識別不同的金鑰類型 - AWS Key Management Service
識別非對稱KMS金鑰識別HMACKMS金鑰識別多區域KMS金鑰使用匯入KMS的金鑰材料識別金鑰識別KMS金鑰存放區中的 AWS CloudHSM 金鑰識別外部KMS金鑰存放區中的金鑰

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

識別不同的金鑰類型

下列主題說明如何識別 AWS KMS 主控台和DescribeKey回應中的不同金鑰類型。

如需導覽至KMS金鑰詳細資訊頁面上密碼編譯組態索引標籤的說明,請參閱 存取和列出KMS金鑰詳細資訊

識別非對稱KMS金鑰

在 AWS KMS 主控台中

客戶受管金鑰資料表的金鑰類型欄會顯示每個KMS金鑰是對稱或非對稱。您可以依金鑰類型值篩選資料表,以僅顯示非對稱KMS金鑰。如需詳細資訊,請參閱 排序和篩選您的KMS金鑰

KMS 金鑰詳細資訊頁面上的密碼編譯組態索引標籤會顯示金鑰類型 ,指出金鑰是對稱或非對稱。它也會顯示金鑰使用量 ,指出您的非對稱KMS金鑰是否用於加密和解密、簽署和驗證,還是衍生共用密碼。

在 DescribeKey 回應中

當您在非對稱KMS索引鍵上呼叫 DescribeKey操作時,回應會包含 KeySpecKeyUsage值,可用於判斷索引KMS鍵是對稱或非對稱。

如果KeySpec值為 SYMMETRIC_DEFAULT,則金鑰為對稱加密KMS金鑰。如需非對稱金鑰規格的詳細資訊,請參閱 金鑰規格參考

如果KeyUsage值為 SIGN_VERIFYKEY_AGREEMENT,則金鑰為非對稱KMS金鑰。

DescribeKey 操作也會傳回非對稱KMS金鑰的下列詳細資訊。

  • 對於KeyUsage值為 的非對稱KMS金鑰ENCRYPT_DECRYPT,操作會傳回 EncryptionAlgorithms,列出金鑰的有效加密演算法。

  • 對於KeyUsage值為 的非對稱KMS金鑰SIGN_VERIFY,操作會傳回 SigningAlgorithms,列出金鑰的有效簽署演算法。

  • 對於KeyUsage值為 的非對稱KMS金鑰KEY_AGREEMENT,操作會傳回 KeyAgreementAlgorithms,列出金鑰的有效金鑰協議演算法。

如需非對稱KMS金鑰的詳細資訊,請參閱 中的非對稱金鑰 AWS KMS

識別HMACKMS金鑰

在 AWS KMS 主控台中

HMAC KMS 金鑰包含在客戶受管金鑰資料表中,但您無法依識別HMAC金鑰的金鑰規格或金鑰用量值來排序或篩選此資料表。若要更輕鬆地尋找HMAC金鑰,請為其指派唯一的別名或標籤。然後,您便可以依別名或標籤進行排序或篩選。

KMS 金鑰詳細資訊頁面上的密碼編譯組態索引標籤會顯示金鑰類型 ,指出金鑰是對稱或非對稱。HMAC KMS 金鑰是對稱的。密碼編譯組態索引標籤也會顯示金鑰用量 。對於HMACKMS金鑰,金鑰用量值一律為產生並驗證 MAC

在 DescribeKey 回應中

當您在HMACKMS金鑰上呼叫 DescribeKey操作時,回應會包含 KeySpecKeyUsage值。對於HMACKMS金鑰,金鑰用量值一律為 GENERATE_VERIFY_MAC,而金鑰規格值一律以 開頭HMAC_

如需HMACKMS金鑰的詳細資訊,請參閱 HMAC 中的金鑰 AWS KMS

識別多區域KMS金鑰

在 AWS KMS 主控台中

客戶受管金鑰資料表只會在選取的區域中顯示KMS金鑰。您可以檢視所選區域中的多區域主要金鑰和複本金鑰。若要變更 AWS 區域,請使用主控台右上角的區域選擇器。

若要更輕鬆地識別客戶受管金鑰資料表中的多區域金鑰,請將區域性資料欄新增至資料表。如需協助,請參閱 自訂您的KMS金鑰資料表

多區域KMS索引鍵的詳細資訊頁面包含區域性索引標籤。Regionality (區域性) 索引標籤包括「變更主要區域」和「建立新的複本金鑰」按鈕。(複本金鑰的「區域性」索引標籤沒有按鈕)。Related multi-Region keys (相關的多區域金鑰) 區段會列出所有與目前區域相關的多區域金鑰。如果目前金鑰是複本金鑰,則此清單會包含主要金鑰。

如果您從相關多區域金鑰資料表中選擇相關的多區域金鑰,則 AWS KMS 主控台會變更為所選金鑰的區域,並開啟金鑰的詳細資訊頁面。例如,如果您從下面的相關多區域金鑰範例區段中選擇 sa-east-1 區域中的複本金鑰,則 AWS KMS 主控台會變更為 sa-east-1區域,以顯示該複本金鑰的詳細資訊頁面。您可以執行這項操作來檢視複本金鑰的別名或金鑰政策。若要再次變更區域,請使用頁面右上角的區域選取器。

在 DescribeKey 回應中

根據預設, AWS KMS API 操作為區域性,且只會傳回目前或指定區域中的資源。但是,當您在多區域KMS金鑰上呼叫 DescribeKey操作時,回應會包含MultiRegionConfiguration元素中其他 AWS 區域中的所有相關多區域金鑰。

如需多區域KMS金鑰的詳細資訊,請參閱 中的多區域金鑰 AWS KMS

使用匯入KMS的金鑰材料識別金鑰

在 AWS KMS 主控台中

若要更輕鬆地識別客戶受管KMS金鑰資料表中已匯入金鑰資料的金鑰,請將原始伺服器欄新增至資料表。 原始KMS伺服器資料欄可讓您輕鬆識別具有外部 (匯入金鑰材料) 原始伺服器屬性值的金鑰。如需協助,請參閱 自訂您的KMS金鑰資料表

KMS 金鑰詳細資訊頁面上的密碼編譯組態索引標籤會顯示原始伺服器 ,其可識別KMS金鑰金鑰材料的來源。對於具有匯入金鑰材料的KMS金鑰,原始伺服器值一律為外部 (匯入金鑰材料)。詳細資訊頁面也包含金鑰材料索引標籤,可提供匯入金鑰材料的詳細資訊。金鑰材料索引標籤只會出現在具有匯入金鑰材料之KMS金鑰的詳細資訊頁面上。

在 DescribeKey 回應中

當您使用匯入KMS的金鑰材料呼叫金鑰上的 DescribeKey 操作時,回應會包含 OriginExpirationModelValidTo值。對於具有匯入KMS金鑰材料的金鑰,原始伺服器值一律為 EXTERNALExpirationModel 值表示金鑰材料是否設定為過期,而ValidTo值表示金鑰材料何時過期。如需詳細資訊,請參閱設定到期時間 (選用)

如需使用匯入KMS金鑰材料之金鑰的詳細資訊,請參閱 匯入金鑰的 AWS KMS 金鑰材料

識別KMS金鑰存放區中的 AWS CloudHSM 金鑰

在 AWS KMS 主控台中

若要更輕鬆地識別客戶受管KMS金鑰資料表中 AWS CloudHSM 金鑰存放區中的金鑰,請將原始伺服器欄新增至資料表。 原始伺服器資料欄可讓您輕鬆識別具有AWS CloudHSM原始伺服器屬性值的KMS金鑰。如需協助,請參閱 自訂您的KMS金鑰資料表

KMS 金鑰詳細資訊頁面上的密碼編譯組態索引標籤會顯示原始伺服器 ,其可識別KMS金鑰的金鑰材料來源。對於 AWS CloudHSM 金鑰存放區中的KMS金鑰,原始伺服器值一律為 AWS CloudHSM

對於 AWS CloudHSM 金鑰存放區中的KMS金鑰,密碼編譯組態索引標籤包含額外的區段,自訂金鑰存放區 ,提供與KMS金鑰相關聯的 AWS CloudHSM 金鑰存放區和 AWS CloudHSM 叢集的相關資訊。

在 DescribeKey 回應中

當您呼叫金鑰存放區中KMS AWS CloudHSM 金鑰DescribeKey的操作時,回應會包含 Origin,可識別金鑰材料的來源。對於KMS金鑰存放區中的 AWS CloudHSM 金鑰,原始值一律為 AWS_CLOUDHSM。操作也會傳回金鑰 AWS CloudHSM 存放區中KMS金鑰的下列特殊欄位:

  • CloudHsmClusterId

  • CustomKeyStoreId

如需 AWS CloudHSM 金鑰存放區的詳細資訊,請參閱 AWS CloudHSM 金鑰存放區

識別外部KMS金鑰存放區中的金鑰

在 AWS KMS 主控台中

若要更輕鬆地識別客戶受管KMS金鑰資料表中的外部金鑰存放區中的金鑰,請將原始伺服器欄新增至資料表。 原始伺服器資料欄可讓您輕鬆識別具有外部KMS金鑰存放區原始屬性值的金鑰。 如需協助,請參閱 自訂您的KMS金鑰資料表

KMS 金鑰詳細資訊頁面上的密碼編譯組態索引標籤會顯示原始伺服器 ,其可識別KMS金鑰金鑰材料的來源。對於外部金鑰存放區中的KMS金鑰,原始伺服器值一律為外部金鑰存放區

對於外部KMS金鑰存放區中的金鑰,密碼編譯組態索引標籤包含兩個額外區段:自訂金鑰存放區外部金鑰 自訂金鑰存放區資料表提供有關與金鑰相關聯的外部KMS金鑰存放區的資訊。外部金鑰資料表只會針對 AWS KMS 外部KMS金鑰存放區中的金鑰顯示在主控台中。它提供有關與金鑰相關聯的外部KMS金鑰的資訊。外部金鑰是 外部的密碼編譯金鑰 AWS ,可作為外部金鑰存放區中KMS金鑰的金鑰材料。當您使用 KMS金鑰加密或解密時,外部金鑰管理員會使用指定的外部金鑰來執行操作。

下列值會顯示在 External key (外部金鑰) 區段中。

外部金鑰 ID

外部金鑰在其外部金鑰管理器中的識別符。這是外部金鑰存放區代理用來識別外部金鑰的值。建立金鑰時,您可以指定外部KMS金鑰的 ID,而且無法變更。如果您用來建立金鑰的外部KMS金鑰 ID 值變更或變成無效,您必須排程要刪除的KMS金鑰,並使用正確的外部KMS金鑰 ID 值建立新的金鑰。

在 DescribeKey 回應中

當您呼叫外部KMS金鑰存放區中金鑰DescribeKey的操作時,回應會包含 Origin,可識別金鑰材料的來源。對於KMS金鑰存放區中的 AWS CloudHSM 金鑰,原始值一律為 EXTERNAL_KEY_STORE。操作也會傳回 CustomKeyStoreId元素,識別與金鑰相關聯的外部KMS金鑰存放區。

如需外部金鑰存放區的詳細資訊,請參閱 外部金鑰存放區