本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 存取和列出 KMS 金鑰詳細資訊
您可以使用 [AWS KMS 主控台](https://console.aws.amazon.com/kms)或 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 操作來存取和列出帳戶和區域中 KMS 金鑰的詳細資訊。
下列程序示範如何存取 KMS 金鑰詳細資訊,例如金鑰 ID、金鑰規格、金鑰用量等。
## 使用 AWS KMS 主控台
每個 KMS 金鑰的詳細資訊頁面會顯示 KMS 金鑰的屬性。這會根據不同 KMS 金鑰類型而有些微不同。
若要顯示 KMS 金鑰的詳細資訊,請在 **AWS 受管金鑰 **或**客戶受管金鑰**頁面上,選擇 KMS 金鑰的別名或金鑰 ID。
KMS 金鑰的詳細資訊頁面包含 **General Configuration** (一般組態) 區段,顯示 KMS 金鑰的基本屬性。它還包含您可以檢視和編輯 KMS 金鑰屬性的標籤,例如**金鑰政策**、**密碼編譯組態**、**標籤**、**金鑰材料和輪換** (適用於支援自動或隨需輪換的 KMS 金鑰)、**地區性** (適用於多區域金鑰) 和**公有金鑰** (適用於非對稱 KMS 金鑰)。
**注意**
AWS KMS 主控台會顯示您在帳戶和區域中有權[檢視](customer-managed-policies.md#iam-policy-example-read-only-console)的 KMS 金鑰。其他 中的 KMS 金鑰 AWS 帳戶 不會出現在主控台中,即使您具有檢視、管理和使用這些金鑰的許可。若要檢視其他帳戶中的 KMS 金鑰,請使用 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 操作。
瀏覽 KMS 金鑰的金鑰詳細資訊頁面。
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 的 AWS Key Management Service (AWS KMS) 主控台。
1. 若要變更 AWS 區域,請使用頁面右上角的區域選擇器。
1. 若要檢視您所建立及管理帳戶中的金鑰,請在導覽窗格中選擇**Customer managed keys** (客戶受管金鑰)。若要檢視帳戶中為您 AWS 建立和管理的金鑰,請在導覽窗格中選擇**AWS 受管金鑰**。
1. 若要開啟金鑰詳細資訊頁面,請在金鑰資料表中選擇 KMS 金鑰的金鑰 ID 或別名。
如果 KMS 金鑰具有多個別名,則別名摘要 (**\$1*n* more** (\$1n 等)) 會顯示在其中一個別名的名稱旁邊。選擇別名摘要會直接帶您前往金鑰詳細資訊頁面上的 **Aliases** (別名) 索引標籤。
![\[AWS KMS客戶受管金鑰 details showing general and cryptographic configurations.\]](http://docs.aws.amazon.com/zh_tw/kms/latest/developerguide/images/console-key-detail-view-symmetric-sm.png)
以下清單描述了詳細顯示中的欄位,包括索引標籤中的欄位。其中有些欄位也可以在資料表顯示中做為資料行使用。
**別名**
其中:別名索引標籤
KMS 金鑰的易記名稱。您可以使用別名來識別主控台和部分 AWS KMS APIs中的 KMS 金鑰。如需詳細資訊,請參閱[中的別名 AWS KMS](kms-alias.md)。
**別名**索引標籤會顯示與 AWS 帳戶 和 區域中 KMS 金鑰相關聯的所有別名。
**ARN**
其中:一般組態區段
KMS 金鑰的 Amazon Resource Name (ARN)。該值會專屬識別 KMS 金鑰。您可以使用該值在 AWS KMS API 操作中識別 KMS 金鑰。
**連線狀態**
指示[自訂金鑰存放區](key-store-overview.md#custom-key-store-overview)是否已連接至其備份金鑰存放區。當 KMS 金鑰已在自訂金鑰存放區中建立時,才會顯示此欄位。
如需此欄位中值的相關資訊,請參閱《AWS KMS API 參考》**中的 [ConnectionState](https://docs.aws.amazon.com/kms/latest/APIReference/API_CustomKeyStoresListEntry.html#KMS-Type-CustomKeyStoresListEntry-ConnectionState)。
**Creation (建立) 日期**
其中:一般組態區段
建立 KMS 金鑰的日期和時間。這個值會以裝置的本地時間顯示。時區不會依存區域。
與 **Expiration** (過期) 不同,建立指的只是 KMS 金鑰,而非其金鑰材料。
**CloudHSM 叢集 ID**
其中:密碼編譯組態索引標籤
叢集的 AWS CloudHSM 叢集 ID,其中包含 KMS 金鑰的金鑰材料。當 KMS 金鑰已在[自訂金鑰存放區](key-store-overview.md#custom-key-store-overview)中建立時,才會顯示此欄位。
如果您選擇 CloudHSM 叢集 ID,它會在 AWS CloudHSM 主控台中開啟**叢集**頁面。
**目前的金鑰材料**
其中:一般組態區段
具有`AWS_KMS`原始伺服器的對稱加密金鑰支援自動和隨需輪換。具有`EXTERNAL`原始伺服器的對稱加密金鑰支援隨需輪換。這些金鑰可以有多個與金鑰相關聯的金鑰材料。最近輪換的金鑰材料可用於加密和解密。此金鑰材料會識別為目前的金鑰材料。其他金鑰資料只能用於解密。KMS 金鑰的自動或隨需金鑰輪換會變更其目前的金鑰材料。
**自訂金鑰存放區 ID**
其中:密碼編譯組態索引標籤
包含 KMS 金鑰的[自訂金鑰存放區](key-store-overview.md#custom-key-store-overview) ID。當 KMS 金鑰已在自訂金鑰存放區中建立時,才會顯示此欄位。
如果您選擇自訂金鑰存放區 ID,它會在 AWS KMS 主控台中開啟**自訂金鑰存放區**頁面。
**自訂金鑰存放區名稱**
其中:密碼編譯組態索引標籤
包含 KMS 金鑰的[自訂金鑰存放區](key-store-overview.md#custom-key-store-overview) 名稱。當 KMS 金鑰已在自訂金鑰存放區中建立時,才會顯示此欄位。
**自訂金鑰存放區類型**
其中:密碼編譯組態索引標籤
指示自訂金鑰存放區是 [AWS CloudHSM 金鑰存放區](keystore-cloudhsm.md)還是[外部金鑰存放區](keystore-external.md)。當 KMS 金鑰已在[自訂金鑰存放區](key-store-overview.md#custom-key-store-overview)中建立時,才會顯示此欄位。
**Description**
其中:一般組態區段
KMS 金鑰的簡短、選用描述,您可以撰寫和編輯。如要新增或更新客戶受管金鑰的描述,請在 **General Configuration** (一般組態) 上方,選擇 **Edit** (編輯)。
**加密演算法**
其中:密碼編譯組態索引標籤
列出可搭配 AWS KMS中 KMS 金鑰使用的加密演算法。此欄位只有在 **Key type (金鑰類型)** 是 **Asymmetric (非對稱)** 且 **Key usage (金鑰使用方式)** 是 **Encrypt and decrypt (加密及解密)** 時才會出現。如需 AWS KMS 支援的加密演算法相關資訊,請參閱 [SYMMETRIC\$1DEFAULT 金鑰規格](symm-asymm-choose-key-spec.md#symmetric-cmks)和 [用於加密和解密的 RSA 金鑰規格](symm-asymm-choose-key-spec.md#key-spec-rsa-encryption)。
**過期日期**
其中:金鑰材料索引標籤
KMS 金鑰之金鑰材料過期的日期和時間。此欄位只會針對具備[匯入金鑰材料](importing-keys.md)的 KMS 金鑰顯示,即 **Origin** (來源) 是 **External** (外部) 且 KMS 金鑰具有會過期的金鑰材料時。對稱加密金鑰可以有多個與其相關聯的金鑰材料。對於此類金鑰,此欄位會指出其中一個相關聯金鑰材料過期的最早日期和時間。
**外部金鑰 ID**
其中:密碼編譯組態索引標籤
與[外部金鑰存放區](keystore-external.md)中的 KMS 金鑰相關聯的[外部金鑰](keystore-external.md#concept-external-key) ID。此欄位只會針對外部金鑰存放區中的 KMS 金鑰顯示。
**外部金鑰狀態**
其中:密碼編譯組態索引標籤
[外部金鑰存放區代理](keystore-external.md#concept-xks-proxy)針對與 KMS 金鑰相關聯的[外部金鑰](keystore-external.md#concept-external-key)所報告的最新狀態。此欄位只會針對外部金鑰存放區中的 KMS 金鑰顯示。
**外部金鑰使用情況**
其中:密碼編譯組態索引標籤
在與 KMS 金鑰相關聯的[外部金鑰](keystore-external.md#concept-external-key)上啟用的密碼編譯操作。此欄位只會針對外部金鑰存放區中的 KMS 金鑰顯示。
**金鑰政策**
其中:金鑰政策索引標籤
與 [IAM 政策](iam-policies.md)和[授予](grants.md)一同控制對 KMS 金鑰的存取。每個 KMS 金鑰都有一個金鑰政策。這是唯一的強制授權元素。如要變更客戶受管金鑰的金鑰政策,請在 **Key policy** (金鑰政策) 標籤上,選擇 **Edit** (編輯)。如需詳細資訊,請參閱[中的金鑰政策 AWS KMS](key-policies.md)。
**金鑰材料和輪換**
其中:金鑰材料和輪換索引標籤
此標籤僅針對具有`AWS_KMS`原始伺服器的對稱加密金鑰 (支援自動和隨需輪換) 以及具有`EXTERNAL`原始伺服器的單一區域對稱加密金鑰 (支援隨需輪換) 顯示。
標籤有三個面板:
自動輪換:啟用和停用[客戶受管 KMS](concepts.md#customer-mgn-key) 金鑰中金鑰材料的[自動輪換](rotate-keys.md)。若要變更[客戶受](concepts.md#customer-mgn-key)管金鑰的金鑰輪換狀態,請使用核取方塊。您不能啟用或停用 [AWS 受管金鑰](concepts.md#aws-managed-key) 中金鑰資料的輪換。 AWS 受管金鑰 每年會自動輪換一次。
隨需輪換:啟動[客戶受](concepts.md#customer-mgn-key)管金鑰中金鑰材料的[隨需輪換](rotate-keys.md)。對於匯入的金鑰,必須已有`PENDING_ROTATION`狀態為 的匯入金鑰材料,才能使用**立即輪換**選項。
金鑰材料:列出與 KMS 金鑰相關聯的所有金鑰材料。每個金鑰材料都有唯一的識別符,其資料列會顯示金鑰材料的其他資訊,例如金鑰材料可在 KMS 中使用的輪換日期。對於匯入的金鑰,每一列也具有**動作**功能表,可用於刪除特定金鑰材料或將其重新匯入 KMS 金鑰。
**金鑰規格**
其中:密碼編譯組態索引標籤
KMS 金鑰中的金鑰材料類型。 AWS KMS 支援對稱加密 KMS 金鑰 (SYMMETRIC\$1DEFAULT)、不同長度的 HMAC KMS 金鑰、不同長度 RSA 金鑰的 KMS 金鑰,以及具有不同曲線的橢圓曲線金鑰。如需詳細資訊,請參閱[Key spec](create-keys.md#key-spec)。
**Key type**
其中:密碼編譯組態索引標籤
指出 KMS 金鑰是 **Symmetric** (對稱) 還是 **Asymmetric** (非對稱)。
**金鑰用途**
其中:密碼編譯組態索引標籤
指出 KMS 金鑰是用於 **Encrypt and decrypt** (加密及解密)、**Sign and verify** (簽署及驗證) 還是 **Generate and verify MAC** (產生及驗證 MAC)。如需詳細資訊,請參閱[Key usage](create-keys.md#key-usage)。
**Origin**
其中:密碼編譯組態索引標籤
KMS 金鑰之金鑰材料的來源。有效的值如下:
+ **AWS KMS** 適用於 AWS KMS 產生的金鑰材料
+ **AWS CloudHSM** 適用於 [AWS CloudHSM 金鑰存放區](keystore-cloudhsm.md)中的 KMS 金鑰
+ **External** (外部) 適用於[匯入金鑰材料](importing-keys.md) (BYOK)
+ **External key store** (外部金鑰存放區) 適用於[外部金鑰存放區](keystore-external.md)中的 KMS 金鑰
**MAC 演算法**
其中:密碼編譯組態索引標籤
列出可搭配 AWS KMS中 HMAC KMS 金鑰使用的 MAC 演算法。僅在 **Key spec** (金鑰規格) 為 HMAC 金鑰規格 (HMAC\$1\$1) 時,才會顯示此欄位。如需有關 AWS KMS 支援的 MAC 演算法的詳細資訊,請參閱 [HMAC KMS 金鑰的金鑰規格](symm-asymm-choose-key-spec.md#hmac-key-specs)。
**主索引鍵**
其中:區域性索引標籤
表示此 KMS 金鑰是[多區域主要金鑰](multi-region-keys-overview.md#mrk-primary-key)。授權使用者可以使用此區段[將主要金鑰變更](multi-region-update.md)為不同的相關多區域金鑰。僅在 KMS 金鑰為多區域主要金鑰時,才會顯示此欄位。
**公有金鑰**
其中:公有金鑰索引標籤
顯示非對稱 KMS 金鑰的公有金鑰。獲得授權的使用者可以使用此標籤來[複製及下載公有金鑰](download-public-key.md)。
**區域性**
其中:「一般組態」區段和「區域性」索引標籤
指出 KMS 金鑰是否為單一區域金鑰、[多區域主要金鑰](multi-region-keys-overview.md#mrk-primary-key),或[多區域複本金鑰](multi-region-keys-overview.md#mrk-replica-key)。僅在 KMS 金鑰為多區域金鑰時,才會顯示此欄位。
**相關的多區域金鑰**
其中:區域性索引標籤
顯示所有相關[多區域主要金鑰和複本金鑰](multi-region-keys-overview.md),但目前的 KMS 金鑰除外。僅在 KMS 金鑰為多區域金鑰時,才會顯示此欄位。
在主要金鑰的**相關多區域金鑰**區段,授權使用者可以[建立新的複本金鑰](multi-region-keys-replicate.md)。
**複本金鑰**
其中:區域性索引標籤
表示此 KMS 金鑰是[多區域複本金鑰](multi-region-keys-overview.md#mrk-replica-key)。僅在 KMS 金鑰為多區域複本金鑰時,才會顯示此欄位。
**簽署演算法**
其中:密碼編譯組態索引標籤
列出可搭配 AWS KMS中 KMS 金鑰使用的簽署演算法。此欄位只有在 **Key type (金鑰類型)** 是 **Asymmetric (非對稱)** 且 **Key usage (金鑰使用方式)** 是 **Sign and verify (簽署及驗證)** 時才會出現。如需 AWS KMS 支援的簽署演算法的相關資訊,請參閱 [用於簽署和驗證的 RSA 金鑰規格](symm-asymm-choose-key-spec.md#key-spec-rsa-sign)和 [橢圓曲線金鑰規格](symm-asymm-choose-key-spec.md#key-spec-ecc)。
**狀態**
其中:一般組態區段
KMS 金鑰的金鑰狀態。只有在狀態為 **Enabled** (啟用) 時,您才能在[密碼編譯操作](kms-cryptography.md#cryptographic-operations)中使用 KMS 金鑰。如需每個 KMS 金鑰狀態的詳細說明及其對您可以在 KMS 金鑰上執行操作所帶來的影響,請參閱 [金鑰的 AWS KMS 金鑰狀態](key-state.md)。
**Tags (標籤)**
其中:標籤索引標籤
描述 KMS 金鑰的選用鍵值對。若要新增或變更 KMS 金鑰的標籤,請在 **Tags** (標籤) 索引標籤上,選擇 **Edit** (編輯)。
當您將標籤新增至 AWS 資源時, AWS 會產生成本分配報告,其中包含依標籤彙總的用量和成本。標籤也可以用來控制 KMS 金鑰的存取。如需標記 KMS 金鑰的詳細資訊,請參閱 [中的標籤 AWS KMS](tagging-keys.md) 和 [適用於 的 ABAC AWS KMS](abac.md)。
## 使用 AWS KMS API
[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 操作會傳回指定之 KMS 金鑰的詳細資訊。若要識別 KMS 金鑰,請使用[金鑰 ID](concepts.md#key-id-key-id)、[金鑰 ARN](concepts.md#key-id-key-ARN)、[別名名稱](concepts.md#key-id-alias-name)或[別名 ARN](concepts.md#key-id-alias-ARN)。
與 [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html) 操作不同,該操作僅顯示呼叫者帳戶和區域中的 KMS 金鑰,授權用戶可以使用 `DescribeKey` 操作以獲取有關其他帳戶中 KMS 金鑰的詳細資訊。
**注意**
`DescribeKey` 回應包括具有相同值的 `KeySpec` 和 `CustomerMasterKeySpec` 成員。已取代 `CustomerMasterKeySpec` 成員。
例如,呼叫 `DescribeKey` 會傳回對稱加密 KMS 金鑰的相關資訊。回應中的欄位會隨 [AWS KMS key 規格](create-keys.md#key-spec)、[金鑰狀態](key-state.md)和[金鑰材料來源](create-keys.md#key-origin)而有所不同。如需多種程式設計語言的範例,請參閱[`DescribeKey` 搭配 AWS SDK 或 CLI 使用](example_kms_DescribeKey_section.md)。
```
$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyMetadata": {
"Origin": "AWS_KMS",
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"Description": "",
"KeyManager": "CUSTOMER",
"Enabled": true,
"KeySpec": "SYMMETRIC_DEFAULT",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"CreationDate": 1499988169.234,
"MultiRegion": false,
"Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"AWSAccountId": "111122223333",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"CurrentKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
}
}
```
這個範例會在用於簽署和驗證的非對稱 KMS 金鑰上呼叫 `DescribeKey` 操作。回應包含 AWS KMS 針對此 KMS 金鑰支援的簽署演算法。
```
$ aws kms describe-key --key-id 0987dcba-09fe-87dc-65ba-ab0987654321
{
"KeyMetadata": {
"KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"Origin": "AWS_KMS",
"Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"KeyState": "Enabled",
"KeyUsage": "SIGN_VERIFY",
"CreationDate": 1569973196.214,
"Description": "",
"KeySpec": "ECC_NIST_P521",
"CustomerMasterKeySpec": "ECC_NIST_P521",
"AWSAccountId": "111122223333",
"Enabled": true,
"MultiRegion": false,
"KeyManager": "CUSTOMER",
"SigningAlgorithms": [
"ECDSA_SHA_512"
]
}
}
```