本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
下载公有密钥
您可以在 AWS KMS 控制台或使用GetPublicKey操作从非对称KMS密钥 pair 下载公钥。要下载公钥,您必须拥有非对称KMS密钥的kms:GetPublicKey
权限。
AWS KMS 返回的公钥是经DER编码的 X.509 公钥,也称为 SubjectPublicKeyInfo
(SPKI),定义在 5280 中。RFC
要从非对称密钥对(key pair)下载公KMS钥,您需要kms:GetPublicKey
权限。有关 AWS KMS 权限的更多信息,请参阅权限参考。
您可以使用 AWS Management Console 来查看、复制和下载您的 AWS 账户非对称密钥中的公有KMS密钥。要从不同的非对称密钥下载公KMS钥 AWS 账户,请使用。 AWS KMS API
-
登录 AWS Management Console 并在 https://console.aws.amazon.com/km
s 处打开 AWS Key Management Service (AWS KMS) 控制台。 -
要更改 AWS 区域,请使用页面右上角的区域选择器。
-
在导航窗格中,选择客户托管密钥。
-
选择非对称密钥的别名或KMS密钥 ID。
-
选择 Cryptographic configuration(加密配置)选项卡。记录 Key spec(密钥规范)、Key usage(密钥用法)和 Encryption algorithms(密钥算法)或 Signing Algorithms(签名算法)字段的值。你需要使用这些值才能在之外使用公钥 AWS KMS。在共享公有密钥时,请务必共享以上信息。
-
选择 Public key (公有密钥) 选项卡。
-
要将公有密钥复制到剪贴板,请选择 Copy (复制)。要将公有密钥下载到文件,请选择 Download (下载)。
该GetPublicKey操作返回非对称密钥中的公KMS钥。它还会返回您需要在外部正确使用公钥的关键信息 AWS KMS,包括密钥使用情况和加密算法。请务必保存这些值,并在共享公有密钥时共享它们。
本部分中的示例使用 AWS Command Line Interface
(AWS CLI)
要指定KMS密钥,请使用其密钥 ID、密钥ARN、别名或别名ARN。使用别名时,应加上 alias/ 前缀。要在不同的KMS密钥中指定密钥 AWS 账户,必须使用其密钥ARN或别名ARN。
在运行此命令之前,请将示例别名替换为KMS密钥的有效标识符。要运行此命令,您必须拥有KMS密钥的kms:GetPublicKey
权限。
$
aws kms get-public-key --key-id
alias/example_RSA_3072
{ "KeySpec": "RSA_3072", "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "KeyUsage": "ENCRYPT_DECRYPT", "EncryptionAlgorithms": [ "RSAES_OAEP_SHA_1", "RSAES_OAEP_SHA_256" ], "PublicKey": "MIIBojANBgkqhkiG..." }