Perbarui alias - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perbarui alias

Karena alias adalah sumber daya independen, Anda dapat mengubah KMS kunci yang terkait dengan alias. Misalnya, jika test-key alias dikaitkan dengan satu KMS kunci, Anda dapat menggunakan UpdateAliasoperasi untuk mengaitkannya dengan KMS kunci yang berbeda. Ini adalah salah satu dari beberapa cara untuk memutar KMS kunci secara manual tanpa mengubah materi utamanya. Anda mungkin juga memperbarui KMS kunci sehingga aplikasi yang menggunakan satu KMS kunci untuk sumber daya baru sekarang menggunakan KMS kunci yang berbeda.

Anda tidak dapat memperbarui alias di AWS KMS konsol. Juga, Anda tidak dapat menggunakan UpdateAlias (atau operasi lainnya) untuk mengubah nama alias. Untuk mengubah nama alias, hapus alias saat ini dan kemudian buat alias baru untuk kunci tersebut. KMS

Saat Anda memperbarui alias, KMS kunci saat ini dan KMS kunci baru harus tipe yang sama (simetris atau asimetris atau). HMAC Mereka juga harus memiliki penggunaan kunci yang sama (ENCRYPT_DECRYPTatau SIGN_VERIFY atau GENERATE _ VERIFY _MAC). Pembatasan ini mencegah kesalahan kriptografi dalam kode yang menggunakan alias.

Contoh berikut dimulai dengan menggunakan ListAliasesoperasi untuk menunjukkan bahwa test-key alias saat ini dikaitkan dengan KMS kunci1234abcd-12ab-34cd-56ef-1234567890ab. 

$ aws kms list-aliases --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "Aliases": [
        {
            "AliasName": "alias/test-key",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
            "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
            "CreationDate": 1593622000.191,
            "LastUpdatedDate": 1593622000.191
        }
    ]
}

Selanjutnya, ia menggunakan UpdateAlias operasi untuk mengubah KMS kunci yang terkait dengan test-key alias ke KMS kunci0987dcba-09fe-87dc-65ba-ab0987654321. Anda tidak perlu menentukan kunci yang saat ini terkait, hanya KMS kunci baru (“target”)KMS. Nama alias peka terhadap huruf besar-kecil.

$ aws kms update-alias --alias-name 'alias/test-key' --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321

Untuk memverifikasi bahwa alias sekarang dikaitkan dengan KMS kunci target, gunakan ListAliases operasi lagi. AWS CLI Perintah ini menggunakan --query parameter untuk mendapatkan hanya test-key alias. Bidang TargetKeyId dan LastUpdatedDate diperbarui.

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/test-key`]'
[
    {
        "AliasName": "alias/test-key",
        "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
        "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": 1593622000.191,
        "LastUpdatedDate": 1604958290.154
    }
]