翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
エイリアスは独立したリソースであるため、エイリアスに関連付けられている KMS キーを変更することができます。例えば、test-key エイリアスがある KMS キーに関連付けられている場合、UpdateAlias オペレーションを使用して、エイリアスを別の KMS キーに関連付けることができます。これは、キーマテリアルを変更せずに KMS キーを手動でローテーションする方法の 1 つです。KMS キーを更新し、新しいリソースに特定の KMS キーを使用していたアプリケーションで、別の KMS キーを使用することもできます。
AWS KMS コンソールでエイリアスを更新することはできません。また、 UpdateAlias (または他のオペレーション)を使用してエイリアス名を変更することはできません。エイリアス名を変更するには、現在のエイリアスを削除してから KMS キーの新しいエイリアスを作成します。
エイリアスを更新するときは、現在の KMS キーと新しい KMS キーが同じタイプ (両方とも対称または非対称、もしくは HMAC) である必要があります。これらのキーの用途も同じである必要もあります (ENCRYPT_DECRYPT、SIGN_VERIFY、または GENERATE_VERIFY_MAC)。この制限により、エイリアスを使用するコードの暗号化エラーが防止されます。
次の例では、最初に ListAliases オペレーションを使用して、test-key エイリアスが現在、KMS キー 1234abcd-12ab-34cd-56ef-1234567890ab に関連付けられていることを示します 。
$ aws kms list-aliases --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"Aliases": [
{
"AliasName": "alias/test-key",
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
"TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"CreationDate": 1593622000.191,
"LastUpdatedDate": 1593622000.191
}
]
}次に、UpdateAlias オペレーションを使用して、test-key エイリアスに関連付けられている KMS キーを、KMS キー 0987dcba-09fe-87dc-65ba-ab0987654321 に変更します 現在関連付けられている KMS キーを指定する必要はありません。新しい (「ターゲット」) KMS キーのみを指定します。エイリアス名では、大文字と小文字が区別されます。
$ aws kms update-alias --alias-name 'alias/test-key' --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321エイリアスが現在、ターゲット KMS キーに関連付けられていることを確認するには、再度、ListAliases オペレーションを使用します。この AWS CLI コマンドは、 test-key --queryパラメータを使用してエイリアスのみを取得します。TargetKeyId および LastUpdatedDate フィールドが更新されます。
$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/test-key`]'
[
{
"AliasName": "alias/test-key",
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
"TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"CreationDate": 1593622000.191,
"LastUpdatedDate": 1604958290.154
}
]