Identificación de diferentes tipos de claves

Las columnas Key type (Tipo de clave) de la tabla Customer managed keys (Claves administradas por el cliente) muestran si cada clave KMS es simétrica o asimétrica. Puede filtrar la tabla por el valor de Tipo de clave para mostrar solo las claves de KMS asimétricas. Para obtener más información consulte () Ordenar y filtrar las claves KMS.

La pestaña Cryptographic configuration (Configuración criptográfica) en la página de detalles para una clave KMS muestra el Key type (Tipo de clave), que indica si la clave es simétrica o asimétrica. También muestra Key Usage (Uso de claves), que indica si la clave KMS asimétrica se utiliza para cifrar y descifrar, firmar y verificar o para obtener secretos compartidos.

Cuando se llama a la operación DescribeKey en una clave KMS asimétrica, la respuesta incluye los valores de KeySpec y KeyUsage, que se pueden usar para determinar si una clave KMS es simétrica o asimétrica.

Si el valor de KeySpec es SYMMETRIC_DEFAULT, la clave es una clave KMS de cifrado simétrica. Para obtener más información sobre las especificaciones de las claves asimétricas, consulte Referencia de especificaciones de clave.

Si el valor de KeyUsage es SIGN_VERIFY o KEY_AGREEMENT, la clave es una clave KMS asimétrica.

La operación DescribeKey también devuelve los siguientes detalles para claves KMS asimétricas.

Las claves de KMS HMAC se incluyen en la tabla Claves administradas por el cliente, pero no puede ordenar ni filtrar esta tabla por las especificaciones de clave ni por valores de uso de claves que identifican las claves de HMAC. Para facilitar la búsqueda de las claves HMAC, asígneles un alias o una etiqueta distintiva. A continuación, puede ordenar o filtrar por el alias o la etiqueta.

La pestaña Cryptographic configuration (Configuración criptográfica) en la página de detalles para una clave KMS muestra el Key type (Tipo de clave), que indica si la clave es simétrica o asimétrica. Las claves KMS HMAC son simétricas. La pestaña Cryptographic configuration (Configuración criptográfica) también muestra Key Usage (Uso de claves). Para las claves KMS HMAC, Generar y verificar MAC es siempre el valor uso de clave.

Cuando llama a la operación DescribeKey en una clave KMS HMAC, la respuesta incluye los valores KeySpec y KeyUsage. En el caso de las claves KMS HMAC, el valor de uso de clave es siempre GENERATE_VERIFY_MAC y el valor de la especificación de clave siempre empieza por HMAC_.

La tabla Customer managed keys (Claves administradas por clientes) solo muestra las claves KMS en la región seleccionada. Puede ver las claves principales y de réplica de varias regiones en la región seleccionada. Para cambiar la región de AWS, utilice el selector de regiones en la esquina superior derecha de la consola.

Para facilitar la identificación de las claves de varias regiones en la tabla Claves administradas por el cliente, añada la columna Regionalidad a la tabla. Para obtener ayuda, consulte Personalización de las tablas de claves KMS.

La página de detalles de las claves KMS de varias regiones incluye una pestaña Regionality (Regionalidad). La pestaña Regionality (Regionalidad) de una clave principal incluye los botones Change primary Region (Cambiar región principal) y Create new replica keys (Crear nuevas claves de réplica). (La pestaña Regionality (Regionalidad) de una clave de réplica no tiene ningún botón). La sección Related multi-Region keys (Claves de varias regiones relacionadas) enumera todas las claves de varias regiones relacionadas con la actual. Si la clave actual es una clave de réplica, esta lista incluye la clave principal.

Si elige una clave de varias regiones relacionada de la tabla Related multi-Region keys (Claves de varias regiones relacionadas), la tabla de la consola AWS KMS cambia a la región de la clave seleccionada y abre la página de detalles de la clave. Por ejemplo, si elige la clave de réplica en la región sa-east-1 de la sección de ejemplo Related multi-Region keys (Claves multde varias regiones relacionadas) que aparece a continuación, la consola AWS KMS cambia a la región sa-east-1 para mostrar la página de detalles de esa clave de réplica. Puede hacer esto para ver el alias o la política de clave de la clave de réplica. Para cambiar la región nuevamente, utilice el selector de regiones en la esquina superior derecha de la página.

De forma predeterminada, las operaciones de la API AWS KMS son regionales y solo devuelven los recursos de la región actual o de la especificada. Pero cuando se llama a la operación DescribeKey en una clave KMS de varias regiones, la respuesta incluye todas las claves de varias regiones relacionadas en otras regiones de AWS del elemento MultiRegionConfiguration.

Para facilitar la identificación de las claves KMS con material de claves importado en la tabla Customer managed keys (Claves administradas por el cliente), añada la columna Origin (Origen) a la tabla. La columna Origen facilita la identificación de las claves de KMS que tienen un valor de propiedad de origen Externo (Importar material de claves). Para obtener ayuda, consulte Personalización de las tablas de claves KMS.

La pestaña Cryptographic configuration (Configuración criptográfica) de la página de detalles de una clave KMS muestra Origin (Origen), que identifica el origen del material de claves de la clave KMS. En el caso de las claves KMS con material de claves importado, el valor de origen es siempre External (Import Key material) [Externo (material de claves de importación)]. La página de detalles también incluye una pestaña Key material (Material de claves) que proporciona información detallada sobre el material de claves importado. Las claves de cifrado simétricas y de una sola región con origen EXTERNAL admiten rotaciones bajo demanda y pueden tener varios materiales de claves asociados. Para este tipo de claves, la pestaña lleva la etiqueta Rotaciones y material de claves.

Cuando se llama a la operación DescribeKey en una clave KMS con material de claves importado, la respuesta incluye los valores Origin, ExpirationModel y ValidTo. En el caso de las claves KMS con material de claves importado, el valor de origen es siempre EXTERNAL. El valor ExpirationModel indica si el material de claves está configurado para que caduque o no, y el valor ValidTo indica cuándo caducará el material de claves. Cuando hay varios materiales de claves asociados a una clave, el valor ValidTo indica la fecha de caducidad más temprana de todos los materiales de claves (excepto el que está pendiente de rotación) y ExpirationModel se establece en DOES_NOT_EXPIRE solo si ninguno de estos materiales de claves está programado para caducar. Para obtener más información, consulte Configuración de una fecha de vencimiento (opcional).

Para facilitar la identificación de las claves KMS en almacenes de claves de AWS CloudHSM en la tabla Customer managed keys (Claves administradas por el cliente), añada la columna Origin (Origen) a la tabla. La columna Origen facilita la identificación de las claves de KMS que tienen un valor de propiedad de origen de AWS CloudHSM. Para obtener ayuda, consulte Personalización de las tablas de claves KMS.

La pestaña Cryptographic configuration (Configuración criptográfica) de la página de detalles de una clave KMS muestra Origin (Origen), que identifica el origen del material de claves de la clave KMS. En el caso de las claves KMS en almacenes de claves de AWS CloudHSM, el valor de origen es siempre AWS CloudHSM.

En el caso de una clave de KMS en un almacén de claves de AWS CloudHSM, la pestaña Configuración criptográfica incluye una sección adicional, Almacén de claves personalizado, que proporciona información sobre el almacén de claves de AWS CloudHSM y el clúster de AWS CloudHSM asociados a la clave de KMS.

Cuando se llama a la operación DescribeKey con una clave KMS en un almacén de claves de AWS CloudHSM, la respuesta incluye Origin, que identifica el origen del material de claves. En el caso de las claves KMS en un almacén de claves de AWS CloudHSM, el valor de origen es siempre AWS_CLOUDHSM. La operación también devuelve los siguientes campos especiales para las claves KMS de los almacenes de claves de AWS CloudHSM:

Para facilitar la identificación de las claves KMS en almacenes de claves externos en la tabla Customer managed keys (Claves administradas por el cliente), añada la columna Origin (Origen) a la tabla. La columna Origin (Origen) facilita la identificación de las claves KMS que tienen un valor de propiedad de origen External key store (Almacén de claves externo). Para obtener ayuda, consulte Personalización de las tablas de claves KMS.

La pestaña Configuración criptográfica de la página de detalles de una clave de KMS muestra Origen, que identifica el origen del material de claves de la clave de KMS. Por ejemplo, el valor de origen para todas las claves KMS en el almacén de claves externo es siempre External key store (Almacén de claves externo).

Para una clave KMS en un almacén de claves externo, la pestaña Cryptographic configuration (Configuración criptográfica) incluye dos secciones adicionales: Custom key store (Almacén de claves personalizado) y External key (Clave externa). La tabla Custom key store (Almacén de claves personalizado) proporciona información sobre el almacén de claves externo asociado a la clave KMS. La tabla External key (Clave externa) aparece en la consola de AWS KMS solo para las claves KMS de los almacenes de claves externos. Proporciona información sobre la clave externa asociada a la clave de KMS. La clave externa es una clave criptográfica fuera de AWS que se usa como material de claves para la clave de KMS en el almacén de claves externo. Cuando cifra o descifra con la clave de KMS, la operación la realiza su administrador de claves externo utilizando la clave externa especificada.

Los siguientes valores aparecen en la sección External key (Clave externa).

Cuando se llama a la operación DescribeKey con una clave KMS en un almacén de claves externo, la respuesta incluye Origin, que identifica el origen del material de claves. En el caso de las claves KMS en un almacén de claves de AWS CloudHSM, el valor de origen es siempre EXTERNAL_KEY_STORE. La operación también devuelve el elemento CustomKeyStoreId, que identifica el almacén de claves externo asociado a las claves de KMS.