檢視 KMS 金鑰的密碼編譯組態 - AWS Key Management Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

檢視 KMS 金鑰的密碼編譯組態

建立 KMS 金鑰之後,即可檢視其密碼編譯組態。KMS 金鑰建立之後即無法變更組態。如果您偏好不同的組態,請刪除 KMS 金鑰後再重新建立。

您可以在 AWS KMS 主控台中或使用 AWS KMS API 找到 KMS 金鑰的密碼編譯組態,包括金鑰規格、金鑰用途,以及支援的加密或簽署演算法。如需詳細資訊,請參閱 識別非對稱 KMS 金鑰

在 AWS KMS 主控台中,每個 KMS 金鑰的詳細資訊頁面都有 Cryptographic configuration (密碼編譯組態) 索引標籤,顯示您 KMS 金鑰的密碼編譯詳細資訊。例如,下圖顯示用於簽署和驗證之 RSA KMS 金鑰的 Cryptographic configuration (密碼編譯組態) 索引標籤。

某些特殊用途 KMS 金鑰的 Cryptographic configuration (密碼編譯組態) 索引標籤還有其他專用區段。例如,自訂金鑰存放區中 KMS 金鑰的 Cryptographic configuration (密碼編譯組態) 索引標籤具有 Custom key stores (自訂金鑰存放區) 區段。外部金鑰存放區中 KMS 金鑰的 Cryptographic configuration (密碼編譯組態) 索引標籤具有 External key (外部金鑰) 區段。

產生資料金鑰

在 AWS KMS API 中,使用該DescribeKey操作。回應中的 KeyMetadata 結構包括 KMS 金鑰的密碼編譯組態。例如,DescribeKey 會傳回以下用於簽署和驗證的 RSA KMS 金鑰回應。

{
  "KeyMetadata": {

    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "AWSAccountId": "111122223333",
    "CreationDate": 1571767572.317,
    "CustomerMasterKeySpec": "RSA_2048",
    "Description": "",
    "Enabled": true,
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeyState": "Enabled",
    "MultiRegion": false, 
    "Origin": "AWS_KMS",
    "KeySpec": "RSA_2048",
    "KeyUsage": "SIGN_VERIFY",
    "SigningAlgorithms": [
        "RSASSA_PKCS1_V1_5_SHA_256",
        "RSASSA_PKCS1_V1_5_SHA_384",
        "RSASSA_PKCS1_V1_5_SHA_512",
        "RSASSA_PSS_SHA_256",
        "RSASSA_PSS_SHA_384",
        "RSASSA_PSS_SHA_512"
    ]
  }
}