本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
存取和列出KMS金鑰詳細資訊
您可以使用AWS KMS 主控台
下列程序示範如何存取KMS金鑰詳細資訊,例如金鑰 ID、金鑰規格、金鑰用量等。
每個KMS金鑰的詳細資訊頁面會顯示KMS金鑰的屬性。不同類型的KMS金鑰略有不同。
若要顯示KMS金鑰的詳細資訊,請在 AWS 受管金鑰 或 客戶受管金鑰頁面上,選擇KMS金鑰的別名或金鑰 ID。
KMS 金鑰的詳細資訊頁面包含一般組態區段,可顯示KMS金鑰的基本屬性。它還包括您可以檢視和編輯KMS金鑰屬性的索引標籤,例如金鑰政策 、密碼編譯組態 、標籤 、金鑰材料 (適用於具有匯入金鑰材料的KMS金鑰)、金鑰輪換 (適用於對稱加密KMS金鑰)、區域性 (適用於多區域金鑰) 和公有金鑰 (適用於非對稱KMS金鑰)。
注意
AWS KMS 主控台會顯示您在帳戶和區域中有權檢視的KMS金鑰。KMS 其他 中的金鑰 AWS 帳戶 不會出現在主控台中,即使您有檢視、管理和使用這些金鑰的許可。若要檢視其他帳戶中的KMS金鑰,請使用 DescribeKey操作。
導覽至金鑰的KMS金鑰詳細資訊頁面。
-
登入 AWS Management Console 並在 https://console.aws.amazon.com/kms
開啟 AWS Key Management Service (AWS KMS) 主控台。 -
若要變更 AWS 區域,請使用頁面右上角的區域選擇器。
-
若要檢視您所建立及管理帳戶中的金鑰,請在導覽窗格中選擇Customer managed keys (客戶受管金鑰)。若要檢視帳戶中為您 AWS 建立和管理的金鑰,請在導覽窗格中選擇 AWS 受管金鑰 。
-
若要開啟金鑰詳細資訊頁面,請在金鑰資料表中選擇金鑰 ID 或KMS金鑰的別名。
如果KMS金鑰具有多個別名,別名摘要 (+n 更多) 會顯示在其中一個別名的名稱旁。選擇別名摘要會直接帶您前往金鑰詳細資訊頁面上的 Aliases (別名) 索引標籤。
以下清單描述了詳細顯示中的欄位,包括索引標籤中的欄位。其中有些欄位也可以在資料表顯示中做為資料行使用。
- Aliases
-
其中:別名索引標籤
KMS 金鑰的易記名稱。您可以使用別名在主控台和某些 中識別KMS金鑰 AWS KMS APIs。如需詳細資訊,請參閱 中的別名 AWS KMS。
別名索引標籤會顯示與 AWS 帳戶 和 區域中的KMS金鑰相關聯的所有別名。
- ARN
-
其中:一般組態區段
KMS 金鑰的 Amazon Resource Name (ARN)。此值可唯一識別KMS金鑰。您可以使用它來識別 AWS KMS API操作中的KMS金鑰。
- 連線狀態
-
指示自訂金鑰存放區是否已連接至其備份金鑰存放區。只有在自訂KMS金鑰存放區中建立金鑰時,才會出現此欄位。
如需此欄位中值的相關資訊,請參閱 參考 ConnectionState中的 。 AWS KMS API
- 建立日期
-
其中:一般組態區段
建立KMS金鑰的日期和時間。這個值會以裝置的本地時間顯示。時區不會依存區域。
與到期 不同,建立僅參考KMS金鑰,而非其金鑰材料。
- 雲端HSM叢集 ID
-
其中:密碼編譯組態索引標籤
叢集的 AWS CloudHSM 叢集 ID,其中包含KMS金鑰的金鑰材料。只有在自訂KMS金鑰存放區 中建立金鑰時,才會出現此欄位。 AWS KMS 自訂金鑰存放區
如果您選擇雲端HSM叢集 ID,它會在 AWS CloudHSM 主控台中開啟叢集頁面。
- 自訂金鑰存放區 ID
-
其中:密碼編譯組態索引標籤
包含 金鑰的自訂金鑰存放區的 ID。 KMS只有在自訂KMS金鑰存放區中建立金鑰時,才會出現此欄位。
如果您選擇自訂金鑰存放區 ID,則會在 AWS KMS 主控台中開啟自訂金鑰存放區頁面。
- 自訂金鑰存放區名稱
-
其中:密碼編譯組態索引標籤
包含 金鑰的自訂金鑰存放區名稱。 KMS只有在自訂KMS金鑰存放區中建立金鑰時,才會出現此欄位。
- 自訂金鑰存放區類型
-
其中:密碼編譯組態索引標籤
指示自訂金鑰存放區是 AWS CloudHSM 金鑰存放區還是外部金鑰存放區。只有在自訂KMS金鑰存放區 中建立金鑰時,才會出現此欄位。 AWS KMS 自訂金鑰存放區
- 描述
-
其中:一般組態區段
您可以撰寫和編輯之KMS金鑰的簡短、選用描述。如要新增或更新客戶受管金鑰的描述,請在 General Configuration (一般組態) 上方,選擇 Edit (編輯)。
- 加密演算法
-
其中:密碼編譯組態索引標籤
列出可與 中的KMS金鑰搭配使用的加密演算法 AWS KMS。此欄位只有在 Key type (金鑰類型) 是 Asymmetric (非對稱) 且 Key usage (金鑰使用方式) 是 Encrypt and decrypt (加密及解密) 時才會出現。如需有關 AWS KMS 支援加密演算法的資訊,請參閱 SYMMETRIC_DEFAULT 金鑰規格和 RSA 加密和解密的金鑰規格。
- 過期日期
-
其中:金鑰材料索引標籤
金鑰的KMS金鑰材料過期的日期和時間。此欄位只會針對具有匯入KMS金鑰材料 的金鑰顯示,也就是說,當原始伺服器為外部金鑰且KMS金鑰具有過期的金鑰材料時。 匯入金鑰的 AWS KMS 金鑰材料
- 外部金鑰 ID
-
其中:密碼編譯組態索引標籤
- 外部金鑰狀態
-
其中:密碼編譯組態索引標籤
- 外部金鑰使用情況
-
其中:密碼編譯組態索引標籤
在與金鑰相關聯的外部金鑰上啟用的密碼編譯操作KMS。此欄位僅對外部KMS金鑰存放區中的金鑰顯示。
- 金鑰政策
-
其中:金鑰政策索引標籤
控制對 KMS 金鑰的存取,以及IAM政策和授予 。每個KMS金鑰都有一個金鑰政策。這是唯一的強制授權元素。如要變更客戶受管金鑰的金鑰政策,請在 Key policy (金鑰政策) 標籤上,選擇 Edit (編輯)。如需詳細資訊,請參閱 中的金鑰政策 AWS KMS。
- 金鑰輪換
-
其中:金鑰輪換索引標籤
啟用和停用客戶受管金鑰 中KMS金鑰材料的自動輪換。如要變更客戶受管金鑰的金鑰輪換狀態,請使用 Key rotation (金鑰輪換) 標籤上的核取方塊。
您不能啟用或停用 AWS 受管金鑰 中金鑰資料的輪換。 AWS 受管金鑰 每年會自動輪換一次。
- 金鑰規格
-
其中:密碼編譯組態索引標籤
KMS key.support 中金鑰材料的類型 AWS KMS ,支援對稱加密KMS金鑰 (SYMMETRIC_DEFAULT)、不同長度的HMACKMS金鑰、不同長度RSA金鑰的KMS金鑰,以及具有不同曲線的橢圓曲線金鑰。如需詳細資訊,請參閱 Key spec。
- Key type
-
其中:密碼編譯組態索引標籤
指示KMS金鑰是對稱還是非對稱 。
- 金鑰用途
-
其中:密碼編譯組態索引標籤
指示KMS金鑰是否可用於加密和解密 、簽署和驗證 或產生和驗證 MAC。如需詳細資訊,請參閱 Key usage。
- Origin
-
其中:密碼編譯組態索引標籤
金鑰的KMS金鑰材料來源。有效的 值如下:
-
AWS KMS 適用於 AWS KMS 產生的金鑰材料
-
AWS CloudHSM KMS金鑰AWS CloudHSM 存放區中的金鑰
-
已匯入金鑰材料的外部 (BYOK)
-
外部金鑰存放區中KMS金鑰的外部金鑰存放區
-
- MAC 演算法
-
其中:密碼編譯組態索引標籤
列出可與 中的HMACKMS金鑰搭配使用的MAC演算法 AWS KMS。只有在金鑰規格為HMAC金鑰規格 (HMAC_*) 時,才會顯示此欄位。如需 AWS KMS 支援MAC演算法的相關資訊,請參閱 金鑰的HMACKMS金鑰規格。
- 主索引鍵
-
其中:區域性索引標籤
表示此KMS金鑰是多區域主金鑰 。授權使用者可以使用此區段將主要金鑰變更為不同的相關多區域金鑰。只有在KMS金鑰是多區域主金鑰時,才會顯示此欄位。
- 公有金鑰
-
其中:公有金鑰索引標籤
顯示非對稱金鑰的公有KMS金鑰。獲得授權的使用者可以使用此標籤來複製及下載公有金鑰。
- 區域性
-
其中:「一般組態」區段和「區域性」索引標籤
- 相關的多區域金鑰
-
其中:區域性索引標籤
顯示除了目前金鑰以外的所有相關多區域主要金鑰和複本金鑰 。 KMS此欄位只會在KMS金鑰為多區域金鑰時出現。
在主要金鑰的相關多區域金鑰區段,授權使用者可以建立新的複本金鑰。
- 複本金鑰
-
其中:區域性索引標籤
表示此KMS金鑰是多區域複本金鑰 。只有在KMS金鑰是多區域複本金鑰時,才會顯示此欄位。
- 簽署演算法
-
其中:密碼編譯組態索引標籤
列出可與 中的KMS金鑰搭配使用的簽署演算法 AWS KMS。此欄位只有在 Key type (金鑰類型) 是 Asymmetric (非對稱) 且 Key usage (金鑰使用方式) 是 Sign and verify (簽署及驗證) 時才會出現。如需有關 AWS KMS 支援簽署演算法的資訊,請參閱 RSA 用於簽署和驗證的金鑰規格和 橢圓曲線金鑰規格。
- Status
-
其中:一般組態區段
金鑰的KMS金鑰狀態。只有在狀態為已啟用 時,您才能在密碼編譯操作中使用 KMS金鑰。如需每個KMS金鑰狀態及其對您可以在KMS金鑰上執行之操作影響的詳細說明,請參閱 金鑰的 AWS KMS 金鑰狀態。
- 標籤
-
其中:標籤索引標籤
描述金鑰的選用KMS鍵值對。若要新增或變更KMS金鑰的標籤,請在標籤索引標籤上,選擇編輯 。
當您將標籤新增至 AWS 資源時, AWS 會產生成本分配報告,其中包含使用量和標籤彙總的成本。標籤也可用於控制對KMS金鑰的存取。如需有關標記KMS金鑰的資訊,請參閱 中的標籤 AWS KMS和 ABAC 適用於 AWS KMS。
DescribeKey 操作會傳回指定KMS金鑰的詳細資訊。若要識別KMS金鑰,請使用金鑰 ID 、金鑰 ARN、別名名稱 或別名 ARN。
與只顯示呼叫者帳戶和區域中KMS金鑰ListKeys的操作不同,授權使用者可以使用 DescribeKey操作來取得其他帳戶中KMS金鑰的詳細資訊。
注意
DescribeKey 回應包括具有相同值的 KeySpec 和 CustomerMasterKeySpec 成員。已取代 CustomerMasterKeySpec 成員。
例如,此呼叫會DescribeKey傳回對稱加密KMS金鑰的相關資訊。回應中的欄位會隨 AWS KMS key 規格、金鑰狀態和金鑰材料來源而有所不同。如需多種程式設計語言的範例,請參閱DescribeKey 搭配 AWS SDK或 使用 CLI。
$aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "Enabled": true, "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1499988169.234, "MultiRegion": false, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }
此範例會呼叫用於簽署和驗證的非對稱KMS金鑰DescribeKey的操作。回應包含 AWS KMS 支援此KMS金鑰的簽署演算法。
$aws kms describe-key --key-id 0987dcba-09fe-87dc-65ba-ab0987654321{ "KeyMetadata": { "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "Origin": "AWS_KMS", "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "KeyState": "Enabled", "KeyUsage": "SIGN_VERIFY", "CreationDate": 1569973196.214, "Description": "", "KeySpec": "ECC_NIST_P521", "CustomerMasterKeySpec": "ECC_NIST_P521", "AWSAccountId": "111122223333", "Enabled": true, "MultiRegion": false, "KeyManager": "CUSTOMER", "SigningAlgorithms": [ "ECDSA_SHA_512" ] } }
