Akses dan daftar detail KMS kunci - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Akses dan daftar detail KMS kunci

Anda dapat menggunakan AWS KMS konsol atau DescribeKeyoperasi untuk mengakses dan mencantumkan informasi terperinci tentang KMS kunci di akun dan wilayah.

Prosedur berikut menunjukkan cara mengakses detail KMS kunci, seperti ID kunci, spesifikasi kunci, penggunaan kunci, dan banyak lagi.

Halaman detail untuk setiap KMS tombol menampilkan properti KMS kunci. Ini sedikit berbeda untuk berbagai jenis KMS kunci.

Untuk menampilkan informasi terperinci tentang KMS kunci, pada halaman Kunci yang dikelola AWS atau kunci yang dikelola Pelanggan, pilih alias atau ID kunci kunci KMS kunci tersebut.

Halaman detail untuk KMS kunci mencakup bagian Konfigurasi Umum yang menampilkan properti dasar KMS kunci. Ini juga mencakup tab di mana Anda dapat melihat dan mengedit properti KMS kunci, seperti Kebijakan kunci, konfigurasi Kriptografi, Tag, Materi kunci (untuk kunci dengan bahan kunci yang diimpor), Rotasi kunci (untuk KMS kunci enkripsi simetris), Regionalitas (untuk KMS kunci Multi-wilayah), dan kunci Publik (untuk kunci asimetris). KMS

catatan

AWS KMS Konsol menampilkan KMS kunci yang Anda memiliki izin untuk melihat di akun dan Wilayah Anda. KMSkunci di lain Akun AWS tidak muncul di konsol, bahkan jika Anda memiliki izin untuk melihat, mengelola, dan menggunakannya. Untuk melihat KMS kunci di akun lain, gunakan DescribeKeyoperasi.

Untuk menavigasi ke halaman detail kunci untuk KMS kunci.

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Untuk melihat tombol di akun yang Anda buat dan kelola, di panel navigasi pilih CMK. Untuk melihat kunci di akun yang AWS membuat dan mengelola untuk Anda, di panel navigasi, pilih kunci AWS terkelola.

  4. Untuk membuka halaman detail kunci, di tabel kunci, pilih ID kunci atau alias KMS kunci.

    Jika KMS kunci memiliki beberapa alias, ringkasan alias (+ n lebih) muncul di samping nama salah satu alias. Memilih ringkasan alias membawa Anda langsung ke tab Alias pada halaman detail kunci.

Kunci yang dikelola pelanggan details showing general configuration and cryptographic settings.

Daftar berikut menjelaskan bidang dalam tampilan mendetail, termasuk bidang di tab. Beberapa bidang ini juga tersedia sebagai kolom dalam tampilan tabel.

Alias

Di mana: Tab alias

Nama yang ramah untuk KMS kuncinya. Anda dapat menggunakan alias untuk mengidentifikasi KMS kunci di konsol dan beberapa AWS KMS APIs. Untuk detailnya, lihat Alias di AWS KMS.

Tab Alias menampilkan semua alias yang terkait dengan KMS kunci di Akun AWS dan Wilayah.

ARN

Di mana: Bagian konfigurasi umum

Nama Sumber Daya Amazon (ARN) dari KMS kunci. Nilai ini secara unik mengidentifikasi kunci. KMS Anda dapat menggunakannya untuk mengidentifikasi KMS kunci dalam AWS KMS API operasi.

Status koneksi

Menunjukkan apakah toko kunci khusus terhubung ke toko kunci pendukungnya. Bidang ini hanya muncul ketika KMS kunci dibuat di toko kunci khusus.

Untuk informasi tentang nilai di bidang ini, lihat ConnectionStatedi AWS KMS APIReferensi.

Tanggal pembuatan

Di mana: Bagian konfigurasi umum

Tanggal dan waktu KMS kunci dibuat. Nilai ini ditampilkan dalam waktu lokal untuk perangkat. Zona waktu tidak tergantung pada Wilayah.

Tidak seperti Kedaluwarsa, kreasi hanya mengacu pada KMS kunci, bukan materi utamanya.

ID HSM klaster awan

Di mana: Tab konfigurasi kriptografi

ID cluster AWS CloudHSM cluster yang berisi materi kunci untuk KMS kunci. Bidang ini hanya muncul ketika KMS kunci dibuat di toko kunci khusus.

Jika Anda memilih Cloud HSM cluster ID, itu akan membuka halaman Clusters di AWS CloudHSM konsol.

ID penyimpanan kunci kustom

Di mana: Tab konfigurasi kriptografi

ID penyimpanan kunci kustom yang berisi KMS kunci. Bidang ini hanya muncul ketika KMS kunci dibuat di toko kunci khusus.

Jika Anda memilih ID toko kunci khusus, itu akan membuka halaman toko kunci kustom di AWS KMS konsol.

Nama penyimpanan kunci kustom

Di mana: Tab konfigurasi kriptografi

Nama toko kunci khusus yang berisi KMS kunci. Bidang ini hanya muncul ketika KMS kunci dibuat di toko kunci khusus.

Jenis toko kunci khusus

Di mana: Tab konfigurasi kriptografi

Menunjukkan apakah toko kunci kustom adalah toko AWS CloudHSM kunci atau toko kunci eksternal. Bidang ini hanya muncul ketika KMS kunci dibuat di toko kunci khusus.

Deskripsi

Di mana: Bagian konfigurasi umum

Deskripsi singkat dan opsional tentang KMS kunci yang dapat Anda tulis dan edit. Untuk menambahkan atau memperbarui deskripsi kunci yang dikelola pelanggan, di atas Konfigurasi Umum, pilih Edit.

Algoritme enkripsi

Di mana: Tab konfigurasi kriptografi

Daftar algoritma enkripsi yang dapat digunakan dengan KMS kunci masuk AWS KMS. Bidang ini hanya muncul ketika Tipe kunci adalah Asimetris dan Penggunaan kunci adalah Enkripsi dan Dekripsi. Untuk informasi tentang algoritma enkripsi yang AWS KMS mendukung, lihat SYMMETRIC_ spesifikasi DEFAULT kunci danRSAspesifikasi kunci untuk enkripsi dan dekripsi.

Tanggal kedaluwarsa

Di mana: Tab material kunci

Tanggal dan waktu ketika materi kunci untuk KMS kunci kedaluwarsa. Bidang ini hanya muncul untuk KMS kunci dengan materi kunci yang diimpor, yaitu ketika Origin adalah Eksternal dan KMS kunci memiliki materi kunci yang kedaluwarsa.

ID kunci eksternal

Di mana: Tab konfigurasi kriptografi

ID kunci eksternal yang dikaitkan dengan KMS kunci di penyimpanan kunci eksternal. Bidang ini hanya muncul untuk KMS kunci di penyimpanan kunci eksternal.

Status kunci eksternal

Di mana: Tab konfigurasi kriptografi

Status terbaru yang dilaporkan oleh proxy penyimpanan kunci eksternal untuk kunci eksternal yang terkait dengan KMS kunci tersebut. Bidang ini hanya muncul untuk KMS kunci di penyimpanan kunci eksternal.

Penggunaan kunci eksternal

Di mana: Tab konfigurasi kriptografi

Operasi kriptografi yang diaktifkan pada kunci eksternal yang terkait dengan KMS kunci. Bidang ini hanya muncul untuk KMS kunci di penyimpanan kunci eksternal.

Kebijakan kunci

Di mana: Tab kebijakan kunci

Mengontrol akses ke KMS kunci bersama dengan IAMkebijakan dan hibah. Setiap KMS kunci memiliki satu kebijakan utama. Ini adalah satu-satunya elemen otorisasi wajib. Untuk mengubah kebijakan kunci kunci yang dikelola pelanggan, pada tab Kebijakan kunci, pilih Edit. Untuk rincian selengkapnya, lihat Kebijakan utama di AWS KMS.

Rotasi kunci

Di mana: Tab rotasi kunci

Mengaktifkan dan menonaktifkan rotasi otomatis bahan utama dalam kunci yang dikelola KMS pelanggan. Untuk mengubah status rotasi kunci dari kunci yang dikelola pelanggan, gunakan kotak centang pada tab Rotasi kunci.

Anda tidak dapat mengaktifkan atau menonaktifkan rotasi materi kunci dalam file Kunci yang dikelola AWS. Kunci yang dikelola AWS secara otomatis diputar setiap tahun.

Spesifikasi kunci

Di mana: Tab konfigurasi kriptografi

Jenis bahan kunci dalam KMS kunci. AWS KMS mendukung KMS kunci enkripsi simetris (SYMMETRIC_DEFAULT), HMAC KMS kunci dengan panjang berbeda, KMS kunci untuk RSA kunci dengan panjang berbeda, dan kunci kurva elips dengan kurva berbeda. Untuk rincian selengkapnya, lihat Key spec.

Tipe kunci

Di mana: Tab konfigurasi kriptografi

Menunjukkan apakah KMS kuncinya simetris atau asimetris.

Penggunaan kunci

Di mana: Tab konfigurasi kriptografi

Menunjukkan apakah KMS kunci dapat digunakan untuk Enkripsi dan dekripsi, Menandatangani dan memverifikasi atau Menghasilkan dan memverifikasi. MAC Untuk rincian selengkapnya, lihat Key usage.

asal

Di mana: Tab konfigurasi kriptografi

Sumber bahan kunci untuk KMS kunci. Nilai yang valid adalah:

MACalgoritma

Di mana: Tab konfigurasi kriptografi

Daftar MAC algoritma yang dapat digunakan dengan HMAC KMS kunci di AWS KMS. Bidang ini hanya muncul ketika spesifikasi Kunci adalah spesifikasi HMAC kunci (HMAC_*). Untuk informasi tentang MAC algoritma yang AWS KMS mendukung, lihatSpesifikasi kunci untuk HMAC KMS kunci.

Kunci utama

Di mana: Tab regionalitas

Menunjukkan bahwa KMS kunci ini adalah kunci utama Multi-wilayah. Pengguna yang diotorisasi dapat menggunakan bagian ini untuk mengubah kunci primer ke kunci multi-wilayah terkait yang berbeda. Bidang ini hanya muncul ketika KMS kuncinya adalah kunci primer Multi-wilayah.

Kunci publik

Di mana: Tab kunci publik

Menampilkan kunci publik dari kunci asimetrisKMS. Pengguna yang diotorisasi dapat menggunakan tab ini untuk menyalin dan mengunduh kunci publik.

Regionalitas

Di mana: Bagian konfigurasi umum dan Tab regionalitas

Menunjukkan apakah KMS kunci adalah kunci wilayah Tunggal, kunci primer Multi-wilayah, atau kunci replika Multi-wilayah. Bidang ini hanya muncul ketika KMS kuncinya adalah kunci Multi-wilayah.

Kunci Multi-wilayah yang terkait

Di mana: Tab regionalitas

Menampilkan semua kunci primer dan replika Multi-wilayah terkait, kecuali untuk kunci saat iniKMS. Bidang ini hanya muncul ketika KMS kuncinya adalah kunci Multi-wilayah.

Di bagian Kunci Multi-wilayah yang terkait dari kunci primer, pengguna yang diotorisasi dapat membuat kunci replika baru.

Kunci replika

Di mana: Tab regionalitas

Menunjukkan bahwa KMS kunci ini adalah kunci replika Multi-wilayah. Bidang ini hanya muncul ketika KMS kuncinya adalah kunci replika Multi-wilayah.

Algoritme penandatanganan

Di mana: Tab konfigurasi kriptografi

Daftar algoritma penandatanganan yang dapat digunakan dengan KMS kunci masuk AWS KMS. Bidang ini hanya muncul ketika Tipe kunci adalah Asimetris dan Penggunaan kunci adalah Tanda tangan dan verifikasi. Untuk informasi tentang algoritma penandatanganan yang AWS KMS mendukung, lihat RSAspesifikasi utama untuk penandatanganan dan verifikasi danSpesifikasi kunci kurva elips.

Status

Di mana: Bagian konfigurasi umum

Keadaan kunci dari KMS kunci. Anda dapat menggunakan KMS kunci dalam operasi kriptografi hanya ketika status Diaktifkan. Untuk penjelasan rinci tentang setiap status KMS kunci dan pengaruhnya terhadap operasi yang dapat Anda jalankan pada KMS tombol, lihatStatus AWS KMS kunci kunci.

Tanda

Di mana: Tab Tanda

Pasangan nilai kunci opsional yang menggambarkan kunci. KMS Untuk menambah atau mengubah tag untuk KMS kunci, pada tab Tag, pilih Edit.

Saat menambahkan tag ke AWS sumber daya, buat AWS laporan alokasi biaya dengan penggunaan dan biaya yang dikumpulkan berdasarkan tag. Tag juga dapat digunakan untuk mengontrol akses ke KMS kunci. Untuk informasi tentang menandai KMS kunci, lihat Tag di AWS KMS danABACuntuk AWS KMS.

DescribeKeyOperasi mengembalikan rincian tentang KMS kunci yang ditentukan. Untuk mengidentifikasi KMS kunci, gunakan ID kunci, kunci ARN, nama alias, atau alias ARN.

Berbeda dengan ListKeysoperasi, yang hanya menampilkan KMS kunci di akun dan Wilayah pemanggil, pengguna yang berwenang dapat menggunakan DescribeKey operasi untuk mendapatkan detail tentang KMS kunci di akun lain.

catatan

DescribeKeyTanggapan tersebut mencakup keduanya KeySpec dan CustomerMasterKeySpec anggota dengan nilai yang sama. CustomerMasterKeySpecAnggota tidak digunakan lagi.

Misalnya, panggilan ini untuk DescribeKey mengembalikan informasi tentang KMS kunci enkripsi simetris. Bidang dalam respons bervariasi dengan AWS KMS key spesifikasi, status kunci, dan asal material utama. Untuk contoh dalam beberapa bahasa pemrograman, lihat Gunakan DescribeKey dengan AWS SDK atau CLI.

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "Enabled": true, "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1499988169.234, "MultiRegion": false, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }

Contoh ini memanggil DescribeKey operasi pada KMS kunci asimetris yang digunakan untuk penandatanganan dan verifikasi. Responsnya mencakup algoritma penandatanganan yang AWS KMS mendukung KMS kunci ini.

$ aws kms describe-key --key-id 0987dcba-09fe-87dc-65ba-ab0987654321 { "KeyMetadata": { "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "Origin": "AWS_KMS", "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "KeyState": "Enabled", "KeyUsage": "SIGN_VERIFY", "CreationDate": 1569973196.214, "Description": "", "KeySpec": "ECC_NIST_P521", "CustomerMasterKeySpec": "ECC_NIST_P521", "AWSAccountId": "111122223333", "Enabled": true, "MultiRegion": false, "KeyManager": "CUSTOMER", "SigningAlgorithms": [ "ECDSA_SHA_512" ] } }