Mettre à jour les alias - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mettre à jour les alias

Comme un alias est une ressource indépendante, vous pouvez modifier la KMS clé associée à un alias. Par exemple, si l'test-keyalias est associé à une KMS clé, vous pouvez utiliser l'UpdateAliasopération pour l'associer à une autre KMS clé. Il s'agit de l'une des nombreuses méthodes permettant de faire pivoter manuellement une KMS clé sans en modifier le matériau. Vous pouvez également mettre à jour une KMS clé afin qu'une application qui utilisait une KMS clé pour de nouvelles ressources utilise désormais une KMS clé différente.

Vous ne pouvez pas mettre à jour un alias dans la AWS KMS console. En outre, vous ne pouvez pas utiliser UpdateAlias (ou toute autre opération) pour modifier un nom d'alias. Pour modifier le nom d'un alias, supprimez l'alias actuel, puis créez un nouvel alias pour la KMS clé.

Lorsque vous mettez à jour un alias, la KMS clé actuelle et la nouvelle KMS clé doivent être du même type (symétriques ou asymétriques ouHMAC). Ils doivent également utiliser la même clé (ENCRYPT_DECRYPTSIGN_VERIFYou GENERATE _ VERIFY _MAC). Cette restriction empêche les erreurs cryptographiques dans le code qui utilise des alias.

L'exemple suivant commence par utiliser l'ListAliasesopération pour montrer que l'test-keyalias est actuellement associé à la KMS clé1234abcd-12ab-34cd-56ef-1234567890ab. 

$ aws kms list-aliases --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "Aliases": [
        {
            "AliasName": "alias/test-key",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
            "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
            "CreationDate": 1593622000.191,
            "LastUpdatedDate": 1593622000.191
        }
    ]
}

Ensuite, il utilise l'UpdateAliasopération pour remplacer la KMS clé associée à l'test-keyalias par KMS clé0987dcba-09fe-87dc-65ba-ab0987654321. Il n'est pas nécessaire de spécifier la KMS clé actuellement associée, uniquement la nouvelle KMS clé (« cible »). Le nom de l'alias est sensible à la casse.

$ aws kms update-alias --alias-name 'alias/test-key' --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321

Pour vérifier que l'alias est désormais associé à la KMS clé cible, réutilisez l'ListAliasesopération. Cette AWS CLI commande utilise le --query paramètre pour obtenir uniquement l'test-keyalias. Les champs TargetKeyId et LastUpdatedDate sont mis à jour.

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/test-key`]'
[
    {
        "AliasName": "alias/test-key",
        "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
        "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": 1593622000.191,
        "LastUpdatedDate": 1604958290.154
    }
]