在自定义密钥存储中查看 KMS 密钥 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

在自定义密钥存储中查看 KMS 密钥

要在自定义密钥存储中查看 Amazon KMS keys,请使用您要用于查看任何 Amazon KMS 客户托管密钥的相同方法。要了解基本知识,请参阅查看密钥。要确定您的 Amazon CloudHSM 集群中用作 KMS 密钥的密钥材料的密钥,请参阅 查找 KMS 密钥和密钥材料。要了解如何查看记录自定义密钥存储中所有 API 操作的 Amazon CloudTrail 日志,请参阅 使用 Amazon KMS 记录 Amazon CloudTrail API 调用

在 Amazon Web Services Management Console 中,将显示自定义密钥存储中的 KMS 密钥以及您的 Amazon Web Services 账户 和区域中的所有其他客户托管密钥。

但是,以下值特定于自定义密钥存储中的 KMS 密钥。

  • 存储 KMS 密钥的自定义密钥存储的名称和 ID。

  • 包含其密钥材料的关联 Amazon CloudHSM 集群的集群 ID。

  • Origin中的 CloudHSM 值 Amazon Web Services Management Console 或 API 响应中的 AWS_CLOUDHSM

  • 密钥状态值可以是 Unavailable。有关解析状态的帮助,请参阅如何修复不可用的 KMS 密钥

要在自定义密钥存储中查看 KMS 密钥(控制台)

  1. 访问 https://console.aws.amazon.com/kms,打开 Amazon KMS 控制台。

  2. 要更改 Amazon Region,请使用页面右上角的 Region selector (区域选择器)。

  3. 在导航窗格中,选择 Customer managed keys (客户托管密钥)

  4. 在右上角,选择齿轮图标,选择 Custom key store ID (自定义密钥存储 ID)Origin (源),然后选择 Confirm (确认)

  5. 要确定任何自定义密钥存储中的 KMS 密钥,请查找 Origin(源)值为 AWS_CLOUDHSM 的 KMS 密钥。要标识特定自定义密钥存储中的 KMS 密钥,请查看 Custom key store ID(自定义密钥存储 ID)列中的值。

  6. 在自定义密钥存储中选择 KMS 密钥的别名或密钥 ID。

    此页面显示了有关 KMS 密钥的详细信息,包括其 Amazon Resource Name (ARN)、密钥策略和标签。

  7. 选择 Cryptographic configuration(加密配置)选项卡。这些选项卡在 General configuration(常规配置)部分下。

    本部分中包括有关 KMS 密钥的自定义密钥存储和集群的信息。

要在自定义密钥存储中查看 KMS 密钥 (API)

您可以使用相同的 Amazon KMS API 操作来在将用于任何 KMS 密钥的自定义密钥存储中查看 KMS 密钥,包括 ListKeysDescribeKeyGetKeyPolicy。例如,Amazon CLI 中的以下 describe-key 操作显示自定义密钥存储中 KMS 密钥的特殊字段。在运行与此类似的命令之前,请将示例 KMS 密钥 ID 替换为有效值。

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1537582718.431, "Enabled": true, "MultiRegion": false, "KeyManager": "CUSTOMER", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_CLOUDHSM", "CloudHsmClusterId": "cluster-1a23b4cdefg", "CustomKeyStoreId": "cks-1234567890abcdef0", "Description": "Key in custom key store" "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }

有关在自定义密钥存储中查找 KMS 密钥或标识 Amazon CloudHSM 集群中用作 KMS 密钥的密钥材料的密钥,请参阅 查找 KMS 密钥和密钥材料