在外部密钥存储中查看 KMS 密钥 - Amazon Key Management Service
外部密钥存储中的 KMS 密钥属性在外部密钥存储中查看 KMS 密钥(控制台)在外部密钥存储中查看 KMS 密钥(Amazon KMS API)
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在外部密钥存储中查看 KMS 密钥

要查看外部密钥存储库中的 KMS 密钥,请使用Amazon KMS控制台或DescribeKey操作。您可以使用用于查看任何 Amazon KMS 客户托管密钥的相同方法。要了解基本知识,请参阅查看密钥

在 Amazon KMS 控制台中,Customer managed keys(客户托管密钥)页面会显示外部密钥存储中的 KMS 密钥以及 Amazon Web Services 账户 和区域中的所有其他客户托管密钥。若要识别外部密钥存储中的 KMS 密钥,请按独特的源值、External key store(外部密钥存储)和自定义密钥存储 ID 进行筛选。

有关更多信息,请参阅 查看外部密钥存储监控外部密钥存储使用 Amazon CloudTrail 记录 Amazon KMS API 调用

外部密钥存储中的 KMS 密钥属性

与所有 KMS 密钥一样,外部密钥存储中的 KMS 密钥具有密钥 ARN密钥规范密钥用法值,但是这些密钥也具有特定于外部密钥存储中 KMS 密钥的属性和属性值。例如,外部密钥存储中所有 KMS 密钥的 Origin(源)值均为 External key store(外部密钥存储)。

对于外部密钥存储中的 KMS 密钥,Amazon KMS 控制台中的 Cryptographic configuration(加密配置)选项卡包括另外两个部分:Custom key store(自定义密钥存储)和 External key(外部密钥)。

自定义密钥存储属性

以下值显示在 “加密配置” 选项卡的 “自定义密钥库” 部分和DescribeKey响应中。这些属性适用于所有自定义密钥存储,包括 Amazon CloudHSM 密钥存储和外部密钥存储。

自定义密钥存储 ID

Amazon KMS 分配给自定义密钥存储的唯一 ID。

自定义密钥存储名称

在创建自定义密钥存储时为其分配的易记名称。您可以随时更改此值。

自定义密钥存储类型

自定义密钥存储的类型。有效值为 Amazon CloudHSM(AWS_CLOUDHSM)或外部密钥存储(EXTERNAL_KEY_STORE)。创建自定义密钥存储后无法更改其类型。

创建日期

创建自定义密钥存储的日期。此日期显示为 Amazon Web Services 区域 的本地时间。

连接状态

表示自定义密钥存储已连接到其备用密钥存储。仅当自定义密钥存储从未连接到其备用密钥存储或故意断开连接时,连接状态才会为 ‭DISCONNECTED。有关更多信息,请参阅 连接状态

外部密钥属性

外部密钥属性显示在加密配置选项卡的外部密钥部分和DescribeKey响应的XksKeyConfiguration元素中。

External key(外部密钥)部分出现在 Amazon KMS 控制台中,仅适用于外部密钥存储中的 KMS 密钥。此部分提供有关与 KMS 密钥关联的外部密钥的信息。外部密钥是 Amazon 外部的加密密钥,用作外部密钥存储中 KMS 密钥的密钥材料。使用 KMS 密钥加密或解密时,将由外部密钥管理器使用指定的外部密钥执行此操作。

以下值显示在 External key(外部密钥)部分中。

外部密钥 ID

外部密钥管理器中外部密钥的标识符。这是外部密钥存储代理用来识别外部密钥的值。外部密钥 ID 在您创建 KMS 密钥时指定,并且无法更改。如果您用于创建 KMS 密钥的外部密钥 ID 值更改或失效,则必须安排删除 KMS 密钥,并使用正确的外部密钥 ID 值创建新的 KMS 密钥

在外部密钥存储中查看 KMS 密钥(控制台)

在外部密钥存储中查看 KMS 密钥(控制台)

  1. https://console.aws.amazon.com/kms 打开 Amazon KMS 控制台。

  2. 要更改 Amazon Web Services 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择客户托管密钥

  4. 若要在外部密钥存储中识别 KMS 密钥,请将 Origin(源)和 Custom key store ID(自定义密钥存储 ID)字段添加到密钥表中。任何外部密钥存储中的 KMS 密钥均具有 External key store(外部密钥存储)的 Origin(源)值。

    在右上角,选择齿轮图标,选择 Origin(源)和 Custom key store ID(自定义密钥存储 ID),然后选择 Confirm(确认)。

  5. 在外部密钥存储中选择 KMS 密钥的别名或密钥 ID。

  6. 若要在外部密钥存储中查看特定于 KMS 密钥的属性,选择 Cryptographic configuration(加密配置)选项卡。外部密钥存储中 KMS 密钥的特殊值显示在 Custom key store(自定义密钥存储)和 External key(外部密钥)部分中。

在外部密钥存储中查看 KMS 密钥(Amazon KMS API)

在外部密钥存储中查看 KMS 密钥(API)

您可以使用相同的 Amazon KMS API 操作在外部密钥存储中查看用于任何 KMS 密钥(包括ListKeysDescribeKey、和)的 KMS 密钥GetKeyPolicy。例如,Amazon CLI 中的以下 describe-key 操作显示外部密钥存储中 KMS 密钥的特殊字段。在运行与此类似的命令之前,请将示例 KMS 密钥 ID 替换为有效值。

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
  "KeyMetadata": {
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "AWSAccountId": "111122223333",
    "CreationDate": "2022-12-02T07:48:55-07:00",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "CustomKeyStoreId": "cks-1234567890abcdef0",
    "Description": "",
    "Enabled": true,
    "EncryptionAlgorithms": [
      "SYMMETRIC_DEFAULT"
    ],
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeySpec": "SYMMETRIC_DEFAULT",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",
    "MultiRegion": false,
    "Origin": "EXTERNAL_KEY_STORE",
    "XksKeyConfiguration": {      
      "Id": "bb8562717f809024"           
    }
  }
}