下载公有密钥 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

下载公有密钥

您可以通过 Amazon KMS 控制台或使用 GetPublicKey 操作下载非对称 KMS 密钥对的公有密钥。要下载公有密钥,您必须具备对非对称 KMS 密钥的 kms:GetPublicKey 权限。

Amazon KMS 返回的公有密钥是 DER 编码的 X.509 公有密钥,也称为 SubjectPublicKeyInfo(SPKI),定义见 RFC 5280。使用 HTTP API 或 Amazon CLI 时,该值将采用 Base64 编码。否则,将不会采用 Base64 编码。

要下载非对称 KMS 密钥对的公有密钥,您必须具备 kms:GetPublicKey 权限。有关 Amazon KMS 权限的更多信息,请参阅权限参考

您可以使用 Amazon Web Services 管理控制台 查看、复制和下载 Amazon Web Services 账户 中的非对称 KMS 密钥的公有密钥。要在不同 Amazon Web Services 账户 中下载非对称 KMS 密钥的公有密钥,请使用 Amazon KMS API。

  1. 登录到 Amazon Web Services 管理控制台,然后通过以下网址打开 Amazon Key Management Service(Amazon KMS)控制台:https://console.aws.amazon.com/kms

  2. 要更改 Amazon Web Services 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择客户托管密钥

  4. 选择非对称 KMS 密钥的别名或密钥 ID。

  5. 选择 Cryptographic configuration(加密配置)选项卡。记录密钥规范密钥用法加密算法签名算法字段的值。您需要使用这些值才能在 Amazon KMS 外部使用公有密钥。在共享公有密钥时,请务必共享以上信息。

  6. 选择 Public key (公有密钥) 选项卡。

  7. 要将公有密钥复制到剪贴板,请选择 Copy (复制)。要将公有密钥下载到文件,请选择 Download (下载)

GetPublickey 操作会返回非对称 KMS 密钥中的公有密钥。它还会返回在 Amazon KMS 外部正确使用公有密钥所需的关键信息,包括密钥用法和加密算法。请务必保存这些值,并在共享公有密钥时共享它们。

本部分中的示例使用 Amazon Command Line Interface (Amazon CLI),但您可以使用任何受支持的编程语言。

要指定 KMS 密钥,请使用其密钥 ID密钥 ARN别名名称别名 ARN。使用别名时,应加上 alias/ 前缀。要指定不同 Amazon Web Services 账户 中的 KMS 密钥,必须使用其密钥 ARN 或别名 ARN。

在运行此命令之前,请将示例别名替换为 KMS 密钥的有效标识符。要运行此命令,必须具备对 KMS 密钥的 kms:GetPublicKey 权限。

$ aws kms get-public-key --key-id alias/example_RSA_3072

{
    "KeySpec": "RSA_3072",
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyUsage": "ENCRYPT_DECRYPT",
    "EncryptionAlgorithms": [
        "RSAES_OAEP_SHA_1",
        "RSAES_OAEP_SHA_256"
    ],
    "PublicKey": "MIIBojANBgkqhkiG..."
}