识别非对称 KMS 密钥 - AWS Key Management Service
在 KMS 密钥表中查找密钥类型在详细信息页面上查找密钥类型使用 AWS KMS API 查找密钥规范

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

识别非对称 KMS 密钥

要确定特定 KMS 密钥是非对称 KMS 密钥,请查找密钥类型密钥规范。可以使用 AWS KMS 控制台或 AWS KMS API。

其中一些方法还将向您显示 KMS 密钥的加密配置的其他方面,包括密钥用法以及 KMS 密钥支持的加密或签名算法。您可以查看现有 KMS 密钥的加密配置,但无法更改该配置。

有关查看 KMS 密钥的一般信息,包括排序、筛选和选择在控制台中显示的列,请参阅 在控制台中查看 KMS 密钥

在 KMS 密钥表中查找密钥类型

在 AWS KMS 控制台中,Key type(密钥类型)列显示每个 KMS 密钥是对称还是非对称 KMS 密钥。您可以将 Key type(密钥类型)列添加到控制台中 Customer managed keys(客户托管式密钥)或 AWS 托管式密钥 页面上的 KMS 密钥表中。

要识别您的 KMS 密钥表中的对称和非对称 KMS 密钥,请使用以下过程。

  1. https://console.aws.amazon.com/kms 打开 AWS KMS 控制台。

  2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

  3. 要查看您账户中自己所创建和管理的密钥,请在导航窗格中选择 Customer managed keys (客户托管密钥)。要查看您账户中 AWS 为您所创建和管理的密钥,请在导航窗格中选择 AWS managed keys(Amazon 托管式密钥)。

  4. Key type(密钥类型)列显示每个 KMS 密钥是对称还是非对称 KMS 密钥。您还可以按 Key type(密钥类型)值进行排序和筛选

    如果您的 KMS 密钥表中未显示 Key type(密钥类型)列,请选择页面右上角的齿轮图标,选择 Key type(密钥类型),然后选择 Confirm(确认)。您还可以添加 Key spec (密钥规范)Key usage (密钥用途) 列。

    KMS 密钥表中的 Key type(密钥类型)列

在详细信息页面上查找密钥类型

在 AWS KMS 控制台中,每个 KMS 密钥的详细信息页面都包含一个 Cryptographic Configuration(加密配置)选项卡,该选项卡显示密钥类型(对称或非对称)以及有关 KMS 密钥的其他加密详细信息。

要在 KMS 密钥的详细信息页面上识别对称和非对称 KMS 密钥,请使用以下过程。

  1. https://console.aws.amazon.com/kms 打开 AWS KMS 控制台。

  2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

  3. 要查看您账户中自己所创建和管理的密钥,请在导航窗格中选择 Customer managed keys (客户托管密钥)。要查看您账户中 AWS 为您所创建和管理的密钥,请在导航窗格中选择 AWS managed keys(Amazon 托管式密钥)。

  4. 选择 KMS 密钥的别名和密钥 ID。

  5. 选择 Cryptographic configuration(加密配置)选项卡。这些选项卡在 General configuration(常规配置)部分下。

    Cryptographic configuration(加密配置)选项卡显示 Key Type(密钥类型),用于指示密钥是对称还是非对称。其中还显示有关 KMS 密钥的其他详细信息,包括 Key Usage(密钥用法),密钥用法指明 KMS 密钥可用于加密和解密还是签名和验证。对于非对称 KMS 密钥,其中显示 KMS 密钥支持的加密算法或签名算法。

    例如,以下是对称加密 KMS 密钥的示例 Cryptographic configuration(加密配置)选项卡。

    对称加密 KMS 密钥的 Cryptographic configuration(加密配置)选项卡

    下面是一个用于签名和验证的非对称 RSA KMS 密钥的示例 Cryptographic configuration(加密配置)选项卡。

    非对称 KMS 密钥的 Cryptographic configuration(加密配置)选项卡

使用 AWS KMS API 查找密钥规范

要确定 KMS 密钥是对称的还是非对称的,请使用操作。DescribeKey响应中的 KeySpec 字段包含 KMS 密钥的密钥规范。对于对称加密 KMS 密钥,KeySpec 的值为 SYMMETRIC_DEFAULT。其他值都指明是非对称 KMS 密钥或 HMAC KMS 密钥。

注意

CustomerMasterKeySpec 成员已弃用。请改用KeySpec。为了防止破坏性的更改,DescribeKey 响应包括具有相同值的 KeySpecCustomerMasterKeySpec 成员。

例如,对于对称加密 KMS 密钥,DescribeKey 返回以下响应。KeySpec 值为 SYMMETRIC_DEFAULT

{
  "KeyMetadata": {
    "AWSAccountId": "111122223333",
    "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
    "CreationDate": 1496966810.831,
    "Enabled": true,
    "Description": "",
    "KeyState": "Enabled",
    "Origin": "AWS_KMS",
    "KeyManager": "CUSTOMER",
    "MultiRegion": false,
    "KeySpec": "SYMMETRIC_DEFAULT",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "KeyUsage": "ENCRYPT_DECRYPT",
    "EncryptionAlgorithms": [
        "SYMMETRIC_DEFAULT"
    ]
  }
}

用于签名和验证的非对称 RSA KMS 密钥的 DescribeKey 响应与此示例相似。KeySpec 值为 RSA_2048KeyUsageSIGN_VERIFYSigningAlgorithms 元素列出 KMS 密钥的有效签名算法。

{
  "KeyMetadata": {
    "AWSAccountId": "111122223333",
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "CreationDate": 1571767572.317,
    "CustomerMasterKeySpec": "RSA_2048",
    "Enabled": false,
    "Description": "",
    "KeyState": "Disabled",
    "Origin": "AWS_KMS",
    "MultiRegion": false,
    "KeyManager": "CUSTOMER",
    "KeySpec": "RSA_2048",
    "KeyUsage": "SIGN_VERIFY",
    "SigningAlgorithms": [
        "RSASSA_PKCS1_V1_5_SHA_256",
        "RSASSA_PKCS1_V1_5_SHA_384",
        "RSASSA_PKCS1_V1_5_SHA_512",
        "RSASSA_PSS_SHA_256",
        "RSASSA_PSS_SHA_384",
        "RSASSA_PSS_SHA_512"
    ]
  }
}