列出轮换和密钥材料 - Amazon Key Management Service
列出轮换和密钥材料(控制台)列出轮换和密钥材料(Amazon KMS API)
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

列出轮换和密钥材料

支持自动或按需密钥轮换的 KMS 密钥可以关联多个密钥材料。这些密钥具有一个初始密钥材料,以及每次自动或按需轮换的附加密钥材料。

具有 kms:ListKeyRotations 权限的授权用户可以使用 Amazon KMS 控制台和 ListKeyRotations API 列出关联到该 KMS 密钥的所有密钥材料,包括已完成的自动轮换和按需轮换的密钥材料。

列出轮换和密钥材料(控制台)

  1. 登录到 Amazon Web Services 管理控制台,然后通过以下网址打开 Amazon Key Management Service(Amazon KMS)控制台:https://console.aws.amazon.com/kms

  2. 要更改 Amazon Web Services 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择客户托管密钥

  4. 选择 KMS 密钥的别名和密钥 ID。

  5. 选择按密钥材料和轮换选项卡。

    • 密钥材料和轮换选项卡仅在支持自动轮换或按需轮换的对称加密 KMS 密钥的详细信息页面上显示。这包括具有 Amazon KMS 生成的密钥材料的 KMS 密钥(来源为 AWS_KMS)和具有导入的密钥材料的单区域 KMS 密钥(来源为 EXTERNAL)。

    • 密钥材料和轮换选项卡中的密钥材料表会列出关联到 KMS 密钥的所有密钥材料。每个密钥材料的对应条目会显示 Amazon KMS 为其分配的唯一标识符、轮换日期和密钥材料状态。轮换日期用于确定密钥材料在自动或按需密钥轮换后何时变为当前。第一个或 Pending rotation 密钥材料没有相关的轮换日期。密钥材料状态决定了 Amazon KMS 将会如何使用密钥材料。当前密钥材料既用于加密,也用于解密。非当前密钥材料仅用于解密。密钥材料状态为 Pending rotation 表示该密钥材料已进入轮换暂存阶段。在按需密钥轮换使其成为当前密钥材料之前,此密钥材料不会用于任何密码操作。所显示有关密钥材料的其他信息取决于 KMS 密钥的类型。

    • 对于来源为 AWS_KMS 的对称加密 KMS 密钥,每行还会显示轮换类型(On-demandAutomatic)。

    • 使用导入的密钥材料(来源为 EXTERNAL)的单区域对称加密 KMS 密钥仅支持 On-demand 轮换,因此没有轮换类型列。而是在每行显示导入状态、用户指定的描述、到期信息和一个操作菜单。导入状态为已导入待导入,前者指示密钥材料在 Amazon KMS 中可用,后者指示密钥材料 Amazon KMS 中不可用。操作菜单可用于删除导入的密钥材料或重新导入密钥材料。如果密钥材料的导入状态为待导入,则删除密钥材料操作将处于禁用状态。重新导入密钥材料操作将会始终可用。无需等待密钥材料过期或将其删除,即可重新导入密钥材料。

列出轮换和密钥材料(Amazon KMS API)

您可以使用 Amazon Key Management Service(Amazon KMS)API 启动按需密钥轮换,并查看任何客户自主管理型密钥的当前轮换状态。此示例使用 Amazon Command Line Interface(Amazon CLI),但您可以使用任何受支持的编程语言。

ListKeyRotations 操作会列出指定 KMS 密钥的所有轮换和密钥材料。要在这些操作中标识 KMS 密钥,请使用其密钥 ID密钥 ARN

此操作支持可选的 IncludeKeyMaterial 参数。此参数的默认值为 ROTATIONS_ONLY。如果省略此参数,Amazon KMS 将会返回有关通过自动或按需密钥轮换创建的密钥材料的信息。如果指定 ALL_KEY_MATERIAL 值,Amazon KMS 会将第一个密钥材料和任何待轮换的导入密钥材料添加到响应中。此参数只能用于支持自动或按需密钥轮换的 KMS 密钥。

$ aws kms list-key-rotations --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --inlcude-key-material ALL_KEY_MATERIAL
{
    "Rotations": [
        {
            "KeyId": 1234abcd-12ab-34cd-56ef-1234567890ab,
            "KeyMaterialId": 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0,
            "KeyMaterialDescription": "KeyMaterialA",
            "ImportState": "PENDING_IMPORT",
            "KeyMaterialState": "NON_CURRENT"
        },
        {
            "KeyId": 1234abcd-12ab-34cd-56ef-1234567890ab,
            "KeyMaterialId": 96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068,
            "ImportState": "IMPORTED",
            "KeyMaterialState": "CURRENT",
            "ExpirationModel": "KEY_MATERIAL_DOES_NOT_EXPIRE",
            "RotationDate": "2025-05-01T15:50:51.045000-07:00",
            "RotationType": "ON_DEMAND"
        }
    ],
    "Truncated": false
}