Visualizar chaves do KMS no console - AWS Key Management Service

Visualizar chaves do KMS no console

No AWS Management Console, é possível visualizar listas de chaves do KMS e detalhes sobre cada uma delas.

Navegar até as tabelas de chaves

As AWS KMS keys em cada conta e região são exibidas em tabelas. Existem tabelas separadas para as chaves do KMS que você cria e aquelas que a AWS cria para você.

  1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.

  3. Para exibir as chaves em sua conta que você cria e gerencia, no painel de navegação, escolha Customer managed keys (Chaves gerenciadas de cliente). Para visualizar as chaves na sua conta que a AWS cria e gerencia para você, no painel de navegação, escolha AWS managed keys (Chaves gerenciadas pela AWS). Para obter informações sobre os diferentes tipos de chaves do KMS, consulte AWS KMS keys.

    dica

    Para visualizar as Chaves gerenciadas pela AWS que não têm um alias, use a página Customer managed keys (Chaves gerenciadas pelo cliente).

    O console do AWS KMS também exibe os armazenamentos de chaves personalizados na conta e na região. As chaves do KMS que você cria em armazenamentos de chaves personalizados aparecem na página Customer managed keys (Chaves gerenciadas pelo cliente). Para obter informações sobre os armazenamentos de chaves personalizados, consulte Armazenamentos de chaves personalizados.

Navegar até detalhes de chaves

Existe uma página de detalhes para cada AWS KMS key na conta e Região. A página de detalhes exibe a seção General configuration (Configuração geral) da chave do KMS e inclui guias para que os usuários autorizados visualizem e gerenciem a Configuração criptográfica e a Política de chaves da chave. Dependendo do tipo de chave, a página de detalhes também pode incluir as guias Aliases, Key material (Material de chave), Key rotation (Alternância de chaves) e Tags (Etiquetas).

Para navegar até a página de detalhes de uma chave do KMS.

  1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.

  3. Para exibir as chaves em sua conta que você cria e gerencia, no painel de navegação, escolha Customer managed keys (Chaves gerenciadas de cliente). Para visualizar as chaves na sua conta que a AWS cria e gerencia para você, no painel de navegação, escolha AWS managed keys (Chaves gerenciadas pela AWS). Para obter informações sobre os diferentes tipos de chaves do KMS, consulte AWS KMS key.

  4. Para abrir a página de detalhes da chave, na tabela de chaves, escolha o ID ou alias da chave do KMS.

    Se a chave do KMS incluir vários aliases, um resumo de aliases (+mais n) será exibido do lado do nome de um dos aliases. Escolher resumo de aliases leva você diretamente à guia Aliases na página de detalhes da chave.

Classificar e filtrar as chaves do KMS

Para facilitar a localização das chaves do KMS no console, é possível classificar e filtrar as tabelas de chaves.

Classificar

É possível classificar chaves do KMS gerenciadas pelo cliente em ordem ascendente ou descendente pelos valores da coluna. Esse recurso classifica todas as chaves do KMS da tabela, mesmo se elas não forem exibidas na página atual da tabela.

As colunas classificáveis são indicadas por uma seta ao lado do nome da coluna. Na página Chaves gerenciadas pela AWS, você pode classificar por Aliases ou ID da chave. Na página Customer managed keys (Chaves gerenciadas pelo cliente), é possível classificar por Aliases, Key ID (ID de chave) ou Key type (Tipo de chave).

Para classificar em ordem ascendente, selecione o cabeçalho da coluna até que a seta aponte para cima. Para classificar em ordem descendente, selecione o cabeçalho da coluna até que a seta aponte para baixo. É possível classificar apenas por uma coluna de cada vez.

Por exemplo, é possível classificar chaves do KMS em ordem crescente por ID de chave, em vez de aliases, que é o padrão.

Ao classificar as chaves do KMS na página Customer managed keys (Chaves gerenciadas pelo cliente) em ordem crescente por Key type (Tipo de chave), todas as chaves assimétricas são exibidas antes de todas as chaves simétricas.

Filtro

É possível filtrar todas as chaves do KMS com base em seus valores de propriedade ou etiquetas. O filtro aplica-se a todas as chaves do KMS da tabela, mesmo se elas não forem exibidas na página atual da tabela. O filtro não diferencia letras maiúsculas de minúsculas.

As propriedades filtráveis são listadas na caixa de filtro. Na página Chaves gerenciadas pela AWS, é possível filtrar por alias e ID da chave. Na página Customer managed keys (Chaves gerenciadas pelo cliente), é possível filtrar por alias, ID de chave e tipo de chave, bem como por etiquetas.

  • Na página Chaves gerenciadas pela AWS, é possível filtrar por alias e ID da chave.

  • Na página Customer managed keys (Chaves gerenciadas pelo cliente), é possível filtrar por etiquetas ou por alias, ID de chave, tipo de chave e regionalidade.

Para filtrar com base em um valor de propriedade, selecione o filtro, o nome da propriedade e uma opção na lista de valores de propriedade reais. Para filtrar com base em uma etiqueta, escolha a chave de etiqueta e depois selecione uma opção na lista de valores de etiquetas reais. Depois de escolher uma chave de etiqueta ou propriedade, também é possível digitar todo o valor da propriedade ou da etiqueta, ou parte do valor. Será exibida uma previsualização dos resultados antes de você fazer sua escolha.

Por exemplo, para exibir chaves do KMS com um nome de alias que contenha aws/e, escolha a caixa de filtro, escolha Alias, digite aws/e e pressione Enter ou Return para adicionar o filtro.

Para exibir somente chaves do KMS assimétricas na página Customer managed keys (Chaves gerenciadas pelo cliente), clique na caixa de filtro, escolha Key type (Tipo de chave) e escolha Key type: Asymmetric (Tipo de chave: assimétrica). A opção Asymmetric (Assimétrica) é exibida somente quando você tem chaves do KMS assimétricas na tabela. Para saber mais sobre como identificar chaves do KMS assimétricas, consulte Identificar chaves do KMS simétricas e assimétricas.

Para exibir apenas as chaves de várias Regiões, na página Customer managed keys (Chaves gerenciadas pelo cliente), selecione a caixa de filtro, escolha Regionality (Regionalidade) e depois Regionality: Multi-Region (Regionalidade: várias regiões). A opção Multi-Region (Várias regiões) será exibida apenas quando você tiver chaves de várias Regiões na tabela. Para saber mais sobre como identificar chaves de várias Regiões, consulte Visualizar chaves de várias regiões.

A filtragem de etiquetas é um processo relativamente diferente. Para exibir apenas chaves do KMS com uma etiqueta específica, selecione a caixa de filtro, a chave de etiqueta e entre os valores de etiquetas reais. Também é possível digitar todo o valor da etiqueta ou parte dele.

A tabela resultante mostra todas as chaves do KMS com a etiqueta selecionada. Porém, essa tabela não mostra a etiqueta. Para ver a etiqueta, selecione o alias ou o ID da chave da KMS e, na página de detalhes, escolha a guia Tags (Etiquetas). As guias aparecem sob a seção General configuration (Configuração geral).

Esse filtro exige a chave e o valor da etiqueta. Ele não localizará chaves do KMS apenas com a chave da etiqueta ou apenas com seu valor. Para filtrar etiquetas com base na chave ou no valor integral ou parcial da etiqueta, use a operação ListResourceTags para obter chaves do KMS marcadas e depois use os recursos de filtragem da sua linguagem de programação. Para ver um exemplo, consulte ListResourceTags: obtém as etiquetas nas chaves do KMS.

Para procurar texto, na caixa de filtragem, digite todo o alias, ou parte dele, o ID de chave, o tipo de chave ou a chave da etiqueta. (Após a seleção da chave da etiqueta, você poderá procurar um valor de etiqueta). Será exibida uma previsualização dos resultados antes de você fazer sua escolha.

Por exemplo, para mostrar chaves do KMS com test em suas chaves de etiqueta ou propriedades filtráveis, digite test na caixa de filtragem. A previsualização exibe as chaves do KMS que o filtro selecionará. Nesse caso, test aparece somente na propriedade Alias.

É possível usar vários filtros ao mesmo tempo. Ao adicionar outros filtros, você também poderá escolher um operador lógico.

Exibir detalhes de chaves do KMS

A página de detalhes de cada chave do KMS mostra as propriedades da chave do KMS. Ela difere ligeiramente de acordo com os diversos tipos de chaves do KMS.

Para exibir informações detalhadas sobre uma chave do KMS, na página Chaves gerenciadas pela AWS ou Customer managed keys (Chaves gerenciadas pelo cliente), escolha o alias ou ID da chave do KMS.

A página de detalhes de uma chave do KMS contém uma seção General configuration (Configuração Geral), que mostra as propriedades básicas da chave do KMS. Ela também inclui guias nas quais é possível exibir e editar propriedades da chave do KMS, como política de chave, configuração criptográfica, etiquetas, material de chave (em chaves do KMS com material de chave importado), alternância de chaves (em chaves do KMS simétricas) e sua chave pública (em chaves do KMS assimétricas).

A lista a seguir descreve os campos na exibição detalhada, incluindo o campo nas guias. Alguns desses campos também estão disponíveis como colunas na exibição de tabela.

Aliases

Local: guia Aliases

Um nome amigável para a chave do KMS. Você pode usar um alias para identificar a chave do KMS no console e em algumas APIs do AWS KMS. Para obter mais detalhes, consulte Usar aliases.

A guia Aliases mostra os aliases associados à chave do KMS na Conta da AWS e na Região.

ARN

Local: seção General configuration (Configuração geral)

O nome do recurso da Amazon (ARN) da chave do KMS. Esse valor identifica exclusivamente a chave do KMS. É possível usá-lo para identificar a chave do KMS nas operações de API do AWS KMS.

Data de criação

Local: seção General configuration (Configuração geral)

A data e a hora em que a chave do KMS foi criada. Esse valor é exibido na hora local do dispositivo. O fuso horário não depende da região.

Diferente de Expiration (Validade), a criação se refere somente à chave do KMS, e não ao seu material de chave.

ID do cluster do CloudHSM

Local: guia Cryptographic configuration (Configuração criptográfica)

O ID do cluster do AWS CloudHSM que contém o material de chave da chave do KMS. Esse campo é exibido somente quando a chave do KMS é criada em um armazenamento de chaves personalizado do AWS KMS.

Se você escolher o ID do cluster do CloudHSM, a página Clusters será aberta no console do AWS CloudHSM.

ID do armazenamento de chaves personalizado

Local: guia Cryptographic configuration (Configuração criptográfica)

O ID do armazenamento de chaves personalizado que contém a chave do KMS. Esse campo é exibido somente quando a chave do KMS é criada em um armazenamento de chaves personalizado do AWS KMS.

Se você escolher ID do armazenamento de chaves personalizado, a página Custom key stores (Armazenamentos de chaves personalizados) será aberta no console do AWS KMS.

Nome do armazenamento de chaves personalizado

Local: guia Cryptographic configuration (Configuração criptográfica)

O nome do armazenamento de chaves personalizado que contém a chave do KMS. Esse campo é exibido somente quando a chave do KMS é criada em um armazenamento de chaves personalizado do AWS KMS.

Descrição

Local: seção General configuration (Configuração geral)

Uma descrição breve e opcional da chave do KMS que é possível escrever e editar. Para adicionar ou atualizar a descrição de uma chave gerenciada pelo cliente, acima de General Configuration (Configuração geral), selecione Edit (Editar).

Algoritmos de criptografia

Local: guia Cryptographic configuration (Configuração criptográfica)

Lista os algoritmos de criptografia que podem ser usados com a chave do KMS no AWS KMS. Esse campo é exibido somente quando o Key type (Tipo de chave) é Asymmetric (Assimétrico) e o Key usage (Uso da chave) é Encrypt and decrypt (Criptografar e descriptografar). Para obter informações sobre os algoritmos de criptografia compatíveis com o AWS KMS, consulte Especificação da chave SYMMETRIC_DEFAULT e Especificações de chave RSA para criptografia e descriptografia.

Data de validade

Local: guia Key material (Material da chave)

A data e a hora quando o material de chave da chave do KMS expira. Esse campo é exibido somente para chaves do KMS com material de chave importado, ou seja, quando a Origem é Externa e a chave do KMS tem material de chave que expira.

Política de chaves

Local: guia Key policy (Política de chaves)

Controla o acesso à chave do KMS juntamente com políticas do IAM e concessões. Cada chave do KMS tem uma política de chaves. Ela é o único elemento de autorização obrigatório. Para alterar a política de chaves de uma chave gerenciada pelo cliente, na guia Key policy (Política de chaves), selecione Edit (Editar). Para obter mais detalhes, consulte Políticas de chaves no AWS KMS.

Alternância de chaves

Local: Guia Key rotation (Alternância de chaves)

Ativa e desativa a rotação automática de chaves a cada ano.

Para alterar o status da alternância de chaves de uma chave gerenciada pelo cliente, use a caixa de seleção na guia Key rotation (Alternância de chaves). Todas as Chaves gerenciadas pela AWS são alternadas automaticamente a cada três anos.

Especificação da chave

Local: guia Cryptographic configuration (Configuração criptográfica)

O tipo de material de chave na chave do KMS. O AWS KMS é compatível com simétricas (SYMMETRIC_DEFAULT), chaves do KMS para chaves RSA de diferentes tamanhos e chaves de curvas elípticas com diferentes curvas. Para obter mais detalhes, consulte Especificação da chave.

Tipo de chave

Local: guia Cryptographic configuration (Configuração criptográfica)

Indica se a chave do KMS é Simétrica ou Assimétrica.

Uso da chave

Local: guia Cryptographic configuration (Configuração criptográfica)

Indica se uma chave do KMS pode ser usada para Criptografar e descriptografar ou Assinar e verificar. Somente chaves do KMS assimétricas podem ser usadas para assinar e verificar. Para obter mais detalhes, consulte Uso da chave.

Origem

Local: guia Cryptographic configuration (Configuração criptográfica)

A origem do material de chave da chave do KMS. Os valores válidos são AWS_KMS para material de chave que o AWS KMS gera, EXTERNAL (EXTERNO) para material de chave importada e AWS_CloudHSM para chaves do KMS em armazenamentos de chaves personalizados.

Chave primária

Local: guia Regionality (Regionalidade)

Indica que essa chave do KMS é uma chave primária de várias regiões. Os usuários autorizados podem usar essa seção para transformar a chave primária em uma chave de várias Regiões relacionada diferente.

Chave pública

Local: guia Public key (Chave pública)

Exibe a chave pública de uma chave do KMS assimétrica. Os usuários autorizados podem usar essa guia para copiar e fazer download da chave pública.

Regionalidade

Local: seção General configuration (Configuração geral) e guias Regionality (Regionalidade)

Indica se uma chave do KMS é de região única, uma chave primária de várias regiões ou uma chave de réplica de várias regiões.

Chaves de várias regiões relacionadas

Local: guia Regionality (Regionalidade)

Exibe todas as chaves primárias e chaves de réplica de várias regiões relacionadas, exceto a chave do KMS atual.

Na seção Related multi-Region keys (Chaves de várias regiões relacionadas) de uma chave primária, os usuários autorizados podem criar novas chaves de réplica.

Chave de réplica

Local: guia Regionality (Regionalidade)

Indica que essa chave do KMS é uma chave de réplica de várias regiões.

Algoritmos de assinatura

Local: guia Cryptographic configuration (Configuração criptográfica)

Lista os algoritmos de assinatura que podem ser usados com a chave do KMS no AWS KMS. Esse campo é exibido somente quando o Key type (Tipo de chave) é Asymmetric (Assimétrico) e o Key usage (Uso da chave) é Sign and verify (Assinar e verificar). Para obter informações sobre os algoritmos de assinatura compatíveis com o AWS KMS, consulte Especificações de chave RSA para assinatura e verificação e Especificações da chave de curva elíptica.

Status

Local: seção General configuration (Configuração geral)

O estado da chave do KMS. É possível usar a chave do KMS em operações criptográficas somente quando o status é Enabled (Habilitado). Para obter uma descrição detalhada do status de cada chave do KMS e seu efeito nas operações que podem ser executadas na chave do KMS, consulte Estados das chaves do AWS KMS.

Etiquetas

Local: guia Tags (Etiquetas)

Pares de chave-valor opcionais que descrevem a chave do KMS. Para adicionar ou alterar as etiquetas de uma chave do KMS, na guia Tags (Etiquetas), selecione Edit (Editar).

Ao adicionar tags aos recursos da AWS, a AWS gera um relatório de alocação de custos com utilização e custos agrupados por tags. Etiquetas também podem ser utilizadas para controlar o acesso a uma chave do KMS. Para informações sobre marcação de chaves do KMS, consulte Marcar chaves e ABAC para AWS KMS.

Personalizar suas tabelas de chaves do KMS

É possível personalizar as tabelas exibidas nas páginas de Chaves gerenciadas pela AWS e Chaves gerenciadas pelo cliente do AWS Management Console para atender às suas necessidades. Você pode escolher as colunas da tabela, o número de AWS KMS keys em cada página (Tamanho da página) e a quebra de texto. A configuração escolhida será salva quando você confirmá-la e será reaplicada sempre que você abrir as páginas.

Como personalizar suas tabelas de chaves do KMS

  1. Na página de Chaves gerenciadas pela AWS ou de chaves gerenciadas pelo cliente, escolha o ícone de configurações ( ) no canto superior direito da página.

  2. Na página Preferences (Preferências), escolha as configurações de preferência e selecione Confirm (Confirmar).

Considere o uso da configuração Page size (Tamanho da página) para aumentar o número de chaves do KMS exibidas em cada página, principalmente se você costuma usar um dispositivo que tem a rolagem fácil.

As colunas de dados exibidas podem variar dependendo da tabela, da função do trabalho e dos tipos de chaves do KMS na conta e na região. A tabela a seguir oferece algumas configurações sugeridas. Para obter descrições das colunas, consulte Exibir detalhes de chaves do KMS.

Configurações sugeridas para a tabela de chaves do KMS

Você pode personalizar as colunas que aparecem na tabela de chaves do KMS para exibir as informações necessárias sobre as suas chaves do KMS.

Chaves gerenciadas pela AWS

Por padrão, a tabela Chave gerenciada pela AWS exibe as colunas Aliases,Key ID (ID da chave) e Status. Essas colunas são ideais para a maioria dos casos de uso.

Chaves simétricas do KMS

Se você usar somente chaves do KMS simétricas com o material de chave gerado pelo AWS KMS, as colunas Aliases, Key ID (ID da chave), Status e Creation date (Data de criação) provavelmente serão as mais úteis.

Chaves do KMS assimétricas

Se você usar chaves do KMS assimétricas, além das colunas Aliases, Key ID (ID da chave) e Status, considere adicionar as colunas Key type (Tipo de chave), Key spec (Especificação da chave) e Key usage (Uso da chave). Essas colunas mostrarão se uma chave do KMS é simétrica ou assimétrica, o tipo do material de chave e se a chave do KMS pode ser usada para criptografia ou para assinatura.

Material de chave importada

Se você tiver chaves do KMS commaterial de chave importado, considere adicionar as colunas Origin (Origem) eExpiration date (Data de validade). Essas colunas mostrarão se o material de chave em uma chave do KMS é importado ou gerado pelo AWS KMS e quando o material de chave expira, se for o caso. O campo Creation date (Data de criação) exibe a data em que a chave do KMS foi criada (sem o material de chave). Ele não reflete nenhuma característica do material de chave.

Chaves em armazenamentos de chaves personalizados

Se você tiver chaves do KMS no armazenamento de chaves personalizado, considere adicionar a coluna Custom key store ID (ID do armazenamento de chaves personalizado). Um valor nessa coluna indica se a chave do KMS está em um armazenamento de chaves personalizado, além de mostrar em qual armazenamento de chaves personalizado ela está.

Chaves de várias regiões

Se você tiver chaves de várias regiões, considere adicionar a coluna Regionality (Regionalidade). Ela mostra se uma chave do KMS é de região única, uma chave primária de várias regiões ou uma chave de réplica de várias regiões.