As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Sobre AWS KMS keys AWS Key Management Service (AWS KMS) permite criar chaves criptográficas que podem ser usadas nos dados que você passa para o serviço. O tipo de recurso principal é a chave KMS, da qual existem [três tipos:](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) + **Chaves simétricas do Advanced Encryption Standard (AES)** — Essas são chaves de 256 bits usadas no modo Galois Counter Mode (GCM) do AES. Essas chaves fornecem criptografia e descriptografia autenticadas de dados com menos de 4 KB de tamanho. Esse é o tipo de chave mais comum. Ele é usado para proteger outras chaves de dados, como aquelas usadas em seus aplicativos ou para criptografar dados em seu nome. Serviços da AWS + Chaves **assimétricas de curva elíptica ou RSA — Essas teclas** estão disponíveis em vários tamanhos e oferecem suporte a vários algoritmos. Dependendo do algoritmo, eles podem ser usados para criptografia e decodificação e para operações de assinatura e verificação. + **Chaves simétricas para realizar operações de código de autenticação de mensagem (HMAC) baseado em hash — Essas chaves são chaves de 256 bits usadas para operações** de assinatura e verificação. Não é possível exportar as chaves do KMS do serviço em texto simples. Eles são gerados e só podem ser usados nos módulos de segurança de hardware (HSMs) usados pelo serviço. Essa é uma propriedade de segurança fundamental AWS KMS para evitar o comprometimento de chaves. Nas regiões da China (Pequim) e China (Ningxia), elas HSMs são certificadas pela [OSCCA](https://www.oscca.gov.cn/). Em todas as outras regiões, os HSMs usados em AWS KMS são validados pelo [programa FIPS 140 do NIST no nível](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/3739) de segurança 3. Para obter mais informações sobre design e controles AWS KMS que ajudam a proteger suas chaves, consulte [Detalhes AWS Key Management Service criptográficos](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html). Você pode enviar dados AWS KMS usando vários criptográficos para realizar APIs operações de criptografia, descriptografia, assinatura ou verificação com chaves KMS. *Você também pode optar por fazer com que uma chave KMS atue como uma *chave de criptografia*, que protege um tipo de chave chamado chave de dados.* Uma chave de dados pode ser exportada AWS KMS para uso em seu aplicativo local ou uma AWS service (Serviço da AWS) que esteja protegendo dados em seu nome. O uso de chaves de dados é comum em todos os sistemas de gerenciamento de chaves e geralmente é chamado de [criptografia de envelope](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping). A *criptografia de envelope* permite que uma chave de dados seja usada no sistema remoto que está manipulando seus dados confidenciais, em vez de precisar enviá-los AWS KMS para criptografia diretamente sob uma chave KMS. Para obter mais informações, consulte [AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)os [fundamentos da AWS KMS criptografia](https://docs.aws.amazon.com/kms/latest/developerguide/kms-cryptography.html) na AWS KMS documentação.