在控制台中查看 CMK - AWS Key Management Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在控制台中查看 CMK

在 AWS 管理控制台中,您可以查看 CMK 的列表以及每个 CMK 的详细信息。

导航到密钥表

表中显示了每个账户和区域中的 AWS KMS 客户主密钥 (CMK)。您创建的 CMK 和 AWS 服务为您创建的 CMK,都有不同表。

  1. 登录到 AWS 管理控制台,然后通过以下网址打开 AWS Key Management Service (AWS KMS) 控制台:https://console.aws.amazon.com/kms

  2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

  3. 要查看您账户中自己所创建和管理的密钥,请在导航窗格中选择 Customer managed keys (客户托管密钥). 要查看 AWS 为您账户中自己创建和管理的密钥,请在导航窗格中,选择AWS 托管密钥。有关不同类型 CMK 的信息,请参阅客户主密钥

    提示

    要查看缺少别名的 AWS 托管 CMK,请使用 Customer managed keys (客户托管密钥) 页面。

    AWS KMS 控制台还显示了账户和区域中的自定义密钥存储。您在自定义密钥存储中创建的 CMK 显示在 Customer managed keys (客户托管密钥) 页面上。有关自定义密钥存储的信息,请参阅使用自定义密钥存储

导航到关键详细信息

账户和区域中每个 AWS KMS 客户主密钥 (CMK) 都有一个详细信息页面。详细信息页面显示常规配置部分,并包含允许授权用户查看和管理加密配置密钥策略作为密钥。根据密钥类型,详细信息页面可能还包括别名关键材料密钥轮换Tags选项卡。

导航至 CMK 的密钥详细信息页面。

  1. 登录到 AWS 管理控制台,然后通过以下网址打开 AWS Key Management Service (AWS KMS) 控制台:https://console.aws.amazon.com/kms

  2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

  3. 要查看您账户中自己所创建和管理的密钥,请在导航窗格中选择 Customer managed keys (客户托管密钥). 要查看 AWS 为您账户中自己创建和管理的密钥,请在导航窗格中,选择AWS 托管密钥。有关不同类型 CMK 的信息,请参阅客户主密钥

  4. 要打开密钥详细信息页面,请在密钥表中,选择 CMK 的密钥 ID 或别名。

    如果 CMK 有多个别名,则会显示别名摘要 (+n更多) 会显示在其中一个别名的旁。选择别名摘要将直接进入别名选项卡上的密钥详细信息。

排序和筛选您的 CMK

为了更轻松地在控制台中查找 CMK,可以对密钥表进行排序和筛选。

注意

这些区域有:密钥类型column 为显示(可选),且仅在 AWS KMS 支持非对称 CMK 的 AWS 区域中才可用。

排序

您可以按照升序或降序,对客户托管 CMK 的列值进行排序。此功能会对表中的所有 CMK 进行排序,即使 CMK 未显示在当前表页上。

可排序的列由列名称旁边的箭头指示。在存储库的AWS 托管密钥页面上,您可以按别名或者密钥 ID。在存储库的客户托管密钥页面上,您可以按别名密钥 ID,或者密钥类型

要按升序排列,请选择列标题,直至箭头向上。要按降序排列,请选择列标题,直至箭头向下。一次只能按一列排序。

例如,可以按照密钥 ID 的升序对 CMK 进行排序(而不是默认设置的别名)。

当您在 Customer master keys (客户主密钥) 页面上按 Key type (密钥类型) 以升序对 CMK 进行排序时,所有非对称密钥都显示在所有对称密钥之前。

筛选

您可以按照属性值或标签筛选 CMK。筛选将应用于表中的所有 CMK,即使 CMK 未显示在当前表页上。筛选不区分大小写。

  • 在存储库的AWS 托管密钥页面上,可以按 Alias (别名) 和密钥 ID 进行筛选。

  • 在存储库的客户托管密钥页面上,您可以按标签或别名、密钥 ID 或键类型属性进行筛选。

要按属性值进行筛选,请选择筛选器,选择属性名称,然后从实际属性值的列表中进行选择。要按标签进行筛选,请选择标签键,然后从实际标签值列表中进行选择。选择属性或标签密钥后,还可以键入全部或部分属性值或标签值。在做出选择之前,将看到结果的预览。

例如,要显示带有包含aws/e),选择筛选器框,选择别名,键入aws/e,然后按Enter或者Return以添加过滤器。

若要仅显示非对称 CMK客户主密钥页面上,单击筛选器框,选择密钥类型,然后选择密钥类型:非对称。仅当您在表中具有非对称 CMK 时,才会显示 Asymmetric (非对称) 选项。

标签过滤有点不同。要仅显示具有特定标记的 CMK,请单击筛选框,选择标签键,然后从实际标签值中进行选择。也可以键入全部或部分标签值。

生成的表格显示所有带有选定标签的 CMK。但是,它不显示标签。要查看标签,请选择 CMK 的密钥 ID 或别名,然后在详细信息页面上,选择Tags选项卡。这些选项卡显示在常规配置部分.

此筛选条件需要标签键和标签值。它不会通过仅键入标签键或仅键入其值来找到 CMK。要按全部或部分标签键或值过滤标签,请使用ListResourceTags操作来获取标记的 CMK,然后使用编程语言的过滤功能。有关示例,请参阅ListResourceTags: 获取 CMK 上的标签

要搜索文本,请在筛选框中键入全部或部分别名、密钥 ID、密钥类型或标签密钥。(选择标签键后,您可以搜索标签值)。在做出选择之前,将看到结果的预览。

例如,要使用test在其标签键或可过滤属性中键入test在筛选框中选择。预览会显示筛选条件将选择的 CMK。在本例中为,test仅显示在别名属性。

您可以同时使用多个筛选条件。添加其他筛选条件时,还可以选择逻辑运算符。

显示 CMK 详细信息

每个 CMK 的详细信息页面均显示了 CMK 的属性。该页面会因 CMK 类型而略有不同。

要显示有关 CMK 的详细信息,请在AWS 托管密钥或者客户托管密钥页面上,选择 CMK 的别名或密钥 ID。

CMK 的详细信息页面包括常规配置) 部分,其中显示了 CMK 的基本属性。它还包含可以查看和编辑 CMK 的属性的选项卡,例如密钥策略、加密配置、标签、密钥材料(对于具有导入密钥材料的 CMK)、密钥轮替(对称 CMK)以及其公有密钥(对于非对称 CMK)。

下面的列表介绍了详细显示部分中的字段,包括选项卡中的字段。其中某些字段也在表格显示部分中以列的形式出现。

别名

其中:“别名” 选项卡

CMK 的友好名称。您可以使用别名在控制台和某些 AWS KMS API 中识别 CMK。有关详细信息,请参阅 使用别名

这些区域有:别名选项卡显示 AWS 账户和区域中与 CMK 关联的所有别名。

ARN

其中:常规配置部分

CMK 的 Amazon 资源名称 (ARN)。此值唯一标识 CMK。您可以使用该名称识别 AWS KMS API 操作中的 CMK。

创建日期

其中:常规配置部分

创建 CMK 的日期和时间。此值显示为设备的本地时间。时区不依赖于区域。

Expiration (到期) 不同,创建仅指的是 CMK,而非其密钥材料。

CloudHSM 集群 ID

其中:加密配置选项卡

包含 CMK 密钥材料的 AWS CloudHSM 集群的集群 ID。仅当在 AWS KMS 中创建 CMK 时,此字段才会显示。自定义密钥存储

如果单击 CloudHSM 群集 ID,它会打开集群页面上的 AWS CloudHSM 控制台。

自定义密钥存储 ID

其中:加密配置选项卡

包含 CMK 的自定义密钥存储的 ID。仅当在 AWS KMS 自定义密钥存储中创建 CMK 时,此字段才会显示。

如果单击自定义密钥存储 ID,则会打开自定义密钥存储页 AWS KMS。

自定义密钥存储名称

其中:加密配置选项卡

包含 CMK 的自定义密钥存储的名称。仅当在 AWS KMS 自定义密钥存储中创建 CMK 时,此字段才会显示。

描述

其中:常规配置部分

可编写和编辑 CMK 的简要可选描述。要添加或更新客户托管 CMK 的描述,请选择 General Configuration (常规配置) 上方的 Edit (编辑)

加密算法

其中:加密配置选项卡

列出可在 AWS KMS 中与 CMK 一起使用的加密算法。仅当 Key type (密钥类型)Asymmetric (对称)Key usage (密钥用法)Encrypt and decrypt (加密和解密) 时,此字段才会显示。有关 AWS KMS 支持的加密算法的信息,请参阅SYMMETRIC_DEFAULT 密钥规范用于加密和解密的 RSA 密钥规范

到期日期

其中:关键材料选项卡

CMK 密钥材料到期的日期和时间。此字段仅针对具有导入的密钥材料的 CMK 才显示,也就是说,仅当 Origin (源)External (外部) 且 CMK 的密钥材料已到期时,此字段才会显示。

密钥策略

其中:“Key Policy (键

控制对 CMK 以及IAM 策略赠款。每个 CMK 都有一个密钥策略。它是唯一的强制性授权元素。要更改客户托管 CMK 的密钥策略,请在 Key policy (密钥策略) 选项卡上选择 Edit (编辑)。有关详细信息,请参阅 在 AWS KMS 中使用密钥策略

密钥轮换

其中:“键轮换” 选项卡

启用和禁用每年自动密钥轮换

要更改客户托管 CMK 的密钥轮换状态,请使用 Key rotation (密钥轮换) 选项卡上的复选框。全部AWS 托管 CMK每三年自动轮换一次。

密钥规范

其中:加密配置选项卡

CMK 中关键材料的类型。AWS KMS 支持对称 CMK (SymMETRIC_DEFAULT),以及具有不同长度 RSA 密钥和具有不同曲线的椭圆曲线密钥的 AWS KMS。有关详细信息,请参阅 密钥规范

密钥类型

其中:加密配置选项卡

指示 CMK 是 Symmetric (对称) 还是 Asymmetric (非对称) 的。

密钥用法

其中:加密配置选项卡

指示 CMK 可用于 Encrypt and decrypt (加密和解密) 还是 Sign and verify (签名和验证)。只有非对称 CMK 可用于签名和验证。有关详细信息,请参阅 密钥用法

Origin

其中:加密配置选项卡

CMK 密钥材料的来源。有效值为AW_KM了解 AWS KMS 生成的关键材料,外部对于 来说为导入的密钥材料, 和中的 CMK自定义密钥存储

Public key

其中:公有密钥选项卡

显示非对称 CMK 的公有密钥。经授权的用户可以使用此选项卡复制和下载公有密钥

签名算法

其中:加密配置选项卡

列出可在 AWS KMS 中与 CMK 一起使用的签名算法。仅当 Key type (密钥类型)Asymmetric (对称)Key usage (密钥用法)Sign and verify (签名和验证) 时,此字段才会显示。有关 AWS KMS 支持的签名算法的信息,请参阅用于签名和验证的 RSA 密钥规范椭圆曲线密钥规范

状态

其中:常规配置部分

CMK 的密钥状态。您可以在加密操作仅当状态为启用。有关每个 CMK 状态的详细说明及其对可以在 CMK 上运行的操作的影响,请参阅密钥状态:对您的 CMK 产生的影响

Tags

其中:Tags (标签)

描述 CMK 的可选键值对。要添加或更改 CMK 的标签,请在 Tags (标签) 选项卡上选择 Edit (编辑)

在将标签添加到 AWS 资源时,AWS 可生成成本分配报告,其中按标签汇总了使用情况和成本。标签也可用于控制对 CMK 的访问。有关标记 CMK 的信息,请参阅标记密钥使用适用于 AWS KMS 的 ABAC

自定义 CMK 表

您可以自定义显示在AWS 托管密钥客户托管密钥页面 AWS 满足要求。您可以在每个页面上选择列、客户托管密钥 (CMK) 的数量(Page size (页面大小))以及文本换行。所选择的配置将在确认后保存,并在打开页面时重新应用。

自定义 CMK 表

  1. 在存储库的AWS 托管密钥或者客户托管密钥页面上,选择设置图标 ( )。

  2. Preferences (首选项) 页面上,选择您的首选设置,然后选择 Confirm (确认)

请考虑使用 Page size (页面大小) 设置来增加每个页面上显示的 CMK 数量,尤其当您通常使用易于滚动的设备时。

显示的数据列可能因表、作业角色以及账户和区域中的 CMK 类型而异。下表提供了一些建议的配置。有关列的描述,请参阅显示 CMK 详细信息

建议的 CMK 表配置

您可以自定义 CMK 表中显示的列,以便显示所需的 CMK 相关信息。

AWS 托管密钥

默认情况下,AWS 托管密钥表中显示别名密钥 ID, 和状态column. 这些列适合于大多数使用案例。

对称客户托管密钥

如果您只使用由 AWS KMS 生成的密钥材料的对称 CMK,别名密钥 ID状态, 和创建日期列可能是最有用的。

非对称客户托管密钥

如果您使用非对称 CMK,除了别名密钥 ID, 和状态列中,请考虑添加密钥类型密钥规范, 和密钥用法column. 这些列将显示 CMK 是对称还是非对称的、密钥材料的类型,以及 CMK 是用于加密还是签名。

导入的密钥材料

如果您使用导入的密钥材料),除了别名密钥 ID, 和状态列中,请考虑添加Origin到期日期column. 这些列将显示 CMK 中的密钥材料是导入还是由 AWS KMS 生成的,以及密钥材料何时到期(如果有)。Creation date (创建日期) 字段显示了 CMK 的创建日期(不包含密钥材料)。该字段不体现密钥材料的任何特征。

自定义密钥存储中的密钥

如果您在自定义密钥存储),除了别名密钥 ID, 和状态列中,请考虑添加自定义密钥存储 IDcolumn. 此列中的值表示 CMK 位于自定义密钥存储中,并显示它所在的自定义密钥存储。