本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建别名
您可以在 AWS KMS 控制台中创建别名,也可以使用 AWS KMS API操作来创建别名。
别名必须为 1-256 个字符的字符串。它只能包含字母数字字符、正斜杠 (/)、下划线 (_) 和连字符 (-)。客户托管密钥的别名名称不能以开头 alias/aws/ 开头。alias/aws/ 前缀专门预留供 AWS 托管式密钥 使用。
您可以为新KMS密钥或现有KMS密钥创建别名。您可以添加别名,以便在项目或应用程序中使用特定的KMS密钥。
您也可以使用 AWS CloudFormation 模板为KMS密钥创建别名。有关更多信息,请参阅《AWS CloudFormation 用户指南》中的AWSKMS::: Alias。
在 AWS KMS 控制台中创建KMS密钥时,必须为新KMS密钥创建别名。要为现有KMS密钥创建别名,请使用密钥详情页面上的 “别名” 选项卡。KMS
-
登录 AWS Management Console 并在 https://console.aws.amazon.com/km
s 处打开 AWS Key Management Service (AWS KMS) 控制台。 -
要更改 AWS 区域,请使用页面右上角的区域选择器。
-
在导航窗格中,选择客户托管密钥。您无法管理 AWS 托管式密钥 或 AWS 拥有的密钥的别名。
-
在表中,选择密钥的密钥 ID 或别名。KMS然后,在KMS密钥详情页面上,选择别名选项卡。
如果KMS密钥有多个别名,则表中的 “别名” 列会显示一个别名和一个别名摘要,例如(+ n 更多)。选择别名摘要将您直接带到KMS密钥详情页面上的 “别名” 选项卡。
-
在 Aliases(别名)选项卡上,选择 Create alias(创建别名)。输入别名名称,然后选择 Create alias(创建别名)。
重要
不要在此字段中包含机密或敏感信息。此字段可能会以纯文本形式显示在 CloudTrail 日志和其他输出中。
注意
不要添加
alias/前缀。控制台会为您自动添加。如果您输入alias/ExampleAlias,实际的别名名称将是alias/alias/ExampleAlias。
要创建别名,请使用CreateAlias操作。与在控制台中创建KMS密钥的过程不同,该CreateKey操作不会为新KMS密钥创建别名。
重要
不要在此字段中包含机密或敏感信息。此字段可能会以纯文本形式显示在 CloudTrail 日志和其他输出中。
您可以使用该CreateAlias操作为没有别名的新KMS密钥创建别名。您还可以使用该CreateAlias操作为任何现有KMS密钥添加别名或重新创建意外删除的别名。
在 AWS KMS API操作中,别名必须以开头alias/后跟一个名称,例如alias/ExampleAlias。别名在账户和 区域中必须是唯一的。要查找已在使用的别名,请使用ListAliases操作。别名名称区分大小写。
TargetKeyId可以是相同 AWS 区域中的任何客户托管密钥。要识别KMS密钥,请使用其密钥 ID 或密钥ARN。您不能使用另一个别名。
以下示例创建example-key别名并将其与指定的KMS密钥关联。这些示例使用 AWS Command Line Interface (AWS CLI)。有关使用多种编程语言的示例,请参阅与 AWS SDK或CreateAlias一起使用 CLI。
$aws kms create-alias \ --alias-name alias/example-key \ --target-key-id 1234abcd-12ab-34cd-56ef-1234567890ab
CreateAlias 不返回任何输出。要查看新别名,请使用 ListAliases 操作。有关详细信息,请参阅使用 AWS KMS API。
