查看 KMS 密钥的加密配置 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

查看 KMS 密钥的加密配置

创建 KMS 密钥后,可以查看其加密配置。KMS 密钥配置在创建后无法更改。如果想采用不同配置,可删除 KMS 密钥并重新创建。

您可以在 Amazon KMS 控制台中或通过使用 Amazon KMS API,查找 KMS 密钥的加密配置,包括密钥规范、密钥用法以及支持的加密算法或签名算法。有关详细信息,请参阅识别非对称 KMS 密钥

在 Amazon KMS 控制台中,每个 KMS 密钥的详细信息页面都包括 Cryptographic configuration(加密配置)选项卡,其中显示了有关 KMS 密钥的详细加密信息。例如,下图显示了用于签名和验证的 RSA KMS 密钥的 Cryptographic configuration(加密配置)选项卡。

生成数据密钥

在 Amazon KMS API 中,使用 DescribeKey 操作。响应中的 KeyMetadata 结构包括 KMS 密钥的加密配置。例如,对于用于签名和验证的 RSA KMS 密钥,DescribeKey 返回以下响应。

{
  "KeyMetadata": {

    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "AWSAccountId": "111122223333",
    "CreationDate": 1571767572.317,
    "CustomerMasterKeySpec": "RSA_2048",
    "Description": "",
    "Enabled": true,
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeyState": "Enabled",
    "MultiRegion": false, 
    "Origin": "AWS_KMS",
    "KeySpec": "RSA_2048",
    "KeyUsage": "SIGN_VERIFY",
    "SigningAlgorithms": [
        "RSASSA_PKCS1_V1_5_SHA_256",
        "RSASSA_PKCS1_V1_5_SHA_384",
        "RSASSA_PKCS1_V1_5_SHA_512",
        "RSASSA_PSS_SHA_256",
        "RSASSA_PSS_SHA_384",
        "RSASSA_PSS_SHA_512"
    ]
  }
}