Tabla de tipos de claves Tabla de características especiales

Referencia de tipos de claves

AWS KMS admite diferentes funciones para diferentes tipos de claves KMS. Por ejemplo, solo puede utilizar las claves de KMS de cifrado simétricas para generar claves de datos simétricas y pares de claves de datos asimétricas. Además, la importación del material de claves y la rotación automática de claves son compatibles únicamente con las claves de KMS de cifrado simétricas. Asimismo, solo puede crear claves de KMS de cifrado simétricas en un almacén de claves personalizadas.

Esta referencia incluye dos tablas.

La tabla de tipos de clave muestra las AWS KMS operaciones que son válidas para las claves KMS de cifrado simétrico, las claves KMS asimétricas y las claves KMS HMAC.
La tabla de características especiales muestra las operaciones de AWS KMS que son válidas para las claves de KMS para varias regiones, las claves de KMS con material de claves importado y las claves de KMS de almacenes de claves personalizados.

Tabla de tipos de claves

Es posible que tenga que desplazarse horizontal o verticalmente para ver todos los datos de esta tabla.

AWS KMS Funcionamiento de la API	Claves de KMS de cifrado simétrico	Claves KMS HMAC	Claves de KMS asimétricas (ENCRYPT_DECRYPT)	Claves de KMS asimétricas (SIGN_VERIFY)	Claves KMS asimétricas (KEY_AGREEMENT)
CancelKeyDeletion	Sí	Sí	Sí	Sí	Sí
CreateAlias	Sí	Sí	Sí	Sí	Sí
CreateGrant	Sí	Sí	Sí	Sí	Sí
CreateKey	Sí	Sí	Sí	Sí	Sí
Decrypt	Sí	No	Sí	No	No
DeleteAlias	Sí	Sí	Sí	Sí	Sí
DeleteImportedKeyMaterial Válido solo en las claves de KMS con material de claves importado (`Origin` es `EXTERNAL`).	Sí	Sí	Sí	Sí	Sí
DeriveSharedSecret	No	No	No	No	Sí
DescribeKey	Sí	Sí	Sí	Sí	Sí
DisableKey	Sí	Sí	Sí	Sí	Sí
DisableKeyRotation	Sí Válido solo en claves de KMS con material (`Origin`es`AWS_KMS`) AWS KMS clave.	No	No	No	No
EnableKey	Sí	Sí	Sí	Sí	Sí
EnableKeyRotation	Sí Válido solo en claves KMS con material (`Origin`es`AWS_KMS`) AWS KMS clave.	No	No	No	No
Encrypt	Sí	No	Sí	No	No
GenerateDataKey	Sí	No	No	No	No
GenerateDataKeyPair Genera un par de claves de datos asimétricos protegido por una clave de KMS de cifrado simétrica.	Sí No es válido en claves de KMS en almacenes de claves personalizados.	No	No	No	No
GenerateDataKeyPairWithoutPlaintext Genera un par de claves de datos asimétricos protegido por una clave de KMS de cifrado simétrica.	Sí No es válido en claves de KMS en almacenes de claves personalizados.	No	No	No	No
GenerateDataKeyWithoutPlaintext	Sí	No	No	No	No
GenerateMac	No	Sí	No	No	No
GetKeyPolicy	Sí	Sí	Sí	Sí	Sí
GetKeyRotationStatus	Sí	Sí (`KeyRotationEnabled` siempre será `false`.)	Sí (`KeyRotationEnabled` siempre será `false`.)	Sí (`KeyRotationEnabled` siempre será `false`.)	Sí (`KeyRotationEnabled` siempre será `false`.)
GetParametersForImport Válido solo en las claves de KMS con material de claves importado (`Origin` es `EXTERNAL`).	Sí	Sí	Sí	Sí	Sí
GetPublicKey	No	No	Sí	Sí	Sí
ImportKeyMaterial Válido solo en las claves de KMS con material de claves importado (`Origin` es `EXTERNAL`).	Sí	Sí	Sí	Sí	Sí
ListAliases	Sí	Sí	Sí	Sí	Sí
ListGrants	Sí	Sí	Sí	Sí	Sí
ListKeyPolicies	Sí	Sí	Sí	Sí	Sí
ListKeyRotations	Sí	Sí (El campo `Rotations` siempre será nulo o estará vacío).	Sí (El campo `Rotations` siempre será nulo o estará vacío).	Sí (El campo `Rotations` siempre será nulo o estará vacío).	Sí (El campo `Rotations` siempre será nulo o estará vacío).
ListResourceTags	Sí	Sí	Sí	Sí	Sí
ListRetirableGrants	Sí	Sí	Sí	Sí	Sí
PutKeyPolicy	Sí	Sí	Sí	Sí	Sí
ReEncrypt	Sí	No	Sí	No	No
ReplicateKey - Válido solo en claves de varias regiones	Sí	Sí	Sí	Sí	Sí
RetireGrant	Sí	Sí	Sí	Sí	Sí
RevokeGrant	Sí	Sí	Sí	Sí	Sí
RotateKeyOnDemand	Sí Válido solo en claves KMS de cifrado simétrico administradas por el cliente con origen `AWS_KMS` o `EXTERNAL`.	No	No	No	No
ScheduleKeyDeletion	Sí	Sí	Sí	Sí	Sí
Sign	No	No	No	Sí	No
TagResource	Sí	Sí	Sí	Sí	Sí
UntagResource	Sí	Sí	Sí	Sí	Sí
UpdateAlias La clave de KMS actual y la nueva clave de KMS deben ser del mismo tipo (ambas simétricas o ambas asimétricas o ambas HMAC) y deben tener el mismo uso de clave.	Sí	Sí	Sí	Sí	Sí
UpdateKeyDescription	Sí	Sí	Sí	Sí	Sí
UpdateReplicaRegion - Válido solo en claves de varias regiones	Sí	Sí	Sí	Sí	Sí
Verificar	No	No	No	Sí	No
VerifyMac	No	Sí	No	No	No

Tabla de características especiales

En esta tabla se muestran las operaciones de AWS KMS API que se admiten en cada tipo de clave de uso especial.

Al leer esta tabla, debe tener en cuenta las siguientes interacciones:

Claves de varias regiones:
- Las claves de varias regiones pueden ser claves de KMS de cifrado simétrico, claves de KMS asimétricas, claves de KMS HMAC y claves de KMS con material de claves importado.
- No puede crear claves de varias regiones en un almacén de claves personalizado.
Material de claves importado
- Puede importar material de claves de KMS de cifrado simétrico, claves de KMS asimétricas y claves HMAC de KMS.
- Puede crear claves de varias regiones con material de claves importado.
- No puede crear claves con material de claves importado en un almacén de claves personalizado.
- La rotación automática de claves EnableKeyRotation, DisableKeyRotation) no es compatible con las claves KMS con el material de claves importado.
- La rotación de claves bajo demanda (RotateKeyOnDemand) se admite para las claves KMS de cifrado simétrico con material de clave importado.
Almacenes de claves personalizados
- Los almacenes de claves personalizados solo admiten claves KMS de cifrado simétricas.
- Las operaciones simétricas en pares de claves asimétricas (GenerateDataKeyPair, GenerateDataKeyPairWithoutPlaintext) no se admiten en las claves de KMS de los almacenes de claves personalizados.
- Las claves KMS de almacenes de claves personalizados no admiten la rotación automática de claves (EnableKeyRotation, DisableKeyRotation).
- No puede crear claves de varias regiones en almacenes de claves personalizados.

Es posible que tenga que desplazarse horizontal o verticalmente para ver todos los datos de esta tabla.

AWS KMS Funcionamiento de la API	Claves de varias regiones	Material de claves importado
CancelKeyDeletion
CreateAlias
CreateGrant
CreateKey Puede utilizar `CreateKey` para crear una clave principal de varias regiones, una clave de KMS con material de claves importado o una clave de KMS en un almacén de claves personalizado. Para crear una clave de réplica de varias regiones, utilice `ReplicateKey`.
Decrypt	Válido solo cuando `KeyUsage` es `ENCRYPT_DECRYPT`
DeleteAlias
DeleteImportedKeyMaterial	Válido solo para claves con material de claves importado (`Origin` es `EXTERNAL`)
DeriveSharedSecret	Válido solo cuando `KeyUsage` es `KEY_AGREEMENT`)	Válido solo cuando `KeyUsage` es `KEY_AGREEMENT`)
DescribeKey
DisableKey
DisableKeyRotation	Válido solo en claves de cifrado simétricas con material (`Origin`es`AWS_KMS`) AWS KMS clave.
EnableKey	Válido solo con claves de cifrado de KMS simétricas
EnableKeyRotation	Válido solo en claves de cifrado simétricas con material (`Origin`es`AWS_KMS`) de AWS KMS clave.
Encrypt	Válido solo cuando `KeyUsage` es `ENCRYPT_DECRYPT`
GenerateDataKey	Válido solo con claves de cifrado de KMS simétricas
GenerateDataKeyPair	Válido solo con claves de cifrado de KMS simétricas
GenerateDataKeyPairWithoutPlaintext	Válido solo con claves de cifrado de KMS simétricas
GenerateDataKeyWithoutPlaintext	Válido solo con claves de cifrado de KMS simétricas
GenerateMac Válido solo en claves HMAC de KMS
GetKeyPolicy
GetKeyRotationStatus		(`KeyRotationEnabled` siempre será `false`.)
GetParametersForImport	Válido solo para claves con material de claves importado (`Origin` es `EXTERNAL`).
GetPublicKey Válido solo para claves de KMS asimétricas.
ImportKeyMaterial	Válido solo para claves con material de claves importado (`Origin` es `EXTERNAL`).
ListAliases
ListGrants
ListKeyPolicies
ListKeyRotations	Válido solo en claves de cifrado simétricas con origen `AWS_KMS` u `EXTERNAL` origen.	Válido solo en claves de cifrado simétricas.
ListResourceTags
ListRetirableGrants
PutKeyPolicy
ReEncrypt	Válido solo cuando `KeyUsage` es `ENCRYPT_DECRYPT`
ReplicateKey	Válido solo en claves principales de varias regiones.	Válido solo en claves principales de varias regiones.
RetireGrant
RevokeGrant
RotateKeyOnDemand	Válido solo en claves de cifrado simétricas con origen `AWS_KMS` u `EXTERNAL` origen.	Válido solo en claves de cifrado simétricas.
ScheduleKeyDeletion
Sign Válido solo cuando `KeyUsage` es `SIGN_VERIFY`.
TagResource
UntagResource
UpdateAlias La clave de KMS actual y la nueva clave de KMS deben ser del mismo tipo (ambas simétricas o ambas asimétricas o ambas HMAC) y deben tener el mismo uso de clave.
UpdateKeyDescription
UpdateReplicaRegion		Válido solo en claves de varias regiones.
Verificar Solo es válido cuando `KeyUsage` es `SIGN_VERIFY`.
VerifyMac Válido solo en claves HMAC de KMS

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Referencia de los estados de claves

Referencia de especificaciones de clave