查看 KMS 密钥的加密配置

创建 KMS 密钥后，可以查看其加密配置。KMS 密钥配置在创建后无法更改。如果想采用不同配置，可删除 KMS 密钥并重新创建。

您可以在 AWS KMS 控制台中或通过使用 AWS KMS API，查找 KMS 密钥的加密配置，包括密钥规范、密钥用法以及支持的加密算法或签名算法。有关更多信息，请参阅 识别非对称 KMS 密钥。

在 AWS KMS 控制台中，每个 KMS 密钥的详细信息页面都包括 Cryptographic configuration（加密配置）选项卡，其中显示了有关 KMS 密钥的详细加密信息。例如，下图显示了用于签名和验证的 RSA KMS 密钥的 Cryptographic configuration（加密配置）选项卡。

某些特殊用途 KMS 密钥的 Cryptographic configuration（加密配置）选项卡还有其他专用部分。例如，自定义密钥存储中的 KMS 密钥的 Cryptographic configuration（加密配置）选项卡具有 Custom key stores（自定义密钥存储）部分。外部密钥存储中的 KMS 密钥的 Cryptographic configuration（加密配置）选项卡具有 External key（外部密钥）部分。

在 AWS KMS API 中，使用DescribeKey操作。响应中的 KeyMetadata 结构包括 KMS 密钥的加密配置。例如，对于用于签名和验证的 RSA KMS 密钥，DescribeKey 返回以下响应。

{
  "KeyMetadata": {

    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "AWSAccountId": "111122223333",
    "CreationDate": 1571767572.317,
    "CustomerMasterKeySpec": "RSA_2048",
    "Description": "",
    "Enabled": true,
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeyState": "Enabled",
    "MultiRegion": false, 
    "Origin": "AWS_KMS",
    "KeySpec": "RSA_2048",
    "KeyUsage": "SIGN_VERIFY",
    "SigningAlgorithms": [
        "RSASSA_PKCS1_V1_5_SHA_256",
        "RSASSA_PKCS1_V1_5_SHA_384",
        "RSASSA_PKCS1_V1_5_SHA_512",
        "RSASSA_PSS_SHA_256",
        "RSASSA_PSS_SHA_384",
        "RSASSA_PSS_SHA_512"
    ]
  }
}