Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aliase aktualisieren
Da es sich bei einem Alias um eine unabhängige Ressource handelt, können Sie den mit einem Alias verknüpften KMS Schlüssel ändern. Wenn der test-key Alias beispielsweise einem KMS Schlüssel zugeordnet ist, können Sie ihn mithilfe der UpdateAliasOperation einem anderen KMS Schlüssel zuordnen. Dies ist eine von mehreren Möglichkeiten, einen KMS Schlüssel manuell zu drehen, ohne das Schlüsselmaterial zu ändern. Sie können auch einen KMS Schlüssel aktualisieren, sodass eine Anwendung, die einen KMS Schlüssel für neue Ressourcen verwendet hat, jetzt einen anderen KMS Schlüssel verwendet.
Sie können einen Alias in der AWS KMS Konsole nicht aktualisieren. Sie können außerdem nicht UpdateAlias (oder eine andere Operation) verwenden, einen Aliasnamen zu ändern. Um einen Aliasnamen zu ändern, löschen Sie den aktuellen Alias und erstellen Sie dann einen neuen Alias für den KMS Schlüssel.
Wenn Sie einen Alias aktualisieren, müssen der aktuelle KMS Schlüssel und der neue KMS Schlüssel vom gleichen Typ sein (beide symmetrisch oder asymmetrisch oder). HMAC Sie müssen außerdem dieselbe Schlüsselverwendung (ENCRYPT_DECRYPToder SIGN_VERIFY oder GENERATE _ VERIFY _MAC) haben. Diese Beschränkung verhindert kryptografische Fehler in Code, der Aliasse verwendet.
Im folgenden Beispiel wird zunächst anhand der ListAliasesOperation gezeigt, dass der test-key Alias derzeit mit dem KMS Schlüssel verknüpft ist1234abcd-12ab-34cd-56ef-1234567890ab.
$aws kms list-aliases --key-id 1234abcd-12ab-34cd-56ef-1234567890ab{ "Aliases": [ { "AliasName": "alias/test-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1593622000.191, "LastUpdatedDate": 1593622000.191 } ] }
Als Nächstes verwendet es die UpdateAlias Operation, um den KMS Schlüssel, der dem test-key Alias zugeordnet ist, in KMS key zu ändern0987dcba-09fe-87dc-65ba-ab0987654321. Sie müssen nicht den aktuell verknüpften KMS Schlüssel angeben, sondern nur den neuen KMS Schlüssel („Ziel“). Bei dem Aliasnamen wird zwischen Groß-/Kleinschreibung unterschieden.
$aws kms update-alias --alias-name 'alias/test-key' --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
Um zu überprüfen, ob der Alias jetzt mit dem KMS Zielschlüssel verknüpft ist, führen Sie den ListAliases Vorgang erneut aus. Dieser AWS CLI Befehl verwendet den --query Parameter, um nur den test-key Alias abzurufen. Die TargetKeyId- und LastUpdatedDate-Felder werden aktualisiert.
$aws kms list-aliases --query 'Aliases[?AliasName==`alias/test-key`]'[ { "AliasName": "alias/test-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1593622000.191, "LastUpdatedDate": 1604958290.154 } ]
