Accédez aux informations KMS clés et listez-les - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accédez aux informations KMS clés et listez-les

Vous pouvez utiliser la AWS KMS console ou l'DescribeKeyopération pour accéder aux informations détaillées sur les KMS clés du compte et de la région et les répertorier.

Les procédures suivantes montrent comment accéder aux informations KMS clés, telles que l'identifiant de la clé, les spécifications de la clé, l'utilisation de la clé, etc.

La page de détails de chaque KMS touche affiche les propriétés de la KMS clé. Cela varie légèrement selon les types de KMS clés.

Pour afficher des informations détaillées sur une KMS clé, sur la page Clés gérées par AWS ou sur la page des clés gérées par le client, choisissez l'alias ou l'ID de clé de la KMS clé.

La page de détails d'une KMS clé inclut une section Configuration générale qui affiche les propriétés de base de la KMS clé. Il comprend également des onglets dans lesquels vous pouvez afficher et modifier les propriétés de la KMS clé, telles que la politique des clés, la configuration cryptographique, les balises, le matériel clé (pour les KMS clés dont le contenu clé est importé), la rotation des clés (pour les KMS clés de chiffrement symétriques), la régionalité (pour les clés multirégionales) et la clé publique (pour les clés asymétriques). KMS

Note

La AWS KMS console affiche les KMS clés que vous êtes autorisé à consulter dans votre compte et dans votre région. KMSles touches d'autres touches Comptes AWS n'apparaissent pas dans la console, même si vous êtes autorisé à les consulter, à les gérer et à les utiliser. Pour afficher KMS les clés d'autres comptes, utilisez l'DescribeKeyopération.

Pour accéder à la page des détails d'une KMS clé.

  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Pour afficher les clés de votre compte que vous créez et gérez vous-même, dans le volet de navigation, choisissez Clés gérées par le client. Pour afficher les clés de votre compte qui AWS crée et gère pour vous, dans le volet de navigation, choisissez les clés AWS gérées.

  4. Pour ouvrir la page des détails de la clé, dans le tableau des clés, choisissez l'ID de clé ou l'alias de la KMS clé.

    Si la KMS clé possède plusieurs alias, un résumé des alias (+ n more) apparaît à côté du nom de l'un des alias. Le choix du résumé d'alias vous mène directement à l'onglet Aliases (Alias) dans la page des détails de la clé.

Clé gérée par le client details showing general configuration and cryptographic settings.

La liste suivante décrit les champs de l'affichage détaillé, y compris les champs dans les onglets. Certains de ces champs sont également disponibles sous forme de colonnes dans l'affichage de la table.

Alias

Où : Onglet Alias

Un nom convivial pour la KMS clé. Vous pouvez utiliser un alias pour identifier la KMS clé dans la console et dans certaines d'entre elles AWS KMS APIs. Pour plus de détails, consultez Alias dans AWS KMS.

L'onglet Alias affiche tous les alias associés à la KMS clé dans la région Compte AWS et.

ARN

Où : section General configuration (Configuration générale)

Le nom de ressource Amazon (ARN) de la KMS clé. Cette valeur identifie la KMS clé de manière unique. Vous pouvez l'utiliser pour identifier la KMS clé des AWS KMS API opérations.

État de connexion

Indique si un magasin de clés personnalisé est connecté à son magasin de clés de sauvegarde. Ce champ apparaît uniquement lorsque la KMS clé est créée dans un magasin de clés personnalisé.

Pour plus d'informations sur les valeurs de ce champ, reportez-vous ConnectionStateà la section AWS KMS APIRéférence.

Date de création

Où : section General configuration (Configuration générale)

Date et heure de création de la KMS clé. Cette valeur est affichée dans l'heure locale du périphérique. Le fuseau horaire ne dépend pas de la région.

Contrairement à Expiration, la création fait uniquement référence à la KMS clé, et non à son matériau clé.

ID HSM du cluster cloud

Où : onglet Cryptographic configuration (Configuration de chiffrement)

L'ID du AWS CloudHSM cluster qui contient le matériau clé de la KMS clé. Ce champ apparaît uniquement lorsque la KMS clé est créée dans un magasin de clés personnalisé.

Si vous choisissez l'ID du HSM cluster Cloud, la page Clusters s'ouvre dans la AWS CloudHSM console.

ID du magasin de clés personnalisé

Où : onglet Cryptographic configuration (Configuration de chiffrement)

ID du magasin de clés personnalisé qui contient la KMS clé. Ce champ apparaît uniquement lorsque la KMS clé est créée dans un magasin de clés personnalisé.

Si vous choisissez l'ID du magasin de clés personnalisé, la page des magasins de clés personnalisés s'ouvre dans la AWS KMS console.

Nom du magasin de clés personnalisé

Où : onglet Cryptographic configuration (Configuration de chiffrement)

Nom du magasin de clés personnalisé qui contient la KMS clé. Ce champ apparaît uniquement lorsque la KMS clé est créée dans un magasin de clés personnalisé.

Type de magasin de clés personnalisé

Où : onglet Cryptographic configuration (Configuration de chiffrement)

Indique si le magasin de clés personnalisé est un magasin de clés AWS CloudHSM ou un magasin de clés externe. Ce champ apparaît uniquement lorsque la KMS clé est créée dans un magasin de clés personnalisé.

Description

Où : section General configuration (Configuration générale)

Brève description facultative de la KMS clé que vous pouvez écrire et modifier. Pour ajouter ou mettre à jour la description d'une clé gérée par le client, au-dessus de General Configuration (Configuration générale), choisissez Edit (Modifier).

Algorithmes de chiffrement

Où : onglet Cryptographic configuration (Configuration de chiffrement)

Répertorie les algorithmes de chiffrement qui peuvent être utilisés avec la KMS clé saisie AWS KMS. Ce champ s'affiche uniquement lorsque le Type de clé est Asymmetric (Asymétrique) et que Key usage (Utilisation de la clé) est Encrypt and decrypt (Chiffrer et déchiffrer). Pour plus d'informations sur les algorithmes de chiffrement pris AWS KMS en charge, reportez-vous SYMMETRIC_ spécification DEFAULT clé aux sections etRSAspécifications clés pour le chiffrement et le déchiffrement.

Date d’expiration

Où : onglet Key material (Éléments de clé)

Date et heure d'expiration du contenu clé de la KMS clé. Ce champ apparaît uniquement pour KMS les clés dont le contenu clé est importé, c'est-à-dire lorsque l'origine est externe et que le KMS contenu clé de la clé expire.

ID de clé externe

Où : onglet Cryptographic configuration (Configuration de chiffrement)

ID de la clé externe associée à une KMS clé dans un magasin de clés externe. Ce champ apparaît uniquement pour les KMS clés d'un magasin de clés externe.

État de la clé externe

Où : onglet Cryptographic configuration (Configuration de chiffrement)

État le plus récent signalé par le proxy de stockage de clés externe pour la clé externe associée à la KMS clé. Ce champ apparaît uniquement pour les KMS clés d'un magasin de clés externe.

Utilisation d'une clé externe

Où : onglet Cryptographic configuration (Configuration de chiffrement)

Les opérations cryptographiques activées sur la clé externe associée à la KMS clé. Ce champ apparaît uniquement pour les KMS clés d'un magasin de clés externe.

Stratégie de clé

Où : Onglet Key policy (Politique de clé)

Contrôle l'accès à la KMS clé ainsi que les IAMpolitiques et les subventions. Chaque KMS clé est associée à une politique clé. C'est le seul élément d'autorisation obligatoire. Pour modifier la politique d'une clé KMS gérée par un client, sous l'onglet Key policy (Politique de clé), choisissez Edit (Modifier). Pour plus de détails, consultez Politiques clés en AWS KMS.

Rotation des clés d'accès

Où : Onglet Key rotation (Rotation de clé)

Active et désactive la rotation automatique du contenu clé dans une KMSclé gérée par le client. Pour modifier l'état de rotation d'une clé gérée par le client, cochez la case de l'onglet Rotation de clé.

Vous ne pouvez pas activer ou désactiver la rotation des éléments de clé dans une Clé gérée par AWS. Les Clés gérées par AWS sont automatiquement soumises à la rotation chaque année.

Spécifications de la clé

Où : onglet Cryptographic configuration (Configuration de chiffrement)

Type de matériau clé contenu dans la KMS clé. AWS KMS prend en charge KMS les clés de chiffrement symétriques (SYMMETRIC_DEFAULT), HMAC KMS les clés de différentes longueurs, KMS les clés pour RSA les clés de différentes longueurs et les clés à courbe elliptique avec des courbes différentes. Pour plus de détails, consultez Key spec.

Type de clé

Où : onglet Cryptographic configuration (Configuration de chiffrement)

Indique si la KMS clé est symétrique ou asymétrique.

Utilisation de la clé

Où : onglet Cryptographic configuration (Configuration de chiffrement)

Indique si une KMS clé peut être utilisée pour chiffrer et déchiffrer, signer et vérifier ou générer et vérifier. MAC Pour plus de détails, consultez Key usage.

Origin

Où : onglet Cryptographic configuration (Configuration de chiffrement)

La source du matériau clé pour la KMS clé. Les valeurs valides sont :

MACalgorithmes

Où : onglet Cryptographic configuration (Configuration de chiffrement)

Répertorie les MAC algorithmes qui peuvent être utilisés avec une HMAC KMS entrée de touche AWS KMS. Ce champ apparaît uniquement lorsque la spécification clé est une spécification HMAC clé (HMAC_*). Pour plus d'informations sur les MAC algorithmes pris AWS KMS en charge, consultezCaractéristiques principales des HMAC KMS clés.

Clé primaire

Où : Onglet Regionality (Régionalité)

Indique que cette KMS clé est une clé primaire multirégionale. Les utilisateurs autorisés peuvent utiliser cette section pour modifier la clé primaire en une autre clé multi-région associée. Ce champ apparaît uniquement lorsque la KMS clé est une clé primaire multirégionale.

Clé publique

Où : Onglet Public key (Clé publique)

Affiche la clé publique d'une KMS clé asymétrique. Les utilisateurs autorisés peuvent utiliser cet onglet pour copier et télécharger la clé publique.

Régionalité

Où : section General configuration (Configuration générale) et onglet Regionality (Régionalité)

Indique si une KMS clé est une clé à région unique, une clé primaire multirégionale ou une clé de réplique multirégionale. Ce champ apparaît uniquement lorsque la KMS clé est une clé multirégionale.

Touches multi-région associées

Où : Onglet Regionality (Régionalité)

Affiche toutes les clés principales et répliques multirégionales associées, à l'exception de la KMS clé actuelle. Ce champ apparaît uniquement lorsque la KMS clé est une clé multirégionale.

Dans la section Related multi-Region keys (Clés multi-région associées) d'une clé primaire, les utilisateurs autorisés peuvent créer des clés de réplica.

Clé de réplica

Où : Onglet Regionality (Régionalité)

Indique que cette KMS clé est une clé de réplique multirégionale. Ce champ apparaît uniquement lorsque la KMS clé est une clé de réplique multirégionale.

Algorithmes de signature

Où : onglet Cryptographic configuration (Configuration de chiffrement)

Répertorie les algorithmes de signature qui peuvent être utilisés avec la KMS clé saisie AWS KMS. Ce champ s'affiche uniquement lorsque le Type de clé est Asymmetric (Asymétrique) et que Key usage (Utilisation de la clé) est Sign and verify (Signer et vérifier). Pour plus d'informations sur les algorithmes de signature compatibles AWS KMS , reportez-vous RSAspécifications clés pour la signature et la vérification aux sections etSpécifications de la clé de courbe elliptique.

Statut

Où : section General configuration (Configuration générale)

État clé de la KMS clé. Vous ne pouvez utiliser la KMS clé dans des opérations cryptographiques que lorsque le statut est Activé. Pour une description détaillée de chaque statut de KMS clé et de son effet sur les opérations que vous pouvez exécuter sur la KMS clé, reportez-vous àÉtats clés des AWS KMS clés.

Balises

Où : Onglet Tags (Balises)

Paires clé-valeur facultatives décrivant la KMS clé. Pour ajouter ou modifier les balises d'une KMS clé, dans l'onglet Balises, choisissez Modifier.

Lorsque vous ajoutez des balises à vos AWS ressources, AWS génère un rapport de répartition des coûts avec l'utilisation et les coûts agrégés par balises. Les tags peuvent également être utilisés pour contrôler l'accès à une KMS clé. Pour plus d'informations sur le balisage des KMS clés, reportez-vous aux sections Tags dans AWS KMS etABACpour AWS KMS.

L'DescribeKeyopération renvoie des informations sur la KMS clé spécifiée. Pour identifier la KMS clé, utilisez son identifiant, sa clé ARN, son nom d'alias ou son alias ARN.

Contrairement à l'ListKeysopération, qui affiche uniquement KMS les clés du compte et de la région de l'appelant, les utilisateurs autorisés peuvent utiliser l'DescribeKeyopération pour obtenir des informations sur KMS les clés d'autres comptes.

Note

La réponse DescribeKey inclut à la fois les membres KeySpec et CustomerMasterKeySpec avec les mêmes valeurs. Le membre CustomerMasterKeySpec est obsolète.

Par exemple, cet appel DescribeKey renvoie des informations sur une KMS clé de chiffrement symétrique. Les champs de la réponse varient en fonction des spécifications AWS KMS key, de l'état de la clé et de l'origine des éléments de clé. Pour obtenir des exemples dans plusieurs langages de programmation, veuillez consulter À utiliser DescribeKey avec un AWS SDK ou CLI.

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1499988169.234,
        "MultiRegion": false,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}

Cet exemple appelle une DescribeKey opération sur une KMS clé asymétrique utilisée pour la signature et la vérification. La réponse inclut les algorithmes de signature qui AWS KMS prennent en charge cette KMS clé.

$ aws kms describe-key --key-id 0987dcba-09fe-87dc-65ba-ab0987654321

{
    "KeyMetadata": {        
        "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "Origin": "AWS_KMS",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
        "KeyState": "Enabled",
        "KeyUsage": "SIGN_VERIFY",
        "CreationDate": 1569973196.214,
        "Description": "",
        "KeySpec": "ECC_NIST_P521",
        "CustomerMasterKeySpec": "ECC_NIST_P521",
        "AWSAccountId": "111122223333",
        "Enabled": true,
        "MultiRegion": false,
        "KeyManager": "CUSTOMER",
        "SigningAlgorithms": [
            "ECDSA_SHA_512"
        ]
    }
}