本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 識別不同的金鑰類型
<a name="identify-key-types"></a>

下列主題說明如何在 AWS KMS 主控台和 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 回應中識別不同的金鑰類型。

如需導覽至 KMS 金鑰詳細資訊頁面上**密碼編譯組態**索引標籤的說明，請參閱 [存取和列出 KMS 金鑰詳細資訊](finding-keys.md)。

**Topics**
+ [識別非對稱 KMS 金鑰](#identify-asymm-keys)
+ [識別 HMAC KMS 金鑰](#hmac-view)
+ [識別多區域 KMS 金鑰](#multi-region-keys-view)
+ [使用匯入的金鑰材料識別 KMS 金鑰](#identify-imported-keys)
+ [識別金鑰存放區中的 KMS AWS CloudHSM 金鑰](#identify-key-hsm-keystore)
+ [識別外部金鑰存放區中的 KMS 金鑰](#view-xks-key)

## 識別非對稱 KMS 金鑰
<a name="identify-asymm-keys"></a>

**在 AWS KMS 主控台中**  
**客戶受管金鑰**資料表的金鑰**類型**欄會顯示每個 KMS 金鑰是對稱或非對稱。您可以依**金鑰類型**值篩選資料表，以僅顯示非對稱 KMS 金鑰。如需更多資訊，請參閱[排序和篩選您的 KMS 金鑰](viewing-console-customize.md#viewing-console-filter)。  
KMS 金鑰詳細資訊頁面上的密碼**編譯組態**索引標籤會顯示**金鑰類型**，指出金鑰是對稱或非對稱。它也會顯示**金鑰用量**，指出您的非對稱 KMS 金鑰是否用於加密和解密、簽署和驗證，還是衍生共用秘密。

**在 DescribeKey 回應中**  
當您在非對稱 KMS 金鑰上呼叫 `DescribeKey`操作時，回應會包含 `KeySpec`和 `KeyUsage`值，可用於判斷 KMS 金鑰是對稱或非對稱。  
如果`KeySpec`值為 `SYMMETRIC_DEFAULT`，則金鑰為對稱加密 KMS 金鑰。如需非對稱金鑰規格的詳細資訊，請參閱 [金鑰規格參考](symm-asymm-choose-key-spec.md)。  
如果`KeyUsage`值為 `SIGN_VERIFY`或 `KEY_AGREEMENT`，則金鑰為非對稱 KMS 金鑰。  
`DescribeKey` 操作也會傳回非對稱 KMS 金鑰的下列詳細資訊。  
+ 對於`KeyUsage`值為 的非對稱 KMS 金鑰`ENCRYPT_DECRYPT`，操作會傳回 `EncryptionAlgorithms`，列出金鑰的有效加密演算法。
+ 對於`KeyUsage`值為 的非對稱 KMS 金鑰`SIGN_VERIFY`，操作會傳回 `SigningAlgorithms`，列出金鑰的有效簽署演算法。
+ 對於`KeyUsage`值為 的非對稱 KMS 金鑰`KEY_AGREEMENT`，操作會傳回 `KeyAgreementAlgorithms`，其中列出金鑰的有效金鑰協議演算法。

如需非對稱 KMS 金鑰的詳細資訊，請參閱 [中的非對稱金鑰 AWS KMS](symmetric-asymmetric.md)。

## 識別 HMAC KMS 金鑰
<a name="hmac-view"></a>

**在 AWS KMS 主控台中**  
HMAC KMS 金鑰包含在**客戶受管金鑰**資料表中，但您無法依識別 HMAC 金鑰的金鑰規格或金鑰用量值來排序或篩選此資料表。若要更容易地找到您的 HMAC 金鑰，請為其指派一個獨特的別名或標籤。然後，您便可以依別名或標籤進行排序或篩選。  
KMS 金鑰詳細資訊頁面上的密碼**編譯組態**索引標籤會顯示**金鑰類型**，指出金鑰是對稱或非對稱。HMAC KMS 金鑰為對稱金鑰。**密碼編譯組態**索引標籤也會顯示**金鑰用量**。對於 HMAC KMS 金鑰，金鑰用量值一律為**產生和驗證 MAC**。

**在 DescribeKey 回應中**  
當您在 HMAC KMS 金鑰上呼叫 `DescribeKey`操作時，回應會包含 `KeySpec`和 `KeyUsage`值。對於 HMAC KMS 金鑰，金鑰用量值一律為 `GENERATE_VERIFY_MAC`，而金鑰規格值一律以 開頭`HMAC_`。

如需 HMAC KMS 金鑰的詳細資訊，請參閱 [中的 HMAC 金鑰 AWS KMS](hmac.md)。

## 識別多區域 KMS 金鑰
<a name="multi-region-keys-view"></a>

**在 AWS KMS 主控台中**  
**客戶受管金鑰**資料表只會顯示所選區域中的 KMS 金鑰。您可以檢視所選區域中的多區域主要金鑰和複本金鑰。若要變更 AWS 區域，請使用主控台右上角的區域選擇器。  
若要更輕鬆地識別**客戶受管金鑰資料表中的多區域金鑰**，請將**區域性**資料欄新增至資料表。如需協助，請參閱 [自訂您的 KMS 金鑰資料表](viewing-console-customize.md#console-customize-tables)。  
多區域 KMS 金鑰的詳細資訊頁面包含**區域性**索引標籤。**Regionality** (區域性) 索引標籤包括「變更主要區域」和「建立新的複本金鑰」按鈕。(複本金鑰的「區域性」索引標籤沒有按鈕)。**Related multi-Region keys** (相關的多區域金鑰) 區段會列出所有與目前區域相關的多區域金鑰。如果目前金鑰是複本金鑰，則此清單會包含主要金鑰。  
如果您從相關多區域金鑰資料表中選擇**相關的多區域金鑰**， AWS KMS 主控台會變更為所選金鑰的區域，並開啟金鑰的詳細資訊頁面。例如，如果您從下面的**相關多區域金鑰範例**區段中選擇 `sa-east-1` 區域中的複本金鑰，則 AWS KMS 主控台會變更為 `sa-east-1`區域，以顯示該複本金鑰的詳細資訊頁面。您可以執行這項操作來檢視複本金鑰的別名或金鑰政策。若要再次變更區域，請使用頁面右上角的區域選取器。

**在 DescribeKey 回應中**  
根據預設， AWS KMS API 操作為區域性，只會傳回目前或指定區域中的資源。但是，當您在多區域 KMS 金鑰上呼叫 `DescribeKey`操作時，回應會在 `MultiRegionConfiguration` 元素的其他 AWS 區域中包含所有相關多區域金鑰。

如需多區域 KMS 金鑰的詳細資訊，請參閱 [中的多區域金鑰 AWS KMS](multi-region-keys-overview.md)。

## 使用匯入的金鑰材料識別 KMS 金鑰
<a name="identify-imported-keys"></a>

**在 AWS KMS 主控台中**  
若要更輕鬆地在**客戶受管金鑰資料表中識別具有匯入金鑰資料的 KMS 金鑰**，請將**原始**伺服器欄新增至資料表。**來源**欄可讓您輕鬆識別具**外部 (匯入金鑰資料)**來源屬性值的 KMS 金鑰。如需協助，請參閱 [自訂您的 KMS 金鑰資料表](viewing-console-customize.md#console-customize-tables)。  
KMS 金鑰詳細資訊頁面上的密碼**編譯組態**索引標籤會顯示 **Origin**，以識別 KMS 金鑰的金鑰材料來源。對於具有匯入金鑰材料的 KMS 金鑰，原始伺服器值一律為**外部 （匯入金鑰材料）**。詳細資訊頁面也包含**金鑰材料**索引標籤，可提供匯入金鑰材料的詳細資訊。具有`EXTERNAL`原始伺服器的對稱加密金鑰支援隨需輪換，並且可以具有與其相關聯的多個金鑰材料。對於此類金鑰，標籤會標記為**金鑰材料和輪換**。

**在 DescribeKey 回應中**  
當您使用匯入的金鑰材料呼叫 KMS 金鑰上的 `DescribeKey`操作時，回應會包含 `Origin`、 `ExpirationModel`和 `ValidTo`值。對於具有匯入金鑰材料的 KMS 金鑰，原始伺服器值一律為 `EXTERNAL`。`ExpirationModel` 值表示金鑰材料是否設定為過期，`ValidTo`而值表示金鑰材料何時過期。當多個金鑰材料與金鑰相關聯時，`ValidTo`值會指出所有金鑰材料的最早到期時間 （除了一個待定輪換）`ExpirationModel`，並且`DOES_NOT_EXPIRE`只有在這些金鑰材料都未設定為過期時，才會設定為 。如需詳細資訊，請參閱[設定到期時間 (選用)](importing-keys-import-key-material.md#importing-keys-expiration)。

如需匯入金鑰材料之 KMS 金鑰的詳細資訊，請參閱 [匯入金鑰的 AWS KMS 金鑰材料](importing-keys.md)。

## 識別金鑰存放區中的 KMS AWS CloudHSM 金鑰
<a name="identify-key-hsm-keystore"></a>

**在 AWS KMS 主控台中**  
若要更輕鬆地識別客戶受管金鑰資料表中 AWS CloudHSM 金鑰存放區中的 KMS 金鑰，請將 **Origin** 欄新增至資料表。 ******Origin** (來源) 欄可讓您輕鬆識別具有 **AWS CloudHSM** 來源屬性值的 KMS 金鑰。如需協助，請參閱 [自訂您的 KMS 金鑰資料表](viewing-console-customize.md#console-customize-tables)。  
KMS 金鑰詳細資訊頁面上的密碼**編譯組態**索引標籤會顯示 **Origin**，以識別 KMS 金鑰的金鑰材料來源。對於金鑰存放區中的 KMS AWS CloudHSM 金鑰，原始伺服器值一律為 **AWS CloudHSM**。  
對於 AWS CloudHSM 金鑰存放區中的 KMS 金鑰，**密碼編譯組態**索引標籤包含額外的區段，**自訂金鑰存放**區，提供與 KMS 金鑰相關聯的 AWS CloudHSM 金鑰存放區和 AWS CloudHSM 叢集的相關資訊。

**在 DescribeKey 回應中**  
當您在金鑰存放區中的 KMS AWS CloudHSM 金鑰上呼叫 `DescribeKey`操作時，回應會包含 `Origin`，可識別金鑰材料的來源。對於金鑰存放區中的 KMS AWS CloudHSM 金鑰，原始伺服器值一律為 `AWS_CLOUDHSM`。操作也會傳回金鑰 AWS CloudHSM 存放區中 KMS 金鑰的下列特殊欄位：  
+ `CloudHsmClusterId`
+ `CustomKeyStoreId`

如需 AWS CloudHSM 金鑰存放區的詳細資訊，請參閱 [AWS CloudHSM 金鑰存放區](keystore-cloudhsm.md)。

## 識別外部金鑰存放區中的 KMS 金鑰
<a name="view-xks-key"></a>

**在 AWS KMS 主控台中**  
若要更輕鬆地識別**客戶受管金鑰資料表中外部金鑰存放區中的 KMS 金鑰**，請將**原始**伺服器欄新增至您的資料表。Origin ****欄可讓您輕鬆識別具有**外部金鑰存放區原始屬性值的 KMS 金鑰**。如需協助，請參閱 [自訂您的 KMS 金鑰資料表](viewing-console-customize.md#console-customize-tables)。  
KMS 金鑰詳細資訊頁面上的密碼**編譯組態**索引標籤會顯示 **Origin**，以識別 KMS 金鑰的金鑰材料來源。對於外部金鑰存放區中的 KMS 金鑰，原始伺服器值一律為**外部金鑰存放區**。  
對於外部金鑰存放區中的 KMS 金鑰，**密碼編譯組態**索引標籤包含兩個額外區段：**自訂金鑰存放區**和**外部金鑰**。**自訂金鑰存放**區資料表提供與 KMS 金鑰相關聯之外部金鑰存放區的相關資訊。**外部金鑰**資料表只會針對 AWS KMS 外部金鑰存放區中的 KMS 金鑰顯示在主控台中。它提供與 KMS 金鑰相關聯的外部金鑰的資訊。[*外部金鑰*](keystore-external.md#concept-external-key)是 外部的密碼編譯金鑰 AWS ，可做為外部金鑰存放區中 KMS 金鑰的金鑰材料。當您使用 KMS 金鑰進行加密或解密時，[外部金鑰管理器](keystore-external.md#concept-ekm)將使用指定的外部金鑰執行操作。  
下列值會顯示在 **External key** (外部金鑰) 區段中。    
**外部金鑰 ID**  
外部金鑰在其外部金鑰管理器中的識別符。這是外部金鑰存放區代理用來識別外部金鑰的值。您可以在建立 KMS 金鑰時指定外部金鑰 ID，並且無法變更它。如果用來建立 KMS 金鑰的外部金鑰 ID 值變更或變得無效，您必須[排程要刪除的 KMS 金鑰](deleting-keys.md)，並使用正確的外部金鑰 ID 值[建立新的 KMS 金鑰](create-xks-keys.md)。

**在 DescribeKey 回應中**  
當您在外部金鑰存放區中的 KMS 金鑰上呼叫 `DescribeKey`操作時，回應會包含 `Origin`，可識別金鑰材料的來源。對於金鑰存放區中的 KMS AWS CloudHSM 金鑰，原始伺服器值一律為 `EXTERNAL_KEY_STORE`。操作也會傳回 `CustomKeyStoreId`元素，識別與 KMS 金鑰相關聯的外部金鑰存放區。

如需外部金鑰存放區的詳細資訊，請參閱 [外部金鑰存放區](keystore-external.md)。