本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 識別和檢視金鑰
您可以使用 [AWS 管理主控台](https://console.aws.amazon.com/kms)或 [AWS Key Management Service (AWS KMS) API](https://docs.aws.amazon.com/kms/latest/APIReference/) 在每個 AWS KMS keys 帳戶和區域中檢視,包括您管理的 KMS 金鑰和由 管理的 KMS 金鑰 AWS。
**Topics**
+ [尋找金鑰 ID 和金鑰 ARN](find-cmk-id-arn.md)
+ [存取和列出 KMS 金鑰詳細資訊](finding-keys.md)
+ [識別不同的金鑰類型](identify-key-types.md)
+ [自訂您的主控台檢視](viewing-console-customize.md)
+ [在 金鑰存放區中尋找 KMS 金鑰和 AWS CloudHSM 金鑰材料](find-key-material.md)
# 尋找金鑰 ID 和金鑰 ARN
若要識別 AWS KMS key,您可以使用[金鑰 ID](concepts.md#key-id-key-id) 或 Amazon Resource Name ([金鑰 ARN](concepts.md#key-id-key-ARN))。在[密碼編譯操作](kms-cryptography.md#cryptographic-operations)中,您也可以使用[別名名稱](concepts.md#key-id-alias-name)或[別名 ARN](concepts.md#key-id-alias-ARN)。
您可以使用 [AWS KMS 主控台](https://console.aws.amazon.com/kms)或 [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html) 操作來識別帳戶和區域中每個 KMS 金鑰的金鑰 ID 和金鑰 ARN。
如需 支援之 KMS 金鑰識別符的詳細資訊 AWS KMS,請參閱 [金鑰識別符 (KeyID)](concepts.md#key-id)。如需尋找別名名稱和別名 ARN 的說明,請參閱 [尋找 KMS 金鑰的別名名稱和別名 ARN](alias-view.md)。
## 使用 AWS KMS 主控台
1. 在 https://[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 開啟 AWS KMS 主控台。
1. 若要變更 AWS 區域,請使用頁面右上角的區域選擇器。
1. 若要檢視您所建立及管理帳戶中的金鑰,請在導覽窗格中選擇**Customer managed keys** (客戶受管金鑰)。若要檢視帳戶中為您 AWS 建立和管理的金鑰,請在導覽窗格中選擇**AWS 受管金鑰**。
1. 若要尋找 KMS 金鑰的[金鑰 ID](concepts.md#key-id-key-id),請查看以 KMS 金鑰別名開頭的資料列。
根據預設,**Key ID (金鑰 ID)** 資料行會出現在資料表中。如果 Key ID (金鑰 ID) 資料行並未出現在您的資料表內,請使用 [自訂您的主控台檢視](viewing-console-customize.md) 中說明的程序來還原。您也可以在 KMS 金鑰的詳細資訊頁面上檢視 KMS 金鑰的金鑰 ID。
![\[客戶受管金鑰 table showing Key ID for a single key-test alias.\]](http://docs.aws.amazon.com/zh_tw/kms/latest/developerguide/images/find-key-id-new.png)
1. 若要尋找 KMS 金鑰的 Amazon Resource Name (ARN),請選擇金鑰 ID 或別名。**General Configuration** (一般組態) 區段中會顯示的[金鑰 ARN](concepts.md#key-id-key-ARN)。
![\[General configuration section showing key alias, status, and ARN details.\]](http://docs.aws.amazon.com/zh_tw/kms/latest/developerguide/images/find-key-arn.png)
## 使用 AWS KMS API
若要尋找 的[金鑰 ID](concepts.md#key-id-key-id) 和[金鑰 ARN](concepts.md#key-id-key-ARN) AWS KMS key,請使用 [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html) 操作。
`ListKeys` 操作會傳回發起人帳戶和區域中所有 KMS 金鑰的金鑰 ID 和 Amazon Resource Name (ARN)。
例如,呼叫 `ListKeys` 操作會傳回這個虛構帳戶中每個 KMS 金鑰的 ID 和 ARN。如需多種程式設計語言的範例,請參閱[`ListKeys` 搭配 AWS SDK 或 CLI 使用](example_kms_ListKeys_section.md)。
```
$ aws kms list-keys
{
"Keys": [
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyArn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"KeyArn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
]
}
```
# 存取和列出 KMS 金鑰詳細資訊
您可以使用 [AWS KMS 主控台](https://console.aws.amazon.com/kms)或 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 操作來存取和列出帳戶和區域中 KMS 金鑰的詳細資訊。
下列程序示範如何存取 KMS 金鑰詳細資訊,例如金鑰 ID、金鑰規格、金鑰用量等。
## 使用 AWS KMS 主控台
每個 KMS 金鑰的詳細資訊頁面會顯示 KMS 金鑰的屬性。這會根據不同 KMS 金鑰類型而有些微不同。
若要顯示 KMS 金鑰的詳細資訊,請在 **AWS 受管金鑰 **或**客戶受管金鑰**頁面上,選擇 KMS 金鑰的別名或金鑰 ID。
KMS 金鑰的詳細資訊頁面包含 **General Configuration** (一般組態) 區段,顯示 KMS 金鑰的基本屬性。它還包含您可以檢視和編輯 KMS 金鑰屬性的標籤,例如**金鑰政策**、**密碼編譯組態**、**標籤**、**金鑰材料和輪換** (適用於支援自動或隨需輪換的 KMS 金鑰)、**地區性** (適用於多區域金鑰) 和**公有金鑰** (適用於非對稱 KMS 金鑰)。
**注意**
AWS KMS 主控台會顯示您在帳戶和區域中有權[檢視](customer-managed-policies.md#iam-policy-example-read-only-console)的 KMS 金鑰。其他 中的 KMS 金鑰 AWS 帳戶 不會出現在主控台中,即使您具有檢視、管理和使用這些金鑰的許可。若要檢視其他帳戶中的 KMS 金鑰,請使用 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 操作。
瀏覽 KMS 金鑰的金鑰詳細資訊頁面。
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 的 AWS Key Management Service (AWS KMS) 主控台。
1. 若要變更 AWS 區域,請使用頁面右上角的區域選擇器。
1. 若要檢視您所建立及管理帳戶中的金鑰,請在導覽窗格中選擇**Customer managed keys** (客戶受管金鑰)。若要檢視帳戶中為您 AWS 建立和管理的金鑰,請在導覽窗格中選擇**AWS 受管金鑰**。
1. 若要開啟金鑰詳細資訊頁面,請在金鑰資料表中選擇 KMS 金鑰的金鑰 ID 或別名。
如果 KMS 金鑰具有多個別名,則別名摘要 (**\$1*n* more** (\$1n 等)) 會顯示在其中一個別名的名稱旁邊。選擇別名摘要會直接帶您前往金鑰詳細資訊頁面上的 **Aliases** (別名) 索引標籤。
![\[AWS KMS客戶受管金鑰 details showing general and cryptographic configurations.\]](http://docs.aws.amazon.com/zh_tw/kms/latest/developerguide/images/console-key-detail-view-symmetric-sm.png)
以下清單描述了詳細顯示中的欄位,包括索引標籤中的欄位。其中有些欄位也可以在資料表顯示中做為資料行使用。
**別名**
其中:別名索引標籤
KMS 金鑰的易記名稱。您可以使用別名來識別主控台和部分 AWS KMS APIs中的 KMS 金鑰。如需詳細資訊,請參閱[中的別名 AWS KMS](kms-alias.md)。
**別名**索引標籤會顯示與 AWS 帳戶 和 區域中 KMS 金鑰相關聯的所有別名。
**ARN**
其中:一般組態區段
KMS 金鑰的 Amazon Resource Name (ARN)。該值會專屬識別 KMS 金鑰。您可以使用該值在 AWS KMS API 操作中識別 KMS 金鑰。
**連線狀態**
指示[自訂金鑰存放區](key-store-overview.md#custom-key-store-overview)是否已連接至其備份金鑰存放區。當 KMS 金鑰已在自訂金鑰存放區中建立時,才會顯示此欄位。
如需此欄位中值的相關資訊,請參閱《AWS KMS API 參考》**中的 [ConnectionState](https://docs.aws.amazon.com/kms/latest/APIReference/API_CustomKeyStoresListEntry.html#KMS-Type-CustomKeyStoresListEntry-ConnectionState)。
**Creation (建立) 日期**
其中:一般組態區段
建立 KMS 金鑰的日期和時間。這個值會以裝置的本地時間顯示。時區不會依存區域。
與 **Expiration** (過期) 不同,建立指的只是 KMS 金鑰,而非其金鑰材料。
**CloudHSM 叢集 ID**
其中:密碼編譯組態索引標籤
叢集的 AWS CloudHSM 叢集 ID,其中包含 KMS 金鑰的金鑰材料。當 KMS 金鑰已在[自訂金鑰存放區](key-store-overview.md#custom-key-store-overview)中建立時,才會顯示此欄位。
如果您選擇 CloudHSM 叢集 ID,它會在 AWS CloudHSM 主控台中開啟**叢集**頁面。
**目前的金鑰材料**
其中:一般組態區段
具有`AWS_KMS`原始伺服器的對稱加密金鑰支援自動和隨需輪換。具有`EXTERNAL`原始伺服器的對稱加密金鑰支援隨需輪換。這些金鑰可以有多個與金鑰相關聯的金鑰材料。最近輪換的金鑰材料可用於加密和解密。此金鑰材料會識別為目前的金鑰材料。其他金鑰資料只能用於解密。KMS 金鑰的自動或隨需金鑰輪換會變更其目前的金鑰材料。
**自訂金鑰存放區 ID**
其中:密碼編譯組態索引標籤
包含 KMS 金鑰的[自訂金鑰存放區](key-store-overview.md#custom-key-store-overview) ID。當 KMS 金鑰已在自訂金鑰存放區中建立時,才會顯示此欄位。
如果您選擇自訂金鑰存放區 ID,它會在 AWS KMS 主控台中開啟**自訂金鑰存放區**頁面。
**自訂金鑰存放區名稱**
其中:密碼編譯組態索引標籤
包含 KMS 金鑰的[自訂金鑰存放區](key-store-overview.md#custom-key-store-overview) 名稱。當 KMS 金鑰已在自訂金鑰存放區中建立時,才會顯示此欄位。
**自訂金鑰存放區類型**
其中:密碼編譯組態索引標籤
指示自訂金鑰存放區是 [AWS CloudHSM 金鑰存放區](keystore-cloudhsm.md)還是[外部金鑰存放區](keystore-external.md)。當 KMS 金鑰已在[自訂金鑰存放區](key-store-overview.md#custom-key-store-overview)中建立時,才會顯示此欄位。
**Description**
其中:一般組態區段
KMS 金鑰的簡短、選用描述,您可以撰寫和編輯。如要新增或更新客戶受管金鑰的描述,請在 **General Configuration** (一般組態) 上方,選擇 **Edit** (編輯)。
**加密演算法**
其中:密碼編譯組態索引標籤
列出可搭配 AWS KMS中 KMS 金鑰使用的加密演算法。此欄位只有在 **Key type (金鑰類型)** 是 **Asymmetric (非對稱)** 且 **Key usage (金鑰使用方式)** 是 **Encrypt and decrypt (加密及解密)** 時才會出現。如需 AWS KMS 支援的加密演算法相關資訊,請參閱 [SYMMETRIC\$1DEFAULT 金鑰規格](symm-asymm-choose-key-spec.md#symmetric-cmks)和 [用於加密和解密的 RSA 金鑰規格](symm-asymm-choose-key-spec.md#key-spec-rsa-encryption)。
**過期日期**
其中:金鑰材料索引標籤
KMS 金鑰之金鑰材料過期的日期和時間。此欄位只會針對具備[匯入金鑰材料](importing-keys.md)的 KMS 金鑰顯示,即 **Origin** (來源) 是 **External** (外部) 且 KMS 金鑰具有會過期的金鑰材料時。對稱加密金鑰可以有多個與其相關聯的金鑰材料。對於此類金鑰,此欄位會指出其中一個相關聯金鑰材料過期的最早日期和時間。
**外部金鑰 ID**
其中:密碼編譯組態索引標籤
與[外部金鑰存放區](keystore-external.md)中的 KMS 金鑰相關聯的[外部金鑰](keystore-external.md#concept-external-key) ID。此欄位只會針對外部金鑰存放區中的 KMS 金鑰顯示。
**外部金鑰狀態**
其中:密碼編譯組態索引標籤
[外部金鑰存放區代理](keystore-external.md#concept-xks-proxy)針對與 KMS 金鑰相關聯的[外部金鑰](keystore-external.md#concept-external-key)所報告的最新狀態。此欄位只會針對外部金鑰存放區中的 KMS 金鑰顯示。
**外部金鑰使用情況**
其中:密碼編譯組態索引標籤
在與 KMS 金鑰相關聯的[外部金鑰](keystore-external.md#concept-external-key)上啟用的密碼編譯操作。此欄位只會針對外部金鑰存放區中的 KMS 金鑰顯示。
**金鑰政策**
其中:金鑰政策索引標籤
與 [IAM 政策](iam-policies.md)和[授予](grants.md)一同控制對 KMS 金鑰的存取。每個 KMS 金鑰都有一個金鑰政策。這是唯一的強制授權元素。如要變更客戶受管金鑰的金鑰政策,請在 **Key policy** (金鑰政策) 標籤上,選擇 **Edit** (編輯)。如需詳細資訊,請參閱[中的金鑰政策 AWS KMS](key-policies.md)。
**金鑰材料和輪換**
其中:金鑰材料和輪換索引標籤
此標籤僅針對具有`AWS_KMS`原始伺服器的對稱加密金鑰 (支援自動和隨需輪換) 以及具有`EXTERNAL`原始伺服器的單一區域對稱加密金鑰 (支援隨需輪換) 顯示。
標籤有三個面板:
自動輪換:啟用和停用[客戶受管 KMS](concepts.md#customer-mgn-key) 金鑰中金鑰材料的[自動輪換](rotate-keys.md)。若要變更[客戶受](concepts.md#customer-mgn-key)管金鑰的金鑰輪換狀態,請使用核取方塊。您不能啟用或停用 [AWS 受管金鑰](concepts.md#aws-managed-key) 中金鑰資料的輪換。 AWS 受管金鑰 每年會自動輪換一次。
隨需輪換:啟動[客戶受](concepts.md#customer-mgn-key)管金鑰中金鑰材料的[隨需輪換](rotate-keys.md)。對於匯入的金鑰,必須已有`PENDING_ROTATION`狀態為 的匯入金鑰材料,才能使用**立即輪換**選項。
金鑰材料:列出與 KMS 金鑰相關聯的所有金鑰材料。每個金鑰材料都有唯一的識別符,其資料列會顯示金鑰材料的其他資訊,例如金鑰材料可在 KMS 中使用的輪換日期。對於匯入的金鑰,每一列也具有**動作**功能表,可用於刪除特定金鑰材料或將其重新匯入 KMS 金鑰。
**金鑰規格**
其中:密碼編譯組態索引標籤
KMS 金鑰中的金鑰材料類型。 AWS KMS 支援對稱加密 KMS 金鑰 (SYMMETRIC\$1DEFAULT)、不同長度的 HMAC KMS 金鑰、不同長度 RSA 金鑰的 KMS 金鑰,以及具有不同曲線的橢圓曲線金鑰。如需詳細資訊,請參閱[Key spec](create-keys.md#key-spec)。
**Key type**
其中:密碼編譯組態索引標籤
指出 KMS 金鑰是 **Symmetric** (對稱) 還是 **Asymmetric** (非對稱)。
**金鑰用途**
其中:密碼編譯組態索引標籤
指出 KMS 金鑰是用於 **Encrypt and decrypt** (加密及解密)、**Sign and verify** (簽署及驗證) 還是 **Generate and verify MAC** (產生及驗證 MAC)。如需詳細資訊,請參閱[Key usage](create-keys.md#key-usage)。
**Origin**
其中:密碼編譯組態索引標籤
KMS 金鑰之金鑰材料的來源。有效的值如下:
+ **AWS KMS** 適用於 AWS KMS 產生的金鑰材料
+ **AWS CloudHSM** 適用於 [AWS CloudHSM 金鑰存放區](keystore-cloudhsm.md)中的 KMS 金鑰
+ **External** (外部) 適用於[匯入金鑰材料](importing-keys.md) (BYOK)
+ **External key store** (外部金鑰存放區) 適用於[外部金鑰存放區](keystore-external.md)中的 KMS 金鑰
**MAC 演算法**
其中:密碼編譯組態索引標籤
列出可搭配 AWS KMS中 HMAC KMS 金鑰使用的 MAC 演算法。僅在 **Key spec** (金鑰規格) 為 HMAC 金鑰規格 (HMAC\$1\$1) 時,才會顯示此欄位。如需有關 AWS KMS 支援的 MAC 演算法的詳細資訊,請參閱 [HMAC KMS 金鑰的金鑰規格](symm-asymm-choose-key-spec.md#hmac-key-specs)。
**主索引鍵**
其中:區域性索引標籤
表示此 KMS 金鑰是[多區域主要金鑰](multi-region-keys-overview.md#mrk-primary-key)。授權使用者可以使用此區段[將主要金鑰變更](multi-region-update.md)為不同的相關多區域金鑰。僅在 KMS 金鑰為多區域主要金鑰時,才會顯示此欄位。
**公有金鑰**
其中:公有金鑰索引標籤
顯示非對稱 KMS 金鑰的公有金鑰。獲得授權的使用者可以使用此標籤來[複製及下載公有金鑰](download-public-key.md)。
**區域性**
其中:「一般組態」區段和「區域性」索引標籤
指出 KMS 金鑰是否為單一區域金鑰、[多區域主要金鑰](multi-region-keys-overview.md#mrk-primary-key),或[多區域複本金鑰](multi-region-keys-overview.md#mrk-replica-key)。僅在 KMS 金鑰為多區域金鑰時,才會顯示此欄位。
**相關的多區域金鑰**
其中:區域性索引標籤
顯示所有相關[多區域主要金鑰和複本金鑰](multi-region-keys-overview.md),但目前的 KMS 金鑰除外。僅在 KMS 金鑰為多區域金鑰時,才會顯示此欄位。
在主要金鑰的**相關多區域金鑰**區段,授權使用者可以[建立新的複本金鑰](multi-region-keys-replicate.md)。
**複本金鑰**
其中:區域性索引標籤
表示此 KMS 金鑰是[多區域複本金鑰](multi-region-keys-overview.md#mrk-replica-key)。僅在 KMS 金鑰為多區域複本金鑰時,才會顯示此欄位。
**簽署演算法**
其中:密碼編譯組態索引標籤
列出可搭配 AWS KMS中 KMS 金鑰使用的簽署演算法。此欄位只有在 **Key type (金鑰類型)** 是 **Asymmetric (非對稱)** 且 **Key usage (金鑰使用方式)** 是 **Sign and verify (簽署及驗證)** 時才會出現。如需 AWS KMS 支援的簽署演算法的相關資訊,請參閱 [用於簽署和驗證的 RSA 金鑰規格](symm-asymm-choose-key-spec.md#key-spec-rsa-sign)和 [橢圓曲線金鑰規格](symm-asymm-choose-key-spec.md#key-spec-ecc)。
**狀態**
其中:一般組態區段
KMS 金鑰的金鑰狀態。只有在狀態為 **Enabled** (啟用) 時,您才能在[密碼編譯操作](kms-cryptography.md#cryptographic-operations)中使用 KMS 金鑰。如需每個 KMS 金鑰狀態的詳細說明及其對您可以在 KMS 金鑰上執行操作所帶來的影響,請參閱 [金鑰的 AWS KMS 金鑰狀態](key-state.md)。
**Tags (標籤)**
其中:標籤索引標籤
描述 KMS 金鑰的選用鍵值對。若要新增或變更 KMS 金鑰的標籤,請在 **Tags** (標籤) 索引標籤上,選擇 **Edit** (編輯)。
當您將標籤新增至 AWS 資源時, AWS 會產生成本分配報告,其中包含依標籤彙總的用量和成本。標籤也可以用來控制 KMS 金鑰的存取。如需標記 KMS 金鑰的詳細資訊,請參閱 [中的標籤 AWS KMS](tagging-keys.md) 和 [適用於 的 ABAC AWS KMS](abac.md)。
## 使用 AWS KMS API
[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 操作會傳回指定之 KMS 金鑰的詳細資訊。若要識別 KMS 金鑰,請使用[金鑰 ID](concepts.md#key-id-key-id)、[金鑰 ARN](concepts.md#key-id-key-ARN)、[別名名稱](concepts.md#key-id-alias-name)或[別名 ARN](concepts.md#key-id-alias-ARN)。
與 [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html) 操作不同,該操作僅顯示呼叫者帳戶和區域中的 KMS 金鑰,授權用戶可以使用 `DescribeKey` 操作以獲取有關其他帳戶中 KMS 金鑰的詳細資訊。
**注意**
`DescribeKey` 回應包括具有相同值的 `KeySpec` 和 `CustomerMasterKeySpec` 成員。已取代 `CustomerMasterKeySpec` 成員。
例如,呼叫 `DescribeKey` 會傳回對稱加密 KMS 金鑰的相關資訊。回應中的欄位會隨 [AWS KMS key 規格](create-keys.md#key-spec)、[金鑰狀態](key-state.md)和[金鑰材料來源](create-keys.md#key-origin)而有所不同。如需多種程式設計語言的範例,請參閱[`DescribeKey` 搭配 AWS SDK 或 CLI 使用](example_kms_DescribeKey_section.md)。
```
$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyMetadata": {
"Origin": "AWS_KMS",
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"Description": "",
"KeyManager": "CUSTOMER",
"Enabled": true,
"KeySpec": "SYMMETRIC_DEFAULT",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"CreationDate": 1499988169.234,
"MultiRegion": false,
"Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"AWSAccountId": "111122223333",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"CurrentKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
}
}
```
這個範例會在用於簽署和驗證的非對稱 KMS 金鑰上呼叫 `DescribeKey` 操作。回應包含 AWS KMS 針對此 KMS 金鑰支援的簽署演算法。
```
$ aws kms describe-key --key-id 0987dcba-09fe-87dc-65ba-ab0987654321
{
"KeyMetadata": {
"KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"Origin": "AWS_KMS",
"Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"KeyState": "Enabled",
"KeyUsage": "SIGN_VERIFY",
"CreationDate": 1569973196.214,
"Description": "",
"KeySpec": "ECC_NIST_P521",
"CustomerMasterKeySpec": "ECC_NIST_P521",
"AWSAccountId": "111122223333",
"Enabled": true,
"MultiRegion": false,
"KeyManager": "CUSTOMER",
"SigningAlgorithms": [
"ECDSA_SHA_512"
]
}
}
```
# 識別不同的金鑰類型
下列主題說明如何在 AWS KMS 主控台和 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 回應中識別不同的金鑰類型。
如需導覽至 KMS 金鑰詳細資訊頁面上**密碼編譯組態**索引標籤的說明,請參閱 [存取和列出 KMS 金鑰詳細資訊](finding-keys.md)。
**Topics**
+ [識別非對稱 KMS 金鑰](#identify-asymm-keys)
+ [識別 HMAC KMS 金鑰](#hmac-view)
+ [識別多區域 KMS 金鑰](#multi-region-keys-view)
+ [使用匯入的金鑰材料識別 KMS 金鑰](#identify-imported-keys)
+ [識別金鑰存放區中的 KMS AWS CloudHSM 金鑰](#identify-key-hsm-keystore)
+ [識別外部金鑰存放區中的 KMS 金鑰](#view-xks-key)
## 識別非對稱 KMS 金鑰
**在 AWS KMS 主控台中**
**客戶受管金鑰**資料表的金鑰**類型**欄會顯示每個 KMS 金鑰是對稱或非對稱。您可以依**金鑰類型**值篩選資料表,以僅顯示非對稱 KMS 金鑰。如需更多資訊,請參閱[排序和篩選您的 KMS 金鑰](viewing-console-customize.md#viewing-console-filter)。
KMS 金鑰詳細資訊頁面上的密碼**編譯組態**索引標籤會顯示**金鑰類型**,指出金鑰是對稱或非對稱。它也會顯示**金鑰用量**,指出您的非對稱 KMS 金鑰是否用於加密和解密、簽署和驗證,還是衍生共用秘密。
**在 DescribeKey 回應中**
當您在非對稱 KMS 金鑰上呼叫 `DescribeKey`操作時,回應會包含 `KeySpec`和 `KeyUsage`值,可用於判斷 KMS 金鑰是對稱或非對稱。
如果`KeySpec`值為 `SYMMETRIC_DEFAULT`,則金鑰為對稱加密 KMS 金鑰。如需非對稱金鑰規格的詳細資訊,請參閱 [金鑰規格參考](symm-asymm-choose-key-spec.md)。
如果`KeyUsage`值為 `SIGN_VERIFY`或 `KEY_AGREEMENT`,則金鑰為非對稱 KMS 金鑰。
`DescribeKey` 操作也會傳回非對稱 KMS 金鑰的下列詳細資訊。
+ 對於`KeyUsage`值為 的非對稱 KMS 金鑰`ENCRYPT_DECRYPT`,操作會傳回 `EncryptionAlgorithms`,列出金鑰的有效加密演算法。
+ 對於`KeyUsage`值為 的非對稱 KMS 金鑰`SIGN_VERIFY`,操作會傳回 `SigningAlgorithms`,列出金鑰的有效簽署演算法。
+ 對於`KeyUsage`值為 的非對稱 KMS 金鑰`KEY_AGREEMENT`,操作會傳回 `KeyAgreementAlgorithms`,其中列出金鑰的有效金鑰協議演算法。
如需非對稱 KMS 金鑰的詳細資訊,請參閱 [中的非對稱金鑰 AWS KMS](symmetric-asymmetric.md)。
## 識別 HMAC KMS 金鑰
**在 AWS KMS 主控台中**
HMAC KMS 金鑰包含在**客戶受管金鑰**資料表中,但您無法依識別 HMAC 金鑰的金鑰規格或金鑰用量值來排序或篩選此資料表。若要更容易地找到您的 HMAC 金鑰,請為其指派一個獨特的別名或標籤。然後,您便可以依別名或標籤進行排序或篩選。
KMS 金鑰詳細資訊頁面上的密碼**編譯組態**索引標籤會顯示**金鑰類型**,指出金鑰是對稱或非對稱。HMAC KMS 金鑰為對稱金鑰。**密碼編譯組態**索引標籤也會顯示**金鑰用量**。對於 HMAC KMS 金鑰,金鑰用量值一律為**產生和驗證 MAC**。
**在 DescribeKey 回應中**
當您在 HMAC KMS 金鑰上呼叫 `DescribeKey`操作時,回應會包含 `KeySpec`和 `KeyUsage`值。對於 HMAC KMS 金鑰,金鑰用量值一律為 `GENERATE_VERIFY_MAC`,而金鑰規格值一律以 開頭`HMAC_`。
如需 HMAC KMS 金鑰的詳細資訊,請參閱 [中的 HMAC 金鑰 AWS KMS](hmac.md)。
## 識別多區域 KMS 金鑰
**在 AWS KMS 主控台中**
**客戶受管金鑰**資料表只會顯示所選區域中的 KMS 金鑰。您可以檢視所選區域中的多區域主要金鑰和複本金鑰。若要變更 AWS 區域,請使用主控台右上角的區域選擇器。
若要更輕鬆地識別**客戶受管金鑰資料表中的多區域金鑰**,請將**區域性**資料欄新增至資料表。如需協助,請參閱 [自訂您的 KMS 金鑰資料表](viewing-console-customize.md#console-customize-tables)。
多區域 KMS 金鑰的詳細資訊頁面包含**區域性**索引標籤。**Regionality** (區域性) 索引標籤包括「變更主要區域」和「建立新的複本金鑰」按鈕。(複本金鑰的「區域性」索引標籤沒有按鈕)。**Related multi-Region keys** (相關的多區域金鑰) 區段會列出所有與目前區域相關的多區域金鑰。如果目前金鑰是複本金鑰,則此清單會包含主要金鑰。
如果您從相關多區域金鑰資料表中選擇**相關的多區域金鑰**, AWS KMS 主控台會變更為所選金鑰的區域,並開啟金鑰的詳細資訊頁面。例如,如果您從下面的**相關多區域金鑰範例**區段中選擇 `sa-east-1` 區域中的複本金鑰,則 AWS KMS 主控台會變更為 `sa-east-1`區域,以顯示該複本金鑰的詳細資訊頁面。您可以執行這項操作來檢視複本金鑰的別名或金鑰政策。若要再次變更區域,請使用頁面右上角的區域選取器。
**在 DescribeKey 回應中**
根據預設, AWS KMS API 操作為區域性,只會傳回目前或指定區域中的資源。但是,當您在多區域 KMS 金鑰上呼叫 `DescribeKey`操作時,回應會在 `MultiRegionConfiguration` 元素的其他 AWS 區域中包含所有相關多區域金鑰。
如需多區域 KMS 金鑰的詳細資訊,請參閱 [中的多區域金鑰 AWS KMS](multi-region-keys-overview.md)。
## 使用匯入的金鑰材料識別 KMS 金鑰
**在 AWS KMS 主控台中**
若要更輕鬆地在**客戶受管金鑰資料表中識別具有匯入金鑰資料的 KMS 金鑰**,請將**原始**伺服器欄新增至資料表。**來源**欄可讓您輕鬆識別具**外部 (匯入金鑰資料)**來源屬性值的 KMS 金鑰。如需協助,請參閱 [自訂您的 KMS 金鑰資料表](viewing-console-customize.md#console-customize-tables)。
KMS 金鑰詳細資訊頁面上的密碼**編譯組態**索引標籤會顯示 **Origin**,以識別 KMS 金鑰的金鑰材料來源。對於具有匯入金鑰材料的 KMS 金鑰,原始伺服器值一律為**外部 (匯入金鑰材料)**。詳細資訊頁面也包含**金鑰材料**索引標籤,可提供匯入金鑰材料的詳細資訊。具有`EXTERNAL`原始伺服器的對稱加密金鑰支援隨需輪換,並且可以具有與其相關聯的多個金鑰材料。對於此類金鑰,標籤會標記為**金鑰材料和輪換**。
**在 DescribeKey 回應中**
當您使用匯入的金鑰材料呼叫 KMS 金鑰上的 `DescribeKey`操作時,回應會包含 `Origin`、 `ExpirationModel`和 `ValidTo`值。對於具有匯入金鑰材料的 KMS 金鑰,原始伺服器值一律為 `EXTERNAL`。`ExpirationModel` 值表示金鑰材料是否設定為過期,`ValidTo`而值表示金鑰材料何時過期。當多個金鑰材料與金鑰相關聯時,`ValidTo`值會指出所有金鑰材料的最早到期時間 (除了一個待定輪換)`ExpirationModel`,並且`DOES_NOT_EXPIRE`只有在這些金鑰材料都未設定為過期時,才會設定為 。如需詳細資訊,請參閱[設定到期時間 (選用)](importing-keys-import-key-material.md#importing-keys-expiration)。
如需匯入金鑰材料之 KMS 金鑰的詳細資訊,請參閱 [匯入金鑰的 AWS KMS 金鑰材料](importing-keys.md)。
## 識別金鑰存放區中的 KMS AWS CloudHSM 金鑰
**在 AWS KMS 主控台中**
若要更輕鬆地識別客戶受管金鑰資料表中 AWS CloudHSM 金鑰存放區中的 KMS 金鑰,請將 **Origin** 欄新增至資料表。 ******Origin** (來源) 欄可讓您輕鬆識別具有 **AWS CloudHSM** 來源屬性值的 KMS 金鑰。如需協助,請參閱 [自訂您的 KMS 金鑰資料表](viewing-console-customize.md#console-customize-tables)。
KMS 金鑰詳細資訊頁面上的密碼**編譯組態**索引標籤會顯示 **Origin**,以識別 KMS 金鑰的金鑰材料來源。對於金鑰存放區中的 KMS AWS CloudHSM 金鑰,原始伺服器值一律為 **AWS CloudHSM**。
對於 AWS CloudHSM 金鑰存放區中的 KMS 金鑰,**密碼編譯組態**索引標籤包含額外的區段,**自訂金鑰存放**區,提供與 KMS 金鑰相關聯的 AWS CloudHSM 金鑰存放區和 AWS CloudHSM 叢集的相關資訊。
**在 DescribeKey 回應中**
當您在金鑰存放區中的 KMS AWS CloudHSM 金鑰上呼叫 `DescribeKey`操作時,回應會包含 `Origin`,可識別金鑰材料的來源。對於金鑰存放區中的 KMS AWS CloudHSM 金鑰,原始伺服器值一律為 `AWS_CLOUDHSM`。操作也會傳回金鑰 AWS CloudHSM 存放區中 KMS 金鑰的下列特殊欄位:
+ `CloudHsmClusterId`
+ `CustomKeyStoreId`
如需 AWS CloudHSM 金鑰存放區的詳細資訊,請參閱 [AWS CloudHSM 金鑰存放區](keystore-cloudhsm.md)。
## 識別外部金鑰存放區中的 KMS 金鑰
**在 AWS KMS 主控台中**
若要更輕鬆地識別**客戶受管金鑰資料表中外部金鑰存放區中的 KMS 金鑰**,請將**原始**伺服器欄新增至您的資料表。Origin ****欄可讓您輕鬆識別具有**外部金鑰存放區原始屬性值的 KMS 金鑰**。如需協助,請參閱 [自訂您的 KMS 金鑰資料表](viewing-console-customize.md#console-customize-tables)。
KMS 金鑰詳細資訊頁面上的密碼**編譯組態**索引標籤會顯示 **Origin**,以識別 KMS 金鑰的金鑰材料來源。對於外部金鑰存放區中的 KMS 金鑰,原始伺服器值一律為**外部金鑰存放區**。
對於外部金鑰存放區中的 KMS 金鑰,**密碼編譯組態**索引標籤包含兩個額外區段:**自訂金鑰存放區**和**外部金鑰**。**自訂金鑰存放**區資料表提供與 KMS 金鑰相關聯之外部金鑰存放區的相關資訊。**外部金鑰**資料表只會針對 AWS KMS 外部金鑰存放區中的 KMS 金鑰顯示在主控台中。它提供與 KMS 金鑰相關聯的外部金鑰的資訊。[*外部金鑰*](keystore-external.md#concept-external-key)是 外部的密碼編譯金鑰 AWS ,可做為外部金鑰存放區中 KMS 金鑰的金鑰材料。當您使用 KMS 金鑰進行加密或解密時,[外部金鑰管理器](keystore-external.md#concept-ekm)將使用指定的外部金鑰執行操作。
下列值會顯示在 **External key** (外部金鑰) 區段中。
**外部金鑰 ID**
外部金鑰在其外部金鑰管理器中的識別符。這是外部金鑰存放區代理用來識別外部金鑰的值。您可以在建立 KMS 金鑰時指定外部金鑰 ID,並且無法變更它。如果用來建立 KMS 金鑰的外部金鑰 ID 值變更或變得無效,您必須[排程要刪除的 KMS 金鑰](deleting-keys.md),並使用正確的外部金鑰 ID 值[建立新的 KMS 金鑰](create-xks-keys.md)。
**在 DescribeKey 回應中**
當您在外部金鑰存放區中的 KMS 金鑰上呼叫 `DescribeKey`操作時,回應會包含 `Origin`,可識別金鑰材料的來源。對於金鑰存放區中的 KMS AWS CloudHSM 金鑰,原始伺服器值一律為 `EXTERNAL_KEY_STORE`。操作也會傳回 `CustomKeyStoreId`元素,識別與 KMS 金鑰相關聯的外部金鑰存放區。
如需外部金鑰存放區的詳細資訊,請參閱 [外部金鑰存放區](keystore-external.md)。
# 自訂您的主控台檢視
您可以自訂 AWS KMS 主控台的檢視,讓您更輕鬆地尋找 KMS 金鑰。自訂顯示在 **AWS 受管金鑰**和**客戶受管金鑰**頁面上的資料表,以顯示您最需要的資訊,或排序和篩選資料表中傳回的 KMS 金鑰。
**Topics**
+ [排序和篩選您的 KMS 金鑰](#viewing-console-filter)
+ [自訂您的 KMS 金鑰資料表](#console-customize-tables)
## 排序和篩選您的 KMS 金鑰
若要更容易地在主控台中找到您的 KMS 金鑰,則您可以排序和篩選金鑰資料表。
**Sort**
您可以根據資料欄的值,以遞增或遞減順序排序 KMS 金鑰。這項功能會排序資料表中的所有 KMS 金鑰,即使 KMS 金鑰沒有在目前的資料表頁面上顯示也一樣。
可排序的資料行在其資料行名稱的旁邊會有一個箭頭。在 **AWS 受管金鑰** 頁面上,您可以依 **Aliases** (別名) 或 **Key ID** (金鑰 ID) 排序。在 **Customer managed keys** (客戶受管金鑰) 頁面上,您可以根據 **Aliases** (別名)、**Key ID** (金鑰 ID) 或 **Key type** (金鑰類型) 排序。
如要依照遞增順序排序,請選擇資料行的標頭,直到箭頭指向上方。如要依照遞減順序排序,請選擇資料行的標頭,直到箭頭指向下方。您一次只能依據一欄來排序。
例如,您可以根據金鑰 ID,以遞增順序排序 KMS 金鑰,而非使用預設的別名。
![\[AWS 受管金鑰 interface showing sortable columns for Aliases and Key ID.\]](http://docs.aws.amazon.com/zh_tw/kms/latest/developerguide/images/console-sort.png)
當您在 **Customer managed keys** (客戶受管金鑰) 頁面上依 **Key type** (金鑰類型) 按遞增順序排列 KMS 金鑰時,所有非對稱金鑰會顯示在所有對稱金鑰之前。
**篩選條件**
您可以依據 KMS 金鑰的屬性值或標籤來篩選 KMS 金鑰。篩選條件適用於所有資料表中的 KMS 金鑰,即使 CMK 沒有出現在目前的資料表頁面上也一樣。篩選條件不區分大小寫。
可篩選的屬性會列在篩選條件方塊中。在 **AWS 受管金鑰 ** 頁面上,您可以依別名和金鑰 ID 進行篩選。在 **Customer managed keys** (客戶受管金鑰) 頁面上,您可以根據別名、金鑰 ID 和金鑰類型以及根據標籤進行篩選。
+ 在 **AWS 受管金鑰** 頁面上,您可以依別名和金鑰 ID 進行篩選。
+ 在 **Customer managed keys** (客戶受管金鑰) 頁面上,您可以根據標籤,或根據別名、金鑰 ID 和金鑰類型或區域性屬性進行篩選。
若要根據屬性值進行篩選,請選擇篩選條件、選擇屬性名稱,然後從實際屬性值的清單中選擇。若要依標籤進行篩選,請選擇標籤索引鍵,然後從實際標籤值清單中選擇。在選擇屬性或標籤索引鍵後,您也可以輸入全部或部分的屬性值或標籤值。在您做出選擇之前,您將會看到結果的預覽。
例如,如要顯示別名名稱包含 `aws/e` 的 KMS 金鑰,請選擇篩選條件方塊、選擇 **Alias** (別名)、輸入 `aws/e`,然後按 `Enter` 或 `Return` 來新增篩選條件。
![\[Search box for AWS 受管金鑰 with Aliases filter and example entries.\]](http://docs.aws.amazon.com/zh_tw/kms/latest/developerguide/images/filter-alias.png)
### 建議的 KMS 金鑰資料表篩選條件
**篩選非對稱 KMS 金鑰**
若要在 **Customer managed keys** (客戶受管金鑰) 頁面上僅顯示非對稱 KMS 金鑰,請按一下篩選條件方塊,選擇 **Key type** (金鑰類型),然後選擇 **Key type: Asymmetric** (金鑰類型:不對稱)。只有當資料表中有非對稱 KMS 金鑰時,才會顯示 **Asymmetric** (非對稱) 選項。
**篩選多區域金鑰**
若只要顯示多區域金鑰,請在 **Customer managed keys** (客戶受管金鑰) 頁面上,選擇篩選條件方塊、選擇 **Regionality** (區域性),然後選擇 **Regionality: Multi-Region** (區域性:多區域)。**Multi-Region** (多區域) 選項僅當資料表中有多區域金鑰時才會顯示。
**篩選標籤**
若只要顯示具有特定標籤的 KMS 金鑰,請選擇篩選方塊、選擇標籤索引鍵,然後從實際標籤值中選擇。您也可以輸入全部或部分的標籤值。
產生的資料表會顯示具有所選標籤的所有 KMS 金鑰。但不會顯示標籤。若要查看標籤,請選擇 KMS 金鑰的金鑰 ID 或別名,然後在其詳細資訊頁面上選擇 **Tags** (標籤) 索引標籤。索引標籤會顯示在 **General Configuration** (一般組態) 區段下。
此篩選條件需要標籤索引鍵和標籤值。只輸入標籤索引鍵或只輸入其值,就無法找到 KMS 金鑰。若要依標籤索引鍵或值的全部或部分篩選標籤,請使用 [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html) 操作來取得標記的 KMS 金鑰,然後使用程式設計語言的篩選功能。
**依文字篩選**
若要搜尋文字,請在篩選條件方塊中輸入全部或部分的別名、金鑰 ID、金鑰類型或標籤索引鍵。(選取標籤索引鍵後,您可以搜尋標籤值)。在您做出選擇之前,您將會看到結果的預覽。
例如,若要顯示在其標籤索引鍵中具有 `test` 的 KMS 金鑰或具有可篩選屬性的 KMS 金鑰,請輸入在篩選條件方塊中輸入 `test`。預覽會顯示篩選條件會選取的 KMS 金鑰。在此案例中,`test` 只會出現在 **Alias** (別名) 屬性中。
## 自訂您的 KMS 金鑰資料表
您可以自訂出現在 和 中**AWS 受管金鑰****客戶受管金鑰**頁面上的資料表 AWS 管理主控台 ,以符合您的需求。您可以選擇資料表欄、每個頁面上 AWS KMS keys 的 數目 (**頁面大小**),以及文字包裝。您選擇的組態會在您確認時儲存,並會在您開啟頁面時重新套用。
**若要自訂您的 KMS 金鑰資料表**
1. 在 **AWS 受管金鑰** 或 **Customer managed keys** (客戶受管金鑰) 頁面上,選擇位於頁面右上角的設定圖示 (![\[Gear or cog icon representing settings or configuration options.\]](http://docs.aws.amazon.com/zh_tw/kms/latest/developerguide/images/console-icon-settings-new.png))。
1. 在 **Preferences (偏好設定)** 頁面上,選擇您偏好的設定,然後選擇 **Confirm (確認)**。
請考慮使用 **Page size** (頁面大小) 設定來增加每個頁面上顯示的 KMS 金鑰數量,特別是如果您通常使用容易捲動的裝置的話。
您顯示的資料資料行可能會因資料表、您的任務角色和帳戶及區域中的 KMS 金鑰類型而有所不同。下表提供了一些建議的組態。如需資料行的說明,請參閱 [使用 AWS KMS 主控台](finding-keys.md#viewing-console-details)。
### 建議的 KMS 金鑰資料表組態
您可以自訂 KMS 金鑰資料表中顯示的欄位,以顯示您需要的 KMS 金鑰相關資訊。
**AWS 受管金鑰**
根據預設,**AWS 受管金鑰** 資料表會顯示 **Aliases** (別名)、**Key ID** (金鑰 ID) 和 **Status** (狀態) 資料欄。這些資料行適合大多數的使用案例。
**對稱加密 KMS 金鑰**
如果只搭配 AWS KMS產生的金鑰資料使用對稱加密 KMS 金鑰,**Aliases** (別名)、**Key ID** (金鑰 ID)、**Status** (狀態) 和 **Creation date** (建立日期) 資料欄可能最為有用。
**非對稱 KMS 金鑰**
如果使用非對稱 KMS 金鑰,則除了 **Aliases** (別名)、**Key ID** (金鑰 ID) 和 **Status** (狀態) 資料欄外,請考慮新增 **Key type** (金鑰類型)、**Key spec** (金鑰規格) 和 **Key usage** (金鑰使用情形) 資料欄。這些資料行會顯示 KMS 金鑰是對稱還是非對稱、金鑰材料的類型,以及 KMS 金鑰可用於加密還是簽署。
**HMAC KMS 金鑰**
如果使用 HMAC KMS 金鑰,則除了 **Aliases** (別名)、**Key ID** (金鑰 ID) 和 **Status** (狀態) 資料欄外,還可以考慮新增 **Key spec** (金鑰規格) 和 **Key usage** (金鑰用途) 資料欄。這些資料欄會顯示 KMS 金鑰是否為 HMAC 金鑰。由於您無法依金鑰規格或金鑰用量排序 KMS 金鑰,請使用別名和標籤來識別 HMAC 金鑰,然後使用 AWS KMS 主控台的[篩選功能](#viewing-console-filter)來依別名或標籤進行篩選。
**匯入的金鑰資料**
如果您的 KMS 金鑰具有[匯入的金鑰材料](importing-keys.md),請考慮新增 **Origin** (來源)和 **Expiration date** (過期日期) 資料欄。這些資料欄會顯示 KMS 金鑰中的金鑰材料是否由 匯入或產生, AWS KMS 以及金鑰材料何時過期,如果有的話。**Creation date** (建立日期) 欄位會顯示建立 KMS 金鑰的日期 (沒有金鑰材料時)。其不會反映任何金鑰材料的特性。
**自訂金鑰存放區中的金鑰**
如果您在[自訂金鑰存放區](key-store-overview.md#custom-key-store-overview)中擁有 KMS 金鑰,則請考慮新增 **Origin** (來源) 和 **Custom key store ID** (自訂金鑰存放區 ID) 資料欄。這些資料欄會顯示 KMS 金鑰位於自訂金鑰存放區中、顯示自訂金鑰存放區類型,並識別自訂金鑰存放區。
**多區域金鑰**
如果您擁有[多區域金鑰](multi-region-keys-overview.md),請考慮新增 **Regionality** (區域性) 資料欄。這會顯示 KMS 金鑰是否為單一區域金鑰、[多區域主要金鑰](multi-region-keys-overview.md#mrk-primary-key),或[多區域複本金鑰](multi-region-keys-overview.md#mrk-replica-key)。
# 在 金鑰存放區中尋找 KMS 金鑰和 AWS CloudHSM 金鑰材料
如果您管理 AWS CloudHSM 金鑰存放區,您可能需要識別每個 AWS CloudHSM 金鑰存放區中的 KMS 金鑰。例如,您可能需要執行下列一些任務。
+ 在 AWS CloudTrail 日誌中追蹤 AWS CloudHSM 金鑰存放區中的 KMS 金鑰。
+ 預測中斷連接金鑰存放區對 KMS AWS CloudHSM 金鑰的影響。
+ 先排程刪除 KMS 金鑰,再刪除 AWS CloudHSM 金鑰存放區。
此外,您可能想要識別 AWS CloudHSM 叢集中做為 KMS 金鑰金鑰材料的金鑰。雖然 會 AWS KMS 管理 KMS 金鑰和金鑰材料,但您仍保有管理 AWS CloudHSM 叢集的控制權和責任,以及 HSMs 中的 HSMs 和備份和金鑰。您可能需要識別金鑰,以稽核金鑰材料、避免意外刪除它,或在刪除 KMS 金鑰後從 HSM 和叢集備份中刪除它。
金鑰存放區中 KMS 金鑰的所有 AWS CloudHSM 金鑰材料都由[`kmsuser`加密使用者](keystore-cloudhsm.md#concept-kmsuser) (CU) 擁有。 會將金鑰標籤屬性 AWS KMS 設定為 KMS 金鑰的 Amazon Resource Name (ARN) AWS CloudHSM中只能檢視。
若要尋找 KMS 金鑰和金鑰材料,請使用下列任何技巧。
+ [在 金鑰存放區中尋找 KMS AWS CloudHSM 金鑰](find-cmk-in-keystore.md) — 如何識別一個或所有金鑰存放區中的 KMS AWS CloudHSM 金鑰。
+ [尋找 金鑰存放區的所有 AWS CloudHSM 金鑰](find-all-kmsuser-keys.md) – 如何在叢集內尋找金鑰,這些金鑰全部作為 AWS CloudHSM 金鑰存放區中的 KMS 金鑰的金鑰材料。
+ [尋找 KMS AWS CloudHSM 金鑰的金鑰](find-handle-for-cmk-id.md) — 如何在叢集中尋找做為金鑰存放區中特定 KMS 金鑰之金鑰材料的 AWS CloudHSM 金鑰。
+ [尋找 金鑰的 KMS AWS CloudHSM 金鑰](find-label-for-key-handle.md) – 如何尋找叢集中特定金鑰的 KMS 金鑰。
# 在 金鑰存放區中尋找 KMS AWS CloudHSM 金鑰
如果您管理 AWS CloudHSM 金鑰存放區,您可能需要識別每個 AWS CloudHSM 金鑰存放區中的 KMS 金鑰。您可以使用此資訊來追蹤 AWS CloudTrail 日誌中的 KMS 金鑰操作、預測在 KMS 金鑰上中斷連接自訂金鑰存放區的效果,或在刪除金鑰存放區之前排程刪除 KMS AWS CloudHSM 金鑰。
## 在 金鑰存放區中尋找 KMS AWS CloudHSM 金鑰 (主控台)
若要尋找特定金鑰存放區中的 KMS AWS CloudHSM 金鑰,請在**客戶受管金鑰**頁面上,檢視**自訂金鑰存放區名稱**或**自訂金鑰存放區 ID** 欄位中的值。若要識別任何金鑰存放區中的 KMS AWS CloudHSM 金鑰,請尋找**原始伺服器**值為 的 KMS 金鑰**AWS CloudHSM**。若要將選用欄新增到畫面上,請選擇頁面右上角的齒輪圖示。
## 在 金鑰存放區 (API) 中尋找 KMS AWS CloudHSM 金鑰
若要在金鑰存放區中尋找 KMS AWS CloudHSM 金鑰,請使用 [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html) 和 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 操作,然後依`CustomKeyStoreId`值篩選。執行下列範例之前,請將虛構的自訂金鑰存放區 ID 值取代為有效的值。
------
#### [ Bash ]
若要在特定金鑰存放區中尋找 KMS AWS CloudHSM 金鑰,請取得帳戶和區域中的所有 KMS 金鑰。然後按自訂金鑰存放區的 ID 進行篩選。
```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ;
do aws kms describe-key --key-id $key |
grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done
```
若要在帳戶和區域的任何 AWS CloudHSM 金鑰存放區中取得 KMS 金鑰,請搜尋值`CustomKeyStoreType`為 的 `AWS_CloudHSM`。
```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ;
do aws kms describe-key --key-id $key |
grep '"CustomKeyStoreType": "AWS_CloudHSM"' --context 100; done
```
------
#### [ PowerShell ]
若要在特定金鑰存放區中尋找 KMS AWS CloudHSM 金鑰,請使用 [Get-KmsKeyList](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-KMSKeyList.html) 和 [Get-KmsKey](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-KMSKey.html) cmdlet 取得帳戶和區域中的所有 KMS 金鑰。然後按自訂金鑰存放區的 ID 進行篩選。
```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'
```
若要在帳戶和區域的任何 AWS CloudHSM 金鑰存放區中取得 KMS 金鑰,請篩選 CustomKeyStoreType 值 `AWS_CLOUDHSM`。
```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreType -eq 'AWS_CLOUDHSM'
```
------
# 尋找 金鑰存放區的所有 AWS CloudHSM 金鑰
您可以識別 AWS CloudHSM 叢集中做為金鑰存放區金鑰材料的 AWS CloudHSM 金鑰。若要這樣做,請使用 CloudHSM CLI 中的[金鑰清單](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html)命令。
您也可以使用**金鑰清單**命令來尋找 AWS KMS 金鑰 AWS CloudHSM 的 。當 在 AWS CloudHSM 叢集中 AWS KMS 建立 KMS 金鑰的金鑰材料時,它會在金鑰標籤中寫入 KMS 金鑰的 Amazon Resource Name (ARN)。**金鑰清單**命令會傳回 `key-reference`和 `label`。
**備註**
下列程序使用 AWS CloudHSM 用戶端 SDK 5 命令列工具 [CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html)。CloudHSM CLI `key-handle`會取代為 `key-reference`。
2025 年 1 月 1 日, AWS CloudHSM 將結束對用戶端 SDK 3 命令列工具、CloudHSM 管理公用程式 (CMU) 和金鑰管理公用程式 (KMU) 的支援。如需用戶端 SDK 3 命令列工具和用戶端 SDK 5 命令列工具之間差異的詳細資訊,請參閱*AWS CloudHSM 《 使用者指南*》中的[從用戶端 SDK 3 CMU 和 KMU 遷移至用戶端 SDK 5 CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html)。
若要執行此程序,您需要暫時中斷連接 AWS CloudHSM 金鑰存放區,以便以 CU `kmsuser` 身分登入。
1. 如果 AWS CloudHSM 金鑰存放區尚未中斷連線,請以 身分登入`kmsuser`,如 中所述[如何中斷連線和登入](fix-keystore.md#login-kmsuser-1)。
**注意**
當自訂金鑰存放區中斷連接時,所有在自訂金鑰存放區中建立 KMS 金鑰的嘗試,或在密碼編譯操作中使用現有 KMS 金鑰的嘗試,均會失敗。此動作可防止使用者存放和存取敏感資料。
1. 使用 CloudHSM CLI 中的[https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html)命令,尋找 AWS CloudHSM 叢集中目前使用者的所有金鑰。
根據預設,僅顯示目前登入使用者的 10 個金錀,且只顯示 `key-reference` 和 `label` 作為輸出。如需更多選項,請參閱*AWS CloudHSM 《 使用者指南*》中的[金鑰清單](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html#chsm-cli-key-list-syntax)。
```
aws-cloudhsm > key list
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000000123",
"attributes": {
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
},
{
"key-reference": "0x0000000000000456",
"attributes": {
"label": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
},.
...8 keys later...
],
"total_key_count": 56,
"returned_key_count": 10,
"next_token": "10"
}
}
```
1. 如中所述登出並重新連接 AWS CloudHSM 金鑰存放區[如何登出和重新連線](fix-keystore.md#login-kmsuser-2)。
# 尋找 金鑰的 KMS AWS CloudHSM 金鑰
如果您知道 叢集中`kmsuser`擁有之金鑰的 AWS CloudHSM 金鑰參考或 ID,您可以使用該值來識別金鑰存放區中相關聯的 KMS 金鑰。
當 在 AWS CloudHSM 叢集中 AWS KMS 建立 KMS 金鑰的金鑰材料時,它會在金鑰標籤中寫入 KMS 金鑰的 Amazon Resource Name (ARN)。除非您已變更標籤值,否則您可以使用 CloudHSM CLI 中的[金鑰清單](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html)命令來識別與金鑰相關聯的 KMS AWS CloudHSM 金鑰。
**備註**
下列程序使用 AWS CloudHSM 用戶端 SDK 5 命令列工具 [CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html)。CloudHSM CLI `key-handle`會取代為 `key-reference`。
2025 年 1 月 1 日, AWS CloudHSM 將結束對用戶端 SDK 3 命令列工具、CloudHSM 管理公用程式 (CMU) 和金鑰管理公用程式 (KMU) 的支援。如需用戶端 SDK 3 命令列工具和用戶端 SDK 5 命令列工具之間差異的詳細資訊,請參閱*AWS CloudHSM 《 使用者指南*》中的[從用戶端 SDK 3 CMU 和 KMU 遷移至用戶端 SDK 5 CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html)。
若要執行這些程序,您需要暫時中斷連接 AWS CloudHSM 金鑰存放區,以便以 CU `kmsuser` 身分登入。
**注意**
當自訂金鑰存放區中斷連接時,所有在自訂金鑰存放區中建立 KMS 金鑰的嘗試,或在密碼編譯操作中使用現有 KMS 金鑰的嘗試,均會失敗。此動作可防止使用者存放和存取敏感資料。
**Topics**
+ [識別與金鑰參考相關聯的 KMS 金鑰](#key-reference-filter)
+ [識別與備份金鑰 ID 相關聯的 KMS 金鑰](#backing-key-id-filter)
## 識別與金鑰參考相關聯的 KMS 金鑰
下列程序示範如何在 CloudHSM CLI 中使用[https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html)命令搭配`key-reference`屬性篩選條件,以尋找叢集中做為金鑰存放區中特定 KMS 金鑰之金鑰材料的 AWS CloudHSM 金鑰。
1. 如果 AWS CloudHSM 金鑰存放區尚未中斷連線,請以 身分登入`kmsuser`,如 中所述[如何中斷連線和登入](fix-keystore.md#login-kmsuser-1)。
1. 使用 CloudHSM CLI 中的[https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html)命令,依 `key-reference` 屬性篩選。指定引`verbose`數以包含相符金鑰的所有屬性和金鑰資訊。如果您未指定`verbose`引數,**金鑰清單**操作只會傳回相符金鑰的 key-reference 和 label 屬性。
執行此命令之前,請將範例取代`key-reference`為您的帳戶中有效的範例。
```
aws-cloudhsm > key list --filter attr.key-reference="0x0000000000120034" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0xbacking-key-id",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. 如中所述登出並重新連接 AWS CloudHSM 金鑰存放區[如何登出和重新連線](fix-keystore.md#login-kmsuser-2)。
## 識別與備份金鑰 ID 相關聯的 KMS 金鑰
金鑰 AWS CloudHSM 存放區中具有 KMS 金鑰之密碼編譯操作的所有 CloudTrail 日誌項目都包含具有 `customKeyStoreId`和 `additionalEventData`的欄位`backingKeyId`。欄位傳回的值與 CloudHSM 金鑰`id`屬性`backingKeyId`相關。您可以依 `id` 屬性篩選[https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html)操作,以識別與特定 相關聯的 KMS 金鑰`backingKeyId`。
1. 如果 AWS CloudHSM 金鑰存放區尚未中斷連線,請以 身分登入`kmsuser`,如 中所述[如何中斷連線和登入](fix-keystore.md#login-kmsuser-1)。
1. 使用 CloudHSM CLI 中的[https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html)命令搭配屬性篩選條件,尋找叢集中做為金鑰存放區中特定 KMS 金鑰之金鑰材料的 AWS CloudHSM 金鑰。
下列範例示範如何依 `id` 屬性篩選 。 會將`id`值 AWS CloudHSM 辨識為十六進位值。若要依 `id` 屬性篩選**金鑰清單**操作,您必須先將 CloudTrail 日誌項目中識別`backingKeyId`的值轉換為可 AWS CloudHSM 辨識的格式。
1. 使用下列 Linux 命令將 `backingKeyId` 轉換為十六進位表示法。
```
echo backingKeyId | tr -d '\n' | xxd -p
```
下列範例示範如何將`backingKeyId`位元組陣列轉換為十六進位表示法。
```
echo 5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d | tr -d '\n' | xxd -p
35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. 在 的十六進位表示法前面`backingKeyId`加上 `0x`。
```
0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. 使用轉換`backingKeyId`的值依 `id` 屬性篩選。指定引`verbose`數以包含相符金鑰的所有屬性和金鑰資訊。如果您未指定`verbose`引數,**金鑰清單**操作只會傳回相符金鑰的 key-reference 和 label 屬性。
```
aws-cloudhsm > key list --filter attr.id="0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. 如中所述登出並重新連接 AWS CloudHSM 金鑰存放區[如何登出和重新連線](fix-keystore.md#login-kmsuser-2)。
# 尋找 KMS AWS CloudHSM 金鑰的金鑰
您可以使用 金鑰存放區中 KMS 金鑰的 KMS AWS CloudHSM 金鑰 ID,來識別 AWS CloudHSM 叢集中做為其金鑰材料的金鑰。
當 在 AWS CloudHSM 叢集中 AWS KMS 建立 KMS 金鑰的金鑰材料時,它會在金鑰標籤中寫入 KMS 金鑰的 Amazon Resource Name (ARN)。除非您已變更標籤值,否則您可以使用 CloudHSM CLI 中的[https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html)命令來尋找 KMS 金鑰之金鑰材料的金鑰資源和 ID。
金鑰 AWS CloudHSM 存放區中具有 KMS 金鑰之密碼編譯操作的所有 CloudTrail 日誌項目都包含具有 `customKeyStoreId`和 `additionalEventData`的欄位`backingKeyId`。`backingKeyId` 欄位中傳回的值是`id` AWS CloudHSM 金鑰屬性。您可以依 KMS 金鑰 ARN 篩選金鑰**清單** AWS CloudHSM CLI 操作,以識別與特定 KMS 金鑰相關聯的 CloudHSM 金鑰`id`屬性。
若要執行此程序,您需要暫時中斷連接 AWS CloudHSM 金鑰存放區,以便以 CU `kmsuser` 身分登入。
**備註**
下列程序使用 AWS CloudHSM 用戶端 SDK 5 命令列工具 [CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html)。CloudHSM CLI `key-handle`會取代為 `key-reference`。
2025 年 1 月 1 日, AWS CloudHSM 將結束對用戶端 SDK 3 命令列工具、CloudHSM 管理公用程式 (CMU) 和金鑰管理公用程式 (KMU) 的支援。如需用戶端 SDK 3 命令列工具和用戶端 SDK 5 命令列工具之間差異的詳細資訊,請參閱*AWS CloudHSM 《 使用者指南*》中的[從用戶端 SDK 3 CMU 和 KMU 遷移至用戶端 SDK 5 CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html)。
1. 如果 AWS CloudHSM 金鑰存放區尚未中斷連線,請以 身分登入`kmsuser`,如 中所述[如何中斷連線和登入](fix-keystore.md#login-kmsuser-1)。
**注意**
當自訂金鑰存放區中斷連接時,所有在自訂金鑰存放區中建立 KMS 金鑰的嘗試,或在密碼編譯操作中使用現有 KMS 金鑰的嘗試,均會失敗。此動作可防止使用者存放和存取敏感資料。
1. 使用 CloudHSM CLI 中的[https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html)命令,並依 篩選`label`,以尋找 AWS CloudHSM 叢集中特定金鑰的 KMS 金鑰。指定引`verbose`數,以包含相符金鑰的所有屬性和金鑰資訊。如果您未指定`verbose`引數,**金鑰清單**操作只會傳回相符金鑰的金鑰參考和標籤屬性。
下列範例示範如何依存放 KMS 金鑰 ARN 的 `label` 屬性進行篩選。執行此命令之前,請將範例 KMS 金鑰 ARN 取代為您的帳戶中的有效金鑰 ARN。
```
aws-cloudhsm > key list --filter attr.label="arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0xbacking-key-id",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. 如中所述登出並重新連接 AWS CloudHSM 金鑰存放區[如何登出和重新連線](fix-keystore.md#login-kmsuser-2)。