Identifizieren Sie verschiedene Schlüsseltypen

In der Spalte Schlüsseltyp der Tabelle Vom Kunden verwaltete Schlüssel wird angezeigt, ob die einzelnen KMS Schlüssel symmetrisch oder asymmetrisch sind. Sie können die Tabelle nach dem Wert Schlüsseltyp filtern, um nur asymmetrische KMS Schlüssel anzuzeigen. Weitere Informationen finden Sie unter Sortieren und filtern Sie Ihre KMS Schlüssel.

Auf der Registerkarte Kryptografische Konfiguration auf der Detailseite für einen KMS Schlüssel wird der Schlüsseltyp angezeigt, der angibt, ob der Schlüssel symmetrisch oder asymmetrisch ist. Außerdem wird die Schlüsselverwendung angezeigt, die angibt, ob Ihr asymmetrischer KMS Schlüssel zur Verschlüsselung und Entschlüsselung, Signierung und Überprüfung oder zur Ableitung gemeinsamer Geheimnisse verwendet wird.

Wenn Sie die DescribeKey Operation für einen asymmetrischen KMS Schlüssel aufrufen, enthält die Antwort die KeyUsage Werte KeySpec und, anhand derer bestimmt werden kann, ob ein KMS Schlüssel symmetrisch oder asymmetrisch ist.

Wenn der KeySpec Wert gleich istSYMMETRIC_DEFAULT, handelt es sich bei dem Schlüssel um einen symmetrischen Verschlüsselungsschlüssel. KMS Einzelheiten zu den Spezifikationen für asymmetrische Schlüssel finden Sie unter. Referenz zu wichtigen Spezifikationen

Wenn der KeyUsage Wert SIGN_VERIFY oder istKEY_AGREEMENT, handelt es sich bei dem Schlüssel um einen asymmetrischen KMS Schlüssel.

Die DescribeKey Operation gibt auch die folgenden Details für asymmetrische KMS Schlüssel zurück.

HMACKMSSchlüssel sind in der Tabelle mit vom Kunden verwalteten Schlüsseln enthalten, aber Sie können diese Tabelle nicht nach Schlüsselspezifikationen oder Schlüsselverwendungswerten sortieren oder filtern, die HMAC Schlüssel identifizieren. Um das Auffinden Ihrer HMAC Schlüssel zu erleichtern, weisen Sie ihnen einen eindeutigen Alias oder Tag zu. Dann können Sie nach dem Alias oder Tag sortieren oder filtern.

Auf der Registerkarte Kryptografische Konfiguration auf der Detailseite eines KMS Schlüssels wird der Schlüsseltyp angezeigt, der angibt, ob der Schlüssel symmetrisch oder asymmetrisch ist. HMACKMSSchlüssel sind symmetrisch. Auf der Registerkarte „Kryptografische Konfiguration“ wird auch die Schlüsselverwendung angezeigt. Bei HMAC KMS Schlüsseln lautet der Wert für die Schlüsselverwendung immer Generieren und überprüfen MAC.

Wenn Sie die DescribeKey Operation für eine HMAC KMS Taste aufrufen, enthält die Antwort die KeyUsage Werte KeySpec und. Bei HMAC KMS Schlüsseln ist der Wert für die Verwendung des Schlüssels immer GENERATE_VERIFY_MAC und der Wert der Schlüsselspezifikation beginnt immer mitHMAC_.

In der Tabelle mit vom Kunden verwalteten KMS Schlüsseln werden nur Schlüssel in der ausgewählten Region angezeigt. Sie können multiregionale Primär- und Replikatschlüssel in der ausgewählten Region anzeigen. Um die AWS Region zu ändern, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Konsole.

Um die Identifizierung von Schlüsseln mit mehreren Regionen in der Tabelle „Vom Kunden verwaltete Schlüssel“ zu vereinfachen, fügen Sie Ihrer Tabelle die Spalte Regionalität hinzu. Weitere Informationen dazu finden Sie unter Passen Sie Ihre KMS Schlüsseltabellen an.

Die Detailseite für KMS Schlüssel mit mehreren Regionen enthält die Registerkarte Regionalität. Die Registerkarte Regionality (Regionalität) eines Primärschlüssels enthält die Schaltflächen Primärbereich ändern und Neue Replikatschlüssel erstellen. (Die Regionalität-Registerkarte für einen Replikatschlüssel enthält keine dieser Schaltflächen.) Der Abschnitt Related multi-Region keys (verwandte multiregionale Schlüssel) listet alle multiregionale Schlüssel auf, die mit dem aktuellen verwandt sind. Wenn der aktuelle Schlüssel ein Replikatschlüssel ist, enthält diese Liste den Primärschlüssel.

Wenn Sie in der Tabelle „Verwandte Schlüssel für mehrere Regionen“ einen zugehörigen Schlüssel für mehrere Regionen auswählen, wechselt die AWS KMS Konsole zur Region des ausgewählten Schlüssels und die Detailseite für den Schlüssel wird geöffnet. Wenn Sie beispielsweise den Replikatschlüssel in der sa-east-1 Region aus dem Abschnitt „Verwandte Schlüssel für mehrere Regionen“ unten auswählen, wechselt die AWS KMS Konsole zur sa-east-1 Region, um die Detailseite für diesen Replikatschlüssel anzuzeigen. Sie könnten dies tun, um den Alias- oder die Schlüsselrichtlinie für den Replikatschlüssel anzuzeigen. Um die Region erneut zu ändern, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

Standardmäßig sind AWS KMS API Operationen regional und geben nur die Ressourcen in der aktuellen oder angegebenen Region zurück. Wenn Sie die DescribeKey Operation jedoch für einen KMS Schlüssel mit mehreren Regionen aufrufen, umfasst die Antwort alle zugehörigen Schlüssel für mehrere Regionen in anderen AWS Regionen des MultiRegionConfiguration Elements.

Um die Identifizierung von KMS Schlüsseln mit importiertem Schlüsselmaterial in der Tabelle „Vom Kunden verwaltete Schlüssel“ zu vereinfachen, fügen Sie Ihrer Tabelle die Origin-Spalte hinzu. Die Origin-Spalte erleichtert die Identifizierung von KMS Schlüsseln mit einem externen Ursprungseigenschaftswert (Schlüsselmaterial importieren). Weitere Informationen dazu finden Sie unter Passen Sie Ihre KMS Schlüsseltabellen an.

Auf der Registerkarte Kryptografische Konfiguration auf der Detailseite eines KMS Schlüssels wird der Ursprung angezeigt, der die Quelle des Schlüsselmaterials für den KMS Schlüssel identifiziert. Bei KMS Schlüsseln mit importiertem Schlüsselmaterial ist der Ursprungswert immer Extern (Schlüsselmaterial importieren). Die Detailseite enthält auch eine Registerkarte Schlüsselmaterial, die detaillierte Informationen über das importierte Schlüsselmaterial enthält. Die Registerkarte Schlüsselmaterial wird nur auf der Detailseite für KMS Schlüssel mit importiertem Schlüsselmaterial angezeigt.

Wenn Sie die DescribeKey Operation für einen KMS Schlüssel mit importiertem Schlüsselmaterial aufrufen, enthält die Antwort die ValidTo Werte OriginExpirationModel, und. Bei KMS Schlüsseln mit importiertem Schlüsselmaterial ist der Ursprungswert immerEXTERNAL. Der ExpirationModel Wert gibt an, ob das Schlüsselmaterial abläuft oder nicht, und der ValidTo Wert gibt an, wann das Schlüsselmaterial abläuft. Weitere Informationen finden Sie unter Festlegen einer Ablaufzeit (optional).

Um die Identifizierung von KMS Schlüsseln in AWS CloudHSM Schlüsselspeichern in der Tabelle „Vom Kunden verwaltete Schlüssel“ zu vereinfachen, fügen Sie Ihrer Tabelle die Origin-Spalte hinzu. Die Origin-Spalte erleichtert die Identifizierung von KMS Schlüsseln mit einem AWS CloudHSMUrsprungseigenschaftswert. Weitere Informationen dazu finden Sie unter Passen Sie Ihre KMS Schlüsseltabellen an.

Auf der Registerkarte Kryptografische Konfiguration auf der Detailseite eines KMS Schlüssels wird der Ursprung angezeigt, der die Quelle des Schlüsselmaterials für den KMS Schlüssel identifiziert. Für KMS Schlüssel in AWS CloudHSM Schlüsselspeichern ist der Ursprungswert immer AWS CloudHSM.

Für einen KMS Schlüssel in einem AWS CloudHSM Schlüsselspeicher enthält die Registerkarte Kryptografische Konfiguration einen zusätzlichen Abschnitt, Benutzerdefinierter Schlüsselspeicher, der Informationen über den AWS CloudHSM Schlüsselspeicher und den AWS CloudHSM Cluster enthält, die dem KMS Schlüssel zugeordnet sind.

Wenn Sie die DescribeKey Operation für einen KMS Schlüssel in einem AWS CloudHSM Schlüsselspeicher aufrufen, enthält die Antwort denOrigin, der die Quelle des Schlüsselmaterials identifiziert. Für KMS Schlüssel in einem AWS CloudHSM Schlüsselspeicher ist der Ursprungswert immerAWS_CLOUDHSM. Die Operation gibt auch die folgenden Spezialfelder für KMS Schlüssel in AWS CloudHSM Schlüsselspeichern zurück:

Um die Identifizierung von KMS Schlüsseln in externen Schlüsselspeichern in der Tabelle mit vom Kunden verwalteten Schlüsseln zu vereinfachen, fügen Sie Ihrer Tabelle die Origin-Spalte hinzu. Die Origin-Spalte erleichtert die Identifizierung von KMS Schlüsseln mit einem Eigenschaftswert für den externen Schlüsselspeicher. Weitere Informationen dazu finden Sie unter Passen Sie Ihre KMS Schlüsseltabellen an.

Auf der Registerkarte Kryptografische Konfiguration auf der Detailseite eines KMS Schlüssels wird der Ursprung angezeigt, der die Quelle des Schlüsselmaterials für den KMS Schlüssel identifiziert. Für KMS Schlüssel in externen Schlüsselspeichern lautet der Ursprungswert immer Externer Schlüsselspeicher.

Für einen KMS Schlüssel in einem externen Schlüsselspeicher enthält die Registerkarte Kryptografische Konfiguration zwei zusätzliche Abschnitte: Benutzerdefinierter Schlüsselspeicher und Externer Schlüssel. Die Tabelle Benutzerdefinierter Schlüsselspeicher enthält Informationen über den externen Schlüsselspeicher, der dem KMS Schlüssel zugeordnet ist. Die Tabelle mit externen Schlüsseln wird in der AWS KMS Konsole nur für KMS Schlüssel in externen Schlüsselspeichern angezeigt. Sie enthält Informationen über den externen Schlüssel, der dem KMS Schlüssel zugeordnet ist. Der externe Schlüssel ist ein kryptografischer Schlüssel AWS , der nicht als Schlüsselmaterial für den KMS Schlüssel im externen Schlüsselspeicher dient. Wenn Sie mit dem Schlüssel ver- oder entschlüsseln, wird der Vorgang von Ihrem externen KMS Schlüsselmanager unter Verwendung des angegebenen externen Schlüssels ausgeführt.

Die folgenden Werte werden im Abschnitt External key (Externer Schlüssel) angezeigt.

Wenn Sie die DescribeKey Operation für einen KMS Schlüssel in einem externen Schlüsselspeicher aufrufen, enthält die Antwort denOrigin, der die Quelle des Schlüsselmaterials identifiziert. Für KMS Schlüssel in einem AWS CloudHSM Schlüsselspeicher ist der Ursprungswert immerEXTERNAL_KEY_STORE. Die Operation gibt auch das CustomKeyStoreId Element zurück, das den externen Schlüsselspeicher identifiziert, der den KMS Schlüsseln zugeordnet ist.