amazon.aws.kms_key_info 模块 – 收集有关 AWS KMS 密钥的信息

注意

此模块是 amazon.aws 集合 (版本 9.0.0) 的一部分。

如果您使用的是 ansible 包，则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装，请运行 ansible-galaxy collection list。

要安装它，请使用：ansible-galaxy collection install amazon.aws。您需要其他要求才能使用此模块，有关详细信息，请参阅要求。

要在 playbook 中使用它，请指定：amazon.aws.kms_key_info。

amazon.aws 5.0.0 中的新增功能

摘要 

收集有关 AWS KMS 密钥的信息，包括标签和授权。
在 5.0.0 版本之前，此模块称为 community.aws.aws_kms_info。用法没有改变。
此模块最初添加到 community.aws 的 1.0.0 版本中。

别名：aws_kms_info

要求 

执行此模块的主机需要以下要求。

python >= 3.6
boto3 >= 1.28.0
botocore >= 1.31.0

参数 

参数	注释
access_key 别名：aws_access_key_id, aws_access_key, ec2_access_key 字符串	AWS 访问密钥 ID。有关访问令牌的更多信息，请参见 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys。也可以使用 `AWS_ACCESS_KEY_ID`、`AWS_ACCESS_KEY` 或 `EC2_ACCESS_KEY` 环境变量，优先级依次递减。 aws_access_key 和 profile 选项是互斥的。为了与 AWS botocore SDK 保持一致，在 5.1.0 版本中添加了 aws_access_key_id 别名。 ec2_access_key 别名已弃用，将在 2024-12-01 之后的一个版本中移除。 `EC2_ACCESS_KEY` 环境变量的支持已弃用，将在 2024-12-01 之后的一个版本中移除。
alias 别名：key_alias 字符串 community.aws 1.4.0 中添加	密钥的别名。与 `key_id` 和 `filters` 互斥。
aws_ca_bundle 路径	验证 SSL 证书时使用的 CA 捆绑包的位置。也可以使用 `AWS_CA_BUNDLE` 环境变量。
aws_config 字典	用于修改 botocore 配置的字典。参数可在 AWS 文档中找到 https://botocore.amazonaws.com/v1/documentation/api/latest/reference/config.html#botocore.config.Config。
debug_botocore_endpoint_logs 布尔值	使用 `botocore.endpoint` 日志记录器来解析在任务期间进行的唯一（而不是总计）`"resource:action"` API 调用，并将该集合输出到任务结果中的 resource_actions 密钥。使用 `aws_resource_action` 回调将输出到 playbook 期间进行的总列表。也可以使用 `ANSIBLE_DEBUG_BOTOCORE_LOGS` 环境变量。选项 `false` ← (默认) `true`
endpoint_url 别名：ec2_url, aws_endpoint_url, s3_url 字符串	连接到非默认 AWS 端点的 URL。虽然这可以用于连接到其他与 AWS 兼容的服务，但 amazon.aws 和 community.aws 集合仅针对 AWS 进行了测试。也可以使用 `AWS_URL` 或 `EC2_URL` 环境变量，优先级依次递减。 ec2_url 和 s3_url 别名已弃用，将在 2024-12-01 之后的一个版本中移除。 `EC2_URL` 环境变量的支持已弃用，将在 2024-12-01 之后的一个版本中移除。
filters 字典	要应用的过滤器字典。每个字典项包含一个过滤器键和一个过滤器值。这些过滤器不是 boto3 原生支持的，但支持它们是为了提供与其他模块类似的功能。标准标签过滤器（`tag-key`、`tag-value` 和 `tag:tagName`）可用，`key-id` 和 `alias` 也可用。与 `alias` 和 `key_id` 互斥。
key_id 别名：key_arn 字符串 community.aws 1.4.0 中添加	密钥 ID 或 ARN。与 `alias` 和 `filters` 互斥。
pending_deletion 布尔值	是否获取待删除密钥的完整详细信息（标签、授权等）。选项 `false` ← (默认) `true`
profile 别名：aws_profile 字符串	用于身份验证的命名 AWS 配置文件。有关命名配置文件的更多信息，请参见 AWS 文档 https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-profiles.html。也可以使用 `AWS_PROFILE` 环境变量。 profile 选项与 aws_access_key、aws_secret_key 和 security_token 选项互斥。
region 别名：aws_region, ec2_region 字符串	要使用的 AWS 区域。对于 IAM、Route53 和 CloudFront 等全球服务，将忽略 region。也可以使用 `AWS_REGION` 或 `EC2_REGION` 环境变量。有关更多信息，请参见 Amazon AWS 文档 http://docs.aws.amazon.com/general/latest/gr/rande.html#ec2_region。已弃用 `ec2_region` 别名，将在 2024-12-01 之后的发行版中删除。已弃用对 `EC2_REGION` 环境变量的支持，将在 2024-12-01 之后的发行版中删除。
secret_key 别名：aws_secret_access_key, aws_secret_key, ec2_secret_key 字符串	AWS 密钥。有关访问令牌的更多信息，请参见 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys。也可以使用 `AWS_SECRET_ACCESS_KEY`、`AWS_SECRET_KEY` 或 `EC2_SECRET_KEY` 环境变量（按优先级递减顺序）。 secret_key 和 profile 选项互斥。为了与 AWS botocore SDK 保持一致，在 5.1.0 版本中添加了 aws_secret_access_key 别名。已弃用 ec2_secret_key 别名，将在 2024-12-01 之后的发行版中删除。已弃用对 `EC2_SECRET_KEY` 环境变量的支持，将在 2024-12-01 之后的发行版中删除。
session_token 别名：aws_session_token, security_token, aws_security_token, access_token 字符串	与临时凭证一起使用的 AWS STS 会话令牌。有关访问令牌的更多信息，请参见 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys。也可以使用 `AWS_SESSION_TOKEN`、`AWS_SECURITY_TOKEN` 或 `EC2_SECURITY_TOKEN` 环境变量（按优先级递减顺序）。 security_token 和 profile 选项互斥。在 3.2.0 版本中添加了 aws_session_token 和 session_token 别名，在 6.0.0 版本中将参数名称从 security_token 重命名为 session_token。已弃用 security_token、aws_security_token 和 access_token 别名，将在 2024-12-01 之后的发行版中删除。已弃用对 `EC2_SECRET_KEY` 和 `AWS_SECURITY_TOKEN` 环境变量的支持，将在 2024-12-01 之后的发行版中删除。
validate_certs 布尔值	设置为 `false` 时，将不会验证与 AWS API 通信的 SSL 证书。强烈建议不要设置 validate_certs=false，可以考虑改用 aws_ca_bundle。选项 `false` `true` ← (默认)

备注 

注意

在 amazon.aws 8.0.0 版本中删除了 policies 返回键。
警告：对于模块，环境变量和配置文件是从 Ansible 的“主机”上下文而不是“控制器”上下文读取的。因此，可能需要将文件显式复制到“主机”。对于查找和连接插件，环境变量和配置文件是从 Ansible 的“控制器”上下文而不是“主机”上下文读取的。
Ansible 使用的 AWS SDK (boto3) 也可能从 Ansible “主机”上下文中的配置文件（通常为 ~/.aws/credentials）读取凭据和其他设置（例如区域）的默认值。有关更多信息，请参见 https://boto3.amazonaws.com/v1/documentation/api/latest/guide/credentials.html。

示例 

# Note: These examples do not set authentication details, see the AWS Guide for details.

# Gather information about all KMS keys
- amazon.aws.kms_key_info:

# Gather information about all keys with a Name tag
- amazon.aws.kms_key_info:
    filters:
      tag-key: Name

# Gather information about all keys with a specific name
- amazon.aws.kms_key_info:
    filters:
      "tag:Name": Example

返回值 

常见的返回值已在此处记录，以下是此模块特有的字段

键	描述
kms_keys 复杂	密钥列表。返回：始终
aliases 列表 / 元素=字符串	与密钥关联的别名列表。返回：始终示例：`["aws/acm", "aws/ebs"]`
aws_account_id 字符串	密钥所属的 AWS 账户 ID。返回：始终示例：`"123456789012"`
creation_date 字符串	密钥的创建日期和时间。返回：始终示例：`"2017-04-18T15:12:08.551000+10:00"`
customer_master_key_spec 字符串	描述 KMS 密钥中的密钥材料类型。返回：始终示例：`"SYMMETRIC_DEFAULT"`
deletion_date 字符串在 community.aws 3.3.0 中添加	KMS 删除此 KMS 密钥后的日期和时间。返回：当 `kms_keys.key_state` 为 PendingDeletion 时示例：`"2017-04-18T15:12:08.551000+10:00"`
description 字符串	密钥的描述。返回：始终示例：`"My Key for Protecting important stuff"`
enable_key_rotation 布尔值	是否启用了自动年度密钥轮换。如果无法确定密钥轮换状态，则返回 None。返回：始终示例：`false`
enabled 布尔值	密钥是否启用。如果 `kms_keys.key_state` 为 `Enabled`，则为 True。返回：始终示例：`false`
encryption_algorithms 列表 / 元素=字符串	KMS 密钥支持的加密算法。返回：始终示例：`["SYMMETRIC_DEFAULT"]`
grants 列表 / 元素=字典	与密钥关联的授权列表。返回：始终
constraints 字典	授权允许的加密上下文的约束。有关更多详细信息，请参见 https://docs.aws.amazon.com/kms/latest/APIReference/API_GrantConstraints.html 返回：始终示例：`{"encryption_context_equals": {"aws:lambda:_function_arn": "arn:aws:lambda:ap-southeast-2:123456789012:function:xyz"}}`
creation_date 字符串	授权的创建日期。返回：始终示例：`"2017-04-18T15:12:08+10:00"`
grant_id 字符串	授权的唯一 ID。返回：始终示例：`"abcd1234abcd1234abcd1234abcd1234abcd1234abcd1234abcd1234abcd1234"`
grantee_principal 字符串	接收授权权限的主体。返回：始终示例：`"arn:aws:sts::123456789012:assumed-role/lambda_xyz/xyz"`
issuing_account 字符串	发出授权的 AWS 账户。返回：始终示例：`"arn:aws:iam::123456789012:root"`
key_id 字符串	授权适用的密钥 ARN。返回：始终示例： `"arn:aws:kms:ap-southeast-2:123456789012:key/abcd1234-abcd-1234-5678-ef1234567890"`
名称字符串	标识授权的友好名称。返回：始终示例： `"xyz"`
操作列表 / 元素=字符串	授权允许的操作列表。返回：始终示例： `["Decrypt", "GenerateDataKey"]`
撤销主体字符串	可以撤销授权的主体。返回：始终示例：`"arn:aws:sts::123456789012:assumed-role/lambda_xyz/xyz"`
密钥ARN 字符串	密钥的ARN。返回：始终示例： `"arn:aws:kms:ap-southeast-2:123456789012:key/abcd1234-abcd-1234-5678-ef1234567890"`
key_id 字符串	密钥的ID。返回：始终示例： `"abcd1234-abcd-1234-5678-ef1234567890"`
密钥管理器字符串	KMS密钥的管理器。返回：始终示例： `"AWS"`
密钥策略列表 / 元素=字典在 community.aws 3.3.0 中添加	密钥的策略文档列表。即使存在策略，如果访问被拒绝，则为空。返回：始终示例： {"Id": "auto-ebs-2", "Statement": [{"Action": ["kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt", "kms:GenerateDataKey", "kms:CreateGrant", "kms:DescribeKey"], "Condition": {"StringEquals": {"kms:CallerAccount": "123456789012", "kms:ViaService": "ec2.ap-southeast-2.amazonaws.com"}}, "Effect": "Allow", "Principal": {"AWS": ""}, "Resource": "", "Sid": "Allow access through EBS for all principals in the account that are authorized to use EBS"}, {"Action": ["kms:Describe", "kms:Get", "kms:List", "kms:RevokeGrant"], "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:root"}, "Resource": "", "Sid": "Allow direct access to key metadata to the account"}], "Version": "2012-10-17"}
密钥规格字符串	指定要创建的KMS密钥的类型。返回：始终示例：`"SYMMETRIC_DEFAULT"`
密钥状态字符串	密钥的状态。将是以下之一：`'Creating'`，`'Enabled'`，`'Disabled'`，`'PendingDeletion'`，`'PendingImport'`，`'PendingReplicaDeletion'`，`'Unavailable'`或`'Updating'`。返回：始终示例： `"PendingDeletion"`
密钥用途字符串	可以使用密钥进行的加密操作。返回：始终示例： `"ENCRYPT_DECRYPT"`
多区域布尔值	指示KMS密钥是多区域密钥 (True) 还是区域密钥 (False)。返回：始终示例：`false`
来源字符串	密钥密钥材料的来源。当此值为`AWS_KMS`时，AWS KMS 创建了密钥材料。当此值为`EXTERNAL`时，密钥材料已导入或 CMK 缺少密钥材料。返回：始终示例： `"AWS_KMS"`
标签字典	应用于密钥的标签字典。即使存在标签，如果访问被拒绝，则为空。返回：始终示例： `{"Name": "myKey", "Purpose": "protecting_stuff"}`

作者

Will Thames (@willthames)