在主控台中檢視 KMS 金鑰

在 AWS Management Console 中，您可以檢視帳戶和區域中 KMS 金鑰的清單，以及每個 KMS 金鑰的詳細資訊。

注意

AWS KMS 主控台會顯示您在您的帳戶和區域中有權檢視的 KMS 金鑰。其他 AWS 帳戶 中的 KMS 金鑰不會出現在主控台中，即使您有權檢視、管理和使用它們。若要檢視其他帳戶中的 KMS 金鑰，請使用此DescribeKey作業。

導覽至金鑰資料表

每個帳戶和每個區域中的 AWS KMS keys 會顯示在資料表中。您所建立的 KMS 金鑰和 AWS 服務為您建立的 KMS 金鑰會有不同的資料表。

1. 請登入 AWS Management Console，並開啟 AWS Key Management Service (AWS KMS) 主控台 (網站：https://console.aws.amazon.com/kms)。

2. 若要變更 AWS 區域，請使用頁面右上角的區域選取器。

3. 若要檢視您所建立及管理帳戶中的金鑰，請在導覽窗格中選擇Customer managed keys (客戶受管金鑰)。若要檢視 AWS 為您建立及管理之帳戶中的金鑰，請在導覽窗格中選擇 AWS 受管金鑰。如需不同類型 KMS 金鑰的詳細資訊，請參閱 AWS KMS keys。

   提示

   若要檢視遺失別名的 AWS 受管金鑰，請使用 Customer managed keys (客戶受管金鑰) 頁面。

   AWS KMS 主控台也會顯示帳戶和區域中的自訂金鑰存放區。您在自訂金鑰存放區中建立的 KMS 金鑰會顯示在 Customer managed keys (客戶受管金鑰) 頁面上。如需自訂金鑰存放區的詳細資訊，請參閱 自訂金鑰存放區。

瀏覽至金鑰詳細資訊

有帳戶和區域中每個 AWS KMS key 的詳細資訊頁面。詳細資訊頁面會顯示 KMS 金鑰的 General configuration (一般組態) 區段，並包含可讓授權使用者檢視和管理金鑰的 Cryptographic configuration (密碼編譯組態) 和 Key policy (金鑰政策) 索引標籤。根據金鑰類型而定，詳細資訊頁面可能也包含 Aliases (別名)、Key material (金鑰材料)、Key rotation (金鑰輪換)、Public key (公有金鑰)、Regionality (區域性) 和 Tags (標籤) 索引標籤。

瀏覽 KMS 金鑰的金鑰詳細資訊頁面。

1. 請登入 AWS Management Console，並開啟 AWS Key Management Service (AWS KMS) 主控台 (網站：https://console.aws.amazon.com/kms)。

2. 若要變更 AWS 區域，請使用頁面右上角的區域選取器。

3. 若要檢視您所建立及管理帳戶中的金鑰，請在導覽窗格中選擇Customer managed keys (客戶受管金鑰)。若要檢視 AWS 為您建立及管理之帳戶中的金鑰，請在導覽窗格中選擇 AWS 受管金鑰。如需不同類型 KMS 金鑰的詳細資訊，請參閱 AWS KMS key。

4. 若要開啟金鑰詳細資訊頁面，請在金鑰資料表中選擇 KMS 金鑰的金鑰 ID 或別名。

   如果 KMS 金鑰具有多個別名，則別名摘要 (+n more (+n 等)) 會顯示在其中一個別名的名稱旁邊。選擇別名摘要會直接帶您前往金鑰詳細資訊頁面上的 Aliases (別名) 索引標籤。

排序和篩選 KMS 金鑰

若要更容易地在主控台中找到您的 KMS 金鑰，則您可以排序和篩選金鑰資料表。

Sort

您可以根據資料欄的值，以遞增或遞減順序排序 KMS 金鑰。這項功能會排序資料表中的所有 KMS 金鑰，即使 KMS 金鑰沒有在目前的資料表頁面上顯示也一樣。

可排序的資料行在其資料行名稱的旁邊會有一個箭頭。在 AWS 受管金鑰 頁面上，您可以依 Aliases (別名) 或 Key ID (金鑰 ID) 排序。在 Customer managed keys (客戶受管金鑰) 頁面上，您可以根據 Aliases (別名)、Key ID (金鑰 ID) 或 Key type (金鑰類型) 排序。

如要依照遞增順序排序，請選擇資料行的標頭，直到箭頭指向上方。如要依照遞減順序排序，請選擇資料行的標頭，直到箭頭指向下方。您一次只能依據一欄來排序。

例如，您可以根據金鑰 ID，以遞增順序排序 KMS 金鑰，而非使用預設的別名。

當您在 Customer managed keys (客戶受管金鑰) 頁面上依 Key type (金鑰類型) 按遞增順序排列 KMS 金鑰時，所有非對稱金鑰會顯示在所有對稱金鑰之前。

篩選條件

您可以依據 KMS 金鑰的屬性值或標籤來篩選 KMS 金鑰。篩選條件適用於所有資料表中的 KMS 金鑰，即使 CMK 沒有出現在目前的資料表頁面上也一樣。篩選條件不區分大小寫。

可篩選的屬性會列在篩選條件方塊中。在 AWS 受管金鑰 頁面上，您可以依別名和金鑰 ID 進行篩選。在 Customer managed keys (客戶受管金鑰) 頁面上，您可以根據別名、金鑰 ID 和金鑰類型以及根據標籤進行篩選。

• 在 AWS 受管金鑰 頁面上，您可以依別名和金鑰 ID 進行篩選。

• 在 Customer managed keys (客戶受管金鑰) 頁面上，您可以根據標籤，或根據別名、金鑰 ID 和金鑰類型或區域性屬性進行篩選。

若要根據屬性值進行篩選，請選擇篩選條件、選擇屬性名稱，然後從實際屬性值的清單中選擇。若要依標籤進行篩選，請選擇標籤索引鍵，然後從實際標籤值清單中選擇。在選擇屬性或標籤索引鍵後，您也可以輸入全部或部分的屬性值或標籤值。在您做出選擇之前，您將會看到結果的預覽。

例如，如要顯示別名名稱包含 aws/e 的 KMS 金鑰，請選擇篩選條件方塊、選擇 Alias (別名)、輸入 aws/e，然後按 Enter 或 Return 來新增篩選條件。

若要在 Customer managed keys (客戶受管金鑰) 頁面上僅顯示非對稱 KMS 金鑰，請按一下篩選條件方塊，選擇 Key type (金鑰類型)，然後選擇 Key type: Asymmetric (金鑰類型：不對稱)。只有當資料表中有非對稱 KMS 金鑰時，才會顯示 Asymmetric (非對稱) 選項。如需識別非對稱 KMS 金鑰的詳細資訊，請參閱 識別非對稱 KMS 金鑰。

若只要顯示多區域金鑰，請在 Customer managed keys (客戶受管金鑰) 頁面上，選擇篩選條件方塊、選擇 Regionality (區域性)，然後選擇 Regionality: Multi-Region (區域性：多區域)。Multi-Region (多區域) 選項僅當資料表中有多區域金鑰時才會顯示。如需識別多區域金鑰的詳細資訊，請參閱 檢視多區域金鑰。

標籤篩選有一些不同。若只要顯示具有特定標籤的 KMS 金鑰，請選擇篩選方塊、選擇標籤索引鍵，然後從實際標籤值中選擇。您也可以輸入全部或部分的標籤值。

產生的資料表會顯示具有所選標籤的所有 KMS 金鑰。但不會顯示標籤。若要查看標籤，請選擇 KMS 金鑰的金鑰 ID 或別名，然後在其詳細資訊頁面上選擇 Tags (標籤) 索引標籤。索引標籤會顯示在 General Configuration (一般組態) 區段下。

此篩選條件需要標籤索引鍵和標籤值。只輸入標籤索引鍵或只輸入其值，就無法找到 KMS 金鑰。若要依標籤金鑰或值的全部或部分篩選標籤，請使用此ListResourceTags作業取得標記 KMS 金鑰，然後使用程式設計語言的篩選功能。如需範例，請參閱 ListResourceTags：取得 KMS 金鑰上的標籤。

若要搜尋文字，請在篩選條件方塊中輸入全部或部分的別名、金鑰 ID、金鑰類型或標籤索引鍵。(選取標籤索引鍵後，您可以搜尋標籤值)。在您做出選擇之前，您將會看到結果的預覽。

例如，若要顯示在其標籤索引鍵中具有 test 的 KMS 金鑰或具有可篩選屬性的 KMS 金鑰，請輸入在篩選條件方塊中輸入 test。預覽會顯示篩選條件會選取的 KMS 金鑰。在此案例中，test 只會出現在 Alias (別名) 屬性中。

您可以同時使用多個篩選條件。在您新增其他篩選條件時，您也可以選取邏輯運算子。

顯示 KMS 金鑰詳細資訊

每個 KMS 金鑰的詳細資訊頁面會顯示 KMS 金鑰的屬性。這會根據不同 KMS 金鑰類型而有些微不同。

若要顯示 KMS 金鑰的詳細資訊，請在 AWS 受管金鑰 或 Customer managed keys (客戶受管金鑰) 頁面上，選擇 KMS 金鑰的別名或金鑰 ID。

KMS 金鑰的詳細資訊頁面包含 General Configuration (一般組態) 區段，顯示 KMS 金鑰的基本屬性。其也包含可讓您檢視和編輯 KMS 金鑰屬性的索引標籤，例如 Key policy (金鑰政策)、Cryptographic configuration (密碼編譯組態)、Tags (標籤)、Key material (金鑰資料) (適用於含有匯入金鑰資料的 KMS 金鑰)、Key rotation (金鑰輪換) (適用於對稱加密 KMS 金鑰)、Regionality (區域性) (適用於多區域金鑰) 以及 Public key (公有金鑰) (適用於非對稱 KMS 金鑰)。

以下清單描述了詳細顯示中的欄位，包括索引標籤中的欄位。其中有些欄位也可以在資料表顯示中做為資料行使用。

Aliases

其中：別名索引標籤

KMS 金鑰的易記名稱。您可以使用別名來識別主控台和某些 AWS KMS API 中的 KMS 金鑰。如需詳細資訊，請參閱 使用別名。

Aliases (別名) 索引標籤會顯示與 AWS 帳戶 和區域中 KMS 金鑰相關聯的所有別名。

ARN

其中：一般組態區段

KMS 金鑰的 Amazon Resource Name (ARN)。該值會專屬識別 KMS 金鑰。您可以使用該值在 AWS KMS API 操作中識別 KMS 金鑰。

連線狀態

指示自訂金鑰存放區是否已連接至其備份金鑰存放區。當 KMS 金鑰已在自訂金鑰存放區中建立時，才會顯示此欄位。

如需有關此欄位中值的資訊，請參閱 AWS KMSAPI 參考ConnectionState中的。

建立日期

其中：一般組態區段

建立 KMS 金鑰的日期和時間。這個值會以裝置的本地時間顯示。時區不會依存區域。

與 Expiration (過期) 不同，建立指的只是 KMS 金鑰，而非其金鑰材料。

CloudHSM 叢集 ID

其中：密碼編譯組態索引標籤

AWS CloudHSM 叢集的叢集 ID，其中包含 KMS 金鑰的金鑰材料。當 KMS 金鑰已在自訂金鑰存放區中建立時，才會顯示此欄位。

如果您選擇 CloudHSM 叢集 ID，它會在 AWS CloudHSM 主控台開啟 Clusters (叢集) 頁面。

自訂金鑰存放區 ID

其中：密碼編譯組態索引標籤

包含 KMS 金鑰的自訂金鑰存放區 ID。當 KMS 金鑰已在自訂金鑰存放區中建立時，才會顯示此欄位。

如果您選擇自訂金鑰存放區 ID，它會在 AWS KMS 主控台開啟 Custom key stores (自訂金鑰存放區) 頁面。

自訂金鑰存放區名稱

其中：密碼編譯組態索引標籤

包含 KMS 金鑰的自訂金鑰存放區 名稱。當 KMS 金鑰已在自訂金鑰存放區中建立時，才會顯示此欄位。

自訂金鑰存放區類型

其中：密碼編譯組態索引標籤

指示自訂金鑰存放區是 AWS CloudHSM 金鑰存放區還是外部金鑰存放區。當 KMS 金鑰已在自訂金鑰存放區中建立時，才會顯示此欄位。

描述

其中：一般組態區段

KMS 金鑰的簡短、選用描述，您可以撰寫和編輯。如要新增或更新客戶受管金鑰的描述，請在 General Configuration (一般組態) 上方，選擇 Edit (編輯)。

加密演算法

其中：密碼編譯組態索引標籤

列出可搭配 AWS KMS 中 KMS 金鑰使用的加密演算法。此欄位只有在 Key type (金鑰類型) 是 Asymmetric (非對稱) 且 Key usage (金鑰使用方式) 是 Encrypt and decrypt (加密及解密) 時才會出現。如需 AWS KMS 支援之加密演算法的相關資訊，請參閱SYMMETRIC_DEFAULT 金鑰規格和用於加密和解密的 RSA 金鑰規格。

過期日期

其中：金鑰材料索引標籤

KMS 金鑰之金鑰材料過期的日期和時間。此欄位只會針對具備匯入金鑰材料的 KMS 金鑰顯示，即 Origin (來源) 是 External (外部) 且 KMS 金鑰具有會過期的金鑰材料時。

外部金鑰 ID

其中：密碼編譯組態索引標籤

與外部金鑰存放區中的 KMS 金鑰相關聯的外部金鑰 ID。此欄位只會針對外部金鑰存放區中的 KMS 金鑰顯示。

外部金鑰狀態

其中：密碼編譯組態索引標籤

外部金鑰存放區代理針對與 KMS 金鑰相關聯的外部金鑰所報告的最新狀態。此欄位只會針對外部金鑰存放區中的 KMS 金鑰顯示。

外部金鑰使用情況

其中：密碼編譯組態索引標籤

在與 KMS 金鑰相關聯的外部金鑰上啟用的密碼編譯操作。此欄位只會針對外部金鑰存放區中的 KMS 金鑰顯示。

金鑰政策

其中：金鑰政策索引標籤

與 IAM 政策和授予一同控制對 KMS 金鑰的存取。每個 KMS 金鑰都有一個金鑰政策。這是唯一的強制授權元素。如要變更客戶受管金鑰的金鑰政策，請在 Key policy (金鑰政策) 標籤上，選擇 Edit (編輯)。如需詳細資訊，請參閱 中的主要政策 AWS KMS。

金鑰輪換

其中：金鑰輪換索引標籤

啟用和停用客戶管理的 CMK 金鑰 中金鑰材料的自動輪換。如要變更客戶受管金鑰的金鑰輪換狀態，請使用 Key rotation (金鑰輪換) 標籤上的核取方塊。

您不能啟用或停用 AWS 受管金鑰 中金鑰資料的輪換。AWS 受管金鑰 每年會自動輪換一次。

金鑰規格

其中：密碼編譯組態索引標籤

KMS 金鑰中金鑰資料的類型。AWS KMS 支援對稱加密 KMS 金鑰 (SYMMETRIC_DEFAULT)、不同長度的 HMAC KMS 金鑰、不同長度 RSA 金鑰的 KMS 金鑰，以及具有不同曲線的橢圓曲線金鑰。如需詳細資訊，請參閱 金鑰規格。

Key type

其中：密碼編譯組態索引標籤

指出 KMS 金鑰是 Symmetric (對稱) 還是 Asymmetric (非對稱)。

金鑰用途

其中：密碼編譯組態索引標籤

指出 KMS 金鑰是用於 Encrypt and decrypt (加密及解密)、Sign and verify (簽署及驗證) 還是 Generate and verify MAC (產生及驗證 MAC)。如需詳細資訊，請參閱 金鑰用途。

Origin

其中：密碼編譯組態索引標籤

KMS 金鑰之金鑰材料的來源。有效的 值如下：

• AWS KMS 適用於 AWS KMS 產生的金鑰材料

• AWS CloudHSM 適用於 AWS CloudHSM 金鑰存放區中的 KMS 金鑰

• External (外部) 適用於匯入金鑰材料 (BYOK)

• External key store (外部金鑰存放區) 適用於外部金鑰存放區中的 KMS 金鑰

MAC 演算法

其中：密碼編譯組態索引標籤

列出可搭配 AWS KMS 中 HMAC KMS 金鑰使用的 MAC 演算法。僅在 Key spec (金鑰規格) 為 HMAC 金鑰規格 (HMAC_*) 時，才會顯示此欄位。如需有關 AWS KMS 支援的 MAC 演算法的詳細資訊，請參閱 HMAC KMS 金鑰的金鑰規格。

主索引鍵

其中：區域性索引標籤

表示此 KMS 金鑰是多區域主要金鑰。授權使用者可以使用此區段將主要金鑰變更為不同的相關多區域金鑰。僅在 KMS 金鑰為多區域主要金鑰時，才會顯示此欄位。

公有金鑰

其中：公有金鑰索引標籤

顯示非對稱 KMS 金鑰的公有金鑰。獲得授權的使用者可以使用此標籤來複製及下載公有金鑰。

區域性

其中：「一般組態」區段和「區域性」索引標籤

指出 KMS 金鑰是否為單一區域金鑰、多區域主要金鑰，或多區域複本金鑰。僅在 KMS 金鑰為多區域金鑰時，才會顯示此欄位。

相關的多區域金鑰

其中：區域性索引標籤

顯示所有相關多區域主要金鑰和複本金鑰，但目前的 KMS 金鑰除外。僅在 KMS 金鑰為多區域金鑰時，才會顯示此欄位。

在主要金鑰的相關多區域金鑰區段，授權使用者可以建立新的複本金鑰。

複本金鑰

其中：區域性索引標籤

表示此 KMS 金鑰是多區域複本金鑰。僅在 KMS 金鑰為多區域複本金鑰時，才會顯示此欄位。

簽署演算法

其中：密碼編譯組態索引標籤

列出可搭配 AWS KMS 中 KMS 金鑰使用的簽署演算法。此欄位只有在 Key type (金鑰類型) 是 Asymmetric (非對稱) 且 Key usage (金鑰使用方式) 是 Sign and verify (簽署及驗證) 時才會出現。如需 AWS KMS 支援之簽署演算法的相關資訊，請參閱用於簽署和驗證的 RSA 金鑰規格和橢圓曲線金鑰規格。

Status

其中：一般組態區段

KMS 金鑰的金鑰狀態。只有在狀態為 Enabled (啟用) 時，您才能在密碼編譯操作中使用 KMS 金鑰。如需每個 KMS 金鑰狀態的詳細說明及其對您可以在 KMS 金鑰上執行操作所帶來的影響，請參閱 AWS KMS 金鑰的主要狀態。

標籤

其中：標籤索引標籤

描述 KMS 金鑰的選用鍵值對。若要新增或變更 KMS 金鑰的標籤，請在 Tags (標籤) 索引標籤上，選擇 Edit (編輯)。

將標籤新增到 AWS 資源時，AWS 會產生成本配置報告，內含按標籤彙總的用量與成本。標籤也可以用來控制 KMS 金鑰的存取。如需標記 KMS 金鑰的詳細資訊，請參閱 標記金鑰 和 AWS KMS 的 ABAC。

自訂您的 KMS 金鑰資料表

您可以自訂呈現在 AWS 受管金鑰 和 AWS Management Console 中 Customer managed keys (客戶管理的金鑰) 頁面上的資料表，以符合您的需求。您可以選擇資料表資料欄、每個頁面的 AWS KMS keys 數量 (Page size (頁面大小))，以及文字換行。您選擇的組態會在您確認時儲存，並會在您開啟頁面時重新套用。

若要自訂您的 KMS 金鑰資料表

1. 在 AWS 受管金鑰 或 Customer managed keys (客戶受管金鑰) 頁面上，選擇位於頁面右上角的設定圖示 ( )。

2. 在 Preferences (偏好設定) 頁面上，選擇您偏好的設定，然後選擇 Confirm (確認)。

請考慮使用 Page size (頁面大小) 設定來增加每個頁面上顯示的 KMS 金鑰數量，特別是如果您通常使用容易捲動的裝置的話。

您顯示的資料資料行可能會因資料表、您的任務角色和帳戶及區域中的 KMS 金鑰類型而有所不同。下表提供了一些建議的組態。如需資料行的說明，請參閱 顯示 KMS 金鑰詳細資訊。

建議的 KMS 金鑰資料表組態

您可以自訂 KMS 金鑰資料表中顯示的欄位，以顯示您需要的 KMS 金鑰相關資訊。

AWS 受管金鑰

根據預設，AWS 受管金鑰 資料表會顯示 Aliases (別名)、Key ID (金鑰 ID) 和 Status (狀態) 資料欄。這些資料行適合大多數的使用案例。

對稱加密 KMS 金鑰

如果只搭配 AWS KMS 產生的金鑰資料使用對稱加密 KMS 金鑰，Aliases (別名)、Key ID (金鑰 ID)、Status (狀態) 和 Creation date (建立日期) 資料欄可能最為有用。

非對稱 KMS 金鑰

如果使用非對稱 KMS 金鑰，則除了 Aliases (別名)、Key ID (金鑰 ID) 和 Status (狀態) 資料欄外，請考慮新增 Key type (金鑰類型)、Key spec (金鑰規格) 和 Key usage (金鑰使用情形) 資料欄。這些資料行會顯示 KMS 金鑰是對稱還是非對稱、金鑰材料的類型，以及 KMS 金鑰可用於加密還是簽署。

HMAC KMS 金鑰

如果使用 HMAC KMS 金鑰，則除了 Aliases (別名)、Key ID (金鑰 ID) 和 Status (狀態) 資料欄外，還可以考慮新增 Key spec (金鑰規格) 和 Key usage (金鑰用途) 資料欄。這些資料欄會顯示 KMS 金鑰是否為 HMAC 金鑰。由於您無法依據金鑰規格或金鑰用途來排序 KMS 金鑰，因此請使用別名和標籤來識別 HMAC 金鑰，然後使用 AWS KMS 主控台的篩選功能，依別名或標籤進行篩選。

匯入的金鑰資料

如果您的 KMS 金鑰具有匯入的金鑰材料，請考慮新增 Origin (來源)和 Expiration date (過期日期) 資料欄。這些資料行會顯示 KMS 金鑰中的金鑰材料是匯入的還是由 AWS KMS 產生的，以及金鑰過期的時間 (若有的話)。Creation date (建立日期) 欄位會顯示建立 KMS 金鑰的日期 (沒有金鑰材料時)。其不會反映任何金鑰材料的特性。

自訂金鑰存放區中的金鑰

如果您在自訂金鑰存放區中擁有 KMS 金鑰，則請考慮新增 Origin (來源) 和 Custom key store ID (自訂金鑰存放區 ID) 資料欄。這些資料欄會顯示 KMS 金鑰位於自訂金鑰存放區中、顯示自訂金鑰存放區類型，並識別自訂金鑰存放區。

多區域金鑰

如果您擁有多區域金鑰，請考慮新增 Regionality (區域性) 資料欄。這會顯示 KMS 金鑰是否為單一區域金鑰、多區域主要金鑰，或多區域複本金鑰。