识别对称 CMK 和非对称 CMK - AWS Key Management Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

识别对称 CMK 和非对称 CMK

要确定特定 CMK 是对称还是非对称 CMK,请查看其密钥类型密钥规范。您可以使用 AWS KMS 控制台或 AWS KMS API。

其中一些方法还将向您显示 CMK 的加密配置的其他方面,包括其密钥用途以及 CMK 支持的加密或签名算法。您可以查看现有 CMK 的加密配置,但无法更改该配置。

有关查看 CMK 的一般信息,包括排序、筛选和选择在控制台中显示的列,请参阅在控制台中查看 CMK

在 CMK 表中查找密钥类型

在 AWS KMS 控制台中,密钥类型列显示每个 CMK 是对称还是非对称 CMK。您可以将 Key type (密钥类型) 列添加到控制台中 Customer managed keys (客户托管密钥)AWS managed keys (AWS 托管密钥) 页面上的 CMK 表中。

要识别您的 CMK 表中的对称和非对称 CMK,请使用以下过程。

  1. https://console.aws.amazon.com/kms 打开 AWS KMS 控制台。

  2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

  3. 要查看您账户中自己所创建和管理的密钥,请在导航窗格中选择 Customer managed keys (客户托管密钥). 要查看 AWS 为您账户中自己创建和管理的密钥,请在导航窗格中,选择AWS 托管密钥

  4. Key type (密钥类型) 列显示每个 CMK 是对称还是非对称 CMK。您还可以排序和筛选通过密钥类型值。

    如果您的 CMK 表中未显示 Key type (密钥类型) 列,请选择页面右上角的齿轮图标,选择 Key type (密钥类型),然后选择 Confirm (确认)。您还可以添加 Key spec (密钥规范)Key usage (密钥用途) 列。

    
                        这些区域有:密钥类型CMK 表中的列

在详细信息页面上查找密钥类型

在 AWS KMS 控制台中,每个 CMK 的详细信息页面都包括加密配置选项卡,该选项卡显示密钥类型(对称或非对称)以及有关 CMK 的其他加密详细信息。

要在 CMK 的详细信息页面上识别对称和非对称 CMK,请使用以下过程。

  1. https://console.aws.amazon.com/kms 打开 AWS KMS 控制台。

  2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

  3. 要查看您账户中自己所创建和管理的密钥,请在导航窗格中选择 Customer managed keys (客户托管密钥). 要查看 AWS 为您账户中自己创建和管理的密钥,请在导航窗格中,选择AWS 托管密钥

  4. 选择 CMK 的别名和密钥 ID。

  5. 选择加密配置选项卡。这些选项卡位于常规配置部分.

    这些区域有:加密配置选项卡显示密钥类型,用于指示对称还是非对称。其中还显示有关 CMK 的其他详细信息,包括 Key Usage (密钥用途),密钥用途指明 CMK 可用于加密和解密还是签名和验证。对于非对称 CMK,其中显示 CMK 支持的加密算法或签名算法。

    例如,以下是一个示例加密配置选项卡,以获取对称 CMK。

    
                        这些区域有:加密配置对称 CMK 选项卡

    以下是示例加密配置选项卡,用于签名和验证的非对称 RSA CMK。

    
                        这些区域有:加密配置选项卡,用于非对称 CMK

使用 AWS KMS API 查找密钥规范

要确定某个 CMK 是对称还是非对称 CMK,请使用 DescribeKey 操作。响应中的 CustomerMasterKeySpec 字段包含 CMK 的密钥规范 。对于对称 CMK,CustomerMasterKeySpec 的值为 SYMMETRIC_DEFAULT。所有其他值都指明这是非对称 CMK。

例如,对于对称 CMK,DescribeKey 返回以下响应。这些区域有:CustomerMasterKeySpec值为SYMMETRIC_DEFAULT

{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1496966810.831, "Enabled": true, "Description": "", "KeyState": "Enabled", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }

用于签名和验证的非对称 RSA CMK 的 DescribeKey 响应与此示例相似。密钥规范,如 CustomerMasterKeySpec 中所示,值为 RSA_2048KeyUsageSIGN_VERIFYSigningAlgorithms 元素列出 CMK 的有效签名算法。

{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1571767572.317, "Enabled": false, "Description": "", "KeyState": "Disabled", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "RSA_2048", "KeyUsage": "SIGN_VERIFY", "SigningAlgorithms": [ "RSASSA_PKCS1_V1_5_SHA_256", "RSASSA_PKCS1_V1_5_SHA_384", "RSASSA_PKCS1_V1_5_SHA_512", "RSASSA_PSS_SHA_256", "RSASSA_PSS_SHA_384", "RSASSA_PSS_SHA_512" ] } }