下載公有金鑰 - AWS Key Management Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

下載公有金鑰

您可以從 AWS KMS 主控台中的非對稱金鑰對或使用 GetPublicKey操作下載公KMS有金鑰。若要下載公有金鑰,您必須擁有非對稱KMS金鑰的kms:GetPublicKey許可。

AWS KMS 傳回的公有金鑰是 DER編碼的 X.509 公有金鑰,也稱為 SubjectPublicKeyInfo(SPKI),如 RFC5280 所定義。當您使用 HTTPAPI或 時 AWS CLI,值為 Base64-encoded。否則,它不是 Base64-encoded。

若要從非對稱金鑰對下載公KMS有金鑰,您需要 kms:GetPublicKey 許可。如需 AWS KMS 許可的詳細資訊,請參閱 許可參考

您可以使用 AWS Management Console 來檢視、複製和下載 中非對稱金鑰的公有KMS金鑰 AWS 帳戶。若要從不同 中的非對稱KMS金鑰下載公有金鑰 AWS 帳戶,請使用 AWS KMS API。

  1. 登入 AWS Management Console 並在 https://console.aws.amazon.com/kms 開啟 AWS Key Management Service (AWS KMS) 主控台。

  2. 若要變更 AWS 區域,請使用頁面右上角的區域選擇器。

  3. 在導覽窗格中,選擇 Customer managed keys (客戶受管金鑰)。

  4. 選擇非對稱金鑰的別名或KMS金鑰 ID。

  5. 選擇 Cryptographic configuration (密碼編譯組態) 索引標籤。記錄 Key spec (金鑰規格)、Key usage (金鑰使用情形) 和 Encryption algorithms (加密演算法) 或 Signing Algorithms (簽署演算法) 欄位的值。您需要使用這些值,才能使用 外部的公有金鑰 AWS KMS。請務必在您共享公有金鑰時共享此資訊。

  6. 選擇 Public key (公有金鑰) 標籤。

  7. 如要將公有金鑰複製到您的剪貼簿,請使用 Copy (複製)。如要將公有金鑰下載至檔案,請選擇 Download (下載)

GetPublicKey 操作會在非對稱金鑰中傳回公KMS有金鑰。它也會傳回您在 之外正確使用公有金鑰所需的重要資訊 AWS KMS,包括金鑰用量和加密演算法。請務必儲存這些值,並在您共享公有金鑰時也共享這些資訊。

本節中的範例使用 AWS Command Line Interface (AWS CLI),但您可以使用任何支援的程式設計語言。

若要指定KMS金鑰,請使用其金鑰 ID 金鑰 ARN別名名稱 別名 ARN。使用別名時,請加上 alias/ 字首。若要在不同的 中指定KMS金鑰 AWS 帳戶,您必須使用其金鑰ARN或別名 ARN。

執行此命令之前,請將範例別名名稱取代為 KMS金鑰的有效識別符。若要執行此命令,您必須具有KMS金鑰的kms:GetPublicKey許可。

$ aws kms get-public-key --key-id alias/example_RSA_3072

{
    "KeySpec": "RSA_3072",
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyUsage": "ENCRYPT_DECRYPT",
    "EncryptionAlgorithms": [
        "RSAES_OAEP_SHA_1",
        "RSAES_OAEP_SHA_256"
    ],
    "PublicKey": "MIIBojANBgkqhkiG..."
}