本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
访问和列出KMS密钥详情
您可以使用AWS KMS 控制台
以下过程演示如何访问KMS密钥详细信息,例如密钥 ID、密钥规范、密钥用法等。
每个KMS密钥的详细信息页面显示该KMS密钥的属性。对于不同类型的KMS密钥,它略有不同。
要显示有关KMS密钥的详细信息,请在AWS 托管式密钥 或客户管理的密钥页面上,选择密钥的别名或KMS密钥 ID。
KMS密钥的详细信息页面包括显示密KMS钥基本属性的常规配置部分。它还包括一些选项卡,您可以在这些选项卡上查看和编辑KMS密钥的属性,例如密钥策略、加密配置、标签、密钥材料(适用于导入密钥材料的KMS密钥)、密钥轮换(适用于对称加密KMS密钥)、区域性(对于多区域密钥)和公钥(对于非对称密钥)。KMS
注意
AWS KMS 控制台会在您的账户和区域中显示您有权查看的KMS密钥。KMS即使您有权查看、管理和使用 other 中的密钥,它们也不会出现在控制台中。 AWS 账户 要查看其他账户中的KMS密钥,请使用DescribeKey操作。
导航到密钥的密钥详细信息页面。KMS
-
登录 AWS Management Console 并在 https://console.aws.amazon.com/km
s 处打开 AWS Key Management Service (AWS KMS) 控制台。 -
要更改 AWS 区域,请使用页面右上角的区域选择器。
-
要查看您账户中自己所创建和管理的密钥,请在导航窗格中选择 Customer managed keys (客户托管密钥)。要查看您的账户中为您 AWS 创建和管理的密钥,请在导航窗格中选择AWS 托管密钥。
-
要打开密钥详细信息页面,请在密钥表中选择密钥的密钥 ID 或别名。KMS
如果KMS密钥有多个别名,则在其中一个别名的名称旁边会显示别名摘要(+ n 个)。选择别名摘要将直接进入密钥详细信息页面上的 Aliases(别名)选项卡中。
以下列表描述了详细显示部分中的字段,包括选项卡中的字段。其中某些字段也在表格显示部分中以列的形式出现。
- 别名
-
位置:Aliases(别名)选项卡
KMS密钥的友好名称。您可以使用别名在控制台和某些控制台中识别KMS密钥 AWS KMS APIs。有关详细信息,请参阅中的别名 AWS KMS。
“别名” 选项卡显示 AWS 账户 和区域中与KMS密钥关联的所有别名。
- ARN
-
位置:General configuration(常规配置)部分
KMS密钥的亚马逊资源名称 (ARN)。此值唯一标识KMS密钥。你可以用它来识别 AWS KMS API操作中的KMS密钥。
- 连接状态
-
表示自定义密钥存储是否已连接到其备用密钥存储。只有在自定义密钥库中创建KMS密钥时,才会显示此字段。
有关此字段中值的信息,请参阅 “AWS KMS API参考” ConnectionState中的。
- 创建日期
-
位置:General configuration(常规配置)部分
KMS密钥的创建日期和时间。此值显示为设备的本地时间。时区不依赖于区域。
与过期不同,创建仅指KMS密钥,而不是其密钥材料。
- 云HSM集群 ID
-
位置:Cryptographic configuration(加密配置)选项卡
包含密钥密钥材料的 AWS CloudHSM 集群的 KMS ID。只有在自定义密钥库中创建KMS密钥时,才会显示此字段。
如果您选择 Cloud HSM 集群 ID,它将在 AWS CloudHSM 控制台中打开集群页面。
- 自定义密钥存储 ID
-
位置:Cryptographic configuration(加密配置)选项卡
包含密钥的自定义密钥库的 KMS ID。只有在自定义密钥库中创建KMS密钥时,才会显示此字段。
如果您选择自定义密钥库 ID,它将在 AWS KMS 控制台中打开自定义密钥存储页面。
- 自定义密钥存储名称
-
位置:Cryptographic configuration(加密配置)选项卡
包含密钥的自定义密钥库的KMS名称。只有在自定义密钥库中创建KMS密钥时,才会显示此字段。
- 自定义密钥存储类型
-
位置:Cryptographic configuration(加密配置)选项卡
指示自定义密钥存储是 AWS CloudHSM 密钥存储,还是外部密钥存储。只有在自定义密钥库中创建KMS密钥时,才会显示此字段。
- 描述
-
位置:General configuration(常规配置)部分
对KMS密钥的简短可选描述,您可以编写和编辑该密钥。要添加或更新客户托管密钥的描述,请选择 General Configuration(常规配置)上方的 Edit(编辑)。
- 加密算法
-
位置:Cryptographic configuration(加密配置)选项卡
列出可用于中的密KMS钥的加密算法 AWS KMS。仅当 Key type (密钥类型) 为 Asymmetric (对称) 且 Key usage (密钥用法) 为 Encrypt and decrypt (加密和解密) 时,此字段才会显示。有关 AWS KMS 支持的加密算法的信息,请参阅SYMMETRIC_ DEFAULT 密钥规格和RSA加密和解密的关键规格。
- 到期日期
-
位置:Key material(密钥材料)选项卡
密钥的密钥材料到期的KMS日期和时间。此字段仅适用于已导入KMS密钥材料的密钥,也就是说,当 Origin 为外部且KMS密钥的密钥材料已过期时。
- 外部密钥 ID
-
位置:Cryptographic configuration(加密配置)选项卡
- 外部密钥状态
-
位置:Cryptographic configuration(加密配置)选项卡
外部密钥存储代理报告的与密钥关联的外部密钥的最新状态。KMS此字段仅适用于外部KMS密钥存储库中的密钥。
- 外部密钥用途
-
位置:Cryptographic configuration(加密配置)选项卡
在与密钥关联的外部密钥上启用的加密操作。KMS此字段仅适用于外部KMS密钥存储库中的密钥。
- 密钥策略
-
位置:Key policy(密钥策略)选项卡
控制对KMS密钥的访问权限以及IAM策略和授权。每个KMS密钥都有一个密钥策略。它是唯一的强制性授权元素。要更改客户托管密钥的密钥策略,请在 Key policy(密钥策略)选项卡上选择 Edit(编辑)。有关详细信息,请参阅中的关键政策 AWS KMS。
- 密钥轮换
-
位置:Key rotation(密钥轮换)选项卡
启用和禁用客户管理KMS的密钥中密钥材料的自动轮换。要更改客户托管式密钥的密钥轮换状态,请使用 Key rotation(密钥轮换)选项卡上的复选框。
您无法启用或禁用 AWS 托管式密钥 中的密钥材料轮换。 AWS 托管式密钥 每年自动轮换一次。
- 密钥规范
-
位置:Cryptographic configuration(加密配置)选项卡
密钥中密钥材料的KMS类型。 AWS KMS 支持对称加密KMS密钥 (SYMMETRIC_DEFAULT)、不同长度的HMACKMS密KMS钥、不同长度的RSA密钥以及具有不同曲线的椭圆曲线密钥。有关详细信息,请参阅Key spec。
- 密钥类型
-
位置:Cryptographic configuration(加密配置)选项卡
表示KMS密钥是对称还是非对称。
- 密钥用法
-
位置:Cryptographic configuration(加密配置)选项卡
表示KMS密钥是否可用于加密和解密、签名和验证或生成并验证。MAC有关详细信息,请参阅Key usage。
- Origin
-
位置:Cryptographic configuration(加密配置)选项卡
密钥的密钥材料来源。KMS有效值为:
-
AWS KMS,针对 AWS KMS 生成的密钥材料
-
AWS CloudHSM用于KMS密钥库中的AWS CloudHSM 密钥
-
外部用于导入的密钥材料 (BYOK)
-
外部密钥存储库中KMS密钥的外部密钥存储
-
- MAC算法
-
位置:Cryptographic configuration(加密配置)选项卡
列出可与HMACKMS密钥配合使用的MAC算法 AWS KMS。仅当密钥规范为密钥规范 (HMAC_*) 时,HMAC才会显示此字段。有关 AWS KMS 支持的MAC算法的信息,请参阅钥匙的HMACKMS关键规格。
- 主键
-
位置:Regionality(区域性)选项卡
表示此KMS密钥是多区域主键。授权用户可以使用此部分将主键更改为另一个相关的多区域密钥。仅当密钥为多区域主KMS键时,才会显示此字段。
- 公有密钥
-
位置:Public key(公有密钥)选项卡
显示非对称密钥的公KMS钥。经授权的用户可以使用此选项卡复制和下载公有密钥。
- 区域性
-
位置:General configuration(常规配置)部分和 Regionality(区域性)选项卡
表示KMS密钥是单区域密钥、多区域主键还是多区域副本密钥。仅当密钥为多区域KMS密钥时,才会显示此字段。
- 相关的多区域密钥
-
位置:Regionality(区域性)选项卡
显示除当前密钥之外的所有相关的多区域主密钥和副本KMS密钥。仅当密钥为多区域KMS密钥时,才会显示此字段。
在主键的相关的多区域密钥部分,授权用户可以创建新的副本密钥。
- 副本密钥
-
位置:Regionality(区域性)选项卡
表示此KMS密钥是多区域副本密钥。仅当密钥为多区域副本KMS密钥时,才会显示此字段。
- 签名算法
-
位置:Cryptographic configuration(加密配置)选项卡
列出可用于中的KMS密钥的签名算法 AWS KMS。仅当 Key type (密钥类型) 为 Asymmetric (对称) 且 Key usage (密钥用法) 为 Sign and verify (签名和验证) 时,此字段才会显示。有关 AWS KMS 支持的签名算法的信息,请参阅RSA签名和验证的关键规格和椭圆曲线密钥规范。
- Status
-
位置:General configuration(常规配置)部分
密钥的密KMS钥状态。只有当状态为 “已启用” 时,您才能在加密操作中使用该KMS密钥。有关每种KMS密钥状态及其对您可在密KMS钥上运行的操作的影响的详细说明,请参阅密 AWS KMS 钥的关键状态。
- 标签
-
位置:Tags(标签)选项卡
描述密钥的可选键值对。KMS要添加或更改KMS密钥的标签,请在标签选项卡上选择编辑。
向 AWS 资源添加标签时, AWS 会生成一份成本分配报告,其中包含按标签汇总的使用量和成本。标签还可用于控制对KMS密钥的访问。有关为KMS密钥添加标签的信息,请参见标签在 AWS KMS和。ABAC对于 AWS KMS
该DescribeKey操作返回有关指定KMS密钥的详细信息。要识别KMS密钥,请使用密钥 ID、密钥ARN、别名或别名ARN。
与仅显示来电者账户和区域KMS密钥的ListKeys操作不同,授权用户可以使用该DescribeKey操作来获取有关其他账户中KMS密钥的详细信息。
注意
DescribeKey 响应包括具有相同值的两个 KeySpec 和 CustomerMasterKeySpec 成员。CustomerMasterKeySpec 成员已弃用。
例如,此调用DescribeKey返回有关对称加密KMS密钥的信息。响应中的字段因 AWS KMS key 规范、密钥状态和密钥材料来源而异。有关使用多种编程语言的示例,请参阅与 AWS SDK或DescribeKey一起使用 CLI。
$aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "Enabled": true, "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1499988169.234, "MultiRegion": false, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }
此示例对用于签名和验证的非对称KMS密钥进行DescribeKey操作。响应包括 AWS KMS 支持此KMS密钥的签名算法。
$aws kms describe-key --key-id 0987dcba-09fe-87dc-65ba-ab0987654321{ "KeyMetadata": { "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "Origin": "AWS_KMS", "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "KeyState": "Enabled", "KeyUsage": "SIGN_VERIFY", "CreationDate": 1569973196.214, "Description": "", "KeySpec": "ECC_NIST_P521", "CustomerMasterKeySpec": "ECC_NIST_P521", "AWSAccountId": "111122223333", "Enabled": true, "MultiRegion": false, "KeyManager": "CUSTOMER", "SigningAlgorithms": [ "ECDSA_SHA_512" ] } }
