AWS Key Management Service
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

在自定义密钥存储中查看 CMK

要在自定义密钥存储中查看客户主密钥 (CMK),请使用您要用于查看任何 AWS KMS 客户托管 CMK 的相同方法。要了解基本知识,请参阅查看密钥。要确定您的 AWS CloudHSM 集群中用作 CMK 密钥材料的密钥,请参阅查找 CMK 和密钥材料

在 AWS 管理控制台中,将显示自定义密钥存储中的 CMK 以及您的 AWS 账户和区域中的所有其他自定义托管 CMK。

但是,以下值特定于自定义密钥存储中的 CMK。

  • 存储 CMK 的自定义密钥存储的名称和 ID。

  • 包含其密钥材料的关联 AWS CloudHSM 集群的集群 ID。

  • AWS 管理控制台中的 OriginCloudHSM 或 API 响应中的 AWS_CLOUDHSM

  • 密钥状态值可以是 Unavailable。有关解析状态的帮助,请参阅如何修复不可用的 CMK

在自定义密钥存储中查看 CMK(控制台)

  1. https://console.amazonaws.cn/kms 打开 AWS KMS 控制台。

  2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择 Customer managed keys (客户托管密钥)

  4. 在右上角,选择齿轮图标,选择 Custom key store ID (自定义密钥存储 ID)Origin (源),然后选择 Confirm (确认)

  5. 要确定任何自定义密钥存储中的 CMK,请查找 Origin (源) 值为 CloudHSM 的 CMK。要标识特定自定义密钥存储中的 CMK,请查看 Custom key store ID (自定义密钥存储 ID) 列中的值。

  6. 在自定义密钥存储中选择 CMK 的别名或密钥 ID。CMK 的此页面显示了有关 CMK 的详细信息,包括有关其自定义密钥存储和集群的信息。

在自定义密钥存储中查看 CMK (API)

您可以使用相同的 AWS KMS API 操作来在将用于任何 CMK 的自定义密钥存储中查看 CMK,包括 ListKeysDescribeKeyGetKeyPolicy。例如,AWS CLI 中的以下 DescribeKey API 操作显示自定义密钥存储中 CMK 的特殊字段。在运行与此类似的命令之前,请将示例 CMK ID 替换为有效值。

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1537582718.431, "Enabled": true, "KeyManager": "CUSTOMER", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_CLOUDHSM", "CloudHsmClusterId": "cluster-1a23b4cdefg", "CustomKeyStoreId": "cks-1234567890abcdef0", "Description": "CMK in custom key store" } }

有关在自定义密钥存储中查找 CMK 或标识 AWS CloudHSM 集群中用作 CMK 密钥材料的密钥,请参阅查找 CMK 和密钥材料