本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
识别不同的密钥类型
以下主题介绍如何识别 Amazon KMS 控制台中的不同密钥类型和 DescribeKey 响应。
有关导航到 KMS 密钥详细信息页面上的加密配置选项卡的帮助,请参阅访问并列出 KMS 密钥详细信息。
主题
识别非对称 KMS 密钥
- 在 Amazon KMS 控制台中
-
客户托管密钥表的密钥类型列显示每个 KMS 密钥是对称还是非对称 KMS 密钥。您可以按密钥类型值筛选表,以仅显示非对称 KMS 密钥。有关更多信息,请参阅对您的 KMS 密钥进行排序和筛选。
KMS 密钥详细信息页面的加密配置选项卡显示密钥类型,用于指示密钥是对称还是非对称。它还会显示密钥用法,指示您的非对称 KMS 密钥是用于加密和解密、签名和验证,还是派生共享密钥。
- 在 DescribeKey 响应中
-
当您对非对称 KMS 密钥调用
DescribeKey
操作时,响应包括KeySpec
和KeyUsage
值,这些值可用于确定 KMS 密钥是对称还是非对称 KMS 密钥。如果
KeySpec
值为SYMMETRIC_DEFAULT
,则密钥是对称加密 KMS 密钥。有关非对称密钥规范的详细信息,请参阅密钥规范引用。如果
KeyUsage
值为SIGN_VERIFY
或KEY_AGREEMENT
,则密钥为非对称 KMS 密钥。对于非对称 KMS 密钥,
DescribeKey
操作还会返回以下详细信息。-
对于
KeyUsage
值为ENCRYPT_DECRYPT
的非对称 KMS 密钥,该操作将返回EncryptionAlgorithms
,其中列出了该密钥的有效加密算法。 -
对于
KeyUsage
值为SIGN_VERIFY
的非对称 KMS 密钥,该操作将返回SigningAlgorithms
,其中列出了该密钥的有效签名算法。 -
对于
KeyUsage
值为KEY_AGREEMENT
的非对称 KMS 密钥,该操作将返回KeyAgreementAlgorithms
,其中列出了该密钥的有效密钥协议算法。
-
有关非对称 KMS 密钥的更多信息,请参阅Amazon KMS 中的非对称密钥。
识别 HMAC KMS 密钥
- 在 Amazon KMS 控制台中
-
HMAC KMS 密钥包含在客户托管密钥表中,但您无法按标识 HMAC 密钥的密钥规格或密钥用法值对该表进行排序或筛选。为了更轻松地查找 HMAC 密钥,为其分配独特的别名或标签。然后,您可以按别名或标签进行排序或筛选。
KMS 密钥详细信息页面的加密配置选项卡显示密钥类型,用于指示密钥是对称还是非对称。HMAC KMS 密钥是对称密钥。加密配置选项卡还显示密钥用法。对于 HMAC KMS 密钥,密钥用法值始终为生成并验证 MAC。
- 在 DescribeKey 响应中
-
对 HMAC KMS 密钥调用
DescribeKey
操作时,响应将包括KeySpec
和KeyUsage
值。对于 HMAC KMS 密钥,密钥用法值始终为GENERATE_VERIFY_MAC
,密钥规范值始终以HMAC_
开头。
有关 HMAC KMS 密钥的更多信息,请参阅 Amazon KMS 中的 HMAC 密钥。
识别多区域 KMS 密钥
- 在 Amazon KMS 控制台中
-
客户托管密钥表仅显示所选区域中的 KMS 密钥。您可以查看所选区域中的多区域主密钥和副本密钥。要更改 Amazon 区域,请使用控制台右上角的区域选择器。
为了更轻松地识别客户托管密钥表中的多区域密钥,请在表中添加区域性列。有关帮助信息,请参阅 自定义您的 KMS 密钥表。
多区域 KMS 密钥的详细信息页面包含区域性选项卡。主密钥的 Regionality(区域性)选项卡包括 Change primary Region(更改主区域)和 Create new replica keys(创建新的副本密钥)按钮。(副本密钥的 Regionality(区域性)选项卡没有任何按钮。) Related multi-Region keys(相关的多区域密钥)部分列出了与当前密钥相关的所有多区域密钥。如果当前密钥是副本密钥,则此列表将包括主密钥。
如果您从相关的多区域密钥表中选择相关的多区域密钥,Amazon KMS 控制台更改为所选密钥的区域,并打开密钥的详细信息页面。例如,如果您从下面的示例 Related multi-Region keys(相关多区域密钥)部分中选择
sa-east-1
区域中的副本密钥,Amazon KMS 控制台将更改为sa-east-1
区域,以显示该副本密钥的详细信息页面。您可以执行此操作来查看副本密钥的别名或密钥策略。要再次更改区域,请使用页面右上角的 Region selector(区域选择器)。 - 在 DescribeKey 响应中
-
默认情况下,Amazon KMS API 操作是区域性的,仅返回当前或指定区域中的资源。但是,当您对多区域 KMS 密钥调用
DescribeKey
操作时,响应将包括在MultiRegionConfiguration
元素中返回其他 Amazon 区域中的所有相关多区域密钥。
有关多区域 KMS 密钥的更多信息,请参阅 Amazon KMS 中的多区域密钥。
识别带导入的密钥材料的 KMS 密钥
- 在 Amazon KMS 控制台中
-
为了更轻松地识别客户托管密钥表中带导入的密钥材料的 KMS 密钥,请在表中添加源列。“源”列可让您轻松标识具有外部(导入密钥材料)源属性值的 KMS 密钥。有关帮助信息,请参阅 自定义您的 KMS 密钥表。
KMS 密钥详细信息页面上的加密配置选项卡显示了源,标识 KMS 密钥的密钥材料的来源。对于带导入密钥材料的 KMS 密钥,源值始终为外部(导入密钥材料)。详细信息页面还包括密钥材料选项卡,该选项卡提供有关导入的密钥材料的详细信息。密钥材料选项卡仅显示在具有导入密钥材料的 KMS 密钥的详细信息页面上。
- 在 DescribeKey 响应中
-
对带导入的密钥材料的 KMS 密钥调用
DescribeKey
操作时,响应将包括Origin
、ExpirationModel
和ValidTo
值。对于带导入密钥材料的 KMS 密钥,源值始终为EXTERNAL
。ExpirationModel
值指示密钥材料是否设置为过期,ValidTo
值指示密钥材料何时过期。有关更多信息,请参阅 设置过期时间(可选)。
有关带导入的密钥材料的 KMS 密钥的更多信息,请参阅 导入密钥的 Amazon KMS 密钥材料。
识别 Amazon CloudHSM 密钥存储中的 KMS 密钥
- 在 Amazon KMS 控制台中
-
为了更轻松地识别客户托管密钥表中 Amazon CloudHSM 密钥存储中的 KMS 密钥,请在表中添加源列。Origin(源)列可让您轻松标识带 Amazon CloudHSM 源属性值的 KMS 密钥。有关帮助信息,请参阅 自定义您的 KMS 密钥表。
KMS 密钥详细信息页面上的加密配置选项卡显示了源,标识 KMS 密钥的密钥材料的来源。对于 Amazon CloudHSM 密钥存储中的 KMS 密钥,源值始终为 Amazon CloudHSM。
对于 Amazon CloudHSM 密钥存储中的 KMS 密钥,加密配置选项卡包括一个额外的部分,自定义密钥存储,该部分提供与 KMS 密钥关联的 Amazon CloudHSM 密钥存储和 Amazon CloudHSM 集群的信息。
- 在 DescribeKey 响应中
-
对 Amazon CloudHSM 密钥存储中的 KMS 密钥调用
DescribeKey
操作时,响应将包括Origin
,其将标识密钥材料来源。对于 Amazon CloudHSM 密钥存储中的 KMS 密钥,源值始终为AWS_CLOUDHSM
。该操作还会返回 Amazon CloudHSM 密钥存储中 KMS 密钥的以下特殊字段:-
CloudHsmClusterId
-
CustomKeyStoreId
-
有关 Amazon CloudHSM 密钥存储的更多信息,请参阅 Amazon CloudHSM 密钥存储。
识别外部密钥存储中的 KMS 密钥
- 在 Amazon KMS 控制台中
-
为了更轻松地识别客户托管密钥表中外部密钥存储中的 KMS 密钥,请在表中添加源列。源列可让您轻松识别带外部密钥存储源属性值的 KMS 密钥。有关帮助信息,请参阅 自定义您的 KMS 密钥表。
KMS 密钥详细信息页面上的加密配置选项卡显示了源,标识 KMS 密钥的密钥材料的来源。对于外部密钥存储中的 KMS 密钥,源值均为外部密钥存储。
对于外部密钥存储中的 KMS 密钥,加密配置选项卡包括另外两个部分:自定义密钥存储和外部密钥。自定义密钥存储表提供有关与 KMS 密钥关联的外部密钥存储的信息。外部密钥表显示在 Amazon KMS 控制台中,仅适用于外部密钥存储中的 KMS 密钥。此部分提供有关与 KMS 密钥关联的外部密钥的信息。外部密钥是 Amazon 外部的加密密钥,用作外部密钥存储中 KMS 密钥的密钥材料。使用 KMS 密钥加密或解密时,将由外部密钥管理器使用指定的外部密钥执行此操作。
以下值显示在 External key(外部密钥)部分中。
- 外部密钥 ID
-
外部密钥管理器中外部密钥的标识符。这是外部密钥存储代理用来识别外部密钥的值。外部密钥 ID 在您创建 KMS 密钥时指定,并且无法更改。如果您用于创建 KMS 密钥的外部密钥 ID 值更改或失效,则必须安排删除 KMS 密钥,并使用正确的外部密钥 ID 值创建新的 KMS 密钥。
- 在 DescribeKey 响应中
-
对外部密钥存储中的 KMS 密钥调用
DescribeKey
操作时,响应将包括Origin
,其将标识密钥材料来源。对于 Amazon CloudHSM 密钥存储中的 KMS 密钥,源值始终为EXTERNAL_KEY_STORE
。该操作还会返回CustomKeyStoreId
元素,该元素标识与 KMS 密钥关联的外部密钥存储。
有关外部密钥存储的更多信息,请参阅 外部密钥存储。