列出轮换和关键材料 - AWS Key Management Service
列出轮换和关键材料(控制台)列出轮换和关键材料 (AWS KMS API)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

列出轮换和关键材料

支持自动或按需密钥轮换的 KMS 密钥可以有多个与之关联的密钥材料。这些密钥具有初始密钥材料,以及每次自动或按需轮换的额外密钥材料。

拥有kms:ListKeyRotations权限的授权用户可以使用 AWS KMS 控制台和 ListKeyRotationsAPI 列出与 KMS 密钥关联的所有密钥材料,包括已完成的自动和按需轮换的密钥材料。

列出轮换和关键材料(控制台)

  1. 登录 AWS Management Console 并在 https://console.aws.amazon.com/km s 处打开 AWS Key Management Service (AWS KMS) 控制台。

  2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择客户托管密钥

  4. 选择 KMS 密钥的别名和密钥 ID。

  5. 选择按键材质和旋转选项卡。

    • 密钥材料和轮换选项卡仅出现在支持自动或按需轮换的对称加密 KMS 密钥的详细信息页面上。这包括带有 AWS KMS 生成的密钥材料(AWS_KMS来源)的 KMS 密钥和带有导入密钥材料的单区域 KMS 密钥(EXTERNAL来源)。

    • 密钥材料和轮换选项卡中的密钥材料表列出了与 KMS 密钥关联的所有密钥材料。对于每种密钥材料,相应的条目会显示其分配的唯一标识符 AWS KMS、轮换日期和密钥材料状态。轮换日期用于确定密钥材料在自动或按需轮换密钥后何时变为最新状态。没有与第一份材料或Pending rotation关键材料相关的轮换日期。密钥材料状态决定了密钥材料的 AWS KMS 使用方式。当前的密钥材料用于加密和解密。非当前密钥材料仅用于解密。密钥材料状态为Pending rotation表示密钥材料已暂存以供轮换。在按需密钥轮换使其成为当前密钥材料之前,此密钥材料不会用于任何加密操作。为密钥材料显示的其他信息取决于 KMS 密钥的类型。

    • 对于带有AWS_KMS来源的对称加密 KMS 密钥,每行还会显示轮换类型—— On-demandAutomatic

    • 具有导入密钥材料(EXTERNAL来源)的单区域、对称加密 KMS 密钥仅支持On-demand轮换,因此没有轮换类型列。相反,每行都显示导入状态、用户指定的描述、到期信息和 “操作” 菜单。导入状态要么是 “已导”,表示密钥材料在里面可用,要 AWS KMS 么是待导入,表示密钥材料在里面不可用 AWS KMS。“操作” 菜单可用于删除导入的密钥材料或重新导入密钥材料。如果密钥材料的导入状态为 “待导入”,则禁用 “删除密钥材料” 操作。“重新导入密钥材料” 操作始终可用。在重新导入密钥材料之前,您无需等待密钥材料过期或被删除。

列出轮换和关键材料 (AWS KMS API)

您可以使用 AWS Key Management Service (AWS KMS) API 启动按需密钥轮换,并查看任何客户托管密钥的当前轮换状态。此示例使用 AWS Command Line Interface (AWS CLI),但您可以使用任何受支持的编程语言。

ListKeyRotations操作列出了指定 KMS 密钥的所有轮换和密钥材料。要在这些操作中标识 KMS 密钥,请使用其密钥 ID密钥 ARN

此操作支持可选IncludeKeyMaterial参数。此参数的默认值为 ROTATIONS_ONLY。如果省略此参数,则 AWS KMS 返回有关通过自动或按需密钥轮换创建的密钥材料的信息。将值指定为时ALL_KEY_MATERIAL, AWS KMS 会将第一个密钥材料和任何待轮换的导入密钥材料添加到响应中。此参数只能用于支持自动或按需密钥轮换的 KMS 密钥。

$ aws kms list-key-rotations --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --inlcude-key-material ALL_KEY_MATERIAL
{
    "Rotations": [
        {
            "KeyId": 1234abcd-12ab-34cd-56ef-1234567890ab,
            "KeyMaterialId": 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0,
            "KeyMaterialDescription": "KeyMaterialA",
            "ImportState": "PENDING_IMPORT",
            "KeyMaterialState": "NON_CURRENT"
        },
        {
            "KeyId": 1234abcd-12ab-34cd-56ef-1234567890ab,
            "KeyMaterialId": 96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068,
            "ImportState": "IMPORTED",
            "KeyMaterialState": "CURRENT",
            "ExpirationModel": "KEY_MATERIAL_DOES_NOT_EXPIRE",
            "RotationDate": "2025-05-01T15:50:51.045000-07:00",
            "RotationType": "ON_DEMAND"
        }
    ],
    "Truncated": false
}