查看 CMK 的加密配置 - AWS Key Management Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查看 CMK 的加密配置

创建 CMK 后,可以查看其加密配置。CMK 配置在创建后无法更改。如果想采用不同配置,可删除 CMK 并重新创建。

您可以在 AWS KMS 控制台中或通过使用 AWS KMS API,查找 CMK 的加密配置,包括密钥规范、密钥用法以及支持的加密算法或签名算法。有关详细信息,请参阅 识别对称 CMK 和非对称 CMK

在 AWS KMS 控制台中,每个 CMK 的详细信息页面包含加密配置选项卡,该选项卡显示有关您的 CMK 的加密详细信息。例如,下图显示了加密配置选项卡,用于签名和验证的 RSA CMK。


        生成数据密钥

在 AWS KMS API 中,使用DescribeKeyoperation. 响应中的 KeyMetadata 结构包括 CMK 的加密配置。例如,对于用于签名和验证的 RSA CMK,DescribeKey 返回以下响应。

{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1571767572.317, "Enabled": false, "Description": "", "KeyUsage": "SIGN_VERIFY", "KeyState": "Disabled", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "RSA_2048", "SigningAlgorithms": [ "RSASSA_PKCS1_V1_5_SHA_256", "RSASSA_PKCS1_V1_5_SHA_384", "RSASSA_PKCS1_V1_5_SHA_512", "RSASSA_PSS_SHA_256", "RSASSA_PSS_SHA_384", "RSASSA_PSS_SHA_512" ] } }