在控制台中查看 KMS 密钥 - AWS Key Management Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在控制台中查看 KMS 密钥

在 AWS Management Console中,可以查看该账户和区域中的 KMS 密钥列表以及每个 KMS 密钥的详细信息。

注意

AWS KMS 控制台会显示您在自己的账户和区域中拥有查看权限的 KMS 密钥。其他 AWS 账户中的 KMS 密钥不会在控制台中显示,即使您拥有查看、管理和使用权限。要查看其他账户中的 KMS 密钥,请使用DescribeKey操作。

导航到密钥表

表中显示了每个账户和区域中的 AWS KMS keys。您创建的 KMS 密钥和 AWS 服务为您创建的 KMS 密钥,分别列在不同表中。

  1. 登录到 AWS Management Console,然后通过以下网址打开 AWS Key Management Service (AWS KMS) 控制台:https://console.aws.amazon.com/kms

  2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

  3. 要查看您账户中自己所创建和管理的密钥,请在导航窗格中选择 Customer managed keys (客户托管密钥)。要查看您账户中 AWS 为您所创建和管理的密钥,请在导航窗格中选择 AWS managed keys(Amazon 托管式密钥)。有关不同类型的 KMS 密钥的信息,请参阅 AWS KMS keys

    提示

    要查看缺少别名的 AWS 托管式密钥,请使用 Customer managed keys(客户托管密钥)页面。

    AWS KMS 控制台还显示了帐户和区域中的自定义密钥存储。您在自定义密钥存储中创建的 KMS 密钥显示在 Customer managed keys(客户托管密钥)页面上。有关自定义密钥存储的信息,请参阅自定义密钥存储

导航到密钥详细信息

账户和区域中的每个 AWS KMS key 都有一个详细信息页面。详细信息页面显示 KMS 密钥的常规配置部分,并包含允许授权用户查看和管理密钥的加密配置密钥策略的选项卡。根据密钥类型,详细信息页面还可能包括 Aliases(别名)、Key material(密钥材料)、Key rotation(密钥轮换)、Public key(公有密钥)、Regionality(区域性)和 Tags(标签)选项卡。

要导航至 KMS 密钥的密钥详细信息页。

  1. 登录到 AWS Management Console,然后通过以下网址打开 AWS Key Management Service (AWS KMS) 控制台:https://console.aws.amazon.com/kms

  2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

  3. 要查看您账户中自己所创建和管理的密钥,请在导航窗格中选择 Customer managed keys (客户托管密钥)。要查看您账户中 AWS 为您所创建和管理的密钥,请在导航窗格中选择 AWS managed keys(Amazon 托管式密钥)。有关不同类型的 KMS 密钥的信息,请参阅 AWS KMS key

  4. 要打开密钥详细信息页面,请在密钥表中,选择 KMS 密钥的密钥 ID 或别名。

    如果 KMS 密钥有多个别名,别名摘要(再加 n)将在其中一个别名的旁边显示。选择别名摘要将直接进入密钥详细信息页面上的 Aliases(别名)选项卡中。

对您的 KMS 密钥进行排序和筛选

为了更轻松地在控制台中查找 KMS 密钥,可以对密钥表进行排序和筛选。

排序

您可以按照升序或降序,对 KMS 密钥的列值进行排序。此功能会对表中的所有 KMS 密钥进行排序,即使 KMS 密钥未显示在当前表页上。

可排序的列由列名称旁边的箭头指示。在 AWS 托管式密钥 页面上,您可以按 Aliases(别名)或 Key ID(密钥 ID)排序。在 Customer managed keys(客户托管密钥)页面上,可以按 Aliases(别名)、Key ID(密钥 ID)或 Key type(密钥类型)进行排序。

要按升序排列,请选择列标题,直至箭头向上。要按降序排列,请选择列标题,直至箭头向下。一次只能按一列排序。

例如,可以按照密钥 ID 的升序对 KMS 密钥进行排序(而不是默认设置的别名)。

当您在 Customer managed keys(客户托管密钥)页面上按 Key type(密钥类型)以升序对 KMS 密钥进行排序时,所有非对称密钥都显示在所有对称密钥之前。

筛选条件

您可以按照 KMS 密钥的属性值或标签筛选 KMS 密钥。筛选条件将应用于表中的所有的 KMS 密钥,即使 KMS 密钥未显示在当前表页上。筛选不区分大小写。

筛选框中列出了可筛选的属性。在 AWS 托管式密钥 页面上,可以按别名和密钥 ID 进行筛选。在 Customer managed keys(客户托管密钥)页面上,可以按别名、密钥 ID、密钥类型属性和标签进行筛选。

  • AWS 托管式密钥 页面上,可以按别名和密钥 ID 进行筛选。

  • Customer managed keys(客户托管密钥)页面上,可以按标签、别名、密钥 ID、密钥类型和区域性属性进行筛选。

要按属性值进行筛选,请选择筛选条件、属性名称,然后从实际属性值的列表中进行选择。要按标签进行筛选,请选择标签键,然后从实际标签值列表中进行选择。选择属性或标签键后,还可以键入全部或部分属性值或标签值。在做出选择之前,将看到结果的预览。

例如,要显示别名名称中包含 aws/e 的 KMS 密钥,请选择筛选框,选择 Alias(别名),键入 aws/e,然后按 EnterReturn 添加筛选条件。

要在 Customer managed keys(客户托管密钥)页面上仅显示非对称 KMS 密钥,请单击筛选条件框,选择 Key type(密钥类型),然后选择 Key type: Asymmetric(密钥类型:非对称)。仅当您在表中具有非对称 KMS 密钥时,才会显示 Asymmetric(非对称)选项。有关识别非对称 KMS 密钥的更多信息,请参阅 识别非对称 KMS 密钥

要仅显示多区域密钥,请在 Customer managed keys(客户托管密钥)页面上,选择筛选框,选择 Regionality(区域性),然后选择 Regionality: Multi-Region(区域性:多区域)。Multi-Region(多区域)选项仅当您在表中具有多区域密钥时才会显示。有关识别多区域密钥的更多信息,请参阅 查看多区域密钥

标签筛选有点不同。要仅显示具有特定标签的 KMS 密钥,请选择筛选框,选择标签键,然后从实际标签值中进行选择。还可以键入全部或部分标签值。

生成的表格将显示带有所选标签的所有 KMS 密钥。但是,它不显示标签。要查看标签,请选择 KMS 密钥的密钥 ID 或别名,然后在其详细信息页面上选择 Tags(标签)选项卡。别名显示在 General configuration(常规配置)部分下。

此筛选条件同时需要标签键和标签值。它不会通过仅键入标签键或仅键入标签值来找到 KMS 密钥。要按全部或部分标签键或值筛选标签,请使用ListResourceTags操作获取带标签的 KMS 密钥,然后使用您的编程语言的筛选功能。有关示例,请参阅ListResourceTags: 获取 KMS 密钥上的标签

要搜索文本,请在筛选框中键入全部或部分别名、密钥 ID、密钥类型或标签键。(选择标签键后,您可以搜索标签值)。在做出选择之前,将看到结果的预览。

例如,要显示其标签键或可筛选属性中有 test 的 KMS 密钥,请在筛选框中键入 test。预览会显示筛选条件将选择的 KMS 密钥。在这种情况下,test 仅显示在别名属性中。

您可以同时使用多个筛选条件。添加其他筛选条件时,还可以选择逻辑运算符。

显示 KMS 密钥详细信息

每个 KMS 密钥的详细信息页面均显示 KMS 密钥的属性。该页面会因 KMS 密钥类型而略有不同。

要显示有关 KMS 密钥的详细信息,请在 AWS 托管式密钥 Customer managed keys(客户托管密钥)页面上,选择 KMS 密钥的别名或密钥 ID。

KMS 密钥的详细信息页面中包括 General Configuration(常规配置)部分,其中显示 KMS 密钥的基本属性。它还包括可以查看和编辑 KMS 密钥属性的选项卡,例如密钥策略加密配置标签密钥材料(对于带有导入密钥材料的 KMS 密钥)、密钥轮换(对于对称加密 KMS 密钥)、区域性(对于多区域密钥)及公有密钥(对于非对称 KMS 密钥)。

以下列表描述了详细显示部分中的字段,包括选项卡中的字段。其中某些字段也在表格显示部分中以列的形式出现。

别名

位置:Aliases(别名)选项卡

KMS 密钥的友好名称。您可以使用别名标识控制台和一些 AWS KMS API 中的 KMS 密钥。有关更多信息,请参阅 使用别名

Aliases(别名)选项卡显示与 AWS 账户 和区域中的 KMS 密钥关联的所有别名。

ARN

位置:General configuration(常规配置)部分

KMS 密钥的 Amazon Resource Name (ARN)。此值唯一标识 KMS 密钥。您可以使用此值识别 AWS KMS API 操作中的 KMS 密钥。

连接状态

表示自定义密钥存储是否已连接到其备用密钥存储。仅当在自定义密钥存储中创建 KMS 密钥时,此字段才会显示。

有关此字段值的信息,请参阅 AWS KMSAPI 参考ConnectionState中的。

创建日期

位置:General configuration(常规配置)部分

KMS 密钥的创建日期和时间。此值显示为设备的本地时间。时区不依赖于区域。

Expiration(到期)不同,创建仅指的是 KMS 密钥,而非其密钥材料。

CloudHSM 集群 ID

位置:Cryptographic configuration(加密配置)选项卡

包含 KMS 密钥的密钥材料的 AWS CloudHSM 集群的集群 ID。仅当在自定义密钥存储中创建 KMS 密钥时,此字段才会显示。

如果选择 CloudHSM 群集 ID,它会打开 AWS CloudHSM 控制台中的 Clusters(集群)页面。

自定义密钥存储 ID

位置:Cryptographic configuration(加密配置)选项卡

包含 KMS 密钥的自定义密钥存储的 ID。仅当在自定义密钥存储中创建 KMS 密钥时,此字段才会显示。

如果选择自定义密钥存储 ID,则会在 AWS KMS 控制台中打开 Custom key stores(自定义密钥存储)页面。

自定义密钥存储名称

位置:Cryptographic configuration(加密配置)选项卡

包含 KMS 密钥的自定义密钥存储的名称。仅当在自定义密钥存储中创建 KMS 密钥时,此字段才会显示。

自定义密钥存储类型

位置:Cryptographic configuration(加密配置)选项卡

指示自定义密钥存储是 AWS CloudHSM 密钥存储,还是外部密钥存储。仅当在自定义密钥存储中创建 KMS 密钥时,此字段才会显示。

描述

位置:General configuration(常规配置)部分

您可以编写和编辑的 KMS 密钥的简要、可选描述。要添加或更新客户托管密钥的描述,请选择 General Configuration(常规配置)上方的 Edit(编辑)。

加密算法

位置:Cryptographic configuration(加密配置)选项卡

列出可在 AWS KMS 中与 KMS 密钥一起使用的加密算法。仅当 Key type (密钥类型)Asymmetric (对称)Key usage (密钥用法)Encrypt and decrypt (加密和解密) 时,此字段才会显示。有关 AWS KMS 支持的加密算法的信息,请参阅 SYMMETRIC_DEFAULT 密钥规范用于加密和解密的 RSA 密钥规范

到期日期

位置:Key material(密钥材料)选项卡

KMS 密钥的密钥材料到期的日期和时间。此字段仅针对具有导入的密钥材料的 KMS 密钥显示,也就是说,仅当 Origin(源)为 External(外部)且 KMS 密钥的密钥材料已到期时,此字段才会显示。

外部密钥 ID

位置:Cryptographic configuration(加密配置)选项卡

外部密钥存储中的 KMS 密钥关联的外部密钥的 ID。此字段仅适用于外部密钥存储中的 KMS 密钥。

外部密钥状态

位置:Cryptographic configuration(加密配置)选项卡

外部密钥存储代理报告的与 KMS 密钥关联的外部密钥的最新状态。此字段仅适用于外部密钥存储中的 KMS 密钥。

外部密钥用途

位置:Cryptographic configuration(加密配置)选项卡

在与 KMS 密钥关联的外部密钥上启用的加密操作。此字段仅适用于外部密钥存储中的 KMS 密钥。

密钥策略

位置:Key policy(密钥策略)选项卡

控制对 KMS 密钥以及 IAM policy授权的访问。每个 KMS 密钥都有一个密钥策略。它是唯一的强制性授权元素。要更改客户托管密钥的密钥策略,请在 Key policy(密钥策略)选项卡上选择 Edit(编辑)。有关更多信息,请参阅 AWS KMS 中的密钥策略

密钥轮换

位置:Key rotation(密钥轮换)选项卡

启用和禁用客户托管 KMS 密钥中的密钥材料自动轮换。要更改客户托管式密钥的密钥轮换状态,请使用 Key rotation(密钥轮换)选项卡上的复选框。

您无法启用或禁用 AWS 托管式密钥 中的密钥材料轮换。AWS 托管式密钥 每年自动轮换一次。

密钥规范

位置:Cryptographic configuration(加密配置)选项卡

KMS 密钥中密钥材料的类型。AWS KMS 支持对称加密 KMS 密钥(SYMMETRIC_DEFAULT)、不同长度的 HMAC KMS 密钥以及具有不同长度 RSA 密钥的 KMS 密钥和具有不同曲线的椭圆曲线密钥。有关更多信息,请参阅 密钥规范

密钥类型

位置:Cryptographic configuration(加密配置)选项卡

指示 KMS 密钥是 Symmetric(对称)还是 Asymmetric(非对称)的。

密钥用法

位置:Cryptographic configuration(加密配置)选项卡

指示 KMS 密钥可用于Encrypt and decrypt(加密和解密)、Sign and verify(签名和验证)或Generate and verify MAC(生成并验证 MAC)。有关更多信息,请参阅 密钥用法

Origin

位置:Cryptographic configuration(加密配置)选项卡

KMS 密钥的密钥材料的来源。有效值为:

MAC 算法

位置:Cryptographic configuration(加密配置)选项卡

列出可在 AWS KMS 中与 HMAC KMS 密钥一起使用的 MAC 算法。仅当密钥规范是 HMAC 密钥规范(HMAC_*)时,此字段才会显示。有关 AWS KMS 支持的 MAC 算法的信息,请参阅 HMAC KMS 密钥的密钥规范

主键

位置:Regionality(区域性)选项卡

表示此 KMS 密钥是多区域主键。授权用户可以使用此部分将主键更改为另一个相关的多区域密钥。仅当 KMS 密钥是多区域主键时,此字段才会显示。

公有密钥

位置:Public key(公有密钥)选项卡

显示非对称 KMS 密钥的公有密钥。经授权的用户可以使用此选项卡复制和下载公有密钥

区域性

位置:General configuration(常规配置)部分和 Regionality(区域性)选项卡

指示 KMS 密钥是单区域密钥、多区域主键,还是多区域副本密钥。仅当 KMS 密钥是多区域密钥时,此字段才会显示。

相关的多区域密钥

位置:Regionality(区域性)选项卡

显示所有相关多区域主键和副本键,但当前 KMS 密钥除外。仅当 KMS 密钥是多区域密钥时,此字段才会显示。

在主键的相关的多区域密钥部分,授权用户可以创建新的副本密钥

副本密钥

位置:Regionality(区域性)选项卡

表示此 KMS 密钥是多区域副本密钥。仅当 KMS 密钥是多区域副本密钥时,此字段才会显示。

签名算法

位置:Cryptographic configuration(加密配置)选项卡

列出可在 AWS KMS 中与 KMS 密钥一起使用的签名算法。仅当 Key type (密钥类型)Asymmetric (对称)Key usage (密钥用法)Sign and verify (签名和验证) 时,此字段才会显示。有关 AWS KMS 支持的签名算法的信息,请参阅用于签名和验证的 RSA 密钥规范椭圆曲线密钥规范

Status

位置:General configuration(常规配置)部分

KMS 密钥的密钥状态。您可以在加密操作中使用 KMS 密钥,前提是仅当状态为 Enabled(已启用)时。有关每个 KMS 密钥状态的详细说明及其对可以在 KMS 密钥上运行的操作的影响,请参阅 AWS KMS 密钥的密钥状态

标签

位置:Tags(标签)选项卡

描述 KMS 密钥的可选键值对。要添加或更改 KMS 密钥的标签,请在 Tags(标签)选项卡上选择 Edit(编辑)。

在将标签添加到 AWS 资源时,AWS 可生成成本分配报告,其中按标签汇总了使用情况和成本。标签还可以用来控制对 KMS 密钥的访问。有关轮换 KMS 密钥的信息,请参阅 标记密钥AWS KMS 中的 ABAC

自定义您的 KMS 密钥表

您可以自定义在 AWS Management Console 中显示在 AWS 托管式密钥Customer managed keys(客户托管密钥)页面中的表来满足您的需求。您可以在每个页面上选择表列、AWS KMS keys 的数量(Page size(页面大小))以及文本换行。所选择的配置将在确认后保存,并在打开页面时重新应用。

要自定义您的 KMS 密钥表
  1. AWS 托管式密钥Customer managed keys(客户托管密钥)页面上,选择页面右上角的设置图标 ( )。

  2. Preferences (首选项) 页面上,选择您的首选设置,然后选择 Confirm (确认)

请考虑使用 Page size(页面大小)设置来增加每个页面上显示的 KMS 密钥数量,尤其当您通常使用易于滚动的设备时。

显示的数据列可能因表、作业角色以及账户和区域中的 KMS 密钥类型而异。下表提供了一些建议的配置。有关列的描述,请参阅显示 KMS 密钥详细信息

建议的 KMS 密钥表配置

您可以自定义 KMS 密钥表中显示的列,以便显示所需的 KMS 密钥相关信息。

AWS 托管式密钥

默认情况下,AWS 托管式密钥 表显示 Aliases(别名)、Key ID(密钥 ID)和 Status(状态)列。这些列适合于大多数使用案例。

对称加密 KMS 密钥

如果只使用具有 AWS KMS 生成的密钥材料的对称加密 KMS 密钥,那么 Aliases(别名)、Key ID(密钥 ID)、Status(状态)和 Creation date(创建日期)列可能是最有用的。

非对称 KMS 密钥

如果使用非对称 KMS 密钥,那么除 Aliases(别名)、Key ID(密钥 ID)和 Status(状态)列之外,可考虑添加 Key type(密钥类型)、Key spec(密钥规范)和 Key usage(密钥用法)列。这些列将显示 KMS 密钥是对称还是非对称的、密钥材料的类型,以及 KMS 密钥是用于加密还是签名。

HMAC KMS 密钥

如果使用 HMAC KMS 密钥,那么除 Aliases(别名)、Key ID(密钥 ID)和 Status(状态)列之外,可考虑添加 Key spec(密钥规范)和 Key usage(密钥用法)列。这些列将显示 KMS 密钥是否是 HMAC 密钥。由于无法按密钥规范或密钥用法对 KMS 密钥进行排序,请使用别名和标签来识别 HMAC 密钥,然后使用 AWS KMS 控制台的筛选条件功能按别名或标签进行筛选。

导入的密钥材料

如果您的 KMS 密钥具有导入的密钥材料,请考虑添加 Origin(来源)和 Expiration date(到期日期)列。这些列将显示 KMS 密钥中的密钥材料是导入的还是 AWS KMS 生成的,以及密钥材料何时到期(如果有)。Creation date(创建日期)字段显示了 KMS 密钥的创建日期(不包含密钥材料)。该字段不体现密钥材料的任何特征。

自定义密钥存储中的密钥

如果您拥有自定义密钥存储中的 KMS 密钥,请考虑添加 Origin(来源)和 Custom key store ID(自定义密钥存储 ID)列。这些列表明 KMS 密钥位于自定义密钥存储中,显示自定义密钥存储类型,并标识自定义密钥存储。

多区域密钥

如果您有多区域密钥,请考虑添加 Regionality(区域性)列。这显示 KMS 密钥是单区域密钥、多区域主键,还是多区域副本密钥