下载公有密钥 - AWS Key Management Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

下载公有密钥

您可以在 AWS KMS 控制台或使用GetPublicKey操作从非对称KMS密钥 pair 下载公钥。要下载公钥,您必须拥有非对称KMS密钥的kms:GetPublicKey权限。

AWS KMS 返回的公钥是经DER编码的 X.509 公钥,也称为 SubjectPublicKeyInfo (SPKI),定义在 5280 中。RFC使用HTTPAPI或时,该值将采 AWS CLI用 Base64 编码。否则,将不会采用 Base64 编码。

要从非对称密钥对(key pair)下载公KMS钥,您需要kms:GetPublicKey权限。有关 AWS KMS 权限的更多信息,请参阅权限参考

您可以使用 AWS Management Console 来查看、复制和下载您的 AWS 账户非对称密钥中的公有KMS密钥。要从不同的非对称密钥下载公KMS钥 AWS 账户,请使用。 AWS KMS API

  1. 登录 AWS Management Console 并在 https://console.aws.amazon.com/km s 处打开 AWS Key Management Service (AWS KMS) 控制台。

  2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择客户托管密钥

  4. 选择非对称密钥的别名或KMS密钥 ID。

  5. 选择 Cryptographic configuration(加密配置)选项卡。记录 Key spec(密钥规范)、Key usage(密钥用法)和 Encryption algorithms(密钥算法)或 Signing Algorithms(签名算法)字段的值。你需要使用这些值才能在之外使用公钥 AWS KMS。在共享公有密钥时,请务必共享以上信息。

  6. 选择 Public key (公有密钥) 选项卡。

  7. 要将公有密钥复制到剪贴板,请选择 Copy (复制)。要将公有密钥下载到文件,请选择 Download (下载)

GetPublicKey操作返回非对称密钥中的公KMS钥。它还会返回您需要在外部正确使用公钥的关键信息 AWS KMS,包括密钥使用情况和加密算法。请务必保存这些值,并在共享公有密钥时共享它们。

本部分中的示例使用 AWS Command Line Interface (AWS CLI),但您可以使用任何受支持的编程语言。

要指定KMS密钥,请使用其密钥 ID密钥ARN别名别名ARN。使用别名时,应加上 alias/ 前缀。要在不同的KMS密钥中指定密钥 AWS 账户,必须使用其密钥ARN或别名ARN。

在运行此命令之前,请将示例别名替换为KMS密钥的有效标识符。要运行此命令,您必须拥有KMS密钥的kms:GetPublicKey权限。

$ aws kms get-public-key --key-id alias/example_RSA_3072 { "KeySpec": "RSA_3072", "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "KeyUsage": "ENCRYPT_DECRYPT", "EncryptionAlgorithms": [ "RSAES_OAEP_SHA_1", "RSAES_OAEP_SHA_256" ], "PublicKey": "MIIBojANBgkqhkiG..." }