编辑密钥 - AWS Key Management Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

编辑密钥

您可以使用 AWS KMS API和KeyDetail页面 AWS 管理控制台 编辑客户管理的某些属性 客户主密钥 (CMKs)。您可以更改描述、添加和删除管理员及用户、管理标签,以及启用和禁用密钥轮换。

您无法更改属性 AWS 管理 CMKs.

编辑 CMKs (控制台)

拥有必要权限的用户可以更改客户管理的属性 CMK,包括其描述、标签、政策和授予以及轮换状态 AWS 管理控制台.

您可以 视图但不是编辑, AWS 管理 CMKs. 查看关键政策 AWS 管理 CMK,使用 GetKeyPolicy 操作。

导航到 CMK 详情页面
  1. 登录 AWS 管理控制台并通过以下网址打开 AWS Key Management Service (AWS KMS) 控制台:https://console.amazonaws.cn/kms

  2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择 Customer managed keys (客户托管密钥)。(您无法编辑 AWS 托管密钥的属性。)

  4. 选择别名或密钥ID CMK 要编辑。现在,使用KeyDetails页面上的控件查看和更改 CMK.

更改 CMK 描述

您可以添加、更改或删除 CMK 除非其 关键状态Pending Deletion。描述为可选。

  1. 在右上角,选择 Edit (编辑)

  2. 对于 描述,输入 CMK. 您也可以删除现有描述。

    输入说明,说明您计划保护的数据类型或您计划与 CMK. TheThethe 默认 主密钥 在没有定义其他密钥的情况下保护我 描述格式为 AWS 管理 CMKs.

  3. 要保存您的更改,请选择 Save

更改 CMK 管理员和用户

您可以更改 CMK. 关键政策定义 IAM 可以管理 CMK 并使用 加密操作.

默认情况下,AWS 账户(根用户)拥有完全权限。因此,任何 IAM 附加策略允许相应权限的用户和角色也可以管理 CMK. 有关设置密钥策略和 IAM 策略的详细信息,请参阅 AWS KMS 的身份验证和访问控制

  1. 在详情页面 CMK,选择 关键政策 选项卡。

    如果 CMK 是默认策略, 关键政策 选项卡显示默认视图 主要管理员关键删除关键用户,和 其他AWS账户 章节。否则,该选项卡将显示密钥策略文档。

    要直接编辑密钥策略文档,请选择 Switch to policy view (切换到策略视图)(如果适用),选择 Edit (编辑),编辑文档,然后选择 Save (保存)

    此过程的剩余步骤说明如何使用默认视图编辑密钥策略。

  2. 更改可以管理 CMK,使用 主要管理员 第节。

    • 要添加密钥管理员,请选择 Add (添加),选择或键入用户或角色,然后选择 Add (添加)

    • 要删除密钥管理员,请选中用户或角色对应的框,然后选择 Remove (删除)

  3. 防止关键管理员排除 CMK,在 关键删除 部分,清除 允许关键管理员删除此密钥 复选框。

  4. 更改可以使用 CMK 在 加密操作,使用 关键用户 第节。

    • 要添加密钥用户,请选择 Add (添加),选择用户或角色,然后选择 Add (添加)

    • 要删除密钥用户,请选中用户或角色对应的框,然后选择 Remove (删除)

  5. 更改其他 AWS 可以使用 CMK 在加密操作中, 其他 AWS 账户 部分,选择 添加其他 AWS 账户.

    注意

    添加外部帐户不允许帐户中的用户和角色使用 CMK. 允许用户在外部帐户中使用 CMK,外部帐户的管理员必须添加 IAM 提供这些权限的策略。有关更多信息,请参阅 允许其他帐户中的用户使用 CMK。)

    • 要添加账户,请选择 Add another AWS account (添加其他 AWS 账户),键入账号。

    • 要删除账户,请在包含账号的行上,选择 Remove (删除)

    完成后,选择 Save changes (保存更改),然后单击 X 关闭窗口。

添加、编辑和删除标签

您可以创建和更改客户管理的标记 CMKs. 有关使用标签的详细信息,请参阅 AWS KMS,参见 标记密钥.

  • 在详情页面 CMK,选择 标签 选项卡。

    • 要创建您的第一个标签,请选择 创建标签,键入标签名称(必填)和标记值(可选),然后选择 保存.

      如果标签值留空,实际标记值为空字符串。

    • 要添加标签,请选择 Edit (编辑),选择 Add tag (添加标签),键入标签名称和标签值,然后选择 Save (保存)

    • 要更改标签的名称或值,请选择 Edit (编辑),进行更改,然后选择 Save (保存)

    • 要删除标签,请选择 Edit (编辑)。在标签行上,选择 Remove (删除),然后选择 Save (保存)

启用或禁用轮换

您可以启用并禁用 自动旋转 对称的密码材料 客户管理 CMK. 不对称不支持此功能 CMKs 或 CMKs 使用导入的关键材料。

AWS 管理 CMKs 每三年自动旋转。您无法启用或禁用此功能。

  1. 在详情页面 CMK,选择 关键旋转 选项卡。

  2. 要启用自动键旋转,请检查 自动旋转此项 CMK 每年 复选框。要禁用自动密钥轮换,请清除此复选框。

  3. 要保存您的更改,请选择 Save

编辑 CMKs (AWS KMS API)

您可以使用 AWS Key Management Service (AWS KMS)API 要编辑您的 客户管理 CMKs. 这些示例使用 AWS Command Line Interface (AWS CLI),但您可以使用任何受支持的编程语言。本部分展示了几个返回现有详细信息的操作 CMKs.

您无法编辑属性 AWS 管理 CMKsAWS 拥有 CMKs.

UpdateKeyDescription 更改描述 CMK

TheThethe 更新键描述 操作取代客户管理的描述 CMK 使用您指定的。您可以使用它添加、更改或删除 CMK. 要查看描述,请使用 DescribeKey 操作。

例如,此电话会给 UpdateKeyDescription 操作更改指定的描述 CMK.

$ aws kms update-key-description --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --description "Example key"

要获取密钥的描述,请使用 DescribeKey 操作,如以下示例所示。

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "Example key", "KeyManager": "CUSTOMER", "Enabled": true, "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1499988169.234, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333" "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }

PutKeyPolicy 更改关键政策 CMK

TheThethe Putkey政策 操作改变了客户管理的关键政策 CMK 指定的策略。该策略包括管理员、用户和角色的权限。有关详细示例,请参阅 PutKeyPolicy 示例

启用和禁用密钥轮换

TheThethe 启用键旋转 操作启用 自动旋转 对称客户管理的加密材料 CMK. DisableKeyRotation 操作会禁用它。GetKeyRotationStatus 操作会返回一个布尔值,以告诉您自动密钥轮换是已启用 (true) 还是已禁用 (false)。

有关示例,请参阅旋转 客户主密钥

添加、编辑和删除标签

要在客户管理CMK上添加或编辑标签,请使用 标签资源 操作。要添加标记,请指定新标记密钥和标记值。要编辑标记,请指定现有标记密钥和新标记值。

要查看任何CMK上的标记,请使用 列表资源 操作。

要从客户管理CMK中删除标记,请使用 非标语资源 操作。

有关在 AWS KMS 中使用标签的更多信息,请参阅标记密钥