Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Accédez aux informations clés du KMS et listez-les
Vous pouvez utiliser la AWS KMS console
Les procédures suivantes montrent comment accéder aux détails des clés KMS, tels que l'identifiant de la clé, les spécifications de la clé, son utilisation, etc.
La page des détails de chaque clé KMS affiche les propriétés de la clé KMS. Elle diffère légèrement selon les différents types de clés KMS.
Pour afficher des informations détaillées sur une clé KMS, sur la page Clés gérées par AWS ou sur la page des clés gérées par le client, choisissez l'alias ou l'ID de clé de la clé KMS.
La page de détails d'une clé KMS inclut une section General Configuration (Configuration générale) qui affiche les propriétés de base de la clé KMS. Il comprend également des onglets dans lesquels vous pouvez afficher et modifier les propriétés de la clé KMS, telles que la politique de clé, la configuration cryptographique, les balises, le contenu de la clé et les rotations (pour les clés KMS qui prennent en charge la rotation automatique ou à la demande), la régionalité (pour les clés multirégionales) et la clé publique (pour les clés KMS asymétriques).
Note
La AWS KMS console affiche les clés KMS que vous êtes autorisé à consulter dans votre compte et dans votre région. Les autres clés KMS Comptes AWS n'apparaissent pas dans la console, même si vous êtes autorisé à les consulter, à les gérer et à les utiliser. Pour afficher les clés KMS dans d'autres comptes, utilisez l'DescribeKeyopération.
Pour accéder à la page des détails de clé d'une clé KMS.
-
Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.
-
Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
-
Pour afficher les clés de votre compte que vous créez et gérez vous-même, dans le volet de navigation, choisissez Clés gérées par le client. Pour afficher les clés de votre compte qui AWS crée et gère pour vous, dans le volet de navigation, choisissez les clés AWS gérées.
-
Pour ouvrir la page des détails de clé, dans la table de clés, choisissez l'ID de clé ou l'alias de la clé KMS.
Si la clé KMS comporte plusieurs alias, un résumé d'alias (+n plus) apparaît en regard du nom de l'un des alias. Le choix du résumé d'alias vous mène directement à l'onglet Aliases (Alias) dans la page des détails de la clé.

La liste suivante décrit les champs de l'affichage détaillé, y compris les champs dans les onglets. Certains de ces champs sont également disponibles sous forme de colonnes dans l'affichage de la table.
- Alias
-
Où : Onglet Alias
Un nom convivial pour la clé KMS. Vous pouvez utiliser un alias pour identifier la clé KMS dans la console et dans certaines consoles AWS KMS APIs. Pour en savoir plus, consultez Alias dans AWS KMS.
L'onglet Alias affiche tous les alias associés à la clé KMS dans la région Compte AWS et.
- ARN
-
Où : section General configuration (Configuration générale)
Amazon Resource Name (ARN) de la clé KMS. Cette valeur identifie de manière unique la clé KMS. Vous pouvez l'utiliser pour identifier la clé KMS dans les opérations d'API AWS KMS .
- État de connexion
-
Indique si un magasin de clés personnalisé est connecté à son magasin de clés de sauvegarde. Ce champ ne s'affiche que lorsque la clé KMS est créée dans un magasin de clés personnalisé.
Pour plus d'informations sur les valeurs de ce champ, consultez ConnectionStatela référence de l'AWS KMS API.
- Date de création
-
Où : section General configuration (Configuration générale)
Date et heure de création de la clé KMS. Cette valeur est affichée dans l'heure locale du périphérique. Le fuseau horaire ne dépend pas de la région.
Contrairement à Expiration, la création se réfère uniquement à la clé KMS, pas à ses éléments de clé.
- ID de cluster CloudHSM
-
Où : onglet Cryptographic configuration (Configuration de chiffrement)
L'ID du AWS CloudHSM cluster qui contient le matériel clé pour la clé KMS. Ce champ ne s'affiche que lorsque la clé KMS est créée dans un magasin de clés personnalisé.
Si vous choisissez l'ID de cluster CloudHSM, la page Clusters s'ouvre dans la console. AWS CloudHSM
- Matériel clé actuel
-
Où : section General configuration (Configuration générale)
Les clés de chiffrement symétriques avec
AWS_KMS
origine prennent en charge la rotation automatique et à la demande. Les clés de chiffrement symétriques à région unique avecEXTERNAL
origine prennent en charge la rotation à la demande. Plusieurs matériaux clés peuvent être associés à ces clés. Le matériel clé le plus récemment modifié peut être utilisé à la fois pour le chiffrement et le déchiffrement. Ce matériel clé est identifié comme le matériel clé actuel. Les autres éléments clés ne peuvent être utilisés que pour le déchiffrement. La rotation automatique ou à la demande d'une clé KMS modifie son contenu clé actuel. - ID du magasin de clés personnalisé
-
Où : onglet Cryptographic configuration (Configuration de chiffrement)
L'ID du magasin de clés personnalisé qui contient la clé KMS. Ce champ ne s'affiche que lorsque la clé KMS est créée dans un magasin de clés personnalisé.
Si vous choisissez l'ID du magasin de clés personnalisé, la page des magasins de clés personnalisés s'ouvre dans la AWS KMS console.
- Nom du magasin de clés personnalisé
-
Où : onglet Cryptographic configuration (Configuration de chiffrement)
Le nom du magasin de clés personnalisé qui contient la clé KMS. Ce champ ne s'affiche que lorsque la clé KMS est créée dans un magasin de clés personnalisé.
- Type de magasin de clés personnalisé
-
Où : onglet Cryptographic configuration (Configuration de chiffrement)
Indique si le magasin de clés personnalisé est un magasin de clés AWS CloudHSM ou un magasin de clés externe. Ce champ ne s'affiche que lorsque la clé KMS est créée dans un magasin de clés personnalisé.
- Description
-
Où : section General configuration (Configuration générale)
Une brève description facultative de la clé KMS que vous pouvez écrire et modifier. Pour ajouter ou mettre à jour la description d'une clé gérée par le client, au-dessus de General Configuration (Configuration générale), choisissez Edit (Modifier).
- Algorithmes de chiffrement
-
Où : onglet Cryptographic configuration (Configuration de chiffrement)
Répertorie les algorithmes de chiffrement qui peuvent être utilisés avec la clé KMS dans AWS KMS. Ce champ s'affiche uniquement lorsque le Type de clé est Asymmetric (Asymétrique) et que Key usage (Utilisation de la clé) est Encrypt and decrypt (Chiffrer et déchiffrer). Pour plus d'informations sur les algorithmes de chiffrement pris AWS KMS en charge, reportez-vous Spécification de clé SYMMETRIC_DEFAULT aux sections etSpécifications des clés RSA pour le chiffrement et le déchiffrement.
- Date d’expiration
-
Où : onglet Key material (Éléments de clé)
La date et l'heure auxquelles les éléments de clé KMS expirent. Ce champ s'affiche uniquement pour les clés KMS avec des éléments de clé importés, c'est-à-dire lorsque l'Origine est Externe et que la clé KMS a des éléments de clé qui expirent. Les clés de chiffrement symétriques à région unique peuvent être associées à plusieurs éléments clés. Pour ces clés, ce champ indique la date et l'heure les plus anciennes auxquelles l'un des éléments clés associés expire.
- ID de clé externe
-
Où : onglet Cryptographic configuration (Configuration de chiffrement)
L'ID de la clé externe associée à une clé KMS dans un magasin de clés externe. Ce champ ne s'affiche que pour les clés KMS dans un magasin de clés externe.
- État de la clé externe
-
Où : onglet Cryptographic configuration (Configuration de chiffrement)
État le plus récent signalé par le proxy de magasin de clés externe pour la clé externe associée à la clé KMS. Ce champ ne s'affiche que pour les clés KMS dans un magasin de clés externe.
- Utilisation d'une clé externe
-
Où : onglet Cryptographic configuration (Configuration de chiffrement)
Opérations cryptographiques activées sur la clé externe associée à la clé KMS. Ce champ ne s'affiche que pour les clés KMS dans un magasin de clés externe.
- Stratégie de clé
-
Où : Onglet Key policy (Politique de clé)
Contrôle l'accès à la clé KMS ainsi qu'aux politiques IAM et aux octrois. Chaque clé KMS a une politique de clé. C'est le seul élément d'autorisation obligatoire. Pour modifier la politique d'une clé KMS gérée par un client, sous l'onglet Key policy (Politique de clé), choisissez Edit (Modifier). Pour en savoir plus, consultez Politiques clés en AWS KMS.
- Matériau clé et rotations
-
Où : onglet Matériau clé et rotations
Cet onglet apparaît uniquement pour les clés de chiffrement symétriques avec
AWS_KMS
origine (qui prennent en charge la rotation automatique et à la demande) ainsi que pour les clés de chiffrement symétriques à région unique avecEXTERNAL
origine (qui prennent en charge la rotation à la demande).L'onglet comporte trois panneaux :
Rotation automatique : active et désactive la rotation automatique du contenu clé d'une clé KMS gérée par le client. Pour modifier le statut de rotation des clés d'une clé gérée par le client, cochez la case. Vous ne pouvez pas activer ou désactiver la rotation des éléments de clé dans une Clé gérée par AWS. Les Clés gérées par AWS sont automatiquement soumises à la rotation chaque année.
Rotation à la demande : initiez une rotation à la demande du contenu clé d'une clé gérée par le client. Pour les clés importées, un matériau clé importé doit déjà être en
PENDING_ROTATION
état pour que l'option Rotate now soit disponible.Matériaux clés : répertorie tous les éléments clés associés à la clé KMS. Chaque matériau clé possède un identifiant unique et sa rangée affiche des informations supplémentaires sur le matériau clé, telles que la date de rotation à laquelle le matériau clé est devenu disponible pour être utilisé dans KMS. Pour les clés importées, chaque ligne comporte également un menu Actions qui peut être utilisé pour supprimer un élément clé spécifique ou le réimporter dans la clé KMS.
- Spécifications de la clé
-
Où : onglet Cryptographic configuration (Configuration de chiffrement)
Type de contenu clé contenu dans la clé KMS. AWS KMS prend en charge les clés KMS de chiffrement symétriques (SYMMETRIC_DEFAULT), les clés HMAC KMS de différentes longueurs, les clés KMS pour les clés RSA de différentes longueurs et les clés à courbe elliptique avec des courbes différentes. Pour en savoir plus, consultez Key spec.
- Type de clé
-
Où : onglet Cryptographic configuration (Configuration de chiffrement)
Indique si la clé KMS est Symmetric (Symétrique) ou Asymmetric (Asymétrique).
- Utilisation de la clé
-
Où : onglet Cryptographic configuration (Configuration de chiffrement)
Indique si une clé KMS peut être utilisée pour Encrypt and decrypt (Chiffrer et déchiffrer), Sign and verify (Signer et vérifier) ou Generate and verify MAC (Générer et vérifier le MAC). Pour en savoir plus, consultez Key usage.
- Origin
-
Où : onglet Cryptographic configuration (Configuration de chiffrement)
La source de l'élément de clé pour la clé KMS. Les valeurs valides sont :
-
AWS KMS pour les éléments de clé que AWS KMS génère
-
AWS CloudHSM pour les clés KMS dans le magasin de clés AWS CloudHSM
-
External (Externe) pour les éléments de clé importés (BYOK)
-
External key store (Magasin de clés externe) pour les clés KMS dans un magasin de clés externe
-
- Algorithmes MAC
-
Où : onglet Cryptographic configuration (Configuration de chiffrement)
Répertorie les algorithmes MAC qui peuvent être utilisés avec la clé KMS HMAC dans AWS KMS. Ce champ apparaît uniquement lorsque la spécification de clé est une spécification de clé HMAC (HMAC_*). Pour de plus amples informations sur les algorithmes MAC pris en charge par AWS KMS , veuillez consulter Spécifications de clé pour les clés KMS HMAC.
- Clé primaire
-
Où : Onglet Regionality (Régionalité)
Indique que cette clé KMS est une clé primaire multi-région. Les utilisateurs autorisés peuvent utiliser cette section pour modifier la clé primaire en une autre clé multi-région associée. Ce champ apparaît uniquement lorsque la clé KMS est une clé principale multi-région.
- Clé publique
-
Où : Onglet Public key (Clé publique)
Affiche la clé publique d'une clé KMS asymétrique. Les utilisateurs autorisés peuvent utiliser cet onglet pour copier et télécharger la clé publique.
- Régionalité
-
Où : section General configuration (Configuration générale) et onglet Regionality (Régionalité)
Indique si une clé KMS est une clé de région unique, une clé primaire multi-région ou une clé de réplica multi-région. Ce champ apparaît uniquement lorsque la clé KMS est une clé multi-région.
- Touches multi-région associées
-
Où : Onglet Regionality (Régionalité)
Affiche tous les clés primaires et de réplica multi-région, à l'exception de la clé KMS actuelle. Ce champ apparaît uniquement lorsque la clé KMS est une clé multi-région.
Dans la section Related multi-Region keys (Clés multi-région associées) d'une clé primaire, les utilisateurs autorisés peuvent créer des clés de réplica.
- Clé de réplica
-
Où : Onglet Regionality (Régionalité)
Indique que cette clé KMS est une clé de réplica multi-région. Ce champ apparaît uniquement lorsque la clé KMS est une clé de réplica multi-région.
- Algorithmes de signature
-
Où : onglet Cryptographic configuration (Configuration de chiffrement)
Répertorie les algorithmes de signature qui peuvent être utilisés avec la clé KMS dans AWS KMS. Ce champ s'affiche uniquement lorsque le Type de clé est Asymmetric (Asymétrique) et que Key usage (Utilisation de la clé) est Sign and verify (Signer et vérifier). Pour plus d'informations sur les algorithmes de signature compatibles AWS KMS , reportez-vous Spécifications des clés RSA pour la signature et la vérification aux sections etSpécifications de la clé de courbe elliptique.
- Statut
-
Où : section General configuration (Configuration générale)
État de clé de la clé KMS. Vous pouvez utiliser la clé KMS dans les opérations de chiffrement uniquement lorsque l'état est Enabled (Activé). Pour obtenir une description détaillée de chaque état de clé KMS et de son effet sur les opérations que vous pouvez exécuter sur la clé KMS, veuillez consulter États clés des AWS KMS clés.
- Balises
-
Où : Onglet Tags (Balises)
Paires clé-valeur facultatives décrivant la clé KMS. Pour ajouter ou modifier les balises d'une clé KMS, sous l'onglet Tags (Balises), choisissez Edit (Modifier).
Lorsque vous ajoutez des balises à vos AWS ressources, AWS génère un rapport de répartition des coûts avec l'utilisation et les coûts agrégés par balises. Les balises peuvent également être utilisées pour contrôler l'accès à une clé KMS. Pour de plus amples informations sur l'étiquetage des clés KMS, veuillez consulter Tags dans AWS KMS et ABAC pour AWS KMS.
L'DescribeKeyopération renvoie des informations sur la clé KMS spécifiée. Pour identifier la clé KMS, utilisez son ID de clé, son ARN de clé, son nom d'alias ou son ARN d'alias.
Contrairement à l'ListKeysopération, qui affiche uniquement les clés KMS dans le compte et la région de l'appelant, les utilisateurs autorisés peuvent utiliser l'DescribeKey
opération pour obtenir des informations sur les clés KMS d'autres comptes.
Note
La réponse DescribeKey
inclut à la fois les membres KeySpec
et CustomerMasterKeySpec
avec les mêmes valeurs. Le membre CustomerMasterKeySpec
est obsolète.
Par exemple, cet appel à DescribeKey
renvoie des informations sur une clé KMS de chiffrement symétrique. Les champs de la réponse varient en fonction des spécifications AWS KMS key, de l'état de la clé et de l'origine des éléments de clé. Pour obtenir des exemples dans plusieurs langages de programmation, veuillez consulter Utilisation DescribeKey avec un AWS SDK ou une CLI.
$
aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{ "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "Enabled": true, "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1499988169.234, "MultiRegion": false, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "CurrentKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0" } }
Cet exemple appelle une opération DescribeKey
sur une clé KMS asymétrique utilisée pour la signature et la vérification. La réponse inclut les algorithmes de signature que AWS KMS prend en charge pour cette clé KMS.
$
aws kms describe-key --key-id 0987dcba-09fe-87dc-65ba-ab0987654321
{ "KeyMetadata": { "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "Origin": "AWS_KMS", "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "KeyState": "Enabled", "KeyUsage": "SIGN_VERIFY", "CreationDate": 1569973196.214, "Description": "", "KeySpec": "ECC_NIST_P521", "CustomerMasterKeySpec": "ECC_NIST_P521", "AWSAccountId": "111122223333", "Enabled": true, "MultiRegion": false, "KeyManager": "CUSTOMER", "SigningAlgorithms": [ "ECDSA_SHA_512" ] } }