Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Anzeigen von KMS-Schlüsseln in einem externen Schlüsselspeicher
Um die KMS-Schlüssel in einem externen Schlüsselspeicher anzuzeigen, verwenden Sie die -AWS KMSKonsole oder die -DescribeKeyOperation. Sie können dieselben Vorgehensweisen anwenden, die Sie auch für die Anzeige aller kundenverwalteten AWS KMS-Schlüssel verwenden würden. Informationen zu den Grundlagen finden Sie unter Anzeigen von Schlüsseln.
In der AWS KMS-Konsole werden die KMS-Schlüssel in Ihrem externen Schlüsselspeicher auf der Seite Customer managed keys (kundenverwaltete Schlüssel) zusammen mit allen anderen kundenverwalteten Schlüsseln in Ihrem AWS-Konto-Konto und Ihrer Region angezeigt. Um KMS-Schlüssel in einem externen Schlüsselspeicher zu identifizieren, filtern Sie nach dem eindeutigen Ursprungswert, dem externen Schlüsselspeicher und der ID des benutzerdefinierten Schlüsselspeichers.
Weitere Informationen finden Sie unter Anzeigen eines externen Schlüsselspeichers, Überwachung eines externen Schlüsselspeichers und AWS KMS API-Aufrufe protokollieren mit AWS CloudTrail.
Themen
Eigenschaften von KMS-Schlüsseln in einem externen Schlüsselspeicher
Wie alle KMS-Schlüssel haben auch die KMS-Schlüssel in einem externen Schlüsselspeicher einen Schlüssel-ARN, eine Schlüsselspezifikation und Schlüsselnutzungswerte, aber sie haben auch Eigenschaften und Eigenschaftswerte, die spezifisch für KMS-Schlüssel in einem externen Schlüsselspeicher sind. Der Ursprungswert für alle KMS-Schlüssel in externen Schlüsselspeichern ist zum Beispiel External key store (Externer Schlüsselspeicher).
Für einen KMS-Schlüssel in einem externen Schlüsselspeicher enthält die Registerkarte Cryptographic configuration (Kryptografische Konfiguration) in der AWS KMS-Konsole zwei zusätzliche Abschnitte: Custom key store (Benutzerdefinierter Schlüsselspeicher) und External key (Externer Schlüssel).
Eigenschaften eines benutzerdefinierten Schlüsselspeichers
Die folgenden Werte werden im Abschnitt Benutzerdefinierter Schlüsselspeicher der Registerkarte Kryptografische Konfiguration und in der DescribeKey Antwort angezeigt. Diese Eigenschaften gelten für alle benutzerdefinierten Schlüsselspeicher, einschließlich AWS CloudHSM-Schlüsselspeicher und externe Schlüsselspeicher.
- ID des benutzerdefinierten Schlüsselspeichers
-
Eine eindeutige ID, die AWS KMS dem benutzerdefinierten Schlüsselspeicher zuweist
- Name des benutzerdefinierten Schlüsselspeichers
-
Ein Anzeigename, den Sie dem benutzerdefinierten Schlüsselspeicher bei dessen Erstellung zuweisen. Sie können diesen Wert jederzeit ändern.
- Typ des benutzerdefinierten Schlüsselspeichers
-
Der Typ des benutzerdefinierten Schlüsselspeichers. Gültige Werte sind AWS CloudHSM (
AWS_CLOUDHSM) oder „Externer Schlüsselspeicher“ (EXTERNAL_KEY_STORE). Der Typ kann nach der Erstellung des benutzerdefinierten Schlüsselspeichers nicht mehr geändert werden. - Erstellungsdatum
-
Das Datum, an dem der benutzerdefinierte Schlüsselspeicher erstellt wurde. Dieses Datum wird in Ortszeit für die AWS-Region angezeigt.
- Verbindungsstatus
-
Zeigt an, ob der benutzerdefinierte Schlüsselspeicher mit dem Unterstützungsschlüsselspeicher verbunden ist. Der Verbindungsstatus ist nur dann
DISCONNECTED, wenn der benutzerdefinierte Schlüsselspeicher noch nie mit dem Unterstützungsschlüsselspeicher verbunden war oder die Verbindung absichtlich getrennt wurde. Details hierzu finden Sie unter Verbindungsstatus.
Eigenschaften des externen Schlüssels
Eigenschaften externer Schlüssel werden im Abschnitt Externer Schlüssel der Registerkarte Kryptografische Konfiguration und im -XksKeyConfigurationElement der DescribeKey Antwort angezeigt.
Der Abschnitt External key (Externer Schlüssel) wird in der AWS KMS-Konsole nur für KMS-Schlüssel in externen Schlüsselspeichern angezeigt. Er enthält Informationen über den externen Schlüssel, der dem KMS-Schlüssel zugeordnet ist. Der externe Schlüssel ist ein kryptografischer Schlüssel außerhalb von AWS, der als Schlüsselmaterial für den KMS-Schlüssel im externen Schlüsselspeicher dient. Wenn Sie mit dem KMS-Schlüssel verschlüsseln oder entschlüsseln, wird der Vorgang von Ihrem externen Schlüsselmanager unter Verwendung des angegebenen externen Schlüssels ausgeführt.
Die folgenden Werte werden im Abschnitt External key (Externer Schlüssel) angezeigt.
- ID des externen Schlüssels
-
Die Kennung für den externen Schlüssel in seinem externen Schlüsselmanager. Diesen Wert verwendet der Proxy des externen Schlüsselspeichers, um den externen Schlüssel zu identifizieren. Sie geben die ID des externen Schlüssels an, wenn Sie den KMS-Schlüssel erstellen. Sie kann danach nicht mehr geändert werden. Wenn sich der Wert der ID des externen Schlüssels, den Sie zur Erstellung des KMS-Schlüssels verwendet haben, ändert oder ungültig wird, müssen Sie die Löschung des KMS-Schlüssel planen und einen neuen KMS-Schlüssel mit dem korrekten Wert der ID des externen Schlüssels erstellen.
Anzeigen von KMS-Schlüsseln in einem externen Schlüsselspeicher (Konsole)
Zeigen Sie die KMS-Schlüssel in einem externen Schlüsselspeicher (Konsole) wie folgt an:
-
Öffnen Sie die AWS KMS-Konsole unter https://console.aws.amazon.com/kms
. -
Um die AWS-Region zu ändern, verwenden Sie die Regionenauswahl in der oberen rechten Ecke der Seite.
-
Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.
-
Zur Identifizierung der KMS-Schlüssel in Ihrem externen Schlüsselspeicher fügen Sie Ihrer Schlüsseltabelle die Felder Origin (Ursprung) und Custom key store ID (Benutzerdefinierte Schlüsselspeicher-ID) hinzu. KMS-Schlüssel in einem externen Schlüsselspeicher haben den Ursprungswert External key store (Externer Schlüsselspeicher).
Wählen Sie oben rechts das Zahnradsymbol und dann Origin (Ursprung) aus. Wählen Sie anschließend Custom key store (Benutzerdefinierte Schlüsselspeicher-ID) und dann Confirm (Bestätigen) aus.
-
Wählen Sie den Alias oder die Schlüssel-ID eines KMS-Schlüssels in einem externen Schlüsselspeicher aus.
-
Zum Anzeigen der spezifischen Eigenschaften von KMS-Schlüsseln in einem externen Schlüsselspeicher wählen Sie die Registerkarte Cryptographic configuration (Kryptografische Konfiguration) aus. Spezielle Werte für KMS-Schlüssel in einem externen Schlüsselspeicher werden in den Abschnitten Custom key store (Benutzerdefinierter Schlüsselspeicher) und External key (Externer Schlüsselspeicher) angezeigt.
Anzeigen von KMS-Schlüsseln in einem externen Schlüsselspeicher (AWS KMS-API)
Zeigen Sie die KMS-Schlüssel in einem externen Schlüsselspeicher (-API) wie folgt an:
Sie verwenden dieselben AWS KMS API-Operationen, um die KMS-Schlüssel in einem externen Schlüsselspeicher anzuzeigen, die Sie für jeden KMS-Schlüssel verwenden würden, einschließlich ListKeysDescribeKey, und GetKeyPolicy. Der folgende describe-key-Vorgang in der AWS CLI zeigt zum Beispiel die speziellen Felder für einen KMS-Schlüssel in einem externen Schlüsselspeicher an. Vor der Ausführung eines Befehls wie diesem müssen Sie die ID des Beispiel-KMS-Schlüssels durch einen gültigen Wert ersetzen.
$aws kms describe-key --key-id1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyMetadata": { "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "CreationDate": "2022-12-02T07:48:55-07:00", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "CustomKeyStoreId": "cks-1234567890abcdef0", "Description": "", "Enabled": true, "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "MultiRegion": false, "Origin": "EXTERNAL_KEY_STORE", "XksKeyConfiguration": { "Id": "bb8562717f809024" } } }
