Actualización de alias - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Actualización de alias

Como un alias es un recurso independiente, puede cambiar la KMS clave asociada a un alias. Por ejemplo, si el test-key alias está asociado a una KMS clave, puede utilizar la UpdateAliasoperación para asociarlo a una KMS clave diferente. Esta es una de las diversas formas de girar manualmente una KMS clave sin cambiar el material de la clave. También puede actualizar una KMS clave para que una aplicación que utilizaba una KMS clave para nuevos recursos utilice ahora una KMS clave diferente.

No puede actualizar un alias en la AWS KMS consola. Además, no puede utilizar UpdateAlias (o cualquier otra operación) para cambiar un nombre de alias. Para cambiar el nombre de un alias, elimine el alias actual y, a continuación, cree uno nuevo para la KMS clave.

Al actualizar un alias, la KMS clave actual y la nueva KMS deben ser del mismo tipo (simétricas o asimétricas oHMAC). También deben tener el mismo uso de clave (ENCRYPT_DECRYPTSIGN_VERIFYo GENERATE _ VERIFY _MAC). Esta restricción evita errores criptográficos en el código que utiliza alias.

El siguiente ejemplo comienza con la ListAliasesoperación para mostrar que el test-key alias está asociado actualmente a la KMS clave1234abcd-12ab-34cd-56ef-1234567890ab. 

$ aws kms list-aliases --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "Aliases": [
        {
            "AliasName": "alias/test-key",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
            "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
            "CreationDate": 1593622000.191,
            "LastUpdatedDate": 1593622000.191
        }
    ]
}

A continuación, utiliza la UpdateAlias operación para cambiar la KMS clave asociada al test-key alias por KMS clave0987dcba-09fe-87dc-65ba-ab0987654321. No es necesario especificar la clave actualmente asociada, solo la nueva KMS clave («de destino»)KMS. El nombre del alias distingue entre mayúsculas y minúsculas.

$ aws kms update-alias --alias-name 'alias/test-key' --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321

Para comprobar que el alias está ahora asociado a la KMS clave de destino, vuelva a utilizar la ListAliases operación. Este AWS CLI comando usa el --query parámetro para obtener solo el test-key alias. Los campos TargetKeyId y LastUpdatedDate se actualizan.

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/test-key`]'
[
    {
        "AliasName": "alias/test-key",
        "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
        "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": 1593622000.191,
        "LastUpdatedDate": 1604958290.154
    }
]