本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 识别不同的密钥类型
<a name="identify-key-types"></a>

以下主题说明了如何在 AWS KMS 控制台中识别不同的密钥类型和[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)响应。

有关导航到 KMS 密钥详细信息页面上的**加密配置**选项卡的帮助，请参阅[访问并列出 KMS 密钥详细信息](finding-keys.md)。

**Topics**
+ [识别非对称 KMS 密钥](#identify-asymm-keys)
+ [识别 HMAC KMS 密钥](#hmac-view)
+ [识别多区域 KMS 密钥](#multi-region-keys-view)
+ [识别带导入的密钥材料的 KMS 密钥](#identify-imported-keys)
+ [识别密钥库中的 KMS AWS CloudHSM 密钥](#identify-key-hsm-keystore)
+ [识别外部密钥存储中的 KMS 密钥](#view-xks-key)

## 识别非对称 KMS 密钥
<a name="identify-asymm-keys"></a>

**在 AWS KMS 控制台中**  
**客户托管密钥**表的**密钥类型**列显示每个 KMS 密钥是对称还是非对称 KMS 密钥。您可以按**密钥类型**值筛选表，以仅显示非对称 KMS 密钥。有关更多信息，请参阅 [对您的 KMS 密钥进行排序和筛选](viewing-console-customize.md#viewing-console-filter)。  
KMS 密钥详细信息页面的**加密配置**选项卡显示**密钥类型**，用于指示密钥是对称还是非对称。它还会显示**密钥用法**，指示您的非对称 KMS 密钥是用于加密和解密、签名和验证，还是派生共享密钥。

**在 DescribeKey 回应中**  
当您对非对称 KMS 密钥调用 `DescribeKey` 操作时，响应包括 `KeySpec` 和 `KeyUsage` 值，这些值可用于确定 KMS 密钥是对称还是非对称 KMS 密钥。  
如果 `KeySpec` 值为 `SYMMETRIC_DEFAULT`，则密钥是对称加密 KMS 密钥。有关非对称密钥规范的详细信息，请参阅[密钥规范引用](symm-asymm-choose-key-spec.md)。  
如果 `KeyUsage` 值为 `SIGN_VERIFY` 或 `KEY_AGREEMENT`，则密钥为非对称 KMS 密钥。  
对于非对称 KMS 密钥，`DescribeKey` 操作还会返回以下详细信息。  
+ 对于 `KeyUsage` 值为 `ENCRYPT_DECRYPT` 的非对称 KMS 密钥，该操作将返回 `EncryptionAlgorithms`，其中列出了该密钥的有效加密算法。
+ 对于 `KeyUsage` 值为 `SIGN_VERIFY` 的非对称 KMS 密钥，该操作将返回 `SigningAlgorithms`，其中列出了该密钥的有效签名算法。
+ 对于 `KeyUsage` 值为 `KEY_AGREEMENT` 的非对称 KMS 密钥，该操作将返回 `KeyAgreementAlgorithms`，其中列出了该密钥的有效密钥协议算法。

有关非对称 KMS 密钥的更多信息，请参阅[中的非对称密钥 AWS KMS](symmetric-asymmetric.md)。

## 识别 HMAC KMS 密钥
<a name="hmac-view"></a>

**在 AWS KMS 控制台中**  
HMAC KMS 密钥包含在**客户托管密钥**表中，但您无法按标识 HMAC 密钥的密钥规格或密钥用法值对该表进行排序或筛选。为了更轻松地查找 HMAC 密钥，为其分配独特的别名或标签。然后，您可以按别名或标签进行排序或筛选。  
KMS 密钥详细信息页面的**加密配置**选项卡显示**密钥类型**，用于指示密钥是对称还是非对称。HMAC KMS 密钥是对称密钥。**加密配置**选项卡还显示**密钥用法**。对于 HMAC KMS 密钥，密钥用法值始终为**生成并验证 MAC**。

**在 DescribeKey 回应中**  
对 HMAC KMS 密钥调用 `DescribeKey` 操作时，响应将包括 `KeySpec` 和 `KeyUsage` 值。对于 HMAC KMS 密钥，密钥用法值始终为 `GENERATE_VERIFY_MAC`，密钥规范值始终以 `HMAC_` 开头。

有关 HMAC KMS 密钥的更多信息，请参阅 [HMAC 键入 AWS KMS](hmac.md)。

## 识别多区域 KMS 密钥
<a name="multi-region-keys-view"></a>

**在 AWS KMS 控制台中**  
**客户托管密钥**表仅显示所选区域中的 KMS 密钥。您可以查看所选区域中的多区域主密钥和副本密钥。要更改 AWS 区域，请使用控制台右上角的区域选择器。  
为了更轻松地识别**客户托管密钥**表中的多区域密钥，请在表中添加**区域性**列。有关帮助信息，请参阅 [自定义您的 KMS 密钥表](viewing-console-customize.md#console-customize-tables)。  
多区域 KMS 密钥的详细信息页面包含**区域性**选项卡。主密钥的 **Regionality**（区域性）选项卡包括 Change primary Region（更改主区域）和 Create new replica keys（创建新的副本密钥）按钮。（副本密钥的 Regionality（区域性）选项卡没有任何按钮。） **Related multi-Region keys**（相关的多区域密钥）部分列出了与当前密钥相关的所有多区域密钥。如果当前密钥是副本密钥，则此列表将包括主密钥。  
如果您从 “相关多区域密钥” 表中选择**相关的多区域密钥**，则 AWS KMS 控制台将更改为所选密钥的区域，并打开该密钥的详细信息页面。例如，如果您从下面的**相关多区域密钥示例部分中选择`sa-east-1`区域中的副本密钥**，则 AWS KMS 控制台将更改为`sa-east-1`区域以显示该副本密钥的详细信息页面。您可以执行此操作来查看副本密钥的别名或密钥策略。要再次更改区域，请使用页面右上角的 Region selector（区域选择器）。

**在 DescribeKey 回应中**  
默认情况下， AWS KMS API 操作是区域性的，仅返回当前或指定区域中的资源。但是，当您对多区域 KMS 密钥调用`DescribeKey`操作时，响应会将元素中其他 AWS 区域的所有相关多区域密钥包括在内。`MultiRegionConfiguration`

有关多区域 KMS 密钥的更多信息，请参阅 [中的多区域密钥 AWS KMS](multi-region-keys-overview.md)。

## 识别带导入的密钥材料的 KMS 密钥
<a name="identify-imported-keys"></a>

**在 AWS KMS 控制台中**  
为了更轻松地识别**客户托管密钥**表中带导入的密钥材料的 KMS 密钥，请在表中添加**源**列。****“源”列可让您轻松标识具有**外部（导入密钥材料）**源属性值的 KMS 密钥。有关帮助信息，请参阅 [自定义您的 KMS 密钥表](viewing-console-customize.md#console-customize-tables)。  
KMS 密钥详细信息页面上的**加密配置**选项卡显示了**源**，标识 KMS 密钥的密钥材料的来源。对于带导入密钥材料的 KMS 密钥，源值始终为**外部（导入密钥材料）**。详细信息页面还包括**密钥材料**选项卡，该选项卡提供有关导入的密钥材料的详细信息。带有 `EXTERNAL` Origin 的对称加密密钥支持按需轮换，并且可以有多个与之关联的密钥材料。对于此类密钥，该选项卡标记为**密钥材料和轮换**。

**在 DescribeKey 回应中**  
对带导入的密钥材料的 KMS 密钥调用 `DescribeKey` 操作时，响应将包括 `Origin`、`ExpirationModel` 和 `ValidTo` 值。对于带导入密钥材料的 KMS 密钥，源值始终为 `EXTERNAL`。`ExpirationModel` 值指示密钥材料是否设置为过期，`ValidTo` 值指示密钥材料何时过期。当多个密钥材料关联到一个密钥时，`ValidTo` 值指示所有密钥材料的最早到期时间（待轮换的密钥材料除外），并且仅在这些密钥材料均未设置为过期时才将 `ExpirationModel` 设置为 `DOES_NOT_EXPIRE`。有关更多信息，请参阅 [设置过期时间（可选）](importing-keys-import-key-material.md#importing-keys-expiration)。

有关带导入的密钥材料的 KMS 密钥的更多信息，请参阅 [导入密钥的 AWS KMS 密钥材料](importing-keys.md)。

## 识别密钥库中的 KMS AWS CloudHSM 密钥
<a name="identify-key-hsm-keystore"></a>

**在 AWS KMS 控制台中**  
为了便于在**客户管理的密钥表中识别密 AWS CloudHSM 钥存储区中的 KMS 密钥**，请在表中添加 **Origin** 列。**来源**列可让您使用 **AWS CloudHSM** 来源属性值轻松标识 KMS 密钥。有关帮助信息，请参阅 [自定义您的 KMS 密钥表](viewing-console-customize.md#console-customize-tables)。  
KMS 密钥详细信息页面上的**加密配置**选项卡显示了**源**，标识 KMS 密钥的密钥材料的来源。对于密 AWS CloudHSM 钥存储中的 KMS 密钥，原始值始终为**AWS CloudHSM**。  
对于密钥存储中的 KMS AWS CloudHSM 密钥，“**加密配置**” 选项卡包括一个额外的部分 “**自定义密钥存储**”，该部分提供与 KMS AWS CloudHSM 密钥关联的密钥存储和 AWS CloudHSM 集群的相关信息。

**在 DescribeKey 回应中**  
对 AWS CloudHSM 密钥存储中的 KMS 密钥调用 `DescribeKey` 操作时，响应将包括 `Origin`，其将标识密钥材料来源。对于密钥存储中的 KMS AWS CloudHSM 密钥，原始值始终为`AWS_CLOUDHSM`。该操作还会返回密钥存储区中 KMS 密 AWS CloudHSM 钥的以下特殊字段：  
+ `CloudHsmClusterId`
+ `CustomKeyStoreId`

有关 AWS CloudHSM 密钥库的更多信息，请参阅[AWS CloudHSM 钥匙库](keystore-cloudhsm.md)。

## 识别外部密钥存储中的 KMS 密钥
<a name="view-xks-key"></a>

**在 AWS KMS 控制台中**  
为了更轻松地识别**客户托管密钥**表中外部密钥存储中的 KMS 密钥，请在表中添加**源**列。**源**列可让您轻松识别带**外部密钥存储**源属性值的 KMS 密钥。有关帮助信息，请参阅 [自定义您的 KMS 密钥表](viewing-console-customize.md#console-customize-tables)。  
KMS 密钥详细信息页面上的**加密配置**选项卡显示了**源**，标识 KMS 密钥的密钥材料的来源。对于外部密钥存储中的 KMS 密钥，源值均为**外部密钥存储**。  
对于外部密钥存储中的 KMS 密钥，**加密配置**选项卡包括另外两个部分：**自定义密钥存储**和**外部密钥**。**自定义密钥存储**表提供有关与 KMS 密钥关联的外部密钥存储的信息。**外部密钥**表显示在 AWS KMS 控制台中，仅适用于外部密钥存储中的 KMS 密钥。此部分提供有关与 KMS 密钥关联的外部密钥的信息。[*外部密钥*](keystore-external.md#concept-external-key)是外部的加密密钥 AWS ，用作外部密钥存储中 KMS 密钥的密钥材料。使用 KMS 密钥加密或解密时，将由[外部密钥管理器](keystore-external.md#concept-ekm)使用指定的外部密钥执行此操作。  
以下值显示在 **External key**（外部密钥）部分中。    
**外部密钥 ID**  
外部密钥管理器中外部密钥的标识符。这是外部密钥存储代理用来识别外部密钥的值。外部密钥 ID 在您创建 KMS 密钥时指定，并且无法更改。如果您用于创建 KMS 密钥的外部密钥 ID 值更改或失效，则必须[安排删除 KMS 密钥](deleting-keys.md)，并使用正确的外部密钥 ID 值[创建新的 KMS 密钥](create-xks-keys.md)。

**在 DescribeKey 回应中**  
对外部密钥存储中的 KMS 密钥调用 `DescribeKey` 操作时，响应将包括 `Origin`，其将标识密钥材料来源。对于密钥存储中的 KMS AWS CloudHSM 密钥，原始值始终为`EXTERNAL_KEY_STORE`。该操作还会返回 `CustomKeyStoreId` 元素，该元素标识与 KMS 密钥关联的外部密钥存储。

有关外部密钥存储的更多信息，请参阅 [外部密钥存储](keystore-external.md)。