Identifizieren Sie verschiedene Schlüsseltypen

In der Spalte Schlüsseltyp der Tabelle Vom Kunden verwaltete Schlüssel wird angezeigt, ob jeder KMS-Schlüssel symmetrisch oder asymmetrisch ist. Sie können die Tabelle nach dem Wert Schlüsseltyp filtern, um nur asymmetrische KMS-Schlüssel anzuzeigen. Weitere Informationen finden Sie unter Sortieren und filtern Sie Ihre KMS-Schlüssel.

Auf der Registerkarte Kryptografische Konfiguration auf der Detailseite für einen KMS-Schlüssel wird der Schlüsseltyp angezeigt, der angibt, ob der Schlüssel symmetrisch oder asymmetrisch ist. Außerdem wird die Schlüsselverwendung angezeigt, die angibt, ob Ihr asymmetrischer KMS-Schlüssel zur Verschlüsselung und Entschlüsselung, Signierung und Überprüfung oder zum Ableiten von gemeinsamen Geheimnissen verwendet wird.

Wenn Sie den DescribeKey Vorgang für einen asymmetrischen KMS-Schlüssel aufrufen, enthält die Antwort die KeyUsage Werte KeySpec und, anhand derer bestimmt werden kann, ob ein KMS-Schlüssel symmetrisch oder asymmetrisch ist.

Wenn der KeySpec Wert istSYMMETRIC_DEFAULT, handelt es sich bei dem Schlüssel um einen KMS-Schlüssel mit symmetrischer Verschlüsselung. Einzelheiten zu den Spezifikationen für asymmetrische Schlüssel finden Sie unter. Referenz zu wichtigen Spezifikationen

Wenn der KeyUsage Wert SIGN_VERIFY oder istKEY_AGREEMENT, handelt es sich bei dem Schlüssel um einen asymmetrischen KMS-Schlüssel.

Der DescribeKey Vorgang gibt auch die folgenden Details für asymmetrische KMS-Schlüssel zurück.

HMAC-KMS-Schlüssel sind in der Tabelle mit vom Kunden verwalteten Schlüsseln enthalten, aber Sie können diese Tabelle nicht nach den Schlüsselspezifikationen oder Schlüsselverwendungswerten sortieren oder filtern, die HMAC-Schlüssel identifizieren. Um das Auffinden Ihrer HMAC-Schlüssel zu erleichtern, weisen Sie ihnen einen unverwechselbaren Alias oder Tag zu. Dann können Sie nach dem Alias oder Tag sortieren oder filtern.

Auf der Registerkarte Kryptografische Konfiguration auf der Detailseite für einen KMS-Schlüssel wird der Schlüsseltyp angezeigt, der angibt, ob der Schlüssel symmetrisch oder asymmetrisch ist. HMAC-KMS-Schlüssel sind symmetrisch. Auf der Registerkarte Kryptografische Konfiguration wird auch die Schlüsselverwendung angezeigt. Bei HMAC-KMS-Schlüsseln lautet der Wert für die Schlüsselnutzung immer MAC generieren und verifizieren.

Wenn Sie den DescribeKey Vorgang mit einem HMAC-KMS-Schlüssel aufrufen, enthält die Antwort die KeyUsage Werte KeySpec und. Bei HMAC-KMS-Schlüsseln ist der Wert für die Schlüsselverwendung immer GENERATE_VERIFY_MAC und der Wert für die Schlüsselspezifikation beginnt immer mit. HMAC_

In der Tabelle mit vom Kunden verwalteten Schlüsseln werden nur KMS-Schlüssel in der ausgewählten Region angezeigt. Sie können multiregionale Primär- und Replikatschlüssel in der ausgewählten Region anzeigen. Um die AWS Region zu ändern, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Konsole.

Um die Identifizierung von Schlüsseln mit mehreren Regionen in der Tabelle „Vom Kunden verwaltete Schlüssel“ zu vereinfachen, fügen Sie Ihrer Tabelle die Spalte Regionalität hinzu. Weitere Informationen dazu finden Sie unter Passen Sie Ihre KMS-Schlüsseltabellen an.

Die Detailseite für KMS-Schlüssel mit mehreren Regionen enthält die Registerkarte Regionalität. Die Registerkarte Regionality (Regionalität) eines Primärschlüssels enthält die Schaltflächen Primärbereich ändern und Neue Replikatschlüssel erstellen. (Die Regionalität-Registerkarte für einen Replikatschlüssel enthält keine dieser Schaltflächen.) Der Abschnitt Related multi-Region keys (verwandte multiregionale Schlüssel) listet alle multiregionale Schlüssel auf, die mit dem aktuellen verwandt sind. Wenn der aktuelle Schlüssel ein Replikatschlüssel ist, enthält diese Liste den Primärschlüssel.

Wenn Sie einen verwandten Schlüssel für mehrere Regionen aus der Tabelle Verwandte Schlüssel für mehrere Regionen auswählen, wechselt die AWS KMS Konsole zur Region des ausgewählten Schlüssels und die Detailseite für den Schlüssel wird geöffnet. Wenn Sie beispielsweise den Replikatschlüssel in der sa-east-1 Region aus dem Abschnitt „Verwandte Schlüssel für mehrere Regionen“ unten auswählen, wechselt die AWS KMS Konsole zur sa-east-1 Region, um die Detailseite für diesen Replikatschlüssel anzuzeigen. Sie könnten dies tun, um den Alias- oder die Schlüsselrichtlinie für den Replikatschlüssel anzuzeigen. Um die Region erneut zu ändern, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

Standardmäßig sind AWS KMS API-Operationen regional und geben nur die Ressourcen in der aktuellen oder angegebenen Region zurück. Wenn Sie den DescribeKey Vorgang jedoch für einen KMS-Schlüssel mit mehreren Regionen aufrufen, umfasst die Antwort alle zugehörigen Schlüssel für mehrere Regionen in anderen AWS Regionen des MultiRegionConfiguration Elements.

Um die Identifizierung von KMS-Schlüsseln mit importiertem Schlüsselmaterial in der Tabelle mit vom Kunden verwalteten Schlüsseln zu vereinfachen, fügen Sie Ihrer Tabelle die Origin-Spalte hinzu. In der Ursprung-Spalte sind KMS-Schlüssel mit einem Externen (Schlüsselmaterial importieren)-Ursprung-Eigenschaftswert leicht erkennbar. Weitere Informationen dazu finden Sie unter Passen Sie Ihre KMS-Schlüsseltabellen an.

Auf der Registerkarte Kryptografische Konfiguration auf der Detailseite für einen KMS-Schlüssel wird der Ursprung angezeigt, der die Quelle des Schlüsselmaterials für den KMS-Schlüssel identifiziert. Bei KMS-Schlüsseln mit importiertem Schlüsselmaterial ist der Ursprungswert immer Extern (Schlüsselmaterial importieren). Die Detailseite enthält auch eine Registerkarte Schlüsselmaterial, die detaillierte Informationen über das importierte Schlüsselmaterial enthält. Die Registerkarte Schlüsselmaterial wird nur auf der Detailseite für KMS-Schlüssel mit importiertem Schlüsselmaterial angezeigt.

Wenn Sie den DescribeKey Vorgang für einen KMS-Schlüssel mit importiertem Schlüsselmaterial aufrufen, enthält die Antwort die ValidTo Werte OriginExpirationModel, und. Bei KMS-Schlüsseln mit importiertem Schlüsselmaterial ist der Ursprungswert immerEXTERNAL. Der ExpirationModel Wert gibt an, ob das Schlüsselmaterial abläuft oder nicht, und der ValidTo Wert gibt an, wann das Schlüsselmaterial abläuft. Weitere Informationen finden Sie unter Festlegen einer Ablaufzeit (optional).

Um die Identifizierung von KMS-Schlüsseln in AWS CloudHSM Schlüsselspeichern in der Tabelle mit vom Kunden verwalteten Schlüsseln zu vereinfachen, fügen Sie Ihrer Tabelle die Origin-Spalte hinzu. In der Origin (Ursprung)-Spalte sind KMS-Schlüssel mit einem AWS CloudHSM-Ursprung-Eigenschaftswert leicht erkennbar. Weitere Informationen dazu finden Sie unter Passen Sie Ihre KMS-Schlüsseltabellen an.

Auf der Registerkarte Kryptografische Konfiguration auf der Detailseite für einen KMS-Schlüssel wird der Ursprung angezeigt, der die Quelle des Schlüsselmaterials für den KMS-Schlüssel identifiziert. Bei KMS-Schlüsseln in AWS CloudHSM Schlüsselspeichern ist der Ursprungswert immer AWS CloudHSM.

Für einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher enthält die Registerkarte Kryptografische Konfiguration einen zusätzlichen Abschnitt, Benutzerdefinierter Schlüsselspeicher, der Informationen über den AWS CloudHSM Schlüsselspeicher und den AWS CloudHSM Cluster enthält, die dem KMS-Schlüssel zugeordnet sind.

Wenn Sie den DescribeKey Vorgang mit einem KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher aufrufen, enthält die Antwort denOrigin, der die Quelle des Schlüsselmaterials identifiziert. Bei KMS-Schlüsseln in einem AWS CloudHSM Schlüsselspeicher ist der Ursprungswert immerAWS_CLOUDHSM. Die Operation gibt auch die folgenden speziellen Felder für KMS-Schlüssel in AWS CloudHSM Schlüsselspeichern zurück:

Um die Identifizierung von KMS-Schlüsseln in externen Schlüsselspeichern in der Tabelle mit vom Kunden verwalteten Schlüsseln zu vereinfachen, fügen Sie Ihrer Tabelle die Origin-Spalte hinzu. Die Origin-Spalte erleichtert die Identifizierung von KMS-Schlüsseln mit dem Eigenschaftswert „Externer Schlüsselspeicher“. Weitere Informationen dazu finden Sie unter Passen Sie Ihre KMS-Schlüsseltabellen an.

Auf der Registerkarte Kryptografische Konfiguration auf der Detailseite für einen KMS-Schlüssel wird der Ursprung angezeigt, der die Quelle des Schlüsselmaterials für den KMS-Schlüssel identifiziert. Für KMS-Schlüssel in externen Schlüsselspeichern lautet der Ursprungswert immer Externer Schlüsselspeicher.

Für einen KMS-Schlüssel in einem externen Schlüsselspeicher enthält die Registerkarte Kryptografische Konfiguration zwei zusätzliche Abschnitte: Benutzerdefinierter Schlüsselspeicher und Externer Schlüssel. Die Tabelle Benutzerdefinierter Schlüsselspeicher enthält Informationen über den externen Schlüsselspeicher, der dem KMS-Schlüssel zugeordnet ist. Die Tabelle mit externen Schlüsseln wird in der AWS KMS Konsole nur für KMS-Schlüssel in externen Schlüsselspeichern angezeigt. Er enthält Informationen über den externen Schlüssel, der dem KMS-Schlüssel zugeordnet ist. Der externe Schlüssel ist ein kryptografischer Schlüssel AWS , der jedoch als Schlüsselmaterial für den KMS-Schlüssel im externen Schlüsselspeicher dient. Wenn Sie mit dem KMS-Schlüssel verschlüsseln oder entschlüsseln, wird der Vorgang von Ihrem externen Schlüsselmanager unter Verwendung des angegebenen externen Schlüssels ausgeführt.

Die folgenden Werte werden im Abschnitt External key (Externer Schlüssel) angezeigt.

Wenn Sie den DescribeKey Vorgang für einen KMS-Schlüssel in einem externen Schlüsselspeicher aufrufen, enthält die Antwort denOrigin, der die Quelle des Schlüsselmaterials identifiziert. Bei KMS-Schlüsseln in einem AWS CloudHSM Schlüsselspeicher ist der Ursprungswert immerEXTERNAL_KEY_STORE. Die Operation gibt auch das CustomKeyStoreId Element zurück, das den externen Schlüsselspeicher identifiziert, der den KMS-Schlüsseln zugeordnet ist.