访问并列出 KMS 密钥详细信息 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

访问并列出 KMS 密钥详细信息

您可以使用 Amazon KMS 控制台DescribeKey 操作来访问和列出账户和区域中 KMS 密钥的详细信息。

以下过程演示如何访问 KMS 密钥详细信息,例如密钥 ID、密钥规范、密钥用法等。

每个 KMS 密钥的详细信息页面均显示 KMS 密钥的属性。该页面会因 KMS 密钥类型而略有不同。

要显示有关 KMS 密钥的详细信息,请在 Amazon 托管式密钥 Customer managed keys(客户托管密钥)页面上,选择 KMS 密钥的别名或密钥 ID。

KMS 密钥的详细信息页面中包括 General Configuration(常规配置)部分,其中显示 KMS 密钥的基本属性。此外还包括若干您可以用来查看和编辑 KMS 密钥属性的选项卡,例如密钥策略加密配置标签密钥材料和轮换(适用于支持自动或按需轮换的 KMS 密钥)、区域性(适用于多区域密钥)和公有密钥(适用于非对称 KMS 密钥)。

注意

Amazon KMS 控制台会显示您在自己的账户和区域中拥有查看权限的 KMS 密钥。其他 Amazon Web Services 账户中的 KMS 密钥不会在控制台中显示,即使您拥有查看、管理和使用权限。要查看其他账户中的 KMS 密钥,请使用 DescribeKey 操作。

要导航至 KMS 密钥的密钥详细信息页。

  1. 登录到 Amazon Web Services 管理控制台,然后通过以下网址打开 Amazon Key Management Service(Amazon KMS)控制台:https://console.aws.amazon.com/kms

  2. 要更改 Amazon Web Services 区域,请使用页面右上角的区域选择器。

  3. 要查看您账户中自己所创建和管理的密钥,请在导航窗格中选择 Customer managed keys (客户托管密钥)。要查看您账户中 Amazon 为您所创建和管理的密钥,请在导航窗格中选择 Amazon managed keys(Amazon 托管式密钥)。

  4. 要打开密钥详细信息页面,请在密钥表中,选择 KMS 密钥的密钥 ID 或别名。

    如果 KMS 密钥有多个别名,别名摘要(再加 n)将在其中一个别名的旁边显示。选择别名摘要将直接进入密钥详细信息页面上的 Aliases(别名)选项卡中。

Amazon KMS客户托管式密钥 details showing general and cryptographic configurations.

以下列表描述了详细显示部分中的字段,包括选项卡中的字段。其中某些字段也在表格显示部分中以列的形式出现。

别名

位置:Aliases(别名)选项卡

KMS 密钥的友好名称。您可以使用别名标识控制台和一些 Amazon KMS API 中的 KMS 密钥。有关更多信息,请参阅 Amazon KMS 中的别名

Aliases(别名)选项卡显示与 Amazon Web Services 账户 和区域中的 KMS 密钥关联的所有别名。

ARN

位置:General configuration(常规配置)部分

KMS 密钥的 Amazon Resource Name (ARN)。此值唯一标识 KMS 密钥。您可以使用此值识别 Amazon KMS API 操作中的 KMS 密钥。

连接状态

表示自定义密钥存储是否已连接到其备用密钥存储。仅当在自定义密钥存储中创建 KMS 密钥时,此字段才会显示。

有关此字段中的值的信息,请参阅 Amazon KMS API 参考中的 ConnectionState

Creation date (创建日期)

位置:General configuration(常规配置)部分

KMS 密钥的创建日期和时间。此值显示为设备的本地时间。时区不依赖于区域。

Expiration(到期)不同,创建仅指的是 KMS 密钥,而非其密钥材料。

CloudHSM 集群 ID

位置:Cryptographic configuration(加密配置)选项卡

包含 KMS 密钥的密钥材料的 Amazon CloudHSM 集群的集群 ID。仅当在自定义密钥存储中创建 KMS 密钥时,此字段才会显示。

如果选择 CloudHSM 群集 ID,它会打开 Amazon CloudHSM 控制台中的 Clusters(集群)页面。

当前密钥材料

位置:General configuration(常规配置)部分

来源为 AWS_KMS 的对称加密密钥支持自动轮换和按需轮换。来源为 EXTERNAL 的单区域对称加密密钥支持按需轮换。此类密钥可以关联多个密钥材料。最近轮换的密钥材料可用于加密和解密。此密钥材料被标识为当前密钥材料。其他密钥材料只能用于解密。KMS 密钥的自动或按需轮换会更改其当前密钥材料。

自定义密钥存储 ID

位置:Cryptographic configuration(加密配置)选项卡

包含 KMS 密钥的自定义密钥存储的 ID。仅当在自定义密钥存储中创建 KMS 密钥时,此字段才会显示。

如果选择自定义密钥存储 ID,则会在 Amazon KMS 控制台中打开 Custom key stores(自定义密钥存储)页面。

自定义密钥存储名称

位置:Cryptographic configuration(加密配置)选项卡

包含 KMS 密钥的自定义密钥存储的名称。仅当在自定义密钥存储中创建 KMS 密钥时,此字段才会显示。

自定义密钥存储类型

位置:Cryptographic configuration(加密配置)选项卡

指示自定义密钥存储是 Amazon CloudHSM 密钥存储,还是外部密钥存储。仅当在自定义密钥存储中创建 KMS 密钥时,此字段才会显示。

描述

位置:General configuration(常规配置)部分

您可以编写和编辑的 KMS 密钥的简要、可选描述。要添加或更新客户托管密钥的描述,请选择 General Configuration(常规配置)上方的 Edit(编辑)。

加密算法

位置:Cryptographic configuration(加密配置)选项卡

列出可在 Amazon KMS 中与 KMS 密钥一起使用的加密算法。仅当 Key type (密钥类型)Asymmetric (对称)Key usage (密钥用法)Encrypt and decrypt (加密和解密) 时,此字段才会显示。有关 Amazon KMS 支持的加密算法的信息,请参阅 SYMMETRIC_DEFAULT 密钥规范用于加密和解密的 RSA 密钥规范

到期日期

位置:Key material(密钥材料)选项卡

KMS 密钥的密钥材料到期的日期和时间。此字段仅针对具有导入的密钥材料的 KMS 密钥显示,也就是说,仅当 Origin(源)为 External(外部)且 KMS 密钥的密钥材料已到期时,此字段才会显示。单区域对称加密密钥可以关联多个密钥材料。对于此类密钥,此字段指示所关联的密钥材料中最早到期的日期和时间。

外部密钥 ID

位置:Cryptographic configuration(加密配置)选项卡

外部密钥存储中的 KMS 密钥关联的外部密钥的 ID。此字段仅适用于外部密钥存储中的 KMS 密钥。

外部密钥状态

位置:Cryptographic configuration(加密配置)选项卡

外部密钥存储代理报告的与 KMS 密钥关联的外部密钥的最新状态。此字段仅适用于外部密钥存储中的 KMS 密钥。

外部密钥用途

位置:Cryptographic configuration(加密配置)选项卡

在与 KMS 密钥关联的外部密钥上启用的加密操作。此字段仅适用于外部密钥存储中的 KMS 密钥。

密钥策略

位置:Key policy(密钥策略)选项卡

控制对 KMS 密钥以及 IAM policy授权的访问。每个 KMS 密钥都有一个密钥策略。它是唯一的强制性授权元素。要更改客户托管密钥的密钥策略,请在 Key policy(密钥策略)选项卡上选择 Edit(编辑)。有关更多信息,请参阅 Amazon KMS 中的密钥策略

密钥材料和轮换

位置:密钥材料和轮换选项卡

此选项卡仅适用于来源为 AWS_KMS 的对称加密密钥(支持自动和按需轮换)以及来源为 EXTERNAL 的单区域对称加密密钥(支持按需轮换)。

该选项卡有三个面板:

自动轮换:为客户自主管理型 KMS 密钥中的密钥材料启用和禁用自动轮换。要更改客户自主管理型密钥的密钥轮换状态,请使用此复选框。您无法启用或禁用 Amazon 托管式密钥 中的密钥材料轮换。Amazon 托管式密钥 每年自动轮换一次。

按需轮换:为客户自主管理型密钥中的密钥材料启动按需轮换。对于导入的密钥,必须已有已导入的密钥材料处于 PENDING_ROTATION 状态,立即轮换选项才会可用。

密钥材料:列出与 KMS 密钥关联的所有密钥材料。每个密钥材料都有一个唯一的标识符,对应行显示有关该密钥材料的其他信息,例如密钥材料可供在 KMS 中使用的轮换日期。对于导入的密钥,每行还有一个操作菜单,可用于删除特定的密钥材料或将其重新导入到 KMS 密钥。

密钥规范

位置:Cryptographic configuration(加密配置)选项卡

KMS 密钥中密钥材料的类型。Amazon KMS 支持对称加密 KMS 密钥(SYMMETRIC_DEFAULT)、不同长度的 HMAC KMS 密钥以及具有不同长度 RSA 密钥的 KMS 密钥和具有不同曲线的椭圆曲线密钥。有关更多信息,请参阅 Key spec

密钥类型

位置:Cryptographic configuration(加密配置)选项卡

指示 KMS 密钥是 Symmetric(对称)还是 Asymmetric(非对称)的。

密钥用法

位置:Cryptographic configuration(加密配置)选项卡

指示 KMS 密钥可用于Encrypt and decrypt(加密和解密)、Sign and verify(签名和验证)或Generate and verify MAC(生成并验证 MAC)。有关更多信息,请参阅 Key usage

Origin

位置:Cryptographic configuration(加密配置)选项卡

KMS 密钥的密钥材料的来源。有效值为:

MAC 算法

位置:Cryptographic configuration(加密配置)选项卡

列出可在 Amazon KMS 中与 HMAC KMS 密钥一起使用的 MAC 算法。仅当密钥规范是 HMAC 密钥规范(HMAC_*)时,此字段才会显示。有关 Amazon KMS 支持的 MAC 算法的信息,请参阅 HMAC KMS 密钥的密钥规范

主键

位置:Regionality(区域性)选项卡

表示此 KMS 密钥是多区域主键。授权用户可以使用此部分将主键更改为另一个相关的多区域密钥。仅当 KMS 密钥是多区域主键时,此字段才会显示。

公有密钥

位置:Public key(公有密钥)选项卡

显示非对称 KMS 密钥的公有密钥。经授权的用户可以使用此选项卡复制和下载公有密钥

区域性

位置:General configuration(常规配置)部分和 Regionality(区域性)选项卡

指示 KMS 密钥是单区域密钥、多区域主键,还是多区域副本密钥。仅当 KMS 密钥是多区域密钥时,此字段才会显示。

相关的多区域密钥

位置:Regionality(区域性)选项卡

显示所有相关多区域主键和副本键,但当前 KMS 密钥除外。仅当 KMS 密钥是多区域密钥时,此字段才会显示。

在主键的相关的多区域密钥部分,授权用户可以创建新的副本密钥

副本密钥

位置:Regionality(区域性)选项卡

表示此 KMS 密钥是多区域副本密钥。仅当 KMS 密钥是多区域副本密钥时,此字段才会显示。

签名算法

位置:Cryptographic configuration(加密配置)选项卡

列出可在 Amazon KMS 中与 KMS 密钥一起使用的签名算法。仅当 Key type (密钥类型)Asymmetric (对称)Key usage (密钥用法)Sign and verify (签名和验证) 时,此字段才会显示。有关 Amazon KMS 支持的签名算法的信息,请参阅用于签名和验证的 RSA 密钥规范椭圆曲线密钥规范

状态

位置:General configuration(常规配置)部分

KMS 密钥的密钥状态。您可以在加密操作中使用 KMS 密钥,前提是仅当状态为 Enabled(已启用)时。有关每个 KMS 密钥状态的详细说明及其对可以在 KMS 密钥上运行的操作的影响,请参阅 Amazon KMS 密钥的密钥状态

标签

位置:Tags(标签)选项卡

描述 KMS 密钥的可选键值对。要添加或更改 KMS 密钥的标签,请在 Tags(标签)选项卡上选择 Edit(编辑)。

在将标签添加到 Amazon 资源时,Amazon 可生成成本分配报告,其中按标签汇总了使用情况和成本。标签还可以用来控制对 KMS 密钥的访问。有关轮换 KMS 密钥的信息,请参阅 Amazon KMS 中的标签Amazon KMS 中的 ABAC

DescribeKey 操作返回特定 KMS 密钥的详细信息。要标识 KMS 密钥,请使用密钥 ID密钥 ARN别名名称别名 ARN

ListKeys 操作仅显示调用方账户和区域中的 KMS 密钥不同,授权用户可以使用 DescribeKey 操作获取有关其他账户中 KMS 密钥的详细信息。

注意

DescribeKey 响应包括具有相同值的两个 KeySpecCustomerMasterKeySpec 成员。CustomerMasterKeySpec 成员已弃用。

例如,这个对 DescribeKey 的调用会返回有关对称加密 KMS 密钥的信息。响应中的字段因 Amazon KMS key 规范密钥状态密钥材料来源而异。有关使用多种编程语言的示例,请参阅将 DescribeKey 与 Amazon SDK 或 CLI 配合使用

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1499988169.234,
        "MultiRegion": false,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "CurrentKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
    }
}

此示例对用于签名和验证的非对称 KMS 密钥调用 DescribeKey 操作。响应包括 Amazon KMS 支持用于此 KMS 密钥的签名算法。

$ aws kms describe-key --key-id 0987dcba-09fe-87dc-65ba-ab0987654321

{
    "KeyMetadata": {        
        "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "Origin": "AWS_KMS",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
        "KeyState": "Enabled",
        "KeyUsage": "SIGN_VERIFY",
        "CreationDate": 1569973196.214,
        "Description": "",
        "KeySpec": "ECC_NIST_P521",
        "CustomerMasterKeySpec": "ECC_NIST_P521",
        "AWSAccountId": "111122223333",
        "Enabled": true,
        "MultiRegion": false,
        "KeyManager": "CUSTOMER",
        "SigningAlgorithms": [
            "ECDSA_SHA_512"
        ]
    }
}