As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Criar uma chave do KMS assimétrica
<a name="asymm-create-key"></a>

[Você pode criar [chaves KMS assimétricas](symmetric-asymmetric.md) no AWS KMS console, usando a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API ou usando o modelo. AWS::KMS::Key CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html) Uma chave do KMS assimétrica representa um par de chaves pública e privada que pode ser usado para criptografia, assinatura ou derivação de segredos compartilhados. A chave privada permanece dentro AWS KMS. Para baixar a chave pública para uso fora do AWS KMS, consulte[Fazer download de chave pública](download-public-key.md).

Ao criar uma chave do KMS assimétrica, é necessário selecionar sua especificação de chave. Geralmente a especificação de chave escolhida é determinada por requisitos regulatórios, de segurança ou de negócios. Ela também pode ser influenciada pelo tamanho das mensagens que você precisa criptografar ou assinar. Em geral, chaves de criptografia maiores são mais resistentes a ataques de força bruta. Para obter uma descrição detalhada de todas as especificações de chave compatíveis, consulte [Referência de especificação de chave](symm-asymm-choose-key-spec.md).

AWS serviços que se integram com AWS KMS não oferecem suporte a chaves KMS assimétricas. Se você quiser criar uma chave KMS que criptografe os dados que você armazena ou gerencia em um AWS serviço, [crie uma chave KMS de criptografia simétrica](create-symmetric-cmk.md). 

Para obter informações sobre as permissões necessárias para criar chaves do KMS, consulte [Permissões para criar chaves do KMS](create-keys.md#create-key-permissions).

## Usando o AWS KMS console
<a name="create-asymmetric-keys-console"></a>

Você pode usar o Console de gerenciamento da AWS para criar assimetrias AWS KMS keys (chaves KMS). Cada chave do KMS assimétrica representa um par de chaves pública e privada.

**Importante**  
Não inclua informações confidenciais ou sigilosas no alias, na descrição ou nas tags. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.

1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

1. No painel de navegação, escolha **Chaves gerenciadas pelo cliente**.

1. Escolha **Criar chave**.

1. Para criar uma chave do KMS assimétrica, em **Key type** (Tipo de chave), selecione **Asymmetric** (Assimétrica).

1. Para criar uma chave do KMS assimétrica para assinar mensagens e verificar assinaturas, em **Key usage** (Uso de chaves), selecione **Encrypt and decrypt** (Criptografar e descriptografar). 

   Para criar uma chave do KMS assimétrica para assinar mensagens e verificar assinaturas, em **Uso de chave**, selecione **Assinar e verificar**.

   Para criar uma chave do KMS assimétrica para derivar segredos compartilhados, em **Uso da chave**, escolha **Acordo de chave**.

   Para ajudar a escolher um valor de uso de chave, consulte [Escolher qual tipo de chave do KMS criar](create-keys.md#symm-asymm-choose).

1. Escolha uma especificação (**Especificação da chave**) para a chave do KMS assimétrica. 

1. Escolha **Próximo**.

1. Digite um [alias](kms-alias.md) para a chave do KMS. O nome do alias não pode começar com **aws/**. O prefixo **aws/** é reservado pela Amazon Web Services para representar as Chaves gerenciadas pela AWS na sua conta.

   Um *alias* é um nome amigável que você pode usar para identificar a chave KMS no console e em alguns. AWS KMS APIs Recomendamos que você escolha um alias que indique o tipo de dados que pretende proteger ou a aplicação a ser usada com a chave do KMS. 

   Aliases são necessários ao criar uma chave do KMS no Console de gerenciamento da AWS. Você não pode especificar um alias ao usar a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação, mas pode usar o console ou a [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operação para criar um alias para uma chave KMS existente. Para obter detalhes, consulte [Aliases em AWS KMS](kms-alias.md).

1. (Opcional) Digite uma descrição para a chave do KMS.

   Insira uma descrição que explique o tipo de dados que você planeja proteger ou a aplicação que planeja usar com a chave do KMS.

   Você pode adicionar uma descrição agora ou atualizá-la a qualquer momento, a não ser que o [estado da chave](key-state.md) seja `Pending Deletion` ou `Pending Replica Deletion`. Para adicionar, alterar ou excluir a descrição de uma chave gerenciada pelo cliente existente, edite a descrição na página de detalhes da chave KMS na Console de gerenciamento da AWS ou use a [UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)operação.

1. (Opcional) Digite uma chave de tag e um valor de tag opcional. Para adicionar mais de uma etiqueta à chave do KMS, selecione **Adicionar tag**.

   Quando você adiciona tags aos seus AWS recursos, AWS gera um relatório de alocação de custos com uso e custos agregados por tags. Etiquetas também podem ser utilizadas para controlar o acesso a uma chave do KMS. Para informações sobre marcação de chaves do KMS, consulte [Etiquetas em AWS KMS](tagging-keys.md) e [ABAC para AWS KMS](abac.md). 

1. Escolha **Próximo**.

1. Selecione os usuários e as funções do IAM que podem administrar a chave do KMS.
**Observações**  
Essa política de chaves dá o controle Conta da AWS total dessa chave KMS. Ela permite que os administradores de conta usem políticas do IAM para conceder a outras entidades principais a permissão para gerenciar a chave do KMS. Para obter detalhes, consulte [Política de chaves padrão](key-policy-default.md).  
As práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Sempre que possível, use os perfis do IAM, por fornecerem credenciais temporárias. Para obter detalhes, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.  
O AWS KMS console adiciona administradores de chaves à política de chaves sob o identificador `"Allow access for Key Administrators"` de instrução. A modificação desse identificador de instrução pode afetar a forma como o console exibe as atualizações feitas na instrução.

1. (Opcional) Para evitar que os usuários e funções do IAM selecionados excluam essa chave do KMS, na seção **Exclusão de chaves** na parte inferior da página, desmarque a caixa de seleção **Permitir que os administradores de chaves excluam essa chave**.

1. Escolha **Próximo**.

1. Selecione os usuários e as funções do IAM que podem usar a chave do KMS para [operações de criptografia](kms-cryptography.md#cryptographic-operations).
**Observações**  
As práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Sempre que possível, use os perfis do IAM, por fornecerem credenciais temporárias. Para obter detalhes, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.  
O AWS KMS console adiciona os principais usuários à política de chaves sob os identificadores de declaração `"Allow use of the key"` e. `"Allow attachment of persistent resources"` A modificação desses identificadores de instrução pode afetar a forma como o console exibe as atualizações feitas na instrução.

1. (Opcional) Você pode permitir que outras Contas da AWS pessoas usem essa chave KMS para operações criptográficas. Para fazer isso, na seção **Outras Contas da AWS**, no fim da página, escolha **Adicionar outra Conta da AWS** e insira o número de identificação de Conta da AWS de uma conta externa. Para adicionar várias contas externas, repita essa etapa.
**nota**  
Para permitir que as entidades principais de contas externas usem a chave do KMS, os administradores da conta externa devem criar políticas do IAM que forneçam essas permissões. Para obter mais informações, consulte [Permitir que usuários de outras contas usem uma chave do KMS](key-policy-modifying-external-accounts.md).

1. Escolha **Próximo**.

1. Consulte as instruções da política de chave para a chave. Para fazer alterações na política de chave, selecione **Editar**.

1. Escolha **Próximo**.

1. Revise as configurações que você escolheu. Ainda é possível voltar e alterar todas as configurações.

1. Selecione **Finish** (Concluir) para criar a chave do KMS.

## Usando a AWS KMS API
<a name="create-asymmetric-keys-api"></a>

Você pode usar a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação para criar uma assimétrica AWS KMS key. Estes exemplos usam a [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mas você pode usar qualquer linguagem de programação compatível. 

Ao criar uma chave do KMS assimétrica, você deve especificar o parâmetro `KeySpec`, que determina o tipo de chaves que criado. Além disso, é necessário especificar um valor `KeyUsage` de ENCRYPT\$1DECRYPT, SIGN\$1VERIFY ou KEY\$1AGREEMENT. Não é possível alterar essas propriedades depois que a chave do KMS é criada.

A `CreateKey` operação não permite que você especifique um alias, mas você pode usar a [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operação para criar um alias para sua nova chave KMS.

**Importante**  
Não inclua informações confidenciais ou sigilosas nos campos `Description` ou `Tags`. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.

**Criar um par de chaves do KMS assimétricas para criptografia pública**  
O exemplo a seguir usa a operação `CreateKey` para criar uma chave do KMS assimétrica de chaves RSA de 4.096 bits projetada para criptografia de chave pública.

```
$ aws kms create-key --key-spec RSA_4096 --key-usage ENCRYPT_DECRYPT
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": 1569973196.214,
        "MultiRegion": false,
        "KeySpec": "RSA_4096",
        "CustomerMasterKeySpec": "RSA_4096",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "EncryptionAlgorithms": [
            "RSAES_OAEP_SHA_1",
            "RSAES_OAEP_SHA_256"
        ],
        "AWSAccountId": "111122223333",
        "Origin": "AWS_KMS",
        "Enabled": true
    }
}
```

**Criar um par de chaves do KMS assimétricas para assinatura e verificação**  
O exemplo de comando a seguir cria uma chave do KMS assimétrica que representa um par de chaves ECC usado para assinatura e verificação. Não é possível criar um par de chaves de curva elíptica para criptografia e descriptografia.

```
$ aws kms create-key --key-spec ECC_NIST_P521 --key-usage SIGN_VERIFY
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": 1570824817.837,
        "Origin": "AWS_KMS",
        "SigningAlgorithms": [
            "ECDSA_SHA_512"
        ],
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
        "AWSAccountId": "111122223333",
        "KeySpec": "ECC_NIST_P521",
        "CustomerMasterKeySpec": "ECC_NIST_P521",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Enabled": true,
        "MultiRegion": false,
        "KeyUsage": "SIGN_VERIFY"
    }
}
```

**Criar um par de chaves do KMS assimétricas para derivar segredos compartilhados**  
O exemplo de comando a seguir cria uma chave do KMS assimétrica que representa um par de chaves ECDH usado para derivar segredos compartilhados. Não é possível criar um par de chaves de curva elíptica para criptografia e descriptografia.

```
$ aws kms create-key --key-spec ECC_NIST_P256 --key-usage KEY_AGREEMENT
{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": "2023-12-27T19:10:15.063000+00:00",
        "Enabled": true,
        "Description": "",
        "KeyUsage": "KEY_AGREEMENT",
        "KeyState": "Enabled",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "ECC_NIST_P256",
        "KeySpec": "ECC_NIST_P256",
        "KeyAgreementAlgorithms": [
            "ECDH"
        ],
        "MultiRegion": false
    }
}
```