gerenciar e usá-las. Para visualizar as chaves KMS em outras contas, use a DescribeKeyoperação.

Navegar até as tabelas de chaves

As AWS KMS keys em cada conta e região são exibidas em tabelas. Existem tabelas separadas para as chaves do KMS que você cria e aquelas que a AWS cria para você.

1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

2. Para alterar a Região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.

3. Para exibir as chaves em sua conta que você cria e gerencia, no painel de navegação, escolha Customer managed keys (Chaves gerenciadas de cliente). Para visualizar as chaves na sua conta que a AWS cria e gerencia para você, no painel de navegação, escolha AWS managed keys (Chaves gerenciadas pela AWS). Para obter informações sobre os diferentes tipos de chaves do KMS, consulte AWS KMS keys.

   dica

   Para visualizar as Chaves gerenciadas pela AWS que não têm um alias, use a página Customer managed keys (Chaves gerenciadas pelo cliente).

   O console do AWS KMS também exibe os armazenamentos de chaves personalizados na conta e na região. As chaves do KMS que você cria em armazenamentos de chaves personalizados aparecem na página Customer managed keys (Chaves gerenciadas pelo cliente). Para obter informações sobre os armazenamentos de chaves personalizados, consulte Armazenamentos de chaves personalizados.

Navegar até detalhes de chaves

Existe uma página de detalhes para cada AWS KMS key na conta e Região. A página de detalhes exibe a seção General configuration (Configuração geral) da chave do KMS e inclui guias para que os usuários autorizados visualizem e gerenciem a Configuração criptográfica e a Política de chaves da chave. Dependendo do tipo de chave, a página de detalhes também pode incluir as guias Aliases, Key material (Material de chave), Key rotation (Alternância de chaves), Public key (Chave pública), Regionality (Regionalidade) e Tags (Etiquetas).

Para navegar até a página de detalhes de uma chave do KMS.

1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

2. Para alterar a Região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.

3. Para exibir as chaves em sua conta que você cria e gerencia, no painel de navegação, escolha Customer managed keys (Chaves gerenciadas de cliente). Para visualizar as chaves na sua conta que a AWS cria e gerencia para você, no painel de navegação, escolha AWS managed keys (Chaves gerenciadas pela AWS). Para obter informações sobre os diferentes tipos de chaves do KMS, consulte AWS KMS key.

4. Para abrir a página de detalhes da chave, na tabela de chaves, escolha o ID ou alias da chave do KMS.

   Se a chave do KMS incluir vários aliases, um resumo de aliases (+mais n) será exibido do lado do nome de um dos aliases. Escolher resumo de aliases leva você diretamente à guia Aliases na página de detalhes da chave.

Classificar e filtrar as chaves do KMS

Para facilitar a localização das chaves do KMS no console, é possível classificar e filtrar as tabelas de chaves.

Classificar

É possível classificar chaves do KMS gerenciadas pelo cliente em ordem ascendente ou descendente pelos valores da coluna. Esse recurso classifica todas as chaves do KMS da tabela, mesmo se elas não forem exibidas na página atual da tabela.

As colunas classificáveis são indicadas por uma seta ao lado do nome da coluna. Na página Chaves gerenciadas pela AWS, você pode classificar por Aliases ou ID da chave. Na página Customer managed keys (Chaves gerenciadas pelo cliente), é possível classificar por Aliases, Key ID (ID de chave) ou Key type (Tipo de chave).

Para classificar em ordem ascendente, selecione o cabeçalho da coluna até que a seta aponte para cima. Para classificar em ordem descendente, selecione o cabeçalho da coluna até que a seta aponte para baixo. É possível classificar apenas por uma coluna de cada vez.

Por exemplo, é possível classificar chaves do KMS em ordem crescente por ID de chave, em vez de aliases, que é o padrão.

Ao classificar as chaves do KMS na página Customer managed keys (Chaves gerenciadas pelo cliente) em ordem crescente por Key type (Tipo de chave), todas as chaves assimétricas são exibidas antes de todas as chaves simétricas.

Filtro

É possível filtrar todas as chaves do KMS com base em seus valores de propriedade ou etiquetas. O filtro aplica-se a todas as chaves do KMS da tabela, mesmo se elas não forem exibidas na página atual da tabela. O filtro não diferencia letras maiúsculas de minúsculas.

As propriedades filtráveis são listadas na caixa de filtro. Na página Chaves gerenciadas pela AWS, é possível filtrar por alias e ID da chave. Na página Customer managed keys (Chaves gerenciadas pelo cliente), é possível filtrar por alias, ID de chave e tipo de chave, bem como por etiquetas.

• Na página Chaves gerenciadas pela AWS, é possível filtrar por alias e ID da chave.

• Na página Customer managed keys (Chaves gerenciadas pelo cliente), é possível filtrar por etiquetas ou por alias, ID de chave, tipo de chave e regionalidade.

Para filtrar com base em um valor de propriedade, selecione o filtro, o nome da propriedade e uma opção na lista de valores de propriedade reais. Para filtrar com base em uma etiqueta, escolha a chave de etiqueta e depois selecione uma opção na lista de valores de etiquetas reais. Depois de escolher uma chave de etiqueta ou propriedade, também é possível digitar todo o valor da propriedade ou da etiqueta, ou parte do valor. Será exibida uma previsualização dos resultados antes de você fazer sua escolha.

Por exemplo, para exibir chaves do KMS com um nome de alias que contenha aws/e, escolha a caixa de filtro, escolha Alias, digite aws/e e pressione Enter ou Return para adicionar o filtro.

Para exibir somente chaves do KMS assimétricas na página Customer managed keys (Chaves gerenciadas pelo cliente), clique na caixa de filtro, escolha Key type (Tipo de chave) e escolha Key type: Asymmetric (Tipo de chave: assimétrica). A opção Asymmetric (Assimétrica) é exibida somente quando você tem chaves do KMS assimétricas na tabela. Para saber mais sobre como identificar chaves do KMS assimétricas, consulte Identificar chaves do KMS assimétricas.

Para exibir apenas as chaves de várias Regiões, na página Customer managed keys (Chaves gerenciadas pelo cliente), selecione a caixa de filtro, escolha Regionality (Regionalidade) e depois Regionality: Multi-Region (Regionalidade: várias regiões). A opção Multi-Region (Várias regiões) será exibida apenas quando você tiver chaves de várias Regiões na tabela. Para saber mais sobre como identificar chaves de várias Regiões, consulte Visualizar chaves de várias regiões.

A filtragem de etiquetas é um processo relativamente diferente. Para exibir apenas chaves do KMS com uma etiqueta específica, selecione a caixa de filtro, a chave de etiqueta e entre os valores de etiquetas reais. Também é possível digitar todo o valor da etiqueta ou parte dele.

A tabela resultante mostra todas as chaves do KMS com a etiqueta selecionada. Porém, essa tabela não mostra a etiqueta. Para ver a etiqueta, selecione o alias ou o ID da chave da KMS e, na página de detalhes, escolha a guia Tags (Etiquetas). As guias aparecem sob a seção General configuration (Configuração geral).

Esse filtro exige a chave e o valor da etiqueta. Ele não localizará chaves do KMS apenas com a chave da etiqueta ou apenas com seu valor. Para filtrar as tags por toda ou parte da chave ou valor da tag, use a ListResourceTagsoperação para obter chaves KMS marcadas e, em seguida, use os recursos de filtragem da sua linguagem de programação. Para ver um exemplo, consulte ListResourceTags: Obtenha as tags nas chaves KMS.

Para procurar texto, na caixa de filtragem, digite todo o alias, ou parte dele, o ID de chave, o tipo de chave ou a chave da etiqueta. (Após a seleção da chave da etiqueta, você poderá procurar um valor de etiqueta). Será exibida uma previsualização dos resultados antes de você fazer sua escolha.

Por exemplo, para mostrar chaves do KMS com test em suas chaves de etiqueta ou propriedades filtráveis, digite test na caixa de filtragem. A previsualização exibe as chaves do KMS que o filtro selecionará. Nesse caso, test aparece somente na propriedade Alias.

É possível usar vários filtros ao mesmo tempo. Ao adicionar outros filtros, você também poderá escolher um operador lógico.

Exibir detalhes de chaves do KMS

A página de detalhes de cada chave do KMS mostra as propriedades da chave do KMS. Ela difere ligeiramente de acordo com os diversos tipos de chaves do KMS.

Para exibir informações detalhadas sobre uma chave do KMS, na página Chaves gerenciadas pela AWS ou Customer managed keys (Chaves gerenciadas pelo cliente), escolha o alias ou ID da chave do KMS.

A página de detalhes de uma chave do KMS contém uma seção General configuration (Configuração Geral), que mostra as propriedades básicas da chave do KMS. Ela também inclui guias nas quais é possível visualizar e editar propriedades da chave do KMS, Key policy (Política de chave), Cryptographic configuration (Configuração criptográfica), Tags (Etiquetas), Key material (Material de chave) (para chaves do KMS com material de chave importado), Key rotation (Alternância de chaves) (para chaves do KMS de criptografia simétrica), Regionality (Regionalidade) (para chaves de várias regiões) e Public key (Chave pública) (para chaves do KMS de criptografia assimétrica).

A lista a seguir descreve os campos na exibição detalhada, incluindo o campo nas guias. Alguns desses campos também estão disponíveis como colunas na exibição de tabela.

Aliases

Local: guia Aliases

Um nome amigável para a chave do KMS. Você pode usar um alias para identificar a chave do KMS no console e em algumas APIs do AWS KMS. Para obter detalhes, consulte Usar aliases.

A guia Aliases mostra os aliases associados à chave do KMS na Conta da AWS e na Região.

ARN

Local: seção General configuration (Configuração geral)

O nome do recurso da Amazon (ARN) da chave do KMS. Esse valor identifica exclusivamente a chave do KMS. É possível usá-lo para identificar a chave do KMS nas operações de API do AWS KMS.

Estado da conexão

Indica se um armazenamento de chaves personalizado está conectado a seu armazenamento de chaves de reserva. Esse campo é exibido somente quando a chave do KMS é criada em um armazenamento de chaves personalizado.

Para obter informações sobre os valores nesse campo, consulte ConnectionStatena Referência da AWS KMS API.

Data de Criação

Local: seção General configuration (Configuração geral)

A data e a hora em que a chave do KMS foi criada. Esse valor é exibido na hora local do dispositivo. O fuso horário não depende da região.

Diferente de Expiration (Validade), a criação se refere somente à chave do KMS, e não ao seu material de chave.

ID do cluster do CloudHSM

Local: guia Cryptographic configuration (Configuração criptográfica)

O ID do cluster do AWS CloudHSM que contém o material de chave da chave do KMS. Esse campo é exibido somente quando a chave do KMS é criada em um armazenamento de chaves personalizado.

Se você escolher o ID do cluster do CloudHSM, a página Clusters será aberta no console do AWS CloudHSM.

ID do armazenamento de chaves personalizado

Local: guia Cryptographic configuration (Configuração criptográfica)

O ID do armazenamento de chaves personalizado que contém a chave do KMS. Esse campo é exibido somente quando a chave do KMS é criada em um armazenamento de chaves personalizado.

Se você escolher ID do armazenamento de chaves personalizado, a página Custom key stores (Armazenamentos de chaves personalizados) será aberta no console do AWS KMS.

Nome do armazenamento de chaves personalizado

Local: guia Cryptographic configuration (Configuração criptográfica)

O nome do armazenamento de chaves personalizado que contém a chave do KMS. Esse campo é exibido somente quando a chave do KMS é criada em um armazenamento de chaves personalizado.

Tipo do armazenamento de chaves personalizado

Local: guia Cryptographic configuration (Configuração criptográfica)

Indica se o armazenamento de chaves personalizado é um armazenamento de chaves do AWS CloudHSM ou um armazenamento de chaves externas. Esse campo é exibido somente quando a chave do KMS é criada em um armazenamento de chaves personalizado.

Descrição

Local: seção General configuration (Configuração geral)

Uma descrição breve e opcional da chave do KMS que é possível escrever e editar. Para adicionar ou atualizar a descrição de uma chave gerenciada pelo cliente, acima de General Configuration (Configuração geral), selecione Edit (Editar).

Algoritmos de criptografia

Local: guia Cryptographic configuration (Configuração criptográfica)

Lista os algoritmos de criptografia que podem ser usados com a chave do KMS no AWS KMS. Esse campo é exibido somente quando o Key type (Tipo de chave) é Asymmetric (Assimétrico) e o Key usage (Uso da chave) é Encrypt and decrypt (Criptografar e descriptografar). Para obter informações sobre os algoritmos de criptografia compatíveis com o AWS KMS, consulte Especificação da chave SYMMETRIC_DEFAULT e Especificações de chave RSA para criptografia e descriptografia.

Data de validade

Local: guia Key material (Material da chave)

A data e a hora quando o material de chave da chave do KMS expira. Esse campo é exibido somente para chaves do KMS com material de chave importado, ou seja, quando a Origem é Externa e a chave do KMS tem material de chave que expira.

ID da chave externa

Local: guia Cryptographic configuration (Configuração criptográfica)

O ID da chave externa associada a uma chave do KMS que está em um armazenamento de chaves externas. Esse campo é exibido somente para chaves do KMS em um armazenamento de chaves externas.

Status da chave externa

Local: guia Cryptographic configuration (Configuração criptográfica)

O status mais recente que o proxy do armazenamento de chaves externas relatou para a chave externa associada à chave do KMS. Esse campo é exibido somente para chaves do KMS em um armazenamento de chaves externas.

Uso de chaves externas

Local: guia Cryptographic configuration (Configuração criptográfica)

As operações de criptografia que estão habilitadas na chave externa associada à chave do KMS. Esse campo é exibido somente para chaves do KMS em um armazenamento de chaves externas.

Política de chave

Local: guia Key policy (Política de chaves)

Controla o acesso à chave do KMS juntamente com políticas do IAM e concessões. Cada chave do KMS tem uma política de chaves. Ela é o único elemento de autorização obrigatório. Para alterar a política de chaves de uma chave gerenciada pelo cliente, na guia Key policy (Política de chaves), selecione Edit (Editar). Para obter detalhes, consulte Políticas de chaves no AWS KMS.

Alternância de chaves

Local: Guia Key rotation (Alternância de chaves)

Habilita e desabilita a alternância automática do material da chave em uma chave do KMS gerenciada pelo cliente. Para alterar o status da alternância de chaves de uma chave gerenciada pelo cliente, use a caixa de seleção na guia Key rotation (Alternância de chaves).

Não é possível habilitar ou desabilitar a alternância do material da chave em uma Chave gerenciada pela AWS. As Chaves gerenciadas pela AWS são alternadas automaticamente a cada ano.

Especificação da chave

Local: guia Cryptographic configuration (Configuração criptográfica)

O tipo de material de chave na chave do KMS. O AWS KMS é compatível com chaves do KMS de criptografia simétrica (SYMMETRIC_DEFAULT), chaves do KMS de Hash-based message authentication code (HMAC – Código de autenticação de mensagem por hash) com diferentes tamanhos, chaves do KMS para chaves RSA com diferentes tamanhos e chaves de curva elíptica com diferentes curvas. Para obter detalhes, consulte Especificação da chave.

Tipo de chave

Local: guia Cryptographic configuration (Configuração criptográfica)

Indica se a chave do KMS é Simétrica ou Assimétrica.

Uso da chave

Local: guia Cryptographic configuration (Configuração criptográfica)

Indica se uma chave do KMS pode ser usada para criptografar e descriptografar, assinar e verificar ou gerar e verificar um MAC. Para obter detalhes, consulte Uso da chave.

Origem

Local: guia Cryptographic configuration (Configuração criptográfica)

A origem do material de chave da chave do KMS. Os valores válidos são:

• AWS KMS para material de chaves gerado pelo AWS KMS

• AWS CloudHSM para chaves do KMS no armazenamento de chaves do AWS CloudHSM

• Externa para material de chave importado (BYOK)

• Armazenamento de chaves externas para chaves do KMS em um armazenamento de chaves externas

Algoritmos de Message authentication code (MAC – Código de autenticação de mensagem)

Local: guia Cryptographic configuration (Configuração criptográfica)

Lista os algoritmos de Message authentication code (MAC – Código de autenticação de mensagem) que podem ser usados com uma chave do KMS de HMAC no AWS KMS. Esse campo só aparece quando a Key spec (Especificação da chave) é uma especificação de chave de HMAC (HMAC_*). Para obter informações sobre os algoritmos de MAC compatíveis com o AWS KMS, consulte Especificações de chave para chaves do KMS de HMAC.

Chave primária

Local: guia Regionality (Regionalidade)

Indica que essa chave do KMS é uma chave primária de várias regiões. Os usuários autorizados podem usar essa seção para transformar a chave primária em uma chave de várias Regiões relacionada diferente. Esse campo só aparece quando a chave do KMS é uma chave primária de várias regiões.

Chave pública

Local: guia Public key (Chave pública)

Exibe a chave pública de uma chave do KMS assimétrica. Os usuários autorizados podem usar essa guia para copiar e fazer download da chave pública.

Regionalidade

Local: seção General configuration (Configuração geral) e guias Regionality (Regionalidade)

Indica se uma chave do KMS é de região única, uma chave primária de várias regiões ou uma chave de réplica de várias regiões. Esse campo só aparece quando a chave do KMS é uma chave de várias regiões.

Chaves de várias regiões relacionadas

Local: guia Regionality (Regionalidade)

Exibe todas as chaves primárias e chaves de réplica de várias regiões relacionadas, exceto a chave do KMS atual. Esse campo só aparece quando a chave do KMS é uma chave de várias regiões.

Na seção Related multi-Region keys (Chaves de várias regiões relacionadas) de uma chave primária, os usuários autorizados podem criar novas chaves de réplica.

Chave de réplica

Local: guia Regionality (Regionalidade)

Indica que essa chave do KMS é uma chave de réplica de várias regiões. Esse campo só aparece quando a chave do KMS é uma chave de réplica de várias regiões.

Algoritmos de assinatura

Local: guia Cryptographic configuration (Configuração criptográfica)

Lista os algoritmos de assinatura que podem ser usados com a chave do KMS no AWS KMS. Esse campo é exibido somente quando o Key type (Tipo de chave) é Asymmetric (Assimétrico) e o Key usage (Uso da chave) é Sign and verify (Assinar e verificar). Para obter informações sobre os algoritmos de assinatura compatíveis com o AWS KMS, consulte Especificações de chave RSA para assinatura e verificação e Especificações da chave de curva elíptica.

Status

Local: seção General configuration (Configuração geral)

O estado da chave do KMS. É possível usar a chave do KMS em operações criptográficas somente quando o status é Enabled (Habilitado). Para obter uma descrição detalhada do status de cada chave do KMS e seu efeito nas operações que podem ser executadas na chave do KMS, consulte Estados das chaves do AWS KMS.

Tags

Local: guia Tags (Etiquetas)

Pares de chave-valor opcionais que descrevem a chave do KMS. Para adicionar ou alterar as etiquetas de uma chave do KMS, na guia Tags (Etiquetas), selecione Edit (Editar).

Ao adicionar tags aos recursos da AWS, a AWS gera um relatório de alocação de custos com utilização e custos agrupados por tags. Etiquetas também podem ser utilizadas para controlar o acesso a uma chave do KMS. Para informações sobre marcação de chaves do KMS, consulte Marcar chaves com tags e ABAC para AWS KMS.

Personalizar suas tabelas de chaves do KMS

É possível personalizar as tabelas exibidas nas páginas de Chaves gerenciadas pela AWS e Chaves gerenciadas pelo cliente do AWS Management Console para atender às suas necessidades. Você pode escolher as colunas da tabela, o número de AWS KMS keys em cada página (Tamanho da página) e a quebra de texto. A configuração escolhida será salva quando você confirmá-la e será reaplicada sempre que você abrir as páginas.

Como personalizar suas tabelas de chaves do KMS

1. Na página de Chaves gerenciadas pela AWS ou de chaves gerenciadas pelo cliente, escolha o ícone de configurações ( ) no canto superior direito da página.

2. Na página Preferences (Preferências), escolha as configurações de preferência e selecione Confirm (Confirmar).

Considere o uso da configuração Page size (Tamanho da página) para aumentar o número de chaves do KMS exibidas em cada página, principalmente se você costuma usar um dispositivo que tem a rolagem fácil.

As colunas de dados exibidas podem variar dependendo da tabela, da função do trabalho e dos tipos de chaves do KMS na conta e na região. A tabela a seguir oferece algumas configurações sugeridas. Para obter descrições das colunas, consulte Exibir detalhes de chaves do KMS.

Configurações sugeridas para a tabela de chaves do KMS

Você pode personalizar as colunas que aparecem na tabela de chaves do KMS para exibir as informações necessárias sobre as suas chaves do KMS.

Chaves gerenciadas pela AWS

Por padrão, a tabela Chave gerenciada pela AWS exibe as colunas Aliases, Key ID (ID da chave) e Status. Essas colunas são ideais para a maioria dos casos de uso.

Chaves do KMS de criptografia simétrica

Se você usar apenas chaves do KMS de criptografia simétrica com o material de chave gerado pelo AWS KMS, provavelmente as colunas Aliases, Key ID (ID da chave), Status e Creation date (Data de criação) serão as mais úteis.

Chaves do KMS assimétricas

Se você usar chaves do KMS assimétricas, além das colunas Aliases, Key ID (ID da chave) e Status, considere adicionar as colunas Key type (Tipo de chave), Key spec (Especificação da chave) e Key usage (Uso da chave). Essas colunas mostrarão se uma chave do KMS é simétrica ou assimétrica, o tipo do material de chave e se a chave do KMS pode ser usada para criptografia ou para assinatura.

Chaves do KMS de HMAC

Se você usar chaves do KMS de HMAC, além das colunas Aliases, Key ID (ID da chave) e Status, avalie a possibilidade de adicionar as colunas Key spec (Especificação de chave) e Key usage (Uso da chave). Essas colunas mostrarão se uma chave do KMS é uma chave de HMAC. Como você não pode classificar chaves do KMS por especificação de chave ou uso de chaves, use aliases e etiquetas para identificar suas chaves de HMAC e, em seguida, use os recursos de filtro do console do AWS KMS para filtrar por aliases ou etiquetas.

Material de chave importado

Se você tiver chaves do KMS commaterial de chave importado, considere adicionar as colunas Origin (Origem) eExpiration date (Data de validade). Essas colunas mostrarão se o material de chave em uma chave do KMS é importado ou gerado pelo AWS KMS e quando o material de chave expira, se for o caso. O campo Creation date (Data de criação) exibe a data em que a chave do KMS foi criada (sem o material de chave). Ele não reflete nenhuma característica do material de chave.

Chaves em armazenamentos de chaves personalizados

Se você tiver chaves do KMS em armazenamentos de chaves personalizados, considere adicionar as colunas Origin (Origem) e Custom key store ID (ID do armazenamento de chaves personalizado). Essas colunas informam se a chave do KMS está em um armazenamento de chaves personalizado, exibem o tipo do armazenamento de chaves personalizado e identificam o armazenamento de chaves personalizado.

Chaves de várias regiões

Se você tiver chaves de várias regiões, considere adicionar a coluna Regionality (Regionalidade). Ela mostra se uma chave do KMS é de região única, uma chave primária de várias regiões ou uma chave de réplica de várias regiões.