Aggiornare gli alias - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiornare gli alias

Poiché un alias è una risorsa indipendente, è possibile modificare la KMS chiave associata a un alias. Ad esempio, se l'test-keyalias è associato a una KMS chiave, è possibile utilizzare l'UpdateAliasoperazione per associarlo a una chiave diversa. KMS Questo è uno dei diversi modi per ruotare manualmente una KMS chiave senza modificarne il materiale. È inoltre possibile aggiornare una KMS chiave in modo che un'applicazione che utilizzava una KMS chiave per nuove risorse ora utilizzi una KMS chiave diversa.

Non è possibile aggiornare un alias nella AWS KMS console. Inoltre, non puoi utilizzare UpdateAlias (o qualsiasi altra operazione) per modificare un nome di alias. Per modificare il nome di un alias, elimina l'alias corrente e quindi crea un nuovo alias per la chiave. KMS

Quando aggiorni un alias, la KMS chiave corrente e la nuova KMS chiave devono essere dello stesso tipo (simmetrica o asimmetrica o). HMAC Devono inoltre avere lo stesso utilizzo della chiave (ENCRYPT_DECRYPTo _ _). SIGN_VERIFY GENERATE VERIFY MAC Questa restrizione impedisce errori di crittografia nel codice che utilizza alias.

L'esempio seguente inizia utilizzando l'ListAliasesoperazione per mostrare che l'test-keyalias è attualmente associato alla KMS chiave1234abcd-12ab-34cd-56ef-1234567890ab. 

$ aws kms list-aliases --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "Aliases": [
        {
            "AliasName": "alias/test-key",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
            "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
            "CreationDate": 1593622000.191,
            "LastUpdatedDate": 1593622000.191
        }
    ]
}

Successivamente, utilizza l'UpdateAliasoperazione per modificare la KMS chiave associata all'test-keyalias in key. KMS 0987dcba-09fe-87dc-65ba-ab0987654321 Non è necessario specificare la chiave attualmente associata, ma solo la nuova KMS chiave («target»)KMS. Il nome alias fa distinzione tra maiuscole e minuscole.

$ aws kms update-alias --alias-name 'alias/test-key' --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321

Per verificare che l'alias sia ora associato alla KMS chiave di destinazione, usa nuovamente l'ListAliasesoperazione. Questo AWS CLI comando utilizza il --query parametro per ottenere solo l'test-keyalias. I campi TargetKeyId e LastUpdatedDate vengono aggiornati.

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/test-key`]'
[
    {
        "AliasName": "alias/test-key",
        "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
        "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": 1593622000.191,
        "LastUpdatedDate": 1604958290.154
    }
]