查看 KMS 密钥的加密配置 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查看 KMS 密钥的加密配置

创建 KMS 密钥后,可以查看其加密配置。KMS 密钥配置在创建后无法更改。如果想采用不同配置,可删除 KMS 密钥并重新创建。

您可以在 Amazon KMS 控制台中或通过使用 Amazon KMS API,查找 KMS 密钥的加密配置,包括密钥规范、密钥用法以及支持的加密算法或签名算法。有关更多信息,请参阅 识别非对称 KMS 密钥

在 Amazon KMS 控制台中,每个 KMS 密钥的详细信息页面都包括 Cryptographic configuration(加密配置)选项卡,其中显示了有关 KMS 密钥的详细加密信息。例如,下图显示了用于签名和验证的 RSA KMS 密钥的 Cryptographic configuration(加密配置)选项卡。

某些特殊用途 KMS 密钥的 Cryptographic configuration(加密配置)选项卡还有其他专用部分。例如,自定义密钥存储中的 KMS 密钥的 Cryptographic configuration(加密配置)选项卡具有 Custom key stores(自定义密钥存储)部分。外部密钥存储中的 KMS 密钥的 Cryptographic configuration(加密配置)选项卡具有 External key(外部密钥)部分。


        生成数据密钥

在 Amazon KMS API 中,使用DescribeKey操作。响应中的 KeyMetadata 结构包括 KMS 密钥的加密配置。例如,对于用于签名和验证的 RSA KMS 密钥,DescribeKey 返回以下响应。

{ "KeyMetadata": { "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "CreationDate": 1571767572.317, "CustomerMasterKeySpec": "RSA_2048", "Description": "", "Enabled": true, "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyManager": "CUSTOMER", "KeyState": "Enabled", "MultiRegion": false, "Origin": "AWS_KMS", "KeySpec": "RSA_2048", "KeyUsage": "SIGN_VERIFY", "SigningAlgorithms": [ "RSASSA_PKCS1_V1_5_SHA_256", "RSASSA_PKCS1_V1_5_SHA_384", "RSASSA_PKCS1_V1_5_SHA_512", "RSASSA_PSS_SHA_256", "RSASSA_PSS_SHA_384", "RSASSA_PSS_SHA_512" ] } }