KMSWichtige Details aufrufen und auflisten - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

KMSWichtige Details aufrufen und auflisten

Sie können die AWS KMS Konsole oder den DescribeKeyVorgang verwenden, um auf detaillierte Informationen zu den KMS Schlüsseln im Konto und in der Region zuzugreifen und diese aufzulisten.

Die folgenden Verfahren zeigen, wie Sie auf KMS Schlüsseldetails wie Schlüssel-ID, Schlüsselspezifikation, Schlüsselverwendung und mehr zugreifen können.

Auf der Detailseite für jeden KMS Schlüssel werden die Eigenschaften des KMS Schlüssels angezeigt. Sie unterscheidet sich geringfügig für die verschiedenen KMS Schlüsseltypen.

Um detaillierte Informationen zu einem KMS Schlüssel anzuzeigen, wählen Sie auf der Seite Von AWS verwaltete Schlüssel oder auf der Seite mit vom Kunden verwalteten Schlüsseln den Alias oder die Schlüssel-ID des KMS Schlüssels aus.

Die Detailseite für einen KMS Schlüssel enthält einen Abschnitt Allgemeine Konfiguration, in dem die grundlegenden Eigenschaften des KMS Schlüssels angezeigt werden. Sie enthält auch Registerkarten, auf denen Sie Eigenschaften des KMS Schlüssels anzeigen und bearbeiten können, z. B. Schlüsselrichtlinie, kryptografische Konfiguration, Tags, Schlüsselmaterial (für KMS Schlüssel mit importiertem Schlüsselmaterial), Schlüsselrotation (für symmetrische KMS Verschlüsselungsschlüssel), Regionalität (für Schlüssel mit mehreren Regionen) und Öffentlicher Schlüssel (für asymmetrische Schlüssel). KMS

Anmerkung

In der AWS KMS Konsole werden die KMS Schlüssel angezeigt, zu deren Anzeige Sie in Ihrem Konto und Ihrer Region berechtigt sind. KMSSchlüssel unter „Andere“ werden AWS-Konten nicht in der Konsole angezeigt, auch wenn Sie berechtigt sind, sie anzusehen, zu verwalten und zu verwenden. Verwenden Sie den DescribeKeyVorgang, um KMS Schlüssel in anderen Konten anzuzeigen.

Um zur Seite mit den Schlüsseldetails für einen KMS Schlüssel zu navigieren.

  1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms.

  2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Zum Anzeigen der Schlüssel in Ihrem Konto, die Sie erstellen und verwalten, wählen Sie im Navigationsbereich Customer managed keys (Vom Kunden verwaltete Schlüssel) aus. Um die Schlüssel in Ihrem Konto anzuzeigen, das für Sie AWS erstellt und verwaltet wird, wählen AWS Sie im Navigationsbereich die Option Verwaltete Schlüssel aus.

  4. Um die Seite mit den Schlüsseldetails zu öffnen, wählen Sie in der Schlüsseltabelle die Schlüssel-ID oder den Alias des KMS Schlüssels aus.

    Wenn der KMS Schlüssel mehrere Aliase hat, wird neben dem Namen des Aliases eine Aliasübersicht (+ n mehr) angezeigt. Wenn Sie die Aliasübersicht auswählen, gelangen Sie direkt zur Aliases (Aliase)-Registerkarte auf der Seite mit den Schlüsseldetails.

Kundenverwalteter Schlüssel details showing general configuration and cryptographic settings.

In der folgenden Liste werden die Felder in der Detailanzeige beschrieben, einschließlich der Felder in den Registerkarten. Einige dieser Felder sind auch als Spalten in der Tabellenanzeige verfügbar.

Aliasnamen

Wo: Registerkarte für Aliase

Ein benutzerfreundlicher Name für den KMS Schlüssel. Sie können einen Alias verwenden, um den KMS Schlüssel in der Konsole und in einigen Konsolen zu identifizieren AWS KMS APIs. Details hierzu finden Sie unter Aliase in AWS KMS.

Auf der Registerkarte Aliase werden alle Aliase angezeigt, die dem KMS Schlüssel in der Region AWS-Konto und zugeordnet sind.

ARN

Wo: Abschnitt über allgemeine Konfiguration

Der Amazon-Ressourcenname (ARN) des KMS Schlüssels. Dieser Wert identifiziert den KMS Schlüssel eindeutig. Sie können ihn verwenden, um den KMS Schlüssel in AWS KMS API Operationen zu identifizieren.

Verbindungsstatus

Gibt an, ob ein benutzerdefinierter Schlüsselspeicher mit seinem Unterstützungsschlüsselspeicher verbunden ist. Dieses Feld wird nur angezeigt, wenn der KMS Schlüssel in einem benutzerdefinierten Schlüsselspeicher erstellt wurde.

Informationen zu den Werten in diesem Feld finden Sie ConnectionStatein der AWS KMS APIReferenz.

Erstellungsdatum

Wo: Abschnitt über allgemeine Konfiguration

Datum und Uhrzeit der Erstellung des KMS Schlüssels. Dieser Wert wird in Ortszeit für das Gerät angezeigt. Die Zeitzone hängt nicht von der Region ab.

Im Gegensatz zu Expiration bezieht sich die Erstellung nur auf den KMS Schlüssel, nicht auf sein Schlüsselmaterial.

HSMCloud-Cluster-ID

Wo: Registerkarte für kryptografische Konfiguration

Die Cluster-ID des AWS CloudHSM Clusters, der das Schlüsselmaterial für den KMS Schlüssel enthält. Dieses Feld wird nur angezeigt, wenn der KMS Schlüssel in einem benutzerdefinierten Schlüsselspeicher erstellt wird.

Wenn Sie die HSM Cloud-Cluster-ID wählen, wird die Cluster-Seite in der AWS CloudHSM Konsole geöffnet.

ID des benutzerdefinierten Schlüsselspeichers

Wo: Registerkarte für kryptografische Konfiguration

Die ID des benutzerdefinierten Schlüsselspeichers, der den KMS Schlüssel enthält. Dieses Feld wird nur angezeigt, wenn der KMS Schlüssel in einem benutzerdefinierten Schlüsselspeicher erstellt wird.

Wenn Sie die benutzerdefinierte Schlüsselspeicher-ID wählen, wird die Seite Benutzerdefinierte Schlüsselspeicher in der AWS KMS Konsole geöffnet.

Name des benutzerdefinierten Schlüsselspeichers

Wo: Registerkarte für kryptografische Konfiguration

Der Name des benutzerdefinierten Schlüsselspeichers, der den KMS Schlüssel enthält. Dieses Feld wird nur angezeigt, wenn der KMS Schlüssel in einem benutzerdefinierten Schlüsselspeicher erstellt wird.

Typ des benutzerdefinierten Schlüsselspeichers

Wo: Registerkarte für kryptografische Konfiguration

Gibt an, ob der benutzerdefinierte Schlüsselspeicher ein AWS CloudHSM Schlüsselspeicher oder ein externer Schlüsselspeicher ist. Dieses Feld wird nur angezeigt, wenn der KMS Schlüssel in einem benutzerdefinierten Schlüsselspeicher erstellt wird.

Beschreibung

Wo: Abschnitt über allgemeine Konfiguration

Eine kurze, optionale Beschreibung des KMS Schlüssels, die Sie schreiben und bearbeiten können. Um die Beschreibung eines kundenverwalteten Schlüssels hinzuzufügen oder zu aktualisieren, wählen Sie über General Configuration (allgemeine Konfiguration) Edit (Bearbeiten) aus.

Verschlüsselungsalgorithmen

Wo: Registerkarte für kryptografische Konfiguration

Führt die Verschlüsselungsalgorithmen auf, die mit dem KMS Schlüssel verwendet werden können AWS KMS. Dieses Feld wird nur angezeigt, wenn Key type (Schlüsseltyp) auf Asymmetric (Asymmetrisch) und Key usage (Schlüsselnutzung) auf Encrypt and decrypt (Verschlüsseln und Entschlüsseln) eingestellt ist. Hinweise zu den AWS KMS unterstützten Verschlüsselungsalgorithmen finden Sie unter SYMMETRIC_ DEFAULT Schlüsselspezifikation undRSAwichtige Spezifikationen für die Verschlüsselung und Entschlüsselung.

Ablaufdatum

Wo: Registerkarte für Schlüsselmaterial

Das Datum und die Uhrzeit, zu dem das Schlüsselmaterial für den KMS Schlüssel abläuft. Dieses Feld wird nur für KMS Schlüssel mit importiertem Schlüsselmaterial angezeigt, d. h., wenn der Ursprung auf Extern gesetzt ist und der KMS Schlüssel Schlüsselmaterial enthält, das abläuft.

ID des externen Schlüssels

Wo: Registerkarte für kryptografische Konfiguration

Die ID des externen Schlüssels, der einem KMS Schlüssel in einem externen Schlüsselspeicher zugeordnet ist. Dieses Feld wird nur für KMS Schlüssel in einem externen Schlüsselspeicher angezeigt.

Status des externen Schlüssels

Wo: Registerkarte für kryptografische Konfiguration

Der letzte Status, den der externe Schlüsselspeicher-Proxy für den externen Schlüssel gemeldet hat, der dem KMS Schlüssel zugeordnet ist. Dieses Feld wird nur für KMS Schlüssel in einem externen Schlüsselspeicher angezeigt.

Nutzung des externen Schlüssels

Wo: Registerkarte für kryptografische Konfiguration

Die kryptografischen Operationen, die für den externen Schlüssel aktiviert sind, der dem KMS Schlüssel zugeordnet ist. Dieses Feld wird nur für KMS Schlüssel in einem externen Schlüsselspeicher angezeigt.

Schlüsselrichtlinie

Wo: Registerkarte für Schlüsselrichtlinie

Steuert den Zugriff auf den KMS Schlüssel zusammen mit IAMRichtlinien und Zuschüssen. Jeder KMS Schlüssel hat eine wichtige Richtlinie. Es ist das einzige obligatorische Berechtigungselement. Um die Schlüsselrichtlinie eines kundenverwalteten KMS-Schlüssels zu ändern, wählen Sie auf der Registerkarte Key policy (Schlüsselrichtlinie) die Option Edit (Bearbeiten). Details hierzu finden Sie unter Wichtige Richtlinien in AWS KMS.

Schlüsselrotation

Wo: Registerkarte für Schlüsseldrehung

Aktiviert und deaktiviert die automatische Rotation des Schlüsselmaterials in einem vom Kunden verwalteten KMS Schlüssel. Um den Schlüsseldrehungs-Status eines kundenverwalteten KMS-Schlüssels zu ändern, verwenden Sie das Kontrollkästchen auf der Registerkarte Key rotation (Schlüsseldrehung).

Sie können die Drehung von Schlüsselmaterial in einem Von AWS verwalteter Schlüssel nicht aktivieren oder deaktivieren. Von AWS verwaltete Schlüssel werden automatisch jedes Jahr gedreht.

Schlüsselspezifikation

Wo: Registerkarte für kryptografische Konfiguration

Die Art des Schlüsselmaterials im KMS Schlüssel. AWS KMS unterstützt symmetrische KMS Verschlüsselungsschlüssel (SYMMETRIC_DEFAULT), HMAC KMS Schlüssel unterschiedlicher Länge, KMS Schlüssel für RSA Schlüssel unterschiedlicher Länge und Schlüssel mit elliptischen Kurven mit unterschiedlichen Kurven. Details hierzu finden Sie unter Key spec.

Schlüsseltyp

Wo: Registerkarte für kryptografische Konfiguration

Gibt an, ob der KMS Schlüssel symmetrisch oder asymmetrisch ist.

Schlüsselnutzung

Wo: Registerkarte für kryptografische Konfiguration

Gibt an, ob ein KMS Schlüssel zum Verschlüsseln und Entschlüsseln, Signieren und Überprüfen oder Generieren und Überprüfen verwendet werden kann. MAC Details hierzu finden Sie unter Key usage.

Urspung

Wo: Registerkarte für kryptografische Konfiguration

Die Quelle des Schlüsselmaterials für den KMS Schlüssel. Gültige Werte für sind:

MACAlgorithmen

Wo: Registerkarte für kryptografische Konfiguration

Listet die MAC Algorithmen auf, die mit einem HMAC KMS Schlüssel verwendet werden können AWS KMS. Dieses Feld wird nur angezeigt, wenn es sich bei der Schlüsselspezifikation um eine HMAC Schlüsselspezifikation (HMAC_*) handelt. Informationen zu den AWS KMS unterstützten MAC Algorithmen finden Sie unter. Wichtige Spezifikationen für Schlüssel HMAC KMS

Primärschlüssel

Wo: Registerkarte für Regionalität

Zeigt an, dass es sich bei diesem KMS Schlüssel um einen Primärschlüssel mit mehreren Regionen handelt. Autorisierte Benutzer können diesen Abschnitt zum Ändern des Primärschlüssels in einen anderen verwandten multiregionalen Schlüssel verwenden. Dieses Feld wird nur angezeigt, wenn es sich bei dem KMS Schlüssel um einen Primärschlüssel mit mehreren Regionen handelt.

Öffentlicher Schlüssel

Wo: Registerkarte für öffentliche Schlüssel

Zeigt den öffentlichen Schlüssel eines asymmetrischen KMS Schlüssels an. Autorisierte Benutzer können diese Registerkarte verwenden, um den öffentlichen Schlüssel zu kopieren und herunterzuladen.

Regionalität

Wo: Abschnitt über allgemeine Konfiguration und Registerkarten für Regionalität

Gibt an, ob es sich bei einem KMS Schlüssel um einen Schlüssel mit einer Region, einen Primärschlüssel mit mehreren Regionen oder um einen Replikatschlüssel mit mehreren Regionen handelt. Dieses Feld wird nur angezeigt, wenn es sich bei dem KMS Schlüssel um einen Schlüssel mit mehreren Regionen handelt.

Verwandte multiregionale Schlüssel

Wo: Registerkarte für Regionalität

Zeigt alle zugehörigen Primär- und Replikatschlüssel für mehrere Regionen an, mit Ausnahme des aktuellen Schlüssels. KMS Dieses Feld wird nur angezeigt, wenn es sich bei dem KMS Schlüssel um einen Schlüssel mit mehreren Regionen handelt.

Im Abschnitt über verwandte multiregionale Schlüssel eines Primärschlüssels können autorisierte Benutzer neue Replikatschlüssel erstellen.

Replikat-Schlüssel

Wo: Registerkarte für Regionalität

Zeigt an, dass es sich bei diesem KMS Schlüssel um einen Replikatschlüssel mit mehreren Regionen handelt. Dieses Feld wird nur angezeigt, wenn es sich bei dem KMS Schlüssel um einen Replikatschlüssel mit mehreren Regionen handelt.

Signaturalgorithmen

Wo: Registerkarte für kryptografische Konfiguration

Listet die Signaturalgorithmen auf, die mit dem eingegebenen KMS Schlüssel verwendet werden können. AWS KMS Dieses Feld wird nur angezeigt, wenn Key type (Schlüsseltyp) auf Asymmetric (Asymmetrisch) und Key usage (Schlüsselnutzung) auf Sign and verify (Signieren und Überprüfen) eingestellt ist. Hinweise zu den AWS KMS unterstützten Signaturalgorithmen finden Sie unter RSAwichtige Spezifikationen für das Signieren und Verifizieren undElliptic Curve(EC)-Schlüsselspezifikationen.

Status

Wo: Abschnitt über allgemeine Konfiguration

Der Schlüsselstatus des KMS Schlüssels. Sie können den KMS Schlüssel nur dann für kryptografische Operationen verwenden, wenn der Status Aktiviert lautet. Eine ausführliche Beschreibung der einzelnen KMS Schlüsselstatus und ihrer Auswirkungen auf die Operationen, die Sie mit dem KMS Schlüssel ausführen können, finden Sie unterWichtige Zustände von AWS KMS Schlüsseln.

Tags

Wo: Registerkarte für Tags

Optionale Schlüssel-Wert-Paare, die den KMS Schlüssel beschreiben. Um die Tags für einen KMS Schlüssel hinzuzufügen oder zu ändern, wählen Sie auf der Registerkarte Tags die Option Bearbeiten aus.

Wenn Sie Ihren AWS Ressourcen Tags hinzufügen, AWS wird ein Kostenverteilungsbericht generiert, in dem die Nutzung und die Kosten nach Stichwörtern zusammengefasst sind. Tags können auch verwendet werden, um den Zugriff auf einen KMS Schlüssel zu kontrollieren. Hinweise zum Markieren von KMS Schlüsseln finden Sie unter Schlagworte in AWS KMS undABACfür AWS KMS.

Die DescribeKeyOperation gibt Details zum angegebenen KMS Schlüssel zurück. Verwenden Sie die KMS Schlüssel-ID, den Schlüssel, den Aliasnamen oder den Alias ARN, um den Schlüssel zu identifizierenARN.

Im Gegensatz zu dem ListKeysVorgang, bei dem nur KMS Schlüssel im Konto und in der Region des Anrufers angezeigt werden, können autorisierte Benutzer den DescribeKey Vorgang verwenden, um Details zu KMS Schlüsseln in anderen Konten abzurufen.

Anmerkung

Die DescribeKey-Antwort enthält sowohl KeySpec und CustomerMasterKeySpec-Elemente mit den gleichen Werten. Das CustomerMasterKeySpec-Element ist veraltet.

Bei diesem Aufruf werden beispielsweise Informationen über einen symmetrischen KMS Verschlüsselungsschlüssel DescribeKey zurückgegeben. Die Felder in der Antwort variieren je nach AWS KMS key -Spezifikation, Schlüsselstatus und Ursprung des Schlüsselmaterials. Beispiele in verschiedenen Programmiersprachen finden Sie unter Verwenden Sie es DescribeKey mit einem AWS SDK oder CLI.

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1499988169.234,
        "MultiRegion": false,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}

In diesem Beispiel wird ein DescribeKey Vorgang mit einem asymmetrischen KMS Schlüssel aufgerufen, der zum Signieren und Überprüfen verwendet wird. Die Antwort umfasst die Signaturalgorithmen, die diesen KMS Schlüssel AWS KMS unterstützen.

$ aws kms describe-key --key-id 0987dcba-09fe-87dc-65ba-ab0987654321

{
    "KeyMetadata": {        
        "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "Origin": "AWS_KMS",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
        "KeyState": "Enabled",
        "KeyUsage": "SIGN_VERIFY",
        "CreationDate": 1569973196.214,
        "Description": "",
        "KeySpec": "ECC_NIST_P521",
        "CustomerMasterKeySpec": "ECC_NIST_P521",
        "AWSAccountId": "111122223333",
        "Enabled": true,
        "MultiRegion": false,
        "KeyManager": "CUSTOMER",
        "SigningAlgorithms": [
            "ECDSA_SHA_512"
        ]
    }
}