本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
識別非對稱 KMS 金鑰
若要判斷特定 KMS 金鑰是否為非對稱 KMS 金鑰,請查看 key type (金鑰類型) 或 key spec (金鑰規格)。您可以使用 AWS KMS 控制台或 AWS KMS API。
其中一些方法也會顯示 KMS 金鑰密碼編譯組態的其他方面,包括金鑰使用情形和 KMS 金鑰支援的加密或簽署演算法。您可以檢視現有 KMS 金鑰的密碼編譯組態,但無法變更它。
如需檢視 KMS 金鑰的一般資訊,包括排序、篩選和選擇主控台顯示的欄位,請參閱 在主控台中檢視KMS金鑰。
在 KMS 金鑰資料表中尋找金鑰類型
在 AWS KMS 主控台中,[金鑰類型] 欄會顯示每個 KMS 金鑰是對稱還是非對稱。您可以將 金鑰類型欄位新增至主控台中客戶受管金鑰或 AWS 受管金鑰 頁面上的 KMS 金鑰資料表。
若要識別 KMS 金鑰資料表中的對稱和非對稱 KMS 金鑰,請使用下列程序。
-
請在以下位置開啟 AWS KMS 主控台。
https://console.aws.amazon.com/kms -
若要變更 AWS 區域,請使用頁面右上角的「地區」選取器。
-
若要檢視您所建立及管理帳戶中的金鑰,請在導覽窗格中選擇Customer managed keys (客戶受管金鑰)。若要檢視帳戶中為您 AWS 建立和管理的金鑰,請在功能窗格中選擇AWS 受管理的金鑰。
-
Key type (金鑰類型) 欄會顯示每個 KMS 金鑰是對稱還是非對稱。您也可以依 Key type (金鑰類型) 值進行排序和篩選。
如果 KMS 金鑰資料表中沒有顯示 Key type (金鑰類型) 欄,請選擇頁面右上角的齒輪圖示,選擇 Key type (金鑰類型),然後選擇 Confirm (確認)。您還可以新增 Key spec (金鑰規格) 和 Key usage (金鑰使用方式) 欄位。
在詳細資訊頁面尋找金鑰類型
在 AWS KMS 主控台中,每個 KMS 金鑰的詳細資料頁面都包含一個「加密組態」索引標籤,該索引標籤會顯示金鑰類型 (對稱或非對稱) 以及 KMS 金鑰的其他加密詳細資料。
若要在 KMS 金鑰詳細資訊頁面上識別對稱和非對稱 KMS 金鑰,請使用下列程序。
-
請在以下位置開啟 AWS KMS 主控台。
https://console.aws.amazon.com/kms -
若要變更 AWS 區域,請使用頁面右上角的「地區」選取器。
-
若要檢視您所建立及管理帳戶中的金鑰,請在導覽窗格中選擇Customer managed keys (客戶受管金鑰)。若要檢視帳戶中為您 AWS 建立和管理的金鑰,請在功能窗格中選擇AWS 受管理的金鑰。
-
選擇 KMS 金鑰的別名或金鑰 ID。
-
選擇 Cryptographic configuration (密碼編譯組態) 索引標籤。索引標籤位於 General Configuration (一般組態) 區段下。
Cryptographic configuration (密碼編譯組態) 區段會顯示 Key Type (金鑰類型),指出它是對稱還是非對稱。它還會顯示 KMS 金鑰的其他詳細資訊,包括 Key Usage (金鑰使用情形),表示 KMS 金鑰是否可用於加密和解密或簽署和驗證。對於非對稱 KMS 金鑰,它會顯示 KMS 金鑰支援的加密演算法或簽署演算法。
例如,以下是對稱加密 KMS 金鑰的 Cryptographic configuration (密碼編譯組態) 索引標籤範例。
以下是非對稱 RSA KMS 金鑰 (用於簽署和驗證) 的範例 Cryptographic configuration (密碼編譯組態) 索引標籤。
使用 AWS KMS API 尋找關鍵規格
若要判斷 KMS 金鑰是對稱還是非對稱,請使用此DescribeKey作業。回應中的 KeySpec 欄位包含 KMS 金鑰的金鑰規格。若為對稱加密 KMS 金鑰,KeySpec 的值是 SYMMETRIC_DEFAULT。如果是其他值,則表示其為非對稱 KMS 金鑰或 HMAC KMS 金鑰。
注意
已取代 CustomerMasterKeySpec 成員。請改用 KeySpec。若要防止中斷變更,則 DescribeKey 回應會包含具有相同值的 KeySpec 和 CustomerMasterKeySpec 成員。
例如,如果是對稱加密 KMS 金鑰,DescribeKey 會為傳回下列回應。KeySpec 值是 SYMMETRIC_DEFAULT。
{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1496966810.831, "Enabled": true, "Description": "", "KeyState": "Enabled", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "MultiRegion": false, "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }
用於簽署和驗證之非對稱 RSA KMS 金鑰的 DescribeKey 回應看起來類似於此範例。KeySpec 值為 RSA_2048,KeyUsage 是 SIGN_VERIFY。SigningAlgorithms 元素會列出 KMS 金鑰的有效簽署演算法。
{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1571767572.317, "CustomerMasterKeySpec": "RSA_2048", "Enabled": false, "Description": "", "KeyState": "Disabled", "Origin": "AWS_KMS", "MultiRegion": false, "KeyManager": "CUSTOMER", "KeySpec": "RSA_2048", "KeyUsage": "SIGN_VERIFY", "SigningAlgorithms": [ "RSASSA_PKCS1_V1_5_SHA_256", "RSASSA_PKCS1_V1_5_SHA_384", "RSASSA_PKCS1_V1_5_SHA_512", "RSASSA_PSS_SHA_256", "RSASSA_PSS_SHA_384", "RSASSA_PSS_SHA_512" ] } }
用於衍生共用密碼的非對稱 ECC KMS 金鑰的DescribeKey回應類似於此範例。這個KeySpec值是指定的值,而且是。KeyUsage SIGN_VERIFYKeyAgreementAlgorithms元素會列出 KMS 金鑰的有效金鑰合約演算法。
{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": "2023-12-27T19:10:15.063000+00:00", "Enabled": true, "Description": "", "KeyUsage": "KEY_AGREEMENT", "KeyState": "Enabled", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "ECC_NIST_P256", "KeySpec": "ECC_NIST_P256", "KeyAgreementAlgorithms": [ "ECDH" ], "MultiRegion": false } }
