本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在控制台中查看KMS密钥
在 AWS Management Console,您可以查看账户和区域中的KMS密钥列表以及每个密KMS钥的详细信息。
注意
这些区域有: AWS KMS 控制台显示您在账户和区域中有权查看的KMS密钥。KMS其他钥匙 AWS 账户 即使您有权查看、管理和使用控制台,也不会出现在控制台中。要查看其他账户中的KMS密钥,请使用DescribeKey操作。
导航到密钥表
这些区域有: AWS KMS keys 在每个账户中,表格中显示区域。对于您创建的密钥和用于创建的KMS密钥,有单独的KMS表 AWS 为您创建的服务。
-
登录 AWS Management Console 然后打开 AWS Key Management Service (AWS KMS) 控制台位于 https://console.aws.amazon.com/kms。
-
要更改 AWS 区域,使用页面右上角的区域选择器。
-
要查看您账户中自己所创建和管理的密钥,请在导航窗格中选择 Customer managed keys (客户托管密钥)。要查看你账户中的密钥 AWS 为您创建和管理,在导航窗格中,选择 AWS 托管密钥。有关不同类型KMS密钥的信息,请参见 AWS KMS keys.
导航到密钥详细信息
每个都有一个详细信息页面 AWS KMS key 在账户和区域中。详细信息页面显示KMS密钥的 “常规配置” 部分,并包含允许授权用户查看和管理密钥的加密配置和密钥策略的选项卡。根据密钥类型,详细信息页面还可能包括 Aliases(别名)、Key material(密钥材料)、Key rotation(密钥轮换)、Public key(公有密钥)、Regionality(区域性)和 Tags(标签)选项卡。
导航到密钥的密钥详细信息页面。KMS
-
登录 AWS Management Console 然后打开 AWS Key Management Service (AWS KMS) 控制台位于 https://console.aws.amazon.com/kms。
-
要更改 AWS 区域,使用页面右上角的区域选择器。
-
要查看您账户中自己所创建和管理的密钥,请在导航窗格中选择 Customer managed keys (客户托管密钥)。要查看你账户中的密钥 AWS 为您创建和管理,在导航窗格中,选择 AWS 托管密钥。有关不同类型KMS密钥的信息,请参见 AWS KMS key.
要打开密钥详细信息页面,请在密钥表中选择密钥的密钥 ID 或别名。KMS
如果KMS密钥有多个别名,则在其中一个别名的名称旁边会显示别名摘要(+ n 个)。选择别名摘要将直接进入密钥详细信息页面上的 Aliases(别名)选项卡中。
对KMS密钥进行排序和筛选
为了更轻松地在控制台中找到您的KMS密钥,您可以对密钥表进行排序和筛选。
- 排序
-
您可以按KMS键的列值按升序或降序对键进行排序。此功能会对表中的所有KMS键进行排序,即使它们未出现在当前表格页面上也是如此。
可排序的列由列名称旁边的箭头指示。在存储库的 AWS 托管式密钥页面上,您可以按别名或密钥 ID 进行排序。在 Customer managed keys(客户托管密钥)页面上,可以按 Aliases(别名)、Key ID(密钥 ID)或 Key type(密钥类型)进行排序。
要按升序排列,请选择列标题,直至箭头向上。要按降序排列,请选择列标题,直至箭头向下。一次只能按一列排序。
例如,您可以按KMS密钥 ID 而不是按默认别名按升序对密钥进行排序。
当您在客户管理的KMS密钥页面上按密钥类型升序对密钥进行排序时,所有非对称密钥都会显示在所有对称密钥之前。
- 筛选条件
-
您可以按KMS密钥的属性值或标签筛选密钥。过滤器适用于表中的所有KMS键,即使它们未出现在当前表格页面上也是如此。筛选不区分大小写。
筛选框中列出了可筛选的属性。在存储库的 AWS 托管式密钥 页面,您可以按别名和密钥 ID 进行筛选。在 Customer managed keys(客户托管密钥)页面上,可以按别名、密钥 ID、密钥类型属性和标签进行筛选。
-
在存储库的 AWS 托管式密钥页面,您可以按别名和密钥 ID 进行筛选。
-
在 Customer managed keys(客户托管密钥)页面上,可以按标签、别名、密钥 ID、密钥类型和区域性属性进行筛选。
要按属性值进行筛选,请选择筛选条件、属性名称,然后从实际属性值的列表中进行选择。要按标签进行筛选,请选择标签键,然后从实际标签值列表中进行选择。选择属性或标签键后,还可以键入全部或部分属性值或标签值。在做出选择之前,将看到结果的预览。
例如,要显示别名包含的KMS按键
aws/e,请选择筛选器框,选择 “别名”aws/e,键入,然后按Enter或Return添加过滤器。
要在客户管理的KMS密钥页面上仅显示非对称密钥,请单击筛选框,选择密钥类型,然后选择密钥类型:非对称。只有当表中有非对称KMS密钥时,才会出现 “非对称” 选项。有关识别非对称KMS密钥的更多信息,请参阅识别非对称 KMS 密钥。
要仅显示多区域密钥,请在 Customer managed keys(客户托管密钥)页面上,选择筛选框,选择 Regionality(区域性),然后选择 Regionality: Multi-Region(区域性:多区域)。Multi-Region(多区域)选项仅当您在表中具有多区域密钥时才会显示。有关识别多区域密钥的更多信息,请参阅 查看多区域密钥。
标签筛选有点不同。要仅显示带有特定标签的KMS密钥,请选择筛选框,选择标签键,然后从实际标签值中进行选择。还可以键入全部或部分标签值。
生成的表格显示了带有所选标签的所有KMS密钥。但是,它不显示标签。要查看标签,请选择密钥的密钥 ID 或别名,然后在其详情页面上选择标签选项卡。KMS别名显示在 General configuration(常规配置)部分下。
此筛选条件同时需要标签键和标签值。它不会通过仅KMS键入标签键或仅键入其值来找到密钥。要按全部或部分标签键或值筛选标签,请使用ListResourceTags操作获取带标签的KMS密钥,然后使用编程语言的筛选功能。有关示例,请参阅ListResourceTags: 获取密KMS钥上的标签。
要搜索文本,请在筛选框中键入全部或部分别名、密钥 ID、密钥类型或标签键。(选择标签键后,您可以搜索标签值)。在做出选择之前,将看到结果的预览。
例如,要显示带有
test标签KMS键或可筛选属性的密钥,请在筛选框test中键入。预览会显示过滤器将选择的KMS按键。在这种情况下,test仅显示在别名属性中。
您可以同时使用多个筛选条件。添加其他筛选条件时,还可以选择逻辑运算符。
-
显示KMS密钥详情
每个KMS密钥的详细信息页面显示该KMS密钥的属性。对于不同类型的KMS密钥,它略有不同。
要显示有关KMS密钥的详细信息,请在 AWS 托管式密钥 或客户管理的密钥页面,选择密钥的别名或KMS密钥 ID。
KMS密钥的详细信息页面包括显示密KMS钥基本属性的常规配置部分。它还包括一些选项卡,您可以在这些选项卡上查看和编辑KMS密钥的属性,例如密钥策略、加密配置、标签、密钥材料(适用于导入密钥材料的KMS密钥)、密钥轮换(适用于对称加密KMS密钥)、区域性(适用于多区域密钥)和公钥(适用于非对称密钥)。KMS
以下列表描述了详细显示部分中的字段,包括选项卡中的字段。其中某些字段也在表格显示部分中以列的形式出现。
- 别名
-
位置:Aliases(别名)选项卡
KMS密钥的友好名称。您可以使用别名在控制台和某些控制台中识别KMS密钥 AWS KMS APIs。有关详细信息,请参阅使用别名。
别名选项卡显示与KMS密钥关联的所有别名 AWS 账户 和区域。
- ARN
-
位置:General configuration(常规配置)部分
KMS密钥的 Amazon 资源名称 (ARN)。此值唯一标识KMS密钥。你可以用它来识别KMS密钥 AWS KMS API操作。
- 连接状态
表示自定义密钥存储是否已连接到其备用密钥存储。只有在自定义密钥库中创建KMS密钥时,才会显示此字段。
有关此字段中值的信息,请参见ConnectionState中的 AWS KMS API参考。
- 创建日期
-
位置:General configuration(常规配置)部分
KMS密钥的创建日期和时间。此值显示为设备的本地时间。时区不依赖于区域。
与过期不同,创建仅指KMS密钥,而不是其密钥材料。
- 云HSM集群 ID
-
位置:Cryptographic configuration(加密配置)选项卡
的集群 ID AWS CloudHSM 包含密钥密钥材料的KMS集群。只有在自定义密钥库中创建KMS密钥时,才会显示此字段。
如果您选择 Cloud HSM 集群 ID,它将在中打开集群页面 AWS CloudHSM console。
- 自定义密钥存储 ID
-
位置:Cryptographic configuration(加密配置)选项卡
包含密钥的自定义密钥库的 KMS ID。只有在自定义密钥库中创建KMS密钥时,才会显示此字段。
如果您选择自定义密钥存储库 ID,则它会在中打开自定义密钥存储页面 AWS KMS console。
- 自定义密钥存储名称
-
位置:Cryptographic configuration(加密配置)选项卡
包含密钥的自定义密钥库的KMS名称。只有在自定义密钥库中创建KMS密钥时,才会显示此字段。
- 自定义密钥存储类型
-
位置:Cryptographic configuration(加密配置)选项卡
表示自定义密钥库是否是 AWS CloudHSM 密钥存储库或外部密钥存储库。只有在自定义密钥库中创建KMS密钥时,才会显示此字段。
- 描述
-
位置:General configuration(常规配置)部分
对KMS密钥的简短可选描述,您可以编写和编辑该密钥。要添加或更新客户托管密钥的描述,请选择 General Configuration(常规配置)上方的 Edit(编辑)。
- 加密算法
-
位置:Cryptographic configuration(加密配置)选项卡
列出可用于密KMS钥的加密算法 AWS KMS。 仅当密钥类型为非对称且密钥用法为加密和解密时,才会显示此字段。有关加密算法的信息 AWS KMS 支持,参见SYMMETRIC_DEFAULT 密钥规范和用于加密和解密的 RSA 密钥规范。
- 到期日期
-
位置:Key material(密钥材料)选项卡
密钥的密钥材料到期的KMS日期和时间。此字段仅适用于已导入KMS密钥材料的密钥,也就是说,当 Origin 为外部且KMS密钥的密钥材料已过期时。
- 外部密钥 ID
-
位置:Cryptographic configuration(加密配置)选项卡
- 外部密钥状态
-
位置:Cryptographic configuration(加密配置)选项卡
外部密钥存储代理报告的与密钥关联的外部密钥的最新状态。KMS此字段仅适用于外部KMS密钥存储库中的密钥。
- 外部密钥用途
-
位置:Cryptographic configuration(加密配置)选项卡
在与密钥关联的外部密钥上启用的加密操作。KMS此字段仅适用于外部KMS密钥存储库中的密钥。
- 密钥策略
-
位置:Key policy(密钥策略)选项卡
控制对KMS密钥的访问权限以及IAM策略和授权。每个KMS密钥都有一个密钥策略。它是唯一的强制性授权元素。要更改客户托管密钥的密钥策略,请在 Key policy(密钥策略)选项卡上选择 Edit(编辑)。有关详细信息,请参阅中的关键政策 AWS KMS。
- 密钥轮换
-
位置:Key rotation(密钥轮换)选项卡
启用和禁用客户管理KMS的密钥中密钥材料的自动轮换。要更改客户托管式密钥的密钥轮换状态,请使用 Key rotation(密钥轮换)选项卡上的复选框。
您无法启用或禁用密钥材料的轮换 AWS 托管式密钥. AWS 托管式密钥 每年自动轮换。
- 密钥规范
-
位置:Cryptographic configuration(加密配置)选项卡
密钥中密钥材料的KMS类型。 AWS KMS 支持对称加密KMS密钥 (SYMMETRIC_DEFAULT)、不同长度的HMACKMS密KMS钥、不同长度的RSA密钥以及具有不同曲线的椭圆曲线密钥。有关详细信息,请参阅密钥规范。
- 密钥类型
-
位置:Cryptographic configuration(加密配置)选项卡
表示KMS密钥是对称还是非对称。
- 密钥用法
-
位置:Cryptographic configuration(加密配置)选项卡
表示KMS密钥是否可用于加密和解密、签名和验证或生成并验证。MAC有关详细信息,请参阅密钥用法。
- Origin
-
位置:Cryptographic configuration(加密配置)选项卡
密钥的密钥材料来源。KMS有效值为:
-
AWS KMS对于关键材料 AWS KMS 生成
-
AWS CloudHSM用于输入的KMS钥匙 AWS CloudHSM 钥匙库
-
外部用于导入的密钥材料 (BYOK)
-
外部密钥存储库中KMS密钥的外部密钥存储
-
- MAC算法
-
位置:Cryptographic configuration(加密配置)选项卡
列出可与HMACKMS密钥配合使用的MAC算法 AWS KMS。 仅当密钥规范为密钥规范 (HMAC_*) 时,HMAC才会显示此字段。有关MAC算法的信息 AWS KMS 支持,请参阅HMAC KMS 密钥的密钥规范。
- 主键
-
位置:Regionality(区域性)选项卡
表示此KMS密钥是多区域主键。授权用户可以使用此部分将主键更改为另一个相关的多区域密钥。仅当密钥为多区域主KMS键时,才会显示此字段。
- 公有密钥
-
位置:Public key(公有密钥)选项卡
显示非对称密钥的公KMS钥。经授权的用户可以使用此选项卡复制和下载公有密钥。
- 区域性
-
位置:General configuration(常规配置)部分和 Regionality(区域性)选项卡
表示KMS密钥是单区域密钥、多区域主键还是多区域副本密钥。仅当密钥为多区域KMS密钥时,才会显示此字段。
- 相关的多区域密钥
-
位置:Regionality(区域性)选项卡
显示除当前密钥之外的所有相关的多区域主密钥和副本KMS密钥。仅当密钥为多区域KMS密钥时,才会显示此字段。
在主键的相关的多区域密钥部分,授权用户可以创建新的副本密钥。
- 副本密钥
-
位置:Regionality(区域性)选项卡
表示此KMS密钥是多区域副本密钥。仅当密钥为多区域副本KMS密钥时,才会显示此字段。
- 签名算法
-
位置:Cryptographic configuration(加密配置)选项卡
列出可与KMS密钥配合使用的签名算法 AWS KMS。 仅当 “密钥类型” 为 “非对称” 且密钥用法为 “签名并验证” 时,才会显示此字段。有关签名算法的信息 AWS KMS 支持,参见用于签名和验证的 RSA 密钥规范和椭圆曲线密钥规范。
- Status
-
位置:General configuration(常规配置)部分
密钥的密KMS钥状态。只有当状态为 “启用” 时,您才能在加密操作中使用该KMS密钥。有关每种KMS密钥状态及其对您可在密KMS钥上运行的操作的影响的详细说明,请参阅密 AWS KMS 钥的关键状态。
- 标签
-
位置:Tags(标签)选项卡
描述密钥的可选键值对。KMS要添加或更改KMS密钥的标签,请在标签选项卡上选择编辑。
当你向你的标签添加标签时 AWS 资源, AWS 生成成本分配报告,其中包含按标签汇总的使用量和成本。标签还可用于控制对KMS密钥的访问。有关为KMS密钥添加标签的信息,请参见标记密钥和。AWS KMS 中的 ABAC
自定义KMS密钥表
您可以自定义上显示的表格 AWS 托管式密钥和 “客户管理的密钥” 页面 AWS Management Console 以满足您的需求。你可以选择表格的列数, AWS KMS keys 在每页(页面大小)上,文字换行。所选择的配置将在确认后保存,并在打开页面时重新应用。
自定义KMS密钥表
-
在存储库的 AWS 托管式密钥或客户管理的密钥页面,选择页面右上角的设置图标 (
)。 -
在 Preferences (首选项) 页面上,选择您的首选设置,然后选择 Confirm (确认)。
考虑使用页面大小设置来增加每页上显示的KMS按键数量,尤其是在您通常使用易于滚动的设备时。
您显示的数据列可能会有所不同,具体取决于表、您的工作角色以及账户和区域中的KMS密钥类型。下表提供了一些建议的配置。有关列的描述,请参阅显示KMS密钥详情。
建议的KMS密钥表配置
您可以自定义KMS密钥表中显示的列,以显示您需要的KMS密钥信息。
- AWS 托管式密钥
-
默认情况下,AWS 托管式密钥表显示了 “别名”、“密钥 ID” 和 “状态” 列。这些列适合于大多数使用案例。
- 对称加密密钥 KMS
-
如果您仅使用对称加密KMS密钥以及由生成的密钥材料 AWS KMS,“别名”、“密钥 ID”、“状态” 和 “创建日期” 列可能是最有用的。
- 非对称密钥 KMS
-
如果您使用非对称KMS密钥,则除了 “别名”、“密钥 ID” 和 “状态” 列之外,还可以考虑添加密钥类型、密钥规范和密钥用法列。这些列将显示KMS密钥是对称的还是非对称的、密钥材料的类型以及KMS密钥是否可以用于加密或签名。
- HMACKMS钥匙
-
如果您使用HMACKMS密钥,除了 “别名”、“密钥 ID” 和 “状态” 列之外,还可以考虑添加密钥规范和密钥用法列。这些列将显示KMS密钥是否为HMAC密钥。由于您无法按KMS密钥规格或密钥使用情况对密钥进行排序,因此请使用别名和标签来识别您的HMAC密钥,然后使用密钥的筛选功能 AWS KMS 控制台按别名或标签进行筛选。
- 导入的密钥材料
-
如果您的KMS密钥包含已导入的密钥材料,请考虑添加 “起源” 和 “到期日期” 列。这些列将显示密钥中的密钥材料是由导入的还是由生成的 KMS AWS KMS 以及密钥材料何时过期(如果有的话)。创建日期字段显示KMS密钥的创建日期(不包括密钥材料)。该字段不体现密钥材料的任何特征。
- 自定义密钥存储中的密钥
-
如果您在自定义密钥存储库中有KMS密钥,请考虑添加 Origin 和 C ustom 密钥存储库 ID 列。这些列显示KMS密钥位于自定义密钥库中,显示自定义密钥存储库类型,并标识自定义密钥存储区。
- 多区域密钥
-
如果您有多区域密钥,请考虑添加 Regionality(区域性)列。这显示KMS密钥是单区域密钥、多区域主键还是多区域副本密钥。
