在 Amazon CloudHSM 密钥存储中查看 KMS 密钥 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon CloudHSM 密钥存储中查看 KMS 密钥

要在 Amazon CloudHSM 密钥存储中查看 Amazon KMS keys,请使用您要用于查看任何 Amazon KMS 客户托管密钥的相同方法。要了解基本知识,请参阅查看密钥。要确定您的 Amazon CloudHSM 集群中用作 KMS 密钥的密钥材料的密钥,请参阅 查找 KMS 密钥和密钥材料。要了解如何查看记录自定义密钥存储中所有 API 操作的 Amazon CloudTrail 日志,请参阅 使用 Amazon CloudTrail 记录 Amazon KMS API 调用

在 Amazon KMS 控制台中,“客户托管密钥”页面会显示自定义密钥存储中的 KMS 密钥以及您的 Amazon Web Services 账户 和区域中的所有其他客户托管密钥。

但是,以下值特定于 Amazon CloudHSM 密钥存储中的 KMS 密钥。

  • 存储 KMS 密钥的 Amazon CloudHSM 密钥存储的名称和 ID。

  • 包含其密钥材料的关联 Amazon CloudHSM 集群的集群 ID。

  • Amazon KMS 控制台中的 Amazon CloudHSM 或 API 响应中的 AWS_CLOUDHSMOrigin 值。

  • 密钥状态值可以是 Unavailable。有关解析状态的帮助,请参阅如何修复不可用的 KMS 密钥

在 Amazon CloudHSM 密钥存储中查看 KMS 密钥(控制台)

  1. https://console.aws.amazon.com/kms 打开 Amazon KMS 控制台。

  2. 要更改 Amazon Web Services 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择客户托管密钥

  4. 在右上角,选择齿轮图标,选择 Custom key store ID (自定义密钥存储 ID)Origin (源),然后选择 Confirm (确认)

  5. 要确定任何 Amazon CloudHSM 密钥存储中的 KMS 密钥,请查找 Origin(源)值为 Amazon CloudHSM 的 KMS 密钥。要标识特定 Amazon CloudHSM 密钥存储中的 KMS 密钥,请查看 Custom key store ID(自定义密钥存储 ID)列中的值。

  6. 在 Amazon CloudHSM 密钥存储中选择 KMS 密钥的别名或密钥 ID。

    此页面显示了有关 KMS 密钥的详细信息,包括其 Amazon Resource Name (ARN)、密钥策略和标签。

  7. 选择 Cryptographic configuration(加密配置)选项卡。这些选项卡在 General configuration(常规配置)部分下。

    本部分中包含有关与 KMS 密钥关联的 Amazon CloudHSM 密钥存储和 Amazon CloudHSM 集群的信息。

在自定义密钥存储中查看 KMS 密钥(API)

您可以使用相同的 Amazon KMS API 操作在密钥存储中查看用于任何 KMS 密Amazon CloudHSM钥的 KMS 密钥 ListKeys,包括DescribeKey、和GetKeyPolicy。例如,Amazon CLI 中的以下 describe-key 操作显示 Amazon CloudHSM 密钥存储中 KMS 密钥的特殊字段。在运行与此类似的命令之前,请将示例 KMS 密钥 ID 替换为有效值。

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

{
   "KeyMetadata": { 
      "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
      "AWSAccountId": "111122223333",      
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CreationDate": 1537582718.431,
      "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
      "CustomKeyStoreId": "cks-1234567890abcdef0", 
      "Description": "Key in custom key store",
      "Enabled": true,
      "EncryptionAlgorithms": [
         "SYMMETRIC_DEFAULT"
      ],
      "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",      
      "KeyManager": "CUSTOMER",
      "KeySpec": "SYMMETRIC_DEFAULT",
      "KeyState": "Enabled",
      "KeyUsage": "ENCRYPT_DECRYPT",
      "MultiRegion": false,
      "Origin": "AWS_CLOUDHSM"
   }
}

有关在 Amazon CloudHSM 密钥存储中查找 KMS 密钥或标识 Amazon CloudHSM 集群中用作 KMS 密钥的密钥材料的密钥,请参阅 查找 KMS 密钥和密钥材料