识别对称 KMS 密钥和非对称 KMS 密钥 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

识别对称 KMS 密钥和非对称 KMS 密钥

要确定特定 KMS 密钥是对称还是非对称 KMS 密钥,请查看密钥类型密钥规范。可以使用 Amazon KMS 控制台或 Amazon KMS API。

其中一些方法还将向您显示 KMS 密钥的加密配置的其他方面,包括密钥用法以及 KMS 密钥支持的加密或签名算法。您可以查看现有 KMS 密钥的加密配置,但无法更改该配置。

有关查看 KMS 密钥的一般信息,包括排序、筛选和选择在控制台中显示的列,请参阅 在控制台中查看 KMS 密钥

在 KMS 密钥表中查找密钥类型

在 Amazon KMS 控制台中,Key type(密钥类型)列显示每个 KMS 密钥是对称还是非对称 KMS 密钥。您可以将 Key type(密钥类型)列添加到控制台中 Customer managed keys(客户托管式密钥)或 Amazon 托管式密钥 页面上的 KMS 密钥表中。

要识别您的 KMS 密钥表中的对称和非对称 KMS 密钥,请使用以下过程。

  1. 在 Amazon KMShttps://console.aws.amazon.com/kms 打开 控制台。

  2. 要更改 Amazon Web Services 区域,请使用页面右上角的 Region selector (区域选择器)。

  3. 要查看您账户中自己所创建和管理的密钥,请在导航窗格中选择 Customer managed keys (客户托管密钥)。要查看您账户中 Amazon 为您所创建和管理的密钥,请在导航窗格中选择 Amazon managed keys(Amazon 托管式密钥)。

  4. Key type(密钥类型)列显示每个 KMS 密钥是对称还是非对称 KMS 密钥。您还可以按 Key type(密钥类型)值进行排序和筛选

    如果您的 KMS 密钥表中未显示 Key type(密钥类型)列,请选择页面右上角的齿轮图标,选择 Key type(密钥类型),然后选择 Confirm(确认)。您还可以添加 Key spec (密钥规范)Key usage (密钥用途) 列。

    
                        KMS 密钥表中的 Key type(密钥类型)列

在详细信息页面上查找密钥类型

在 Amazon KMS 控制台中,每个 KMS 密钥的详细信息页面都包含一个 Cryptographic Configuration(加密配置)选项卡,该选项卡显示密钥类型(对称或非对称)以及有关 KMS 密钥的其他加密详细信息。

要在 KMS 密钥的详细信息页面上识别对称和非对称 KMS 密钥,请使用以下过程。

  1. 在 Amazon KMShttps://console.aws.amazon.com/kms 打开 控制台。

  2. 要更改 Amazon Web Services 区域,请使用页面右上角的 Region selector (区域选择器)。

  3. 要查看您账户中自己所创建和管理的密钥,请在导航窗格中选择 Customer managed keys (客户托管密钥)。要查看您账户中 Amazon 为您所创建和管理的密钥,请在导航窗格中选择 Amazon managed keys(Amazon 托管式密钥)。

  4. 选择 KMS 密钥的别名和密钥 ID。

  5. 选择 Cryptographic configuration(加密配置)选项卡。这些选项卡在 General configuration(常规配置)部分下。

    Cryptographic configuration(加密配置)选项卡显示 Key Type(密钥类型),用于指示密钥是对称还是非对称。其中还显示有关 KMS 密钥的其他详细信息,包括 Key Usage(密钥用法),密钥用法指明 KMS 密钥可用于加密和解密还是签名和验证。对于非对称 KMS 密钥,其中显示 KMS 密钥支持的加密算法或签名算法。

    例如,以下是对称 KMS 密钥的示例 Cryptographic configuration(加密配置)选项卡。

    
                        对称 KMS 密钥的 Cryptographic configuration(加密配置)选项卡

    下面是一个用于签名和验证的非对称 RSA KMS 密钥的示例 Cryptographic configuration(加密配置)选项卡。

    
                        非对称 KMS 密钥的 Cryptographic configuration(加密配置)选项卡

使用 Amazon KMS API 查找密钥规范

要确定某个 KMS 密钥是对称还是非对称 KMS 密钥,请使用 DescribeKey 操作。响应中的 KeySpec 字段包含 KMS 密钥的密钥规范。对于对称 KMS 密钥,KeySpec 的值为 SYMMETRIC_DEFAULT。其他值都指明这是非对称密钥。

注意

CustomerMasterKeySpec 成员已弃用。请改用 KeySpec。为了防止破坏性的更改,DescribeKey 响应包括具有相同值的 KeySpecCustomerMasterKeySpec 成员。

例如,对于对称 KMS 密钥,DescribeKey 返回以下响应。KeySpec 值为 SYMMETRIC_DEFAULT

{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1496966810.831, "Enabled": true, "Description": "", "KeyState": "Enabled", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "MultiRegion": false, "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }

用于签名和验证的非对称 RSA KMS 密钥的 DescribeKey 响应与此示例相似。KeySpec 值为 RSA_2048KeyUsageSIGN_VERIFYSigningAlgorithms 元素列出 KMS 密钥的有效签名算法。

{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1571767572.317, "CustomerMasterKeySpec": "RSA_2048", "Enabled": false, "Description": "", "KeyState": "Disabled", "Origin": "AWS_KMS", "MultiRegion": false, "KeyManager": "CUSTOMER", "KeySpec": "RSA_2048", "KeyUsage": "SIGN_VERIFY", "SigningAlgorithms": [ "RSASSA_PKCS1_V1_5_SHA_256", "RSASSA_PKCS1_V1_5_SHA_384", "RSASSA_PKCS1_V1_5_SHA_512", "RSASSA_PSS_SHA_256", "RSASSA_PSS_SHA_384", "RSASSA_PSS_SHA_512" ] } }