下载公有密钥
您可以通过 AWS KMS 控制台或使用 GetPublicKey 操作下载非对称 KMS 密钥对的公有密钥。要下载公有密钥,您必须具备对非对称 KMS 密钥的 kms:GetPublicKey 权限。
AWS KMS 返回的公有密钥是 DER 编码的 X.509 公有密钥,也称为 SubjectPublicKeyInfo(SPKI),定义见 RFC 5280
要下载非对称 KMS 密钥对的公有密钥,您必须具备 kms:GetPublicKey 权限。有关 AWS KMS 权限的更多信息,请参阅权限参考。
您可以使用 AWS 管理控制台 查看、复制和下载 AWS 账户 中的非对称 KMS 密钥的公有密钥。要在不同 AWS 账户 中下载非对称 KMS 密钥的公有密钥,请使用 AWS KMS API。
-
登录到 AWS 管理控制台,然后通过以下网址打开 AWS Key Management Service(AWS KMS)控制台:https://console.aws.amazon.com/kms
。 -
要更改 AWS 区域,请使用页面右上角的区域选择器。
-
在导航窗格中,选择客户托管密钥。
-
选择非对称 KMS 密钥的别名或密钥 ID。
-
选择 Cryptographic configuration(加密配置)选项卡。记录密钥规范、密钥用法和加密算法或签名算法字段的值。您需要使用这些值才能在 AWS KMS 外部使用公有密钥。在共享公有密钥时,请务必共享以上信息。
-
选择 Public key (公有密钥) 选项卡。
-
要将公有密钥复制到剪贴板,请选择 Copy (复制)。要将公有密钥下载到文件,请选择 Download (下载)。
GetPublickey 操作会返回非对称 KMS 密钥中的公有密钥。它还会返回在 AWS KMS 外部正确使用公有密钥所需的关键信息,包括密钥用法和加密算法。请务必保存这些值,并在共享公有密钥时共享它们。
本部分中的示例使用 AWS Command Line Interface (AWS CLI)
要指定 KMS 密钥,请使用其密钥 ID、密钥 ARN、别名名称或别名 ARN。使用别名时,应加上 alias/ 前缀。要指定不同 AWS 账户 中的 KMS 密钥,必须使用其密钥 ARN 或别名 ARN。
在运行此命令之前,请将示例别名替换为 KMS 密钥的有效标识符。要运行此命令,必须具备对 KMS 密钥的 kms:GetPublicKey 权限。
$aws kms get-public-key --key-idalias/example_RSA_3072{ "KeySpec": "RSA_3072", "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "KeyUsage": "ENCRYPT_DECRYPT", "EncryptionAlgorithms": [ "RSAES_OAEP_SHA_1", "RSAES_OAEP_SHA_256" ], "PublicKey": "MIIBojANBgkqhkiG..." }
