下载公有密钥 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

下载公有密钥

您可以在 Amazon KMS 控制台或使用GetPublicKey操作从非对称 KMS 密钥对下载公钥。要下载公有密钥,您必须具备对非对称 KMS 密钥的 kms:GetPublicKey 权限。

Amazon KMS 返回的公钥是 DER 编码的 X.509 公钥,也称为 SubjectPublicKeyInfo (SPKI),如 RFC 5280 中所定义。当您使用 HTTP API 或时 Amazon CLI,该值将采用 Base64 编码。否则,将不会采用 Base64 编码。

要下载非对称 KMS 密钥对的公有密钥,您必须具备 kms:GetPublicKey 权限。有关 Amazon KMS 权限的更多信息,请参阅权限参考

您可以使用查看、复制和下载您的 Amazon Web Services 账户非对称 KMS 密钥中的公有密钥。 Amazon Web Services Management Console 要从不同的非对称 KMS 密钥下载公钥 Amazon Web Services 账户,请使用 Amazon KMS API。

  1. 登录 Amazon Web Services Management Console 并在 https://console.aws.amazon.com/km s 处打开 Amazon Key Management Service (Amazon KMS) 控制台。

  2. 要更改 Amazon Web Services 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择客户托管密钥

  4. 选择非对称 KMS 密钥的别名或密钥 ID。

  5. 选择 Cryptographic configuration(加密配置)选项卡。记录 Key spec(密钥规范)、Key usage(密钥用法)和 Encryption algorithms(密钥算法)或 Signing Algorithms(签名算法)字段的值。你需要使用这些值才能在之外使用公钥 Amazon KMS。在共享公有密钥时,请务必共享以上信息。

  6. 选择 Public key (公有密钥) 选项卡。

  7. 要将公有密钥复制到剪贴板,请选择 Copy (复制)。要将公有密钥下载到文件,请选择 Download (下载)

GetPublicKey操作返回非对称 KMS 密钥中的公钥。它还会返回您需要在外部正确使用公钥的关键信息 Amazon KMS,包括密钥使用情况和加密算法。请务必保存这些值,并在共享公有密钥时共享它们。

本部分中的示例使用 Amazon Command Line Interface (Amazon CLI),但您可以使用任何受支持的编程语言。

要指定 KMS 密钥,请使用其密钥 ID密钥 ARN别名名称别名 ARN。使用别名时,应加上 alias/ 前缀。要在其他密钥中指定 KMS 密钥 Amazon Web Services 账户,必须使用其密钥 ARN 或别名 ARN。

在运行此命令之前,请将示例别名替换为 KMS 密钥的有效标识符。要运行此命令,必须具备对 KMS 密钥的 kms:GetPublicKey 权限。

$ aws kms get-public-key --key-id alias/example_RSA_3072

{
    "KeySpec": "RSA_3072",
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyUsage": "ENCRYPT_DECRYPT",
    "EncryptionAlgorithms": [
        "RSAES_OAEP_SHA_1",
        "RSAES_OAEP_SHA_256"
    ],
    "PublicKey": "MIIBojANBgkqhkiG..."
}