识别对称和不对称 CMKs - AWS Key Management Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

识别对称和不对称 CMKs

确定特定的 CMK 是 对称或不对称,找到 键类型主要规格. 可以使用 AWS KMS 控制台或 AWS KMS API。

这些方法中的某些方法还将显示您的加密配置的其他方面 CMK,包括其关键使用情况以及加密或签名算法, CMK 支持。您可以查看现有的密码配置 CMK,但您无法更改。

有关查看的一般信息 CMKs,包括对控制台显示器的排序、筛选和选择列,请参阅 在控制台中查看 CMKs。.

在 CMK 表

在 AWS KMS 控制台, 键类型 列显示每个 CMK 是对称或不对称的。您可以添加 键类型 列到 CMK 表 客户管理密钥AWS托管密钥 控制台中的页面。

确定对称和非对称性 CMKs 在您的 CMK 表,使用以下步骤。

  1. https://console.amazonaws.cn/kms 打开 AWS KMS 控制台。

  2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

  3. 要查看您账户中自己所创建和管理的密钥,请在导航窗格中选择 Customer managed keys (客户托管密钥). 要查看您账户中 AWS 为您创建和管理的密钥,请在导航窗格中,选择 AWS managed keys (AWS 托管密钥)

  4. TheThethe 键类型 列显示每个 CMK 是对称或不对称的。您也可以 排序和筛选 通过 键类型 值。

    如果 键类型 列未显示在您的 CMK 表格,选择页面右上角的齿轮图标,选择 键类型,然后选择 确认. 您还可以添加 Key spec (密钥规范)Key usage (密钥用途) 列。

    
                        TheThethe 键类型 列 CMK 表

在详细信息页面上查找密钥类型

在 AWS KMS 控制台,每个“详细信息”页面 CMK 包括 加密配置 显示关键类型(对称或非对称)的部分,以及有关 CMK.

确定对称和非对称性 CMKs 在详情页面的 CMK,使用以下步骤。

  1. https://console.amazonaws.cn/kms 打开 AWS KMS 控制台。

  2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

  3. 要查看您账户中自己所创建和管理的密钥,请在导航窗格中选择 Customer managed keys (客户托管密钥). 要查看您账户中 AWS 为您创建和管理的密钥,请在导航窗格中,选择 AWS managed keys (AWS 托管密钥)

  4. 选择别名或密钥ID CMK.

  5. 选择 Cryptographic configuration (加密配置)

    Cryptographic configuration (加密配置) 部分包含 Key type (密钥类型),用于指示 CMK 是对称还是非对称。它还显示了有关 CMK,包括 关键使用情况,这告诉我们 CMK 可用于加密和解密或签名和验证。对于不对称的 CMKs,显示加密算法或签名算法, CMK 支持。

    例如,以下是示例 加密配置 对称区域 CMK.

    
                        TheThethe 加密配置 对称区域 CMK

    以下是示例 加密配置 不对称的RSA部分 CMK 用于签署和验证。

    
                        TheThethe 加密配置 不对称部分 CMK

使用 AWS KMS API 查找密钥规范

确定是否 CMK 对称或不对称,使用 描述 操作。TheThethe CustomerMasterKeySpec 响应中的字段包含 主要规格 的 CMK. 对称对称 CMK,价值 CustomerMasterKeySpecSYMMETRIC_DEFAULT。所有其他值表示不对称值 CMK.

例如, DescribeKey 返回对称的以下响应 CMK. TheThethe CustomerMasterKeySpec 值为 SYMMETRIC_DEFAULT.

{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1496966810.831, "Enabled": true, "Description": "", "KeyState": "Enabled", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }

TheThethe DescribeKey 对不对RSA的响应 CMK 在签名和验证中使用的与此示例类似。密钥规范,如 CustomerMasterKeySpec 中所示,值为 RSA_2048。TheThethe KeyUsageSIGN_VERIFYSigningAlgorithms 元素列出了 CMK.

{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1571767572.317, "Enabled": false, "Description": "", "KeyState": "Disabled", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "RSA_2048", "KeyUsage": "SIGN_VERIFY", "SigningAlgorithms": [ "RSASSA_PKCS1_V1_5_SHA_256", "RSASSA_PKCS1_V1_5_SHA_384", "RSASSA_PKCS1_V1_5_SHA_512", "RSASSA_PSS_SHA_256", "RSASSA_PSS_SHA_384", "RSASSA_PSS_SHA_512" ] } }