本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 列出轮换和密钥材料
<a name="list-rotations"></a>

支持自动或按需密钥轮换的 KMS 密钥可以关联多个密钥材料。这些密钥具有一个初始密钥材料，以及每次自动或按需轮换的附加密钥材料。

拥有`kms:ListKeyRotations`权限的授权用户可以使用 AWS KMS 控制台和 [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)API 列出与 KMS 密钥关联的所有密钥材料，包括已完成的自动和按需轮换的密钥材料。

**Topics**
+ [列出轮换和密钥材料（控制台）](#list-rotations-console)
+ [列出轮换和关键材料 (AWS KMS API)](#list-rotations-api)

## 列出轮换和密钥材料（控制台）
<a name="list-rotations-console"></a>

1. 登录 AWS 管理控制台 并在 [https://console.aws.amazon.com/km](https://console.aws.amazon.com/kms) s 处打开 AWS Key Management Service (AWS KMS) 控制台。

1. 要更改 AWS 区域，请使用页面右上角的区域选择器。

1. 在导航窗格中，选择**客户托管密钥**。

1. 选择 KMS 密钥的别名和密钥 ID。

1. 选择按**密钥材料和轮换**选项卡。
   + **密钥材料和轮换**选项卡仅在支持自动轮换或按需轮换的对称加密 KMS 密钥的详细信息页面上显示。这包括带有已 AWS KMS 生成密钥材料（`AWS_KMS`来源）的 KMS 密钥和带有导入密钥材料（`EXTERNAL`来源）的 KMS 密钥。
   + **密钥材料和轮换**选项卡中的**密钥材料**表会列出关联到 KMS 密钥的所有密钥材料。每个密钥材料的对应条目会显示 AWS KMS为其分配的唯一标识符、轮换日期和密钥材料状态。轮换日期用于确定密钥材料在自动或按需密钥轮换后何时变为当前。第一个或 `Pending rotation` 密钥材料没有相关的轮换日期。密钥材料状态决定了密钥材料的 AWS KMS 使用方式。当前密钥材料既用于加密，也用于解密。非当前密钥材料仅用于解密。密钥材料状态为 `Pending rotation` 表示该密钥材料已进入轮换暂存阶段。在按需密钥轮换使其成为当前密钥材料之前，此密钥材料不会用于任何密码操作。所显示有关密钥材料的其他信息取决于 KMS 密钥的类型。
   + 对于来源为 `AWS_KMS` 的对称加密 KMS 密钥，每行还会显示轮换类型（`On-demand` 或 `Automatic`）。
   + 对称加密带有导入密钥材料（`EXTERNAL`来源）的 KMS 密钥仅支持`On-demand`轮换，因此没有轮换类型列。而是在每行显示导入状态、用户指定的描述、到期信息和一个**操作**菜单。导入状态要么是 “已导**入**”，表示密钥材料在里面可用，要 AWS KMS 么是**待导入**，表示密钥材料在里面不可用 AWS KMS。**操作**菜单可用于删除导入的密钥材料或重新导入密钥材料。如果密钥材料的导入状态为**待导入**，则**删除密钥材料**操作将处于禁用状态。**重新导入密钥材料**操作将会始终可用。无需等待密钥材料过期或将其删除，即可重新导入密钥材料。

## 列出轮换和关键材料 (AWS KMS API)
<a name="list-rotations-api"></a>

您可以使用 [AWS Key Management Service （AWS KMS）API](https://docs.aws.amazon.com/kms/latest/APIReference/) 启动按需密钥轮换，并查看任何客户自主管理型密钥的当前轮换状态。此示例使用 [AWS Command Line Interface （AWS CLI）](https://aws.amazon.com/cli/)，但您可以使用任何受支持的编程语言。

该[ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)操作列出了指定 KMS 密钥的所有轮换和密钥材料。要在这些操作中标识 KMS 密钥，请使用其[密钥 ID](concepts.md#key-id-key-id) 或[密钥 ARN](concepts.md#key-id-key-ARN)。

此操作支持可选的 `IncludeKeyMaterial` 参数。此参数的默认值为 `ROTATIONS_ONLY`。如果省略此参数，则 AWS KMS 返回有关通过自动或按需密钥轮换创建的密钥材料的信息。如果指定 `ALL_KEY_MATERIAL` 值， AWS KMS 会将第一个密钥材料和任何待轮换的导入密钥材料添加到响应中。此参数只能用于支持自动或按需密钥轮换的 KMS 密钥。

```
$ aws kms list-key-rotations --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --inlcude-key-material ALL_KEY_MATERIAL
{
    "Rotations": [
        {
            "KeyId": 1234abcd-12ab-34cd-56ef-1234567890ab,
            "KeyMaterialId": 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0,
            "KeyMaterialDescription": "KeyMaterialA",
            "ImportState": "PENDING_IMPORT",
            "KeyMaterialState": "NON_CURRENT"
        },
        {
            "KeyId": 1234abcd-12ab-34cd-56ef-1234567890ab,
            "KeyMaterialId": 96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068,
            "ImportState": "IMPORTED",
            "KeyMaterialState": "CURRENT",
            "ExpirationModel": "KEY_MATERIAL_DOES_NOT_EXPIRE",
            "RotationDate": "2025-05-01T15:50:51.045000-07:00",
            "RotationType": "ON_DEMAND"
        }
    ],
    "Truncated": false
}
```