本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 创建别名
<a name="alias-create"></a>

您可以在 AWS KMS 控制台中创建别名，也可以使用 AWS KMS API 操作来创建别名。

别名必须为 1-256 个字符的字符串。它只能包含字母数字字符、正斜杠 (/)、下划线 (\$1) 和连字符 (-)。[客户托管密钥](concepts.md#customer-mgn-key)的别名名称不能以开头 `alias/aws/` 开头。`alias/aws/` 前缀专门预留供 [AWS 托管式密钥](concepts.md#aws-managed-key) 使用。

您可以为新的 KMS 密钥或现有的 KMS 密钥创建别名。您可以添加别名，以便在项目或应用程序中使用特定 KMS 密钥。

您也可以使用 AWS CloudFormation 模板为 KMS 密钥创建别名。有关更多信息，请参阅《AWS CloudFormation 用户指南》**中的 [AWS::KMS::Alias](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-alias.html)。

## 使用控制 AWS KMS 台
<a name="alias-create-console"></a>

在 AWS KMS 控制台中[创建 KMS 密钥](create-keys.md)时，必须为新的 KMS 密钥创建别名。要为现有 KMS 密钥创建别名，请使用 KMS 密钥详细信息页面上的 **Aliases**（别名）选项卡。

1. 登录 AWS 管理控制台 并在 [https://console.aws.amazon.com/km](https://console.aws.amazon.com/kms) s 处打开 AWS Key Management Service (AWS KMS) 控制台。

1. 要更改 AWS 区域，请使用页面右上角的区域选择器。

1. 在导航窗格中，选择**客户托管密钥**。您无法管理 AWS 托管式密钥 或 AWS 拥有的密钥的别名。

1. 在表中，选择 KMS 密钥的密钥 ID 和别名。然后，在 KMS 密钥详细信息页面上，选择 **Aliases**（别名）选项卡。

   如果 KMS 密钥具有多个别名，则表中的 **Aliases**（别名）列会显示一个别名和一个别名摘要，例如**（再加 *n* 个）**。选择别名摘要将直接进入 KMS 密钥详细信息页面上的 **Aliases**（别名）选项卡中。

1. 在 **Aliases**（别名）选项卡上，选择 **Create alias**（创建别名）。输入别名名称，然后选择 **Create alias**（创建别名）。
**重要**  
不要在此字段中包含机密或敏感信息。此字段可能会以纯文本形式显示在 CloudTrail 日志和其他输出中。
**注意**  
不要添加 `alias/` 前缀。控制台会为您自动添加。如果您输入 `alias/ExampleAlias`，实际的别名名称将是 `alias/alias/ExampleAlias`。

## 使用 AWS KMS API
<a name="alias-create-api"></a>

要创建别名，请使用[CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)操作。与在控制台中创建 KMS 密钥的过程不同，该[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)操作不会为新的 KMS 密钥创建别名。

**重要**  
不要在此字段中包含机密或敏感信息。此字段可能会以纯文本形式显示在 CloudTrail 日志和其他输出中。

您可以使用 `CreateAlias` 操作为没有别名的新 KMS 密钥创建别名。您也可以使用 `CreateAlias` 操作将别名添加到任何现有 KMS 密钥中或重新创建意外删除的别名。

在 AWS KMS API 操作中，别名必须以开头，`alias/`后跟一个名称，例如`alias/ExampleAlias`。别名在账户和 区域中必须是唯一的。要查找已在使用的别名，请使用[ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)操作。别名名称区分大小写。

`TargetKeyId`可以是相同 AWS 区域中的任何[客户托管密钥](concepts.md#customer-mgn-key)。要标识 KMS 密钥，请使用其[密钥 ID](concepts.md#key-id-key-id) 或[密钥 ARN](concepts.md#key-id-key-ARN)。您不能使用另一个别名。

以下示例将创建 `example-key` 别名，并将其与指定的 KMS 密钥相关联。这些示例使用 AWS Command Line Interface (AWS CLI)。有关使用多种编程语言的示例，请参阅[`CreateAlias`与 AWS SDK 或 CLI 配合使用](example_kms_CreateAlias_section.md)。

```
$ aws kms create-alias \
    --alias-name alias/example-key \
    --target-key-id 1234abcd-12ab-34cd-56ef-1234567890ab
```

`CreateAlias` 不返回任何输出。要查看新别名，请使用 `ListAliases` 操作。有关更多信息，请参阅 [使用 AWS KMS API](alias-view.md#alias-view-api)。