Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Schlüssel identifizieren und anzeigen
Sie können die [API [AWS-Managementkonsole](https://console.aws.amazon.com/kms)oder AWS Key Management Service (AWS KMS) verwenden, um Informationen](https://docs.aws.amazon.com/kms/latest/APIReference/) für jedes Konto und jede Region anzuzeigen AWS KMS keys , einschließlich der KMS-Schlüssel, die Sie verwalten, und der KMS-Schlüssel, die von verwaltet werden AWS.
**Topics**
+ [Abrufen von Schlüssel-ID und Schlüssel-ARN](find-cmk-id-arn.md)
+ [KMS-Schlüsseldetails aufrufen und auflisten](finding-keys.md)
+ [Identifizieren Sie verschiedene Schlüsseltypen](identify-key-types.md)
+ [Passen Sie Ihre Konsolenansicht an](viewing-console-customize.md)
+ [Suchen Sie KMS-Schlüssel und Schlüsselmaterial in einem AWS CloudHSM Schlüsselspeicher](find-key-material.md)
# Abrufen von Schlüssel-ID und Schlüssel-ARN
Um einen zu identifizieren AWS KMS key, können Sie die [Schlüssel-ID](concepts.md#key-id-key-id) oder den Amazon-Ressourcennamen ([Schlüssel-ARN](concepts.md#key-id-key-ARN)) verwenden. Bei [kryptografischen Produktionen](kms-cryptography.md#cryptographic-operations) können Sie auch den [Aliasnamen](concepts.md#key-id-alias-name) oder den [Alias-ARN](concepts.md#key-id-alias-ARN)verwenden.
Sie können die [AWS KMS Konsole](https://console.aws.amazon.com/kms) oder den [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)Vorgang verwenden, um die Schlüssel-ID und den Schlüssel-ARN jedes KMS-Schlüssels in Ihrem Konto und Ihrer Region zu identifizieren.
Ausführliche Informationen zu den KMS-Schlüsselkennungen, die von unterstützt werden AWS KMS, finden Sie unter[Schlüsselkennungen () KeyId](concepts.md#key-id). Weitere Informationen zur Suche nach Aliasnamen und Alias-ARN finden Sie unter [Suchen Sie den Aliasnamen und den Alias-ARN für einen KMS-Schlüssel](alias-view.md).
## Verwenden der Konsole AWS KMS
1. Öffnen Sie die AWS KMS Konsole unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Zum Anzeigen der Schlüssel in Ihrem Konto, die Sie erstellen und verwalten, wählen Sie im Navigationsbereich **Customer managed keys (Vom Kunden verwaltete Schlüssel)** aus. **Um die Schlüssel in Ihrem Konto anzuzeigen, das für Sie AWS erstellt und verwaltet wird, wählen AWS Sie im Navigationsbereich die Option Verwaltete Schlüssel aus.**
1. Um die [Schlüssel-ID](concepts.md#key-id-key-id) für einen KMS-Schlüssel zu finden, suchen Sie nach der Zeile, die mit dem KMS-Schlüssel-Alias beginnt.
Die Spalte **Key ID (Schlüssel-ID)** wird standardmäßig in den Tabellen angezeigt. Wenn die Schlüssel-ID-Spalte nicht in der Tabelle angezeigt wird, verwenden Sie das unter [Passen Sie Ihre Konsolenansicht an](viewing-console-customize.md) beschriebene Verfahren, um sie wiederherzustellen. Sie können die Schlüssel-ID eines KMS-Schlüssels auch auf der Detailseite anzeigen.
![\[Kundenverwaltete Schlüssel table showing Key ID for a single key-test alias.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/find-key-id-new.png)
1. Um den Amazon-Ressourcennamen (ARN) des KMS-Schlüssels zu suchen, wählen Sie die Schlüssel-ID oder den Alias aus. Der [Schlüssel-ARN](concepts.md#key-id-key-ARN) wird im Bereich **General Configuration** (Allgemeine Konfiguration) angezeigt.
![\[General configuration section showing key alias, status, and ARN details.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/find-key-arn.png)
## Verwenden der AWS KMS API
Verwenden Sie die [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)Operation, um die [Schlüssel-ID](concepts.md#key-id-key-id) [und den Schlüssel-ARN](concepts.md#key-id-key-ARN) eines AWS KMS key zu ermitteln.
Der `ListKeys` Vorgang gibt die Schlüssel-ID und den Amazon-Ressourcennamen (ARN) aller KMS-Schlüssel im Konto und in der Region des Anrufers zurück.
Dieser Aufruf der `ListKeys`-Produktion gibt beispielsweise die ID und den ARN jedes KMS-Schlüssels in diesem fiktiven Konto zurück. Beispiele in verschiedenen Programmiersprachen finden Sie unter [Verwendung `ListKeys` mit einem AWS SDK oder CLI](example_kms_ListKeys_section.md).
```
$ aws kms list-keys
{
"Keys": [
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyArn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"KeyArn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
]
}
```
# KMS-Schlüsseldetails aufrufen und auflisten
Sie können die [AWS KMS Konsole](https://console.aws.amazon.com/kms) oder den [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Vorgang verwenden, um auf detaillierte Informationen zu den KMS-Schlüsseln im Konto und in der Region zuzugreifen und diese aufzulisten.
Die folgenden Verfahren zeigen, wie Sie auf KMS-Schlüsseldetails wie Schlüssel-ID, Schlüsselspezifikation, Schlüsselverwendung und mehr zugreifen können.
## Verwenden der Konsole AWS KMS
Die Detailseite für jeden KMS-Schlüssel zeigt die Eigenschaften des KMS-Schlüssels an. Sie unterscheidet sich geringfügig für die verschiedenen Arten von KMS-Schlüsseln.
Um detaillierte Informationen zu einem KMS-Schlüssel anzuzeigen, wählen Sie auf der Seite **Von AWS verwaltete Schlüssel **oder **Vom Kunden verwaltete Schlüssel** den Alias oder die Schlüssel-ID des KMS-Schlüssels aus.
Die Detailseite eines KMS-Schlüssels enthält den Abschnitt **General Configuration (allgemeine Konfiguration)**, der die grundlegenden Eigenschaften des KMS-Schlüssels anzeigt. Sie enthält auch Registerkarten, auf denen Sie Eigenschaften des KMS-Schlüssels anzeigen und bearbeiten können, z. B. **Schlüsselrichtlinie**, **kryptografische Konfiguration**, **Tags**, **Schlüsselmaterial und Rotationen** (für KMS-Schlüssel, die automatische oder On-Demand-Rotation unterstützen), **Regionalität** (für Schlüssel mit mehreren Regionen) und **Öffentlicher Schlüssel (für asymmetrische KMS-Schlüssel**).
**Anmerkung**
In der AWS KMS Konsole werden die KMS-Schlüssel angezeigt, zu deren [Anzeige Sie in Ihrem Konto und Ihrer Region berechtigt](customer-managed-policies.md#iam-policy-example-read-only-console) sind. KMS-Schlüssel unter „Andere“ werden AWS-Konten nicht in der Konsole angezeigt, auch wenn Sie berechtigt sind, sie anzuzeigen, zu verwalten und zu verwenden. Verwenden Sie den [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Vorgang, um KMS-Schlüssel in anderen Konten anzuzeigen.
So navigieren Sie zur Detailseite für einen KMS-Schlüssel.
1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Zum Anzeigen der Schlüssel in Ihrem Konto, die Sie erstellen und verwalten, wählen Sie im Navigationsbereich **Customer managed keys (Vom Kunden verwaltete Schlüssel)** aus. **Um die Schlüssel in Ihrem Konto anzuzeigen, das für Sie AWS erstellt und verwaltet wird, wählen AWS Sie im Navigationsbereich die Option Verwaltete Schlüssel aus.**
1. Um die Seite mit den Schlüsseldetails zu öffnen, wählen Sie in der Schlüsseltabelle die Schlüssel-ID oder den Alias des KMS-Schlüssels aus.
Wenn der KMS-Schlüssel mehrere Aliase enthält, wird eine Aliasübersicht (**\$1*n* mehr**) neben dem Namen des Aliases angezeigt. Wenn Sie die Aliasübersicht auswählen, gelangen Sie direkt zur **Aliases (Aliase)**-Registerkarte auf der Seite mit den Schlüsseldetails.
![\[AWS KMSKundenverwalteter Schlüssel details showing general and cryptographic configurations.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/console-key-detail-view-symmetric-sm.png)
In der folgenden Liste werden die Felder in der Detailanzeige beschrieben, einschließlich der Felder in den Registerkarten. Einige dieser Felder sind auch als Spalten in der Tabellenanzeige verfügbar.
**Aliase**
Wo: Registerkarte für Aliase
Ein Anzeigename für den KMS-Schlüssel Sie können einen Alias verwenden, um den KMS-Schlüssel in der Konsole und in einigen Konsolen zu identifizieren AWS KMS APIs. Details hierzu finden Sie unter [Aliase in AWS KMS](kms-alias.md).
Auf der Registerkarte **Aliase** werden alle Aliase angezeigt, die dem KMS-Schlüssel in der Region AWS-Konto und zugeordnet sind.
**ARN**
Wo: Abschnitt über allgemeine Konfiguration
Der Amazon-Ressourcenname (ARN) eines KMS-Schlüssels. Dieser Wert identifiziert den KMS-Schlüssel eindeutig. Sie können damit den KMS-Schlüssel in AWS KMS -API-Operationen identifizieren.
**Verbindungsstatus**
Gibt an, ob ein [benutzerdefinierter Schlüsselspeicher](key-store-overview.md#custom-key-store-overview) mit seinem Unterstützungsschlüsselspeicher verbunden ist. Dieses Feld wird nur angezeigt, wenn der KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher erstellt wird.
Informationen zu den Werten in diesem Feld finden Sie [ConnectionState](https://docs.aws.amazon.com/kms/latest/APIReference/API_CustomKeyStoresListEntry.html#KMS-Type-CustomKeyStoresListEntry-ConnectionState)in der *AWS KMS API-Referenz*.
**Erstellungsdatum**
Wo: Abschnitt über allgemeine Konfiguration
Datum und Uhrzeit, wann der KMS-Schlüssel erstellt wurde. Dieser Wert wird in Ortszeit für das Gerät angezeigt. Die Zeitzone hängt nicht von der Region ab.
Anders als bei **Ablauf** bezieht sich die Erstellung nur auf den KMS-Schlüssel, nicht auf sein Schlüsselmaterial.
**CloudHSM-Cluster-ID**
Wo: Registerkarte für kryptografische Konfiguration
Die Cluster-ID des AWS CloudHSM Clusters, der das Schlüsselmaterial für den KMS-Schlüssel enthält. Dieses Feld wird nur angezeigt, wenn der KMS-Schlüssel in einem [benutzerdefinierten Schlüsselspeicher](key-store-overview.md#custom-key-store-overview) erstellt wird.
Wenn Sie die CloudHSM-Cluster-ID wählen, wird die **Cluster-Seite** in der AWS CloudHSM Konsole geöffnet.
**Aktuelles Schlüsselmaterial**
Wo: Abschnitt über allgemeine Konfiguration
Symmetrische Verschlüsselungsschlüssel mit `AWS_KMS` Ursprung unterstützen sowohl die automatische Rotation als auch die Rotation nach Bedarf. Symmetrische Verschlüsselungsschlüssel mit `EXTERNAL` Ursprung unterstützen die Rotation nach Bedarf. Diesen Schlüsseln können mehrere Schlüsselmaterialien zugeordnet sein. Das zuletzt rotierte Schlüsselmaterial kann sowohl für die Verschlüsselung als auch für die Entschlüsselung verwendet werden. Dieses Schlüsselmaterial wird als das aktuelle Schlüsselmaterial identifiziert. Andere Schlüsselmaterialien können nur zur Entschlüsselung verwendet werden. Durch die automatische oder bedarfsgesteuerte Schlüsselrotation eines KMS-Schlüssels wird das aktuelle Schlüsselmaterial geändert.
**ID des benutzerdefinierten Schlüsselspeichers**
Wo: Registerkarte für kryptografische Konfiguration
Die ID des [benutzerdefinierten Schlüsselspeichers](key-store-overview.md#custom-key-store-overview), der den KMS-Schlüssel enthält. Dieses Feld wird nur angezeigt, wenn der KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher erstellt wird.
Wenn Sie die benutzerdefinierte Schlüsselspeicher-ID wählen, wird die Seite **Benutzerdefinierte Schlüsselspeicher** in der AWS KMS Konsole geöffnet.
**Name des benutzerdefinierten Schlüsselspeichers**
Wo: Registerkarte für kryptografische Konfiguration
Der Name des [benutzerdefinierten Schlüsselspeichers](key-store-overview.md#custom-key-store-overview), der den KMS-Schlüssel enthält. Dieses Feld wird nur angezeigt, wenn der KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher erstellt wird.
**Typ des benutzerdefinierten Schlüsselspeichers**
Wo: Registerkarte für kryptografische Konfiguration
Gibt an, ob der benutzerdefinierte Schlüsselspeicher ein [AWS CloudHSM Schlüsselspeicher](keystore-cloudhsm.md) oder ein [externer Schlüsselspeicher](keystore-external.md) ist. Dieses Feld wird nur angezeigt, wenn der KMS-Schlüssel in einem [benutzerdefinierten Schlüsselspeicher](key-store-overview.md#custom-key-store-overview) erstellt wird.
**Description**
Wo: Abschnitt über allgemeine Konfiguration
Eine kurze, optionale Beschreibung des KMS-Schlüssels, die Sie schreiben und bearbeiten können. Um die Beschreibung eines kundenverwalteten Schlüssels hinzuzufügen oder zu aktualisieren, wählen Sie über **General Configuration (allgemeine Konfiguration)** **Edit (Bearbeiten)** aus.
**Verschlüsselungsalgorithmen**
Wo: Registerkarte für kryptografische Konfiguration
Listet die Verschlüsselungsalgorithmen auf, die mit dem KMS-Schlüssel in AWS KMS verwendet werden können. Dieses Feld wird nur angezeigt, wenn **Key type (Schlüsseltyp)** auf **Asymmetric (Asymmetrisch)** und **Key usage (Schlüsselnutzung)** auf **Encrypt and decrypt (Verschlüsseln und Entschlüsseln)** eingestellt ist. Informationen zu den AWS KMS unterstützten Verschlüsselungsalgorithmen finden Sie unter [Schlüsselspezifikation SYMMMETRIC\$1DEFAULT](symm-asymm-choose-key-spec.md#symmetric-cmks) und[RSA-Schlüsselspezifikationen für Verschlüsselung und Entschlüsselung](symm-asymm-choose-key-spec.md#key-spec-rsa-encryption).
**Ablaufdatum**
Wo: Registerkarte für Schlüsselmaterial
Datum und Uhrzeit des Zeitpunkts, an dem das Schlüsselmaterial für den KMS-Schlüssel abläuft. Dieses Feld wird nur bei KMS-Schlüsseln mit [importiertem Schlüsselmaterial](importing-keys.md) angezeigt, das heißt, wenn der **Ursprung** **extern** ist und der KMS-Schlüssel Schlüsselmaterial enthält, das abläuft. Symmetrischen Verschlüsselungsschlüsseln können mehrere Schlüsselmaterialien zugeordnet sein. Für solche Schlüssel gibt dieses Feld das früheste Datum und die Uhrzeit an, zu der eines der zugehörigen Schlüsselmaterialien abläuft.
**ID des externen Schlüssels**
Wo: Registerkarte für kryptografische Konfiguration
Die ID des [externen Schlüssels](keystore-external.md#concept-external-key), der einem KMS-Schlüssel in einem [externen Schlüsselspeicher](keystore-external.md) zugeordnet ist. Dieses Feld wird nur für KMS-Schlüssel in einem externen Schlüsselspeicher angezeigt.
**Status des externen Schlüssels**
Wo: Registerkarte für kryptografische Konfiguration
Der letzte Status, den der [externe Schlüsselspeicher-Proxy](keystore-external.md#concept-xks-proxy) für den [externen Schlüssel](keystore-external.md#concept-external-key) gemeldet hat, der dem KMS-Schlüssel zugeordnet ist. Dieses Feld wird nur für KMS-Schlüssel in einem externen Schlüsselspeicher angezeigt.
**Nutzung des externen Schlüssels**
Wo: Registerkarte für kryptografische Konfiguration
Die kryptografischen Vorgänge, die für den [externen Schlüssel](keystore-external.md#concept-external-key) aktiviert sind, der dem KMS-Schlüssel zugeordnet ist. Dieses Feld wird nur für KMS-Schlüssel in einem externen Schlüsselspeicher angezeigt.
**Schlüsselrichtlinie**
Wo: Registerkarte für Schlüsselrichtlinie
Steuert den Zugriff auf den KMS-Schlüssel zusammen mit [IAM-Richtlinien](iam-policies.md) und [Erteilungen](grants.md). Jeder KMS-Schlüssel besitzt eine Schlüsselrichtlinie. Es ist das einzige obligatorische Berechtigungselement. Um die Schlüsselrichtlinie eines kundenverwalteten KMS-Schlüssels zu ändern, wählen Sie auf der Registerkarte **Key policy (Schlüsselrichtlinie)** die Option **Edit (Bearbeiten)**. Details hierzu finden Sie unter [Wichtige Richtlinien in AWS KMS](key-policies.md).
**Schlüsselmaterial und Rotationen**
Wo: Registerkarte „Schlüsselmaterial und Rotationen“
Diese Registerkarte wird nur für symmetrische Verschlüsselungsschlüssel mit `AWS_KMS` Ursprung (die sowohl automatische Rotation als auch On-Demand-Rotation unterstützen) sowie für symmetrische Verschlüsselungsschlüssel mit `EXTERNAL` Ursprung mit einer Region (die Rotation nach Bedarf unterstützen) angezeigt.
Die Registerkarte besteht aus drei Bereichen:
Automatische Rotation: Aktiviert und deaktiviert die [automatische Rotation](rotate-keys.md) des Schlüsselmaterials in einem vom [Kunden verwalteten KMS-Schlüssel](concepts.md#customer-mgn-key). Verwenden Sie das Kontrollkästchen, um den Status der Schlüsselrotation eines vom [Kunden verwalteten Schlüssels](concepts.md#customer-mgn-key) zu ändern. Sie können die Drehung von Schlüsselmaterial in einem [Von AWS verwalteter Schlüssel](concepts.md#aws-managed-key) nicht aktivieren oder deaktivieren. Von AWS verwaltete Schlüssel werden automatisch jedes Jahr gedreht.
Rotation nach Bedarf: Initiieren Sie eine [On-Demand-Rotation](rotate-keys.md) des Schlüsselmaterials in einem vom [Kunden verwalteten Schlüssel](concepts.md#customer-mgn-key). Bei importierten Schlüsseln muss bereits ein importiertes Schlüsselmaterial im `PENDING_ROTATION` Status vorhanden sein, damit die Option „**Jetzt drehen**“ verfügbar ist.
Schlüsselmaterialien: Listet alle Schlüsselmaterialien auf, die dem KMS-Schlüssel zugeordnet sind. Jedes Schlüsselmaterial hat eine eindeutige Kennung, und in seiner Zeile werden zusätzliche Informationen zum Schlüsselmaterial angezeigt, z. B. das Rotationsdatum, an dem das Schlüsselmaterial für die Verwendung in KMS verfügbar wurde. Für importierte Schlüssel verfügt jede Zeile auch über ein **Aktionsmenü**, mit dem Sie ein bestimmtes Schlüsselmaterial löschen oder es erneut in den KMS-Schlüssel importieren können.
**Schlüsselspezifikation**
Wo: Registerkarte für kryptografische Konfiguration
Der Typ des Schlüsselmaterials im KMS-Schlüssel. AWS KMS unterstützt KMS-Schlüssel mit symmetrischer Verschlüsselung (SYMMETRIC\$1DEFAULT), HMAC-KMS-Schlüssel unterschiedlicher Länge, KMS-Schlüssel für RSA-Schlüssel unterschiedlicher Länge und elliptische Kurvenschlüssel mit unterschiedlichen Kurven. Details hierzu finden Sie unter [Key spec](create-keys.md#key-spec).
**Schlüsseltyp**
Wo: Registerkarte für kryptografische Konfiguration
Gibt an, ob der KMS-Schlüssel **symmetrisch** oder **asymmetrisch** ist.
**Schlüsselnutzung**
Wo: Registerkarte für kryptografische Konfiguration
Gibt an, ob ein KMS-Schlüssel für **Encrypt and decrypt** (Verschlüsseln und Entschlüsseln), **Sign and verify** (Signieren und Überprüfen) und **Generate and verify MAC** (MAC generieren und überprüfen) verwendet werden kann. Details hierzu finden Sie unter [Key usage](create-keys.md#key-usage).
**Ursprung**
Wo: Registerkarte für kryptografische Konfiguration
Die Quelle des Schlüsselmaterials für den KMS-Schlüssel. Folgende sind gültige Werte:
+ **AWS KMS** für Schlüsselmaterial, das AWS KMS generiert
+ **AWS CloudHSM** für KMS-Schlüssel in einem [AWS CloudHSM -Schlüsselspeicher](keystore-cloudhsm.md)
+ **Extern** für [importiertes Schlüsselmaterial](importing-keys.md) (BYOK)
+ **Externer Schlüsselspeicher** für KMS-Schlüssel in einem [externen Schlüsselspeicher](keystore-external.md)
**MAC-Algorithmen**
Wo: Registerkarte für kryptografische Konfiguration
Listet die MAC-Algorithmen auf, die mit einem HMAC-KMS-Schlüssel in AWS KMS verwendet werden können. Dieses Feld wird nur angezeigt, wenn **Key spec** (Schlüsselspezifikation) eine HMAC-Schlüsselspezifikation (HMAC\$1\$1) ist. Weitere Informationen zu den von AWS KMS unterstützten MAC-Algorithmen finden Sie unter [Schlüsselspezifikationen für HMAC-KMS-Schlüssel](symm-asymm-choose-key-spec.md#hmac-key-specs).
**Primärschlüssel**
Wo: Registerkarte für Regionalität
Gibt an, dass dieser KMS-Schlüssel ein [multiregionaler Primärschlüssel](multi-region-keys-overview.md#mrk-primary-key) ist. Autorisierte Benutzer können diesen Abschnitt zum [Ändern des Primärschlüssels](multi-region-update.md) in einen anderen verwandten multiregionalen Schlüssel verwenden. Dieses Feld wird nur angezeigt, wenn der KMS-Schlüssel ein multiregionaler Primärschlüssel ist.
**Öffentlicher Schlüssel**
Wo: Registerkarte für öffentliche Schlüssel
Zeigt den öffentlichen Schlüssel eines asymmetrischen KMS-Schlüssels an. Autorisierte Benutzer können diese Registerkarte verwenden, um [den öffentlichen Schlüssel zu kopieren und herunterzuladen](download-public-key.md).
**Regionalität**
Wo: Abschnitt über allgemeine Konfiguration und Registerkarten für Regionalität
Gibt an, ob ein KMS-Schlüssel ein einzelregionaler Schlüssel, ein [multiregionaler Primärschlüssel](multi-region-keys-overview.md#mrk-primary-key) oder ein [multiregionaler Replikatschlüssel ](multi-region-keys-overview.md#mrk-replica-key) ist. Dieses Feld wird nur angezeigt, wenn der KMS-Schlüssel ein multiregionaler Schlüssel ist.
**Verwandte multiregionale Schlüssel**
Wo: Registerkarte für Regionalität
Zeigt alle verwandte [multiregionale Primär- und Replikatschlüssel](multi-region-keys-overview.md) an, mit Ausnahme des aktuellen KMS-Schlüssels. Dieses Feld wird nur angezeigt, wenn der KMS-Schlüssel ein multiregionaler Schlüssel ist.
Im Abschnitt über **verwandte multiregionale Schlüssel** eines Primärschlüssels können autorisierte Benutzer [neue Replikatschlüssel erstellen](multi-region-keys-replicate.md).
**Replikat-Schlüssel**
Wo: Registerkarte für Regionalität
Gibt an, dass dieser KMS-Schlüssel ein [multiregionaler Replikatschlüssel](multi-region-keys-overview.md#mrk-replica-key) ist. Dieses Feld wird nur angezeigt, wenn der KMS-Schlüssel ein multiregionaler Replikatschlüssel ist.
**Signaturalgorithmen**
Wo: Registerkarte für kryptografische Konfiguration
Listet die Signaturalgorithmen auf, die mit dem KMS-Schlüssel in AWS KMS verwendet werden können. Dieses Feld wird nur angezeigt, wenn **Key type (Schlüsseltyp)** auf **Asymmetric (Asymmetrisch)** und **Key usage (Schlüsselnutzung)** auf **Sign and verify (Signieren und Überprüfen)** eingestellt ist. Informationen zu den AWS KMS unterstützten Signaturalgorithmen finden Sie unter [RSA-Schlüsselspezifikationen für Signatur und Verifizierung](symm-asymm-choose-key-spec.md#key-spec-rsa-sign) und[Elliptic Curve(EC)-Schlüsselspezifikationen](symm-asymm-choose-key-spec.md#key-spec-ecc).
**Status**
Wo: Abschnitt über allgemeine Konfiguration
Der Schlüsselstatus des KMS-Schlüssels. Sie können den KMS-Schlüssel nur in [kryptografischen Operationen](kms-cryptography.md#cryptographic-operations) verwenden, wenn der Status **Enabled (Aktiviert)** lautet. Eine detaillierte Beschreibung eines jeden KMS-Schlüssel-Status und seiner Auswirkungen darauf, welche Operationen Sie für den KMS-Schlüssel ausführen können, finden Sie unter [Wichtige Zustände von AWS KMS Schlüsseln](key-state.md).
**Tags (Markierungen)**
Wo: Registerkarte für Tags
Optionale Schlüssel-Wert-Paare, die den KMS-Schlüssel beschreiben. Um die Tags für einen KMS-Schlüssel hinzuzufügen oder zu ändern, wählen Sie auf der **Tags**-Registerkarte die Option **Edit (Bearbeiten)**.
Wenn Sie Ihren AWS Ressourcen Tags hinzufügen, AWS wird ein Kostenzuordnungsbericht generiert, in dem die Nutzung und die Kosten nach Stichwörtern zusammengefasst sind. Markierungen können auch verwendet werden, um den Zugriff auf einen KMS-Schlüssel zu steuern. Weitere Informationen über das Markieren von KMS-Schlüsseln finden Sie unter [Schlagworte in AWS KMS](tagging-keys.md) und [ABAC für AWS KMS](abac.md).
## Mithilfe der API AWS KMS
Der [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Vorgang gibt Details zum angegebenen KMS-Schlüssel zurück. Verwenden Sie zum Identifizieren eines KMS-Schlüssels seine [Schlüssel-ID](concepts.md#key-id-key-id), den [Schlüssel-ARN](concepts.md#key-id-key-ARN), den [Aliasnamen](concepts.md#key-id-alias-name) oder den [Alias-ARN](concepts.md#key-id-alias-ARN).
Im Gegensatz zu dem [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)Vorgang, bei dem nur KMS-Schlüssel im Konto und in der Region des Anrufers angezeigt werden, können autorisierte Benutzer den `DescribeKey` Vorgang verwenden, um Details zu KMS-Schlüsseln in anderen Konten abzurufen.
**Anmerkung**
Die `DescribeKey`-Antwort enthält sowohl `KeySpec` und `CustomerMasterKeySpec`-Elemente mit den gleichen Werten. Das `CustomerMasterKeySpec`-Element ist veraltet.
Dieser Aufruf an `DescribeKey` gibt beispielsweise Informationen zu einem KMS-Schlüssel mit symmetrischer Verschlüsselung zurück. Die Felder in der Antwort variieren je nach [AWS KMS key -Spezifikation](create-keys.md#key-spec), [Schlüsselstatus](key-state.md) und [Ursprung des Schlüsselmaterials](create-keys.md#key-origin). Beispiele in verschiedenen Programmiersprachen finden Sie unter [Verwendung `DescribeKey` mit einem AWS SDK oder CLI](example_kms_DescribeKey_section.md).
```
$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyMetadata": {
"Origin": "AWS_KMS",
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"Description": "",
"KeyManager": "CUSTOMER",
"Enabled": true,
"KeySpec": "SYMMETRIC_DEFAULT",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"CreationDate": 1499988169.234,
"MultiRegion": false,
"Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"AWSAccountId": "111122223333",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"CurrentKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
}
}
```
In diesem Beispiel wird die `DescribeKey`-Produktion für einen asymmetrischen KMS-Schlüssel aufgerufen, der für Signatur und Verifizierung verwendet wird. Die Antwort enthält die Signaturalgorithmen, die AWS KMS für diesen KMS-Schlüssel unterstützt.
```
$ aws kms describe-key --key-id 0987dcba-09fe-87dc-65ba-ab0987654321
{
"KeyMetadata": {
"KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"Origin": "AWS_KMS",
"Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"KeyState": "Enabled",
"KeyUsage": "SIGN_VERIFY",
"CreationDate": 1569973196.214,
"Description": "",
"KeySpec": "ECC_NIST_P521",
"CustomerMasterKeySpec": "ECC_NIST_P521",
"AWSAccountId": "111122223333",
"Enabled": true,
"MultiRegion": false,
"KeyManager": "CUSTOMER",
"SigningAlgorithms": [
"ECDSA_SHA_512"
]
}
}
```
# Identifizieren Sie verschiedene Schlüsseltypen
In den folgenden Themen wird erklärt, wie Sie verschiedene Schlüsseltypen in der AWS KMS Konsole und in den [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Antworten identifizieren können.
Hilfe zur Navigation zur Registerkarte **Kryptografische Konfiguration** auf der Detailseite für einen KMS-Schlüssel finden Sie unter. [KMS-Schlüsseldetails aufrufen und auflisten](finding-keys.md)
**Topics**
+ [Identifizieren Sie asymmetrische KMS-Schlüssel](#identify-asymm-keys)
+ [Identifizieren Sie HMAC-KMS-Schlüssel](#hmac-view)
+ [Identifizieren Sie KMS-Schlüssel für mehrere Regionen](#multi-region-keys-view)
+ [Identifizieren Sie KMS-Schlüssel mit importiertem Schlüsselmaterial](#identify-imported-keys)
+ [Identifizieren Sie KMS-Schlüssel in AWS CloudHSM Schlüsselspeichern](#identify-key-hsm-keystore)
+ [Identifizieren Sie KMS-Schlüssel in externen Schlüsselspeichern](#view-xks-key)
## Identifizieren Sie asymmetrische KMS-Schlüssel
**In der Konsole AWS KMS **
In der Spalte **Schlüsseltyp** der Tabelle Vom **Kunden verwaltete Schlüssel** wird angezeigt, ob jeder KMS-Schlüssel symmetrisch oder asymmetrisch ist. Sie können die Tabelle nach dem Wert **Schlüsseltyp** filtern, um nur asymmetrische KMS-Schlüssel anzuzeigen. Weitere Informationen finden Sie unter [Sortieren und filtern Sie Ihre KMS-Schlüssel](viewing-console-customize.md#viewing-console-filter).
Auf der Registerkarte **Kryptografische Konfiguration** auf der Detailseite für einen KMS-Schlüssel wird der **Schlüsseltyp** angezeigt, der angibt, ob der Schlüssel symmetrisch oder asymmetrisch ist. Außerdem wird die **Schlüsselverwendung** angezeigt, die angibt, ob Ihr asymmetrischer KMS-Schlüssel zur Verschlüsselung und Entschlüsselung, Signierung und Überprüfung oder zum Ableiten von gemeinsamen Geheimnissen verwendet wird.
**In DescribeKey Antworten**
Wenn Sie den `DescribeKey` Vorgang für einen asymmetrischen KMS-Schlüssel aufrufen, enthält die Antwort die `KeyUsage` Werte `KeySpec` und, anhand derer bestimmt werden kann, ob ein KMS-Schlüssel symmetrisch oder asymmetrisch ist.
Wenn der `KeySpec` Wert ist`SYMMETRIC_DEFAULT`, handelt es sich bei dem Schlüssel um einen KMS-Schlüssel mit symmetrischer Verschlüsselung. Einzelheiten zu den Spezifikationen für asymmetrische Schlüssel finden Sie unter. [Referenz zu wichtigen Spezifikationen](symm-asymm-choose-key-spec.md)
Wenn der `KeyUsage` Wert `SIGN_VERIFY` oder ist`KEY_AGREEMENT`, ist der Schlüssel ein asymmetrischer KMS-Schlüssel.
Der `DescribeKey` Vorgang gibt auch die folgenden Details für asymmetrische KMS-Schlüssel zurück.
+ Bei asymmetrischen KMS-Schlüsseln mit dem `KeyUsage` Wert von `ENCRYPT_DECRYPT` gibt der Vorgang den zurück`EncryptionAlgorithms`, der die gültigen Verschlüsselungsalgorithmen für den Schlüssel auflistet.
+ Bei asymmetrischen KMS-Schlüsseln mit dem `KeyUsage` Wert von `SIGN_VERIFY` gibt die Operation den zurück`SigningAlgorithms`, der die gültigen Signaturalgorithmen für den Schlüssel auflistet.
+ Bei asymmetrischen KMS-Schlüsseln mit dem `KeyUsage` Wert von `KEY_AGREEMENT` gibt die Operation den zurück`KeyAgreementAlgorithms`, der die gültigen Schlüsselvereinbarungsalgorithmen für den Schlüssel auflistet.
Weitere Informationen zu asymmetrischen KMS-Schlüsseln finden Sie unter. [Asymmetrische Tasten in AWS KMS](symmetric-asymmetric.md)
## Identifizieren Sie HMAC-KMS-Schlüssel
**In der Konsole AWS KMS **
HMAC-KMS-Schlüssel sind in der Tabelle mit vom **Kunden verwalteten Schlüsseln** enthalten, aber Sie können diese Tabelle nicht nach den Schlüsselspezifikationen oder Schlüsselverwendungswerten sortieren oder filtern, die HMAC-Schlüssel identifizieren. Um das Auffinden Ihrer HMAC-Schlüssel zu erleichtern, weisen Sie ihnen einen unverwechselbaren Alias oder Tag zu. Dann können Sie nach dem Alias oder Tag sortieren oder filtern.
Auf der Registerkarte **Kryptografische Konfiguration** auf der Detailseite für einen KMS-Schlüssel wird der **Schlüsseltyp** angezeigt, der angibt, ob der Schlüssel symmetrisch oder asymmetrisch ist. HMAC-KMS-Schlüssel sind symmetrisch. **Auf der Registerkarte **Kryptografische Konfiguration** wird auch die Schlüsselverwendung angezeigt.** Für HMAC-KMS-Schlüssel lautet der Wert für die Schlüsselverwendung immer MAC **generieren und verifizieren**.
**In Antworten DescribeKey **
Wenn Sie den `DescribeKey` Vorgang mit einem HMAC-KMS-Schlüssel aufrufen, enthält die Antwort die `KeyUsage` Werte `KeySpec` und. Bei HMAC-KMS-Schlüsseln ist der Wert für die Schlüsselverwendung immer `GENERATE_VERIFY_MAC` und der Wert der Schlüsselspezifikation beginnt immer mit. `HMAC_`
Weitere Informationen zu HMAC-KMS-Schlüsseln finden Sie unter. [HMAC-Schlüssel eingeben AWS KMS](hmac.md)
## Identifizieren Sie KMS-Schlüssel für mehrere Regionen
**In der Konsole AWS KMS **
In der Tabelle mit vom **Kunden verwalteten Schlüsseln** werden nur KMS-Schlüssel in der ausgewählten Region angezeigt. Sie können multiregionale Primär- und Replikatschlüssel in der ausgewählten Region anzeigen. Um die AWS Region zu ändern, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Konsole.
Um die Identifizierung von Schlüsseln mit mehreren Regionen in der Tabelle „Vom **Kunden verwaltete Schlüssel**“ zu vereinfachen, fügen Sie Ihrer Tabelle die Spalte **Regionalität** hinzu. Weitere Informationen dazu finden Sie unter [Passen Sie Ihre KMS-Schlüsseltabellen an](viewing-console-customize.md#console-customize-tables).
**Die Detailseite für KMS-Schlüssel mit mehreren Regionen enthält die Registerkarte Regionalität.** Die Registerkarte **Regionality (Regionalität)** eines Primärschlüssels enthält die Schaltflächen Primärbereich ändern und Neue Replikatschlüssel erstellen. (Die Regionalität-Registerkarte für einen Replikatschlüssel enthält keine dieser Schaltflächen.) Der Abschnitt **Related multi-Region keys (verwandte multiregionale Schlüssel)** listet alle multiregionale Schlüssel auf, die mit dem aktuellen verwandt sind. Wenn der aktuelle Schlüssel ein Replikatschlüssel ist, enthält diese Liste den Primärschlüssel.
Wenn Sie einen verwandten Schlüssel für mehrere Regionen aus der Tabelle **Verwandte Schlüssel für mehrere Regionen** auswählen, wechselt die AWS KMS Konsole zur Region des ausgewählten Schlüssels und die Detailseite für den Schlüssel wird geöffnet. Wenn Sie beispielsweise den Replikatschlüssel in der `sa-east-1` Region aus dem Abschnitt „**Verwandte Schlüssel für mehrere Regionen“ unten auswählen, wechselt die AWS KMS Konsole zur `sa-east-1` Region, um die Detailseite für diesen Replikatschlüssel** anzuzeigen. Sie könnten dies tun, um den Alias- oder die Schlüsselrichtlinie für den Replikatschlüssel anzuzeigen. Um die Region erneut zu ändern, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
**In Antworten DescribeKey **
Standardmäßig sind AWS KMS API-Operationen regional und geben nur die Ressourcen in der aktuellen oder angegebenen Region zurück. Wenn Sie den `DescribeKey` Vorgang jedoch für einen KMS-Schlüssel mit mehreren Regionen aufrufen, umfasst die Antwort alle zugehörigen Schlüssel für mehrere Regionen in anderen AWS Regionen des `MultiRegionConfiguration` Elements.
Weitere Informationen zu KMS-Schlüsseln für mehrere Regionen finden Sie unter. [Schlüssel für mehrere Regionen eingeben AWS KMS](multi-region-keys-overview.md)
## Identifizieren Sie KMS-Schlüssel mit importiertem Schlüsselmaterial
**In der AWS KMS Konsole**
Um die Identifizierung von KMS-Schlüsseln mit importiertem Schlüsselmaterial in der Tabelle mit vom **Kunden verwalteten Schlüsseln** zu vereinfachen, fügen Sie Ihrer Tabelle die **Origin-Spalte** hinzu. In der **Ursprung**-Spalte sind KMS-Schlüssel mit einem **Externen (Schlüsselmaterial importieren)**-Ursprung-Eigenschaftswert leicht erkennbar. Weitere Informationen dazu finden Sie unter [Passen Sie Ihre KMS-Schlüsseltabellen an](viewing-console-customize.md#console-customize-tables).
Auf der Registerkarte **Kryptografische Konfiguration** auf der Detailseite für einen KMS-Schlüssel wird der **Ursprung** angezeigt, der die Quelle des Schlüsselmaterials für den KMS-Schlüssel identifiziert. Bei KMS-Schlüsseln mit importiertem Schlüsselmaterial ist der Ursprungswert immer **Extern (Schlüsselmaterial importieren)**. Die Detailseite enthält auch eine Registerkarte **Schlüsselmaterial**, die detaillierte Informationen über das importierte Schlüsselmaterial enthält. Symmetrische Verschlüsselungsschlüssel mit `EXTERNAL` Ursprung unterstützen Rotationen nach Bedarf und können mit mehreren Schlüsselmaterialien verknüpft werden. Bei solchen Schlüsseln trägt die Registerkarte die Bezeichnung **Schlüsselmaterial und Rotationen**.
**In Antworten DescribeKey **
Wenn Sie den `DescribeKey` Vorgang für einen KMS-Schlüssel mit importiertem Schlüsselmaterial aufrufen, enthält die Antwort die `ValidTo` Werte `Origin``ExpirationModel`, und. Bei KMS-Schlüsseln mit importiertem Schlüsselmaterial ist der Ursprungswert immer`EXTERNAL`. Der `ExpirationModel` Wert gibt an, ob das Schlüsselmaterial abläuft oder nicht, und der `ValidTo` Wert gibt an, wann das Schlüsselmaterial abläuft. Wenn einem Schlüssel mehrere Schlüsselmaterialien zugeordnet sind, gibt der `ValidTo` Wert die früheste Ablaufzeit für alle Schlüsselmaterialien an (mit Ausnahme der einen ausstehenden Rotation) und `ExpirationModel` wird nur dann auf „`DOES_NOT_EXPIRE`Nur“ gesetzt, wenn für keines dieser Schlüsselmaterialien ein Ablaufdatum festgelegt ist. Weitere Informationen finden Sie unter [Festlegen einer Ablaufzeit (optional)](importing-keys-import-key-material.md#importing-keys-expiration).
Weitere Informationen zu KMS-Schlüsseln mit importiertem Schlüsselmaterial finden Sie unter[Schlüsselmaterial für AWS KMS Schlüssel importieren](importing-keys.md).
## Identifizieren Sie KMS-Schlüssel in AWS CloudHSM Schlüsselspeichern
**In der AWS KMS Konsole**
Um die Identifizierung von KMS-Schlüsseln in AWS CloudHSM Schlüsselspeichern in der Tabelle mit vom **Kunden verwalteten Schlüsseln** zu vereinfachen, fügen Sie Ihrer Tabelle die **Origin-Spalte** hinzu. In der **Origin (Ursprung)**-Spalte sind KMS-Schlüssel mit einem **AWS CloudHSM**-Ursprung-Eigenschaftswert leicht erkennbar. Weitere Informationen dazu finden Sie unter [Passen Sie Ihre KMS-Schlüsseltabellen an](viewing-console-customize.md#console-customize-tables).
Auf der Registerkarte **Kryptografische Konfiguration** auf der Detailseite für einen KMS-Schlüssel wird der **Ursprung** angezeigt, der die Quelle des Schlüsselmaterials für den KMS-Schlüssel identifiziert. Bei KMS-Schlüsseln in AWS CloudHSM Schlüsselspeichern ist der Ursprungswert immer **AWS CloudHSM**.
Für einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher enthält die Registerkarte **Kryptografische Konfiguration** einen zusätzlichen Abschnitt, **Benutzerdefinierter Schlüsselspeicher**, der Informationen über den AWS CloudHSM Schlüsselspeicher und den AWS CloudHSM Cluster enthält, die dem KMS-Schlüssel zugeordnet sind.
**In Antworten DescribeKey **
Wenn Sie den `DescribeKey` Vorgang mit einem KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher aufrufen, enthält die Antwort den`Origin`, der die Quelle des Schlüsselmaterials identifiziert. Bei KMS-Schlüsseln in einem AWS CloudHSM Schlüsselspeicher ist der Ursprungswert immer`AWS_CLOUDHSM`. Die Operation gibt auch die folgenden speziellen Felder für KMS-Schlüssel in AWS CloudHSM Schlüsselspeichern zurück:
+ `CloudHsmClusterId`
+ `CustomKeyStoreId`
Weitere Informationen zu AWS CloudHSM Schlüsselspeichern finden Sie unter[AWS CloudHSM wichtige Geschäfte](keystore-cloudhsm.md).
## Identifizieren Sie KMS-Schlüssel in externen Schlüsselspeichern
**In der AWS KMS Konsole**
Um die Identifizierung von KMS-Schlüsseln in externen Schlüsselspeichern in der Tabelle mit vom **Kunden verwalteten Schlüsseln** zu vereinfachen, fügen Sie Ihrer Tabelle die **Origin-Spalte** hinzu. Die **Origin-Spalte** erleichtert die Identifizierung von KMS-Schlüsseln mit dem Eigenschaftswert „**Externer Schlüsselspeicher**“. Weitere Informationen dazu finden Sie unter [Passen Sie Ihre KMS-Schlüsseltabellen an](viewing-console-customize.md#console-customize-tables).
Auf der Registerkarte **Kryptografische Konfiguration** auf der Detailseite für einen KMS-Schlüssel wird der **Ursprung** angezeigt, der die Quelle des Schlüsselmaterials für den KMS-Schlüssel identifiziert. Für KMS-Schlüssel in externen Schlüsselspeichern lautet der Ursprungswert immer **Externer Schlüsselspeicher**.
Für einen KMS-Schlüssel in einem externen Schlüsselspeicher enthält die Registerkarte **Kryptografische Konfiguration** zwei zusätzliche Abschnitte: **Benutzerdefinierter Schlüsselspeicher** und **Externer Schlüssel**. Die Tabelle **Benutzerdefinierter Schlüsselspeicher** enthält Informationen über den externen Schlüsselspeicher, der dem KMS-Schlüssel zugeordnet ist. Die Tabelle mit **externen Schlüsseln** wird in der AWS KMS Konsole nur für KMS-Schlüssel in externen Schlüsselspeichern angezeigt. Er enthält Informationen über den externen Schlüssel, der dem KMS-Schlüssel zugeordnet ist. Der [*externe Schlüssel*](keystore-external.md#concept-external-key) ist ein kryptografischer Schlüssel AWS , der jedoch als Schlüsselmaterial für den KMS-Schlüssel im externen Schlüsselspeicher dient. Wenn Sie mit dem KMS-Schlüssel verschlüsseln oder entschlüsseln, wird der Vorgang von Ihrem [externen Schlüsselmanager](keystore-external.md#concept-ekm) unter Verwendung des angegebenen externen Schlüssels ausgeführt.
Die folgenden Werte werden im Abschnitt **External key** (Externer Schlüssel) angezeigt.
**ID des externen Schlüssels**
Die Kennung für den externen Schlüssel in seinem externen Schlüsselmanager. Diesen Wert verwendet der Proxy des externen Schlüsselspeichers, um den externen Schlüssel zu identifizieren. Sie geben die ID des externen Schlüssels an, wenn Sie den KMS-Schlüssel erstellen. Sie kann danach nicht mehr geändert werden. Wenn sich der Wert der ID des externen Schlüssels, den Sie zur Erstellung des KMS-Schlüssels verwendet haben, ändert oder ungültig wird, müssen Sie [die Löschung des KMS-Schlüssel planen](deleting-keys.md) und einen [neuen KMS-Schlüssel mit dem korrekten Wert der ID des externen Schlüssels erstellen](create-xks-keys.md).
**In Antworten DescribeKey **
Wenn Sie den `DescribeKey` Vorgang für einen KMS-Schlüssel in einem externen Schlüsselspeicher aufrufen, enthält die Antwort den`Origin`, der die Quelle des Schlüsselmaterials identifiziert. Bei KMS-Schlüsseln in einem AWS CloudHSM Schlüsselspeicher ist der Ursprungswert immer`EXTERNAL_KEY_STORE`. Die Operation gibt auch das `CustomKeyStoreId` Element zurück, das den externen Schlüsselspeicher identifiziert, der den KMS-Schlüsseln zugeordnet ist.
Weitere Informationen zu externen Schlüsselspeichern finden Sie unter[Externe Schlüsselspeicher](keystore-external.md).
# Passen Sie Ihre Konsolenansicht an
Sie können die Ansicht der AWS KMS Konsole anpassen, um das Auffinden Ihrer KMS-Schlüssel zu erleichtern. Passen Sie die Tabellen auf den Seiten **Von AWS verwaltete Schlüssel**und Vom **Kunden verwaltete Schlüssel** angezeigten Tabellen so an, dass die Informationen angezeigt werden, die Sie am dringendsten benötigen, oder sortieren und filtern Sie die in den Tabellen zurückgegebenen KMS-Schlüssel.
**Topics**
+ [Sortieren und filtern Sie Ihre KMS-Schlüssel](#viewing-console-filter)
+ [Passen Sie Ihre KMS-Schlüsseltabellen an](#console-customize-tables)
## Sortieren und filtern Sie Ihre KMS-Schlüssel
Um das Auffinden Ihrer KMS-Schlüssel in der Konsole zu erleichtern, können Sie die Schlüsseltabellen sortieren und filtern.
**Sortierung**
Sie können kundenverwaltete KMS-Schlüssel in aufsteigender oder absteigender Reihenfolge nach ihren Spaltenwerten sortieren. Diese Funktion sortiert alle KMS-Schlüssel in der Tabelle, auch wenn sie nicht auf der aktuellen Tabellenseite angezeigt werden.
Sortierbare Spalten werden durch einen Pfeil neben dem Spaltennamen gekennzeichnet. Auf der Seite **Von AWS verwaltete Schlüssel** können Sie nach **Aliases** (Aliase) oder **Key ID** (Schlüssel-ID) sortieren. Auf der Seite **Customer managed keys (kundenverwaltete Schlüssel)** können Sie nach **Alias**, **Schlüssel-ID** oder **Schlüsseltyp** sortieren.
Um in aufsteigender Reihenfolge zu sortieren, wählen Sie die Spaltenüberschrift aus, bis der Pfeil nach oben zeigt. Um in absteigender Reihenfolge zu sortieren, wählen Sie die Spaltenüberschrift, bis der Pfeil nach unten zeigt. Es kann jeweils nur nach einer Spalte sortiert werden.
Beispielsweise können Sie KMS-Schlüssel in aufsteigender Reihenfolge nach Schlüssel-ID sortieren, anstatt standardmäßig nach Alias.
![\[Von AWS verwaltete Schlüssel interface showing sortable columns for Aliases and Key ID.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/console-sort.png)
Wenn Sie KMS-Schlüssel auf der Seite **Customer managed keys (kundenverwaltete Schlüssel)** in aufsteigender Reihenfolge nach **Schlüsseltyp** sortieren, werden alle asymmetrischen Schlüssel vor allen symmetrischen Schlüsseln angezeigt.
**Filter**
Sie können KMS-Schlüssel nach ihren Eigenschaftswerten oder Tags filtern. Der Filter gilt für alle KMS-Schlüssel in der Tabelle, auch wenn sie nicht auf der aktuellen Tabellenseite angezeigt werden. Bei dem Filter wird die Groß-/Kleinschreibung nicht berücksichtigt.
Filterbare Eigenschaften werden im Filterfeld aufgeführt. Auf der Seite **Von AWS verwaltete Schlüssel ** können Sie nach Alias und Schlüssel-ID filtern. Auf der Seite **Customer managed keys (Kundenverwaltete Schlüssel)** können Sie nach Alias, Schlüssel-ID und Schlüsseltyp-Eigenschaften sowie nach Tags filtern.
+ Auf der Seite **Von AWS verwaltete Schlüssel** können Sie nach Alias und Schlüssel-ID filtern.
+ Auf der Seite **Customer managed keys (Kundenverwaltete Schlüssel)** können Sie nach Tags filtern, oder nach dem Alias, der Schlüssel-ID, des Schlüsseltyps oder den Regionalität-Eigenschaften.
Um nach einem Eigenschaftswert zu filtern, wählen Sie den Filter und den Eigenschaftsnamen aus und wählen Sie dann aus der Liste der tatsächlichen Eigenschaftswerte aus. Um nach einem Tag zu filtern, wählen Sie den Tag-Schlüssel aus, und wählen Sie dann aus der Liste der tatsächlichen Tag-Werte. Nachdem Sie eine Eigenschaft oder einen Tag-Schlüssel ausgewählt haben, können Sie den Eigenschaftswert oder den Tag-Wert auch ganz oder teilweise eingeben. Sie sehen eine Vorschau der Ergebnisse, bevor Sie Ihre Wahl treffen.
Um beispielsweise KMS-Schlüssel mit einem Aliasnamen anzuzeigen, der `aws/e` enthält, wählen Sie das Filterfeld und danach **Alias** aus, geben Sie `aws/e` ein und drücken Sie dann `Enter` oder `Return`, um den Filter hinzuzufügen.
![\[Search box for Von AWS verwaltete Schlüssel with Aliases filter and example entries.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/filter-alias.png)
### Vorgeschlagene Filter für KMS-Schlüsseltabellen
**Filter für asymmetrische KMS-Schlüssel**
Um nur asymmetrische KMS-Schlüssel auf der Seite **Customer managed keys (kundenverwaltete Schlüssel)** anzuzeigen, klicken Sie auf das Filterfeld, wählen Sie **Schlüsseltyp** und dann **Schlüsseltyp: Asymmetrisch** aus. Die Option **Asymmetrisch** wird nur angezeigt, wenn asymmetrische KMS-Schlüssel in der Tabelle vorhanden sind.
**Filter für Schlüssel mit mehreren Regionen**
Um nur multiregionale Schlüssel anzuzeigen, wählen Sie auf der Seite **Customer managed keys (kundenverwaltete Schlüssel)** im Filterfeld **Regionality (Regionalität)** aus, und dann **Regionality: Multi-Region**. Die **Multi-Region**-Option wird nur angezeigt, wenn multiregionale Schlüssel in der Tabelle vorhanden sind.
**Nach Stichwörtern filtern**
Um nur KMS-Schlüssel mit einem bestimmten Tag anzuzeigen, wählen Sie das Filterfeld aus, wählen Sie den Tag-Schlüssel aus, und wählen Sie dann einen der tatsächlichen Tag-Werte aus. Sie können den Tag-Wert auch ganz oder teilweise eingeben.
Es werden in der Tabelle alle KMS-Schlüssel mit dem ausgewählten Tag angezeigt. Das Tag wird jedoch nicht angezeigt. Um das Tag anzuzeigen, wählen Sie die Schlüssel-ID oder den Alias des KMS-Schlüssels aus und auf der Detailseite die **Tags**-Registerkarte. Die Registerkarte wird unter dem Abschnitt **General Configuration (allgemeine Konfiguration)** angezeigt.
Dieser Filter erfordert sowohl den Tag-Schlüssel als auch den Tag-Wert. Es wird keine KMS-Schlüssel finden, indem nur der Tag-Schlüssel oder nur dessen Wert eingegeben wird. Um Tags ganz oder teilweise nach dem Tag-Schlüssel oder -Wert zu filtern, verwenden Sie den [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)Vorgang, um markierte KMS-Schlüssel abzurufen, und verwenden Sie dann die Filterfunktionen Ihrer Programmiersprache.
**Nach Text filtern**
Um nach Text zu suchen, geben Sie im Filterfeld einen Alias, eine Schlüssel-ID, einen Schlüsseltyp oder einen Tag-Schlüssel ganz oder teilweise ein. (Nachdem Sie den Tag-Schlüssel ausgewählt haben, können Sie nach einem Tag-Wert suchen.) Sie sehen eine Vorschau der Ergebnisse, bevor Sie Ihre Wahl treffen.
Um beispielsweise KMS-Schlüssel mit `test` in ihren Tag-Schlüsseln oder filterbaren Eigenschaften anzuzeigen, geben Sie `test` in das Filterfeld ein. Die Vorschau zeigt die KMS-Schlüssel, die der Filter auswählen wird. In diesem Fall wird `test` nur in der **Alias**-Eigenschaft angezeigt.
## Passen Sie Ihre KMS-Schlüsseltabellen an
Sie können die Tabellen, die auf den Seiten **Von AWS verwaltete Schlüssel**und Vom **Kunden verwaltete Schlüssel** angezeigt werden AWS-Managementkonsole , an Ihre Bedürfnisse anpassen. Sie können die Tabellenspalten, die Anzahl der Spalten AWS KMS keys auf jeder **Seite (Seitengröße**) und den Textumbruch auswählen. Die von Ihnen gewählte Konfiguration wird gespeichert, wenn Sie sie bestätigen, und bei jedem Öffnen der Seiten erneut angewendet.
**Anpassen Ihrer KMS-Schlüsseltabellen**
1. Wählen Sie auf der Seite **Von AWS verwaltete Schlüssel** oder **Customer managed keys** (Vom Kunden verwaltete Schlüssel) das Einstellungen-Symbol (![\[Gear or cog icon representing settings or configuration options.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/console-icon-settings-new.png)) oben rechts auf der Seite aus.
1. Wählen Sie auf der Seite **Preferences (Einstellungen)** die gewünschten Einstellungen aus und wählen Sie dann **Confirm (Bestätigen)** aus.
Erwägen Sie, mit der Einstellung **Page size (Seitengröße)** die Anzahl der auf jeder Seite angezeigten KMS-Schlüssel zu erhöhen, insbesondere wenn Sie normalerweise ein Gerät verwenden, das leicht zu scrollen ist.
Die angezeigten Datenspalten können abhängig von der Tabelle, Ihrer Aufgabenrolle und den Typen von KMS-Schlüsseln im Konto und in der Region variieren. Die folgende Tabelle enthält einige vorgeschlagene Konfigurationen. Beschreibungen der Spalten finden Sie unter [Verwenden der Konsole AWS KMS](finding-keys.md#viewing-console-details).
### Empfohlene Konfigurationen für KMS-Schlüsseltabellen
Sie können die Spalten anpassen, die in der KMS-Schlüsseltabelle angezeigt werden, damit die benötigten KMS-Schlüsseldaten sichtbar werden.
**Von AWS verwaltete Schlüssel**
Standardmäßig enthält die **Von AWS verwalteter Schlüssel**-Tabelle die Spalten **Aliases (Aliase)**, **Key ID (Schlüssel-ID)** und **Status**. Diese Spalten sind für die meisten Anwendungsfälle gut geeignet.
**KMS-Schlüssel mit symmetrischer Verschlüsselung**
Wenn Sie nur KMS-Schlüssel mit symmetrischer Verschlüsselung mit Schlüsselmaterial verwenden, das von AWS KMS generiert wurde, sind die Spalten **Aliases** (Aliase), **Key ID** (Schlüssel-ID), **Status** und **Creation date** (Erstellungsdatum) wahrscheinlich am nützlichsten.
**Asymmetrische KMS-Schlüssel**
Wenn Sie asymmetrische KMS-Schlüssel verwenden, sollten Sie zusätzlich zu den Spalten **Aliases (Aliase)**, **Key ID (Schlüssel-ID)** und **Status** die Spalten **Key type (Schlüsseltyp)**, **Key spec (Schlüsselspezifikation)** und **Key usage (Schlüsselnutzung) ** hinzufügen. In diesen Spalten wird angezeigt, ob ein KMS-Schlüssel symmetrisch oder asymmetrisch ist, der Typ des Schlüsselmaterials und ob der KMS-Schlüssel für die Verschlüsselung oder Signatur verwendet werden kann.
**HMAC-KMS-Schlüssel**
Wenn Sie HMAC-KMS-Schlüssel verwenden, sollten Sie zusätzlich zu den Spalten **Aliases** (Aliase), **Key ID** (Schlüssel-ID) und **Status** das Hinzufügen der Spalten **Key type** (Schlüsseltyp), **Key spec** (Schlüsselspezifikation) und Key usage (Schlüsselnutzung) erwägen. Diese Spalten zeigen Ihnen, ob ein KMS-Schlüssel ein HMAC-Schlüssel ist. Da Sie KMS-Schlüssel nicht nach Schlüsselspezifikation oder Schlüsselverwendung sortieren können, verwenden Sie Aliase und Tags, um Ihre HMAC-Schlüssel zu identifizieren, und verwenden Sie dann die [Filterfunktionen](#viewing-console-filter) der AWS KMS Konsole, um nach Aliasen oder Tags zu filtern.
**Importiertes Schlüsselmaterial**
Wenn Sie KMS-Schlüssel mit [importiertem Schlüsselmaterial](importing-keys.md) haben, erwägen Sie, die Spalten **Origin (Ursprung)** und **Expiration date (Ablaufdatum)** hinzuzufügen. In diesen Spalten wird angezeigt, ob das Schlüsselmaterial in einem KMS-Schlüssel importiert oder generiert wurde AWS KMS und wann das Schlüsselmaterial abläuft, wenn überhaupt. Das Feld **Creation date (Erstellungsdatum)** zeigt das Datum an, an dem der KMS-Schlüssel erstellt wurde (ohne Schlüsselmaterial). Es spiegelt keine Eigenschaften des Schlüsselmaterials wider.
**Schlüssel in benutzerdefinierten Schlüsselspeichern**
Wenn Sie KMS-Schlüssel in [benutzerdefinierten Schlüsselspeichern](key-store-overview.md#custom-key-store-overview) haben, erwägen Sie, die Spalten **Origin** (Ursprung) und **Custom key store ID** (ID des benutzerdefinierten Schlüsselspeichers) hinzuzufügen. Diese Spalten geben an, dass sich der KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher befindet, zeigen den Typ des benutzerdefinierten Schlüsselspeichers an und identifizieren den benutzerdefinierten Schlüsselspeicher.
**Multiregionale Schlüssel**
Wenn Sie [multiregionale Schlüssel](multi-region-keys-overview.md) haben, erwägen Sie, die Spalte **Regionality (Regionalität)** hinzuzufügen. Gibt an, ob ein KMS-Schlüssel ein einzelregionaler Schlüssel, ein [multiregionaler Primärschlüssel](multi-region-keys-overview.md#mrk-primary-key) oder ein [multiregionaler Replikatschlüssel ](multi-region-keys-overview.md#mrk-replica-key) ist.
# Suchen Sie KMS-Schlüssel und Schlüsselmaterial in einem AWS CloudHSM Schlüsselspeicher
Wenn Sie einen AWS CloudHSM Schlüsselspeicher verwalten, müssen Sie möglicherweise die KMS-Schlüssel in jedem AWS CloudHSM Schlüsselspeicher identifizieren. Beispielsweise könnte es sein, dass Sie eine der folgenden Aufgaben ausführen müssen:
+ Verfolgen Sie die KMS-Schlüssel im AWS CloudHSM Schlüsselspeicher in AWS CloudTrail Protokollen.
+ Prognostizieren Sie die Auswirkungen einer Unterbrechung der Verbindung zu einem AWS CloudHSM Schlüsselspeicher auf KMS-Schlüssel.
+ Planen Sie das Löschen von KMS-Schlüsseln, bevor Sie einen AWS CloudHSM Schlüsselspeicher löschen.
Darüber hinaus möchten Sie möglicherweise die Schlüssel in Ihrem AWS CloudHSM Cluster identifizieren, die als Schlüsselmaterial für Ihre KMS-Schlüssel dienen. AWS KMS Verwaltet zwar die KMS-Schlüssel und das Schlüsselmaterial, Sie behalten jedoch weiterhin die Kontrolle und Verantwortung für die Verwaltung Ihres AWS CloudHSM Clusters sowie für die Backups HSMs und Schlüssel in der HSMs. Möglicherweise müssen Sie die Schlüssel identifizieren, um das Schlüsselmaterial zu prüfen, es vor versehentlichem Löschen zu schützen oder es nach dem Löschen des KMS-Schlüssels aus HSMs den Cluster-Backups zu löschen.
Das gesamte Schlüsselmaterial für die KMS-Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher gehört dem [`kmsuser`Crypto User](keystore-cloudhsm.md#concept-kmsuser) (CU). AWS KMS setzt das Schlüsselbezeichnungsattribut, das nur in sichtbar ist AWS CloudHSM, auf den Amazon-Ressourcennamen (ARN) des KMS-Schlüssels.
Wenden Sie zum Suchen der KMS-Schlüssel und Schlüsselmaterial eine der folgenden Methoden an.
+ [Suchen Sie die KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher](find-cmk-in-keystore.md)— So identifizieren Sie die KMS-Schlüssel in einem oder allen Ihrer AWS CloudHSM Schlüsselspeicher.
+ [Suchen Sie nach allen Schlüsseln für einen AWS CloudHSM Schlüsselspeicher](find-all-kmsuser-keys.md) – Ermitteln aller Schlüssel in Ihrem Cluster, die als Schlüsselmaterial für die KMS-Schlüssel in Ihrem AWS CloudHSM -Schlüsselspeicher dienen.
+ [Suchen Sie den AWS CloudHSM Schlüssel für einen KMS-Schlüssel](find-handle-for-cmk-id.md)— So finden Sie den Schlüssel in Ihrem Cluster, der als Schlüsselmaterial für einen bestimmten KMS-Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher dient.
+ [Suchen Sie den KMS-Schlüssel für einen AWS CloudHSM Schlüssel](find-label-for-key-handle.md) – Ermitteln des KMS-Schlüssels für einen bestimmten Schlüssel in Ihrem Cluster.
# Suchen Sie die KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher
Wenn Sie einen AWS CloudHSM Schlüsselspeicher verwalten, müssen Sie möglicherweise die KMS-Schlüssel in jedem AWS CloudHSM Schlüsselspeicher identifizieren. Sie können diese Informationen verwenden, um die KMS-Schlüsseloperationen in AWS CloudTrail Protokollen nachzuverfolgen, die Auswirkungen der Trennung eines benutzerdefinierten Schlüsselspeichers auf KMS-Schlüssel vorherzusagen oder das Löschen von KMS-Schlüsseln zu planen, bevor Sie einen AWS CloudHSM Schlüsselspeicher löschen.
## So finden Sie die KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher (Konsole)
Um die KMS-Schlüssel in einem bestimmten AWS CloudHSM Schlüsselspeicher zu finden, sehen Sie sich auf der Seite vom **Kunden verwaltete Schlüssel** die Werte in den Feldern **Custom Key Store Name** oder **Custom Key Store ID** an. Um KMS-Schlüssel in einem beliebigen AWS CloudHSM Schlüsselspeicher zu identifizieren, suchen Sie nach KMS-Schlüsseln mit dem **Origin-Wert** von **AWS CloudHSM**. Wenn Sie der Anzeige optionale Spalten hinzufügen möchten, wählen Sie das Zahnradsymbol rechts oben auf der Seite aus.
## So finden Sie die KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher (API)
Um die KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher zu finden, verwenden Sie die [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Operationen [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)und und filtern Sie dann nach `CustomKeyStoreId` Wert. Bevor Sie die folgenden Beispiele ausführen, ersetzen Sie die fiktiven ID-Werte des benutzerdefinierten Schlüsselspeichers durch einen gültigen Wert.
------
#### [ Bash ]
Um KMS-Schlüssel in einem bestimmten AWS CloudHSM Schlüsselspeicher zu finden, rufen Sie alle Ihre KMS-Schlüssel im Konto und in der Region ab. Filtern Sie anschließend nach der ID des benutzerdefinierten Schlüsselspeichers.
```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ;
do aws kms describe-key --key-id $key |
grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done
```
Um KMS-Schlüssel in einem beliebigen AWS CloudHSM Schlüsselspeicher des Kontos und der Region abzurufen, suchen Sie nach `CustomKeyStoreType` dem Wert`AWS_CloudHSM`.
```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ;
do aws kms describe-key --key-id $key |
grep '"CustomKeyStoreType": "AWS_CloudHSM"' --context 100; done
```
------
#### [ PowerShell ]
Um KMS-Schlüssel in einem bestimmten AWS CloudHSM Schlüsselspeicher zu finden, verwenden Sie die KmsKey Cmdlets [Get- KmsKeyList](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-KMSKeyList.html) [und Get-](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-KMSKey.html), um alle Ihre KMS-Schlüssel im Konto und in der Region abzurufen. Filtern Sie anschließend nach der ID des benutzerdefinierten Schlüsselspeichers.
```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'
```
Um KMS-Schlüssel in einem beliebigen AWS CloudHSM Schlüsselspeicher des Kontos und der Region abzurufen, filtern Sie nach dem CustomKeyStoreType Wert von. `AWS_CLOUDHSM`
```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreType -eq 'AWS_CLOUDHSM'
```
------
# Suchen Sie nach allen Schlüsseln für einen AWS CloudHSM Schlüsselspeicher
Sie können die Schlüssel in Ihrem AWS CloudHSM Cluster identifizieren, die als Schlüsselmaterial für Ihren AWS CloudHSM Schlüsselspeicher dienen. Verwenden Sie dazu den Befehl [key list](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) in der CloudHSM-CLI.
Sie können auch den Befehl **key list** verwenden, um nach einem AWS CloudHSM Schlüssel zu suchen. AWS KMS Wenn das Schlüsselmaterial für einen KMS-Schlüssel in Ihrem AWS CloudHSM Cluster AWS KMS erstellt wird, schreibt es den Amazon-Ressourcennamen (ARN) des KMS-Schlüssels in die Schlüsselbezeichnung. Der Befehl **key list** gibt das `key-reference` und das zurück`label`.
**Hinweise**
Die folgenden Verfahren verwenden das AWS CloudHSM Client SDK 5-Befehlszeilentool [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. Die CloudHSM-CLI ersetzt durch`key-handle`. `key-reference`
Am 1. Januar 2025 AWS CloudHSM wird der Support für die Client SDK 3-Befehlszeilentools, das CloudHSM Management Utility (CMU) und das Key Management Utility (KMU) eingestellt. *Weitere Informationen zu den Unterschieden zwischen den Client SDK 3-Befehlszeilentools und dem Client SDK 5-Befehlszeilentool finden Sie unter [Migrieren von Client SDK 3 CMU und KMU zu Client SDK 5 CloudHSM CLI im Benutzerhandbuch](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html).AWS CloudHSM *
Um dieses Verfahren auszuführen, müssen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher vorübergehend trennen, sodass Sie sich als CU anmelden können. `kmsuser`
1. Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, falls er nicht bereits getrennt ist, und melden Sie sich dann an als`kmsuser`, wie unter beschrieben[Trennen und Anmelden](fix-keystore.md#login-kmsuser-1).
**Anmerkung**
Sämtliche Versuche, KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS-Schlüssel in kryptografischen Produktionen zu nutzen, schlagen fehl, während der benutzerdefinierte Schlüsselspeicher getrennt ist. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.
1. Verwenden Sie den Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) in der CloudHSM-CLI, um alle Schlüssel für den aktuellen Benutzer in Ihrem AWS CloudHSM Cluster zu finden.
Standardmäßig werden nur 10 Schlüssel des aktuell angemeldeten Benutzers angezeigt, und nur die Schlüssel `key-reference` und `label` werden als Ausgabe angezeigt. Weitere Optionen finden Sie in [der Schlüsselliste](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html#chsm-cli-key-list-syntax) im *AWS CloudHSM Benutzerhandbuch*.
```
aws-cloudhsm > key list
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000000123",
"attributes": {
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
},
{
"key-reference": "0x0000000000000456",
"attributes": {
"label": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
},.
...8 keys later...
],
"total_key_count": 56,
"returned_key_count": 10,
"next_token": "10"
}
}
```
1. Melden Sie sich ab und stellen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher wieder her, wie unter beschrieben[Abmelden und erneutes Verbinden](fix-keystore.md#login-kmsuser-2).
# Suchen Sie den KMS-Schlüssel für einen AWS CloudHSM Schlüssel
Wenn Sie die Schlüsselreferenz oder ID eines Schlüssels kennen, den er im Cluster `kmsuser` besitzt, können Sie diesen Wert verwenden, um den zugehörigen KMS-Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher zu identifizieren.
Wenn das Schlüsselmaterial für einen KMS-Schlüssel in Ihrem AWS CloudHSM Cluster AWS KMS erstellt wird, schreibt es den Amazon-Ressourcennamen (ARN) des KMS-Schlüssels in die Schlüsselbezeichnung. Sofern Sie den Labelwert nicht geändert haben, können Sie den Befehl [key list](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) in der CloudHSM CLI verwenden, um den KMS-Schlüssel zu identifizieren, der dem Schlüssel zugeordnet ist. AWS CloudHSM
**Hinweise**
Die folgenden Verfahren verwenden das AWS CloudHSM Client SDK 5-Befehlszeilentool [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. Die CloudHSM-CLI ersetzt durch`key-handle`. `key-reference`
Am 1. Januar 2025 AWS CloudHSM wird der Support für die Client SDK 3-Befehlszeilentools, das CloudHSM Management Utility (CMU) und das Key Management Utility (KMU) eingestellt. *Weitere Informationen zu den Unterschieden zwischen den Client SDK 3-Befehlszeilentools und dem Client SDK 5-Befehlszeilentool finden Sie unter [Migrieren von Client SDK 3 CMU und KMU zu Client SDK 5 CloudHSM CLI im Benutzerhandbuch](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html).AWS CloudHSM *
Um diese Verfahren auszuführen, müssen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher vorübergehend trennen, sodass Sie sich als CU anmelden können. `kmsuser`
**Anmerkung**
Sämtliche Versuche, KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS-Schlüssel in kryptografischen Produktionen zu nutzen, schlagen fehl, während der benutzerdefinierte Schlüsselspeicher getrennt ist. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.
**Topics**
+ [Identifizieren Sie den KMS-Schlüssel, der einer Schlüsselreferenz zugeordnet ist](#key-reference-filter)
+ [Identifizieren Sie den KMS-Schlüssel, der einer Backing-Key-ID zugeordnet ist](#backing-key-id-filter)
## Identifizieren Sie den KMS-Schlüssel, der einer Schlüsselreferenz zugeordnet ist
Die folgenden Verfahren zeigen, wie Sie den Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) in der CloudHSM-CLI mit dem `key-reference` Attributfilter verwenden, um den Schlüssel in Ihrem Cluster zu finden, der als Schlüsselmaterial für einen bestimmten KMS-Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher dient.
1. Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, falls er nicht bereits getrennt ist, und melden Sie sich dann wie unter `kmsuser` beschrieben an. [Trennen und Anmelden](fix-keystore.md#login-kmsuser-1)
1. Verwenden Sie den Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) in der CloudHSM-CLI, um nach dem `key-reference` Attribut zu filtern. Geben Sie das `verbose` Argument an, das alle Attribute und Schlüsselinformationen für den übereinstimmenden Schlüssel enthalten soll. Wenn Sie das `verbose` Argument nicht angeben, gibt die **Schlüssellistenoperation nur die Schlüsselreferenz** und das Labelattribut des übereinstimmenden Schlüssels zurück.
Bevor Sie diesen Befehl ausführen, ersetzen Sie das Beispiel `key-reference` durch ein gültiges Beispiel aus Ihrem Konto.
```
aws-cloudhsm > key list --filter attr.key-reference="0x0000000000120034" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0xbacking-key-id",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. Melden Sie sich ab und stellen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher wieder her, wie unter beschrieben[Abmelden und erneutes Verbinden](fix-keystore.md#login-kmsuser-2).
## Identifizieren Sie den KMS-Schlüssel, der einer Backing-Key-ID zugeordnet ist
Alle CloudTrail Protokolleinträge für kryptografische Operationen mit einem KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher enthalten ein `additionalEventData` Feld mit dem `customKeyStoreId` und`backingKeyId`. Der im `backingKeyId` Feld zurückgegebene Wert korreliert mit dem CloudHSM-Schlüsselattribut. `id` Sie können den [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) nach dem `id` Attribut filtern, um den KMS-Schlüssel zu identifizieren, der einem bestimmten Schlüssel zugeordnet ist. `backingKeyId`
1. Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, falls er nicht bereits getrennt ist, und melden Sie sich dann an als`kmsuser`, wie unter beschrieben[Trennen und Anmelden](fix-keystore.md#login-kmsuser-1).
1. Verwenden Sie den Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) in der CloudHSM-CLI mit dem Attributfilter, um den Schlüssel in Ihrem Cluster zu finden, der als Schlüsselmaterial für einen bestimmten KMS-Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher dient.
Das folgende Beispiel zeigt, wie Sie nach dem `id` Attribut filtern. AWS CloudHSM erkennt den `id` Wert als Hexadezimalwert. Um den **Schlüssellistenvorgang** nach dem `id` Attribut zu filtern, müssen Sie zuerst den `backingKeyId` Wert, den Sie in Ihrem CloudTrail Protokolleintrag angegeben haben, in ein Format konvertieren, das AWS CloudHSM ihn erkennt.
1. Verwenden Sie den folgenden Linux-Befehl, um die `backingKeyId` in eine hexadezimale Darstellung zu konvertieren.
```
echo backingKeyId | tr -d '\n' | xxd -p
```
Das folgende Beispiel zeigt, wie das `backingKeyId` Byte-Array in eine hexadezimale Darstellung konvertiert wird.
```
echo 5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d | tr -d '\n' | xxd -p
35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. Stellen Sie der hexadezimalen Darstellung von mit voran. `backingKeyId` `0x`
```
0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. Verwenden Sie den konvertierten `backingKeyId` Wert, um nach dem Attribut zu filtern. `id` Geben Sie das `verbose` Argument an, um alle Attribute und Schlüsselinformationen für den übereinstimmenden Schlüssel einzubeziehen. Wenn Sie das `verbose` Argument nicht angeben, gibt die **Schlüssellistenoperation nur die Schlüsselreferenz** und das Labelattribut des übereinstimmenden Schlüssels zurück.
```
aws-cloudhsm > key list --filter attr.id="0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. Melden Sie sich ab und stellen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher wieder her, wie unter beschrieben. [Abmelden und erneutes Verbinden](fix-keystore.md#login-kmsuser-2)
# Suchen Sie den AWS CloudHSM Schlüssel für einen KMS-Schlüssel
Sie können die KMS-Schlüssel-ID eines KMS-Schlüssels in einem AWS CloudHSM Schlüsselspeicher verwenden, um den Schlüssel in Ihrem AWS CloudHSM Cluster zu identifizieren, der als Schlüsselmaterial dient.
Wenn das Schlüsselmaterial für einen KMS-Schlüssel in Ihrem AWS CloudHSM Cluster AWS KMS erstellt wird, schreibt es den Amazon-Ressourcennamen (ARN) des KMS-Schlüssels in die Schlüsselbezeichnung. Sofern Sie den Labelwert nicht geändert haben, können Sie den Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) in der CloudHSM-CLI verwenden, um die Schlüsselressource und die ID des Schlüsselmaterials für den KMS-Schlüssel zu finden.
Alle CloudTrail Protokolleinträge für kryptografische Operationen mit einem KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher enthalten ein `additionalEventData` Feld mit dem und. `customKeyStoreId` `backingKeyId` Der im `backingKeyId` Feld zurückgegebene Wert ist das `id` AWS CloudHSM Schlüsselattribut. Sie können den AWS CloudHSM CLI-Vorgang mit der **Schlüsselliste** nach dem KMS-Schlüssel-ARN filtern, um das `id` CloudHSM-Schlüsselattribut zu identifizieren, das einem bestimmten KMS-Schlüssel zugeordnet ist.
Um dieses Verfahren auszuführen, müssen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher vorübergehend trennen, damit Sie sich als CU anmelden können. `kmsuser`
**Hinweise**
Die folgenden Verfahren verwenden das AWS CloudHSM Client SDK 5-Befehlszeilentool [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. Die CloudHSM-CLI ersetzt durch`key-handle`. `key-reference`
Am 1. Januar 2025 AWS CloudHSM wird der Support für die Client SDK 3-Befehlszeilentools, das CloudHSM Management Utility (CMU) und das Key Management Utility (KMU) eingestellt. *Weitere Informationen zu den Unterschieden zwischen den Client SDK 3-Befehlszeilentools und dem Client SDK 5-Befehlszeilentool finden Sie unter [Migrieren von Client SDK 3 CMU und KMU zu Client SDK 5 CloudHSM CLI im Benutzerhandbuch](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html).AWS CloudHSM *
1. Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, falls er nicht bereits getrennt ist, und melden Sie sich dann an als, wie `kmsuser` unter beschrieben. [Trennen und Anmelden](fix-keystore.md#login-kmsuser-1)
**Anmerkung**
Sämtliche Versuche, KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS-Schlüssel in kryptografischen Produktionen zu nutzen, schlagen fehl, während der benutzerdefinierte Schlüsselspeicher getrennt ist. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.
1. Verwenden Sie den Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) in der CloudHSM-CLI und filtern Sie `label` nach, um den KMS-Schlüssel für einen bestimmten Schlüssel in Ihrem AWS CloudHSM Cluster zu finden. Geben Sie das `verbose` Argument an, das alle Attribute und Schlüsselinformationen für den übereinstimmenden Schlüssel enthalten soll. Wenn Sie das `verbose` Argument nicht angeben, gibt die **Schlüssellistenoperation nur die Schlüsselreferenz** - und Labelattribute des übereinstimmenden Schlüssels zurück.
Das folgende Beispiel zeigt, wie nach dem `label` Attribut gefiltert wird, das den KMS-Schlüssel ARN speichert. Bevor Sie diesen Befehl ausführen, ersetzen Sie den Beispiel-KMS-Schlüssel-ARN durch einen gültigen aus Ihrem Konto.
```
aws-cloudhsm > key list --filter attr.label="arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0xbacking-key-id",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. Melden Sie sich ab und stellen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher wieder her, wie unter beschrieben[Abmelden und erneutes Verbinden](fix-keystore.md#login-kmsuser-2).