识别不同的密钥类型 - AWS Key Management Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

识别不同的密钥类型

以下主题介绍如何识别 AWS KMS 控制台中的不同密钥类型和 DescribeKey 响应。

有关导航到 KMS 密钥详细信息页面上的加密配置选项卡的帮助,请参阅访问并列出 KMS 密钥详细信息

识别非对称 KMS 密钥

在 AWS KMS 控制台中

客户托管密钥表的密钥类型列显示每个 KMS 密钥是对称还是非对称 KMS 密钥。您可以按密钥类型值筛选表,以仅显示非对称 KMS 密钥。有关更多信息,请参阅对您的 KMS 密钥进行排序和筛选

KMS 密钥详细信息页面的加密配置选项卡显示密钥类型,用于指示密钥是对称还是非对称。它还会显示密钥用法,指示您的非对称 KMS 密钥是用于加密和解密、签名和验证,还是派生共享密钥。

在 DescribeKey 响应中

当您对非对称 KMS 密钥调用 DescribeKey 操作时,响应包括 KeySpecKeyUsage 值,这些值可用于确定 KMS 密钥是对称还是非对称 KMS 密钥。

如果 KeySpec 值为 SYMMETRIC_DEFAULT,则密钥是对称加密 KMS 密钥。有关非对称密钥规范的详细信息,请参阅密钥规范引用

如果 KeyUsage 值为 SIGN_VERIFYKEY_AGREEMENT,则密钥为非对称 KMS 密钥。

对于非对称 KMS 密钥,DescribeKey 操作还会返回以下详细信息。

  • 对于 KeyUsage 值为 ENCRYPT_DECRYPT 的非对称 KMS 密钥,该操作将返回 EncryptionAlgorithms,其中列出了该密钥的有效加密算法。

  • 对于 KeyUsage 值为 SIGN_VERIFY 的非对称 KMS 密钥,该操作将返回 SigningAlgorithms,其中列出了该密钥的有效签名算法。

  • 对于 KeyUsage 值为 KEY_AGREEMENT 的非对称 KMS 密钥,该操作将返回 KeyAgreementAlgorithms,其中列出了该密钥的有效密钥协议算法。

有关非对称 KMS 密钥的更多信息,请参阅AWS KMS 中的非对称密钥

识别 HMAC KMS 密钥

在 AWS KMS 控制台中

HMAC KMS 密钥包含在客户托管密钥表中,但您无法按标识 HMAC 密钥的密钥规格或密钥用法值对该表进行排序或筛选。为了更轻松地查找 HMAC 密钥,为其分配独特的别名或标签。然后,您可以按别名或标签进行排序或筛选。

KMS 密钥详细信息页面的加密配置选项卡显示密钥类型,用于指示密钥是对称还是非对称。HMAC KMS 密钥是对称密钥。加密配置选项卡还显示密钥用法。对于 HMAC KMS 密钥,密钥用法值始终为生成并验证 MAC

在 DescribeKey 响应中

对 HMAC KMS 密钥调用 DescribeKey 操作时,响应将包括 KeySpecKeyUsage 值。对于 HMAC KMS 密钥,密钥用法值始终为 GENERATE_VERIFY_MAC,密钥规范值始终以 HMAC_ 开头。

有关 HMAC KMS 密钥的更多信息,请参阅 AWS KMS 中的 HMAC 密钥

识别多区域 KMS 密钥

在 AWS KMS 控制台中

客户托管密钥表仅显示所选区域中的 KMS 密钥。您可以查看所选区域中的多区域主密钥和副本密钥。要更改 AWS 区域,请使用控制台右上角的区域选择器。

为了更轻松地识别客户托管密钥表中的多区域密钥,请在表中添加区域性列。有关帮助信息,请参阅 自定义您的 KMS 密钥表

多区域 KMS 密钥的详细信息页面包含区域性选项卡。主密钥的 Regionality(区域性)选项卡包括 Change primary Region(更改主区域)和 Create new replica keys(创建新的副本密钥)按钮。(副本密钥的 Regionality(区域性)选项卡没有任何按钮。) Related multi-Region keys(相关的多区域密钥)部分列出了与当前密钥相关的所有多区域密钥。如果当前密钥是副本密钥,则此列表将包括主密钥。

如果您从相关的多区域密钥表中选择相关的多区域密钥,AWS KMS 控制台更改为所选密钥的区域,并打开密钥的详细信息页面。例如,如果您从下面的示例 Related multi-Region keys(相关多区域密钥)部分中选择 sa-east-1 区域中的副本密钥,AWS KMS 控制台将更改为 sa-east-1 区域,以显示该副本密钥的详细信息页面。您可以执行此操作来查看副本密钥的别名或密钥策略。要再次更改区域,请使用页面右上角的 Region selector(区域选择器)。

在 DescribeKey 响应中

默认情况下,AWS KMS API 操作是区域性的,仅返回当前或指定区域中的资源。但是,当您对多区域 KMS 密钥调用 DescribeKey 操作时,响应将包括在 MultiRegionConfiguration 元素中返回其他 AWS 区域中的所有相关多区域密钥。

有关多区域 KMS 密钥的更多信息,请参阅 AWS KMS 中的多区域密钥

识别带导入的密钥材料的 KMS 密钥

在 AWS KMS 控制台中

为了更轻松地识别客户托管密钥表中带导入的密钥材料的 KMS 密钥,请在表中添加列。“源”列可让您轻松标识具有外部(导入密钥材料)源属性值的 KMS 密钥。有关帮助信息,请参阅 自定义您的 KMS 密钥表

KMS 密钥详细信息页面上的加密配置选项卡显示了,标识 KMS 密钥的密钥材料的来源。对于带导入密钥材料的 KMS 密钥,源值始终为外部(导入密钥材料)。详细信息页面还包括密钥材料选项卡,该选项卡提供有关导入的密钥材料的详细信息。密钥材料选项卡仅显示在具有导入密钥材料的 KMS 密钥的详细信息页面上。

在 DescribeKey 响应中

对带导入的密钥材料的 KMS 密钥调用 DescribeKey 操作时,响应将包括 OriginExpirationModelValidTo 值。对于带导入密钥材料的 KMS 密钥,源值始终为 EXTERNALExpirationModel 值指示密钥材料是否设置为过期,ValidTo 值指示密钥材料何时过期。有关更多信息,请参阅 设置过期时间(可选)

有关带导入的密钥材料的 KMS 密钥的更多信息,请参阅 导入密钥的 AWS KMS 密钥材料

识别 AWS CloudHSM 密钥存储中的 KMS 密钥

在 AWS KMS 控制台中

为了更轻松地识别客户托管密钥表中 AWS CloudHSM 密钥存储中的 KMS 密钥,请在表中添加列。Origin(源)列可让您轻松标识带 AWS CloudHSM 源属性值的 KMS 密钥。有关帮助信息,请参阅 自定义您的 KMS 密钥表

KMS 密钥详细信息页面上的加密配置选项卡显示了,标识 KMS 密钥的密钥材料的来源。对于 AWS CloudHSM 密钥存储中的 KMS 密钥,源值始终为 AWS CloudHSM

对于 AWS CloudHSM 密钥存储中的 KMS 密钥,加密配置选项卡包括一个额外的部分,自定义密钥存储,该部分提供与 KMS 密钥关联的 AWS CloudHSM 密钥存储和 AWS CloudHSM 集群的信息。

在 DescribeKey 响应中

对 AWS CloudHSM 密钥存储中的 KMS 密钥调用 DescribeKey 操作时,响应将包括 Origin,其将标识密钥材料来源。对于 AWS CloudHSM 密钥存储中的 KMS 密钥,源值始终为 AWS_CLOUDHSM。该操作还会返回 AWS CloudHSM 密钥存储中 KMS 密钥的以下特殊字段:

  • CloudHsmClusterId

  • CustomKeyStoreId

有关 AWS CloudHSM 密钥存储的更多信息,请参阅 AWS CloudHSM 密钥存储

识别外部密钥存储中的 KMS 密钥

在 AWS KMS 控制台中

为了更轻松地识别客户托管密钥表中外部密钥存储中的 KMS 密钥,请在表中添加列。列可让您轻松识别带外部密钥存储源属性值的 KMS 密钥。有关帮助信息,请参阅 自定义您的 KMS 密钥表

KMS 密钥详细信息页面上的加密配置选项卡显示了,标识 KMS 密钥的密钥材料的来源。对于外部密钥存储中的 KMS 密钥,源值均为外部密钥存储

对于外部密钥存储中的 KMS 密钥,加密配置选项卡包括另外两个部分:自定义密钥存储外部密钥自定义密钥存储表提供有关与 KMS 密钥关联的外部密钥存储的信息。外部密钥表显示在 AWS KMS 控制台中,仅适用于外部密钥存储中的 KMS 密钥。此部分提供有关与 KMS 密钥关联的外部密钥的信息。外部密钥是 AWS 外部的加密密钥,用作外部密钥存储中 KMS 密钥的密钥材料。使用 KMS 密钥加密或解密时,将由外部密钥管理器使用指定的外部密钥执行此操作。

以下值显示在 External key(外部密钥)部分中。

外部密钥 ID

外部密钥管理器中外部密钥的标识符。这是外部密钥存储代理用来识别外部密钥的值。外部密钥 ID 在您创建 KMS 密钥时指定,并且无法更改。如果您用于创建 KMS 密钥的外部密钥 ID 值更改或失效,则必须安排删除 KMS 密钥,并使用正确的外部密钥 ID 值创建新的 KMS 密钥

在 DescribeKey 响应中

对外部密钥存储中的 KMS 密钥调用 DescribeKey 操作时,响应将包括 Origin,其将标识密钥材料来源。对于 AWS CloudHSM 密钥存储中的 KMS 密钥,源值始终为 EXTERNAL_KEY_STORE。该操作还会返回 CustomKeyStoreId 元素,该元素标识与 KMS 密钥关联的外部密钥存储。

有关外部密钥存储的更多信息,请参阅 外部密钥存储