关于别名 - AWS 支付密码学

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

关于别名

了解别名在 AWS 支付密码学中的工作原理。

别名是一种独立的 AWS 资源

别名不是 AWS 支付密码学密钥的属性。您对别名执行的操作不会影响其关联的密钥。您可以为 AWS 支付加密密钥创建别名,然后更新别名,使其与不同的 AWS 支付加密密钥相关联。您甚至可以删除别名,而不会对关联的 AWS 支付加密密钥产生任何影响。如果您删除 AWS Payment Cryptography 密钥,则会取消分配与该密钥关联的所有别名。

如果您在 IAM 策略中将别名指定为资源,则该策略指的是别名,而不是关联的 AWS 支付加密密钥。

每个别名都有友好名称

在创建别名时,您指定前缀为 alias/ 的别名。例如 alias/test_1234

每个别名一次都与一个 AWS 支付密码密钥相关联

别名及其 AWS 支付密码密钥必须位于同一个账户和地区中。

AWS 付款加密密钥可以同时与多个别名关联,但每个别名只能映射到一个密钥

例如,此 list-aliases输出显示alias/sampleAlias1 别名仅与一个目标 AWS Payment Cryptography 密钥相关联,该密钥由 KeyArn 属性表示。

$ aws payment-cryptography list-aliases
  



  {
    "Aliases": [
        {
            "AliasName": "alias/sampleAlias1",
            "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h"
        }
    ]
}
多个别名可以与同一个 AWS 支付密码密钥相关联

例如,您可以将 alias/sampleAlias1;alias/sampleAlias2 别名与同一个密钥关联。

$ aws payment-cryptography list-aliases

{
        "Aliases": [
            {
                "AliasName": "alias/sampleAlias1",
                "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h"
            },
            {
                "AliasName": "alias/sampleAlias2",
                "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h"
            }
        ]
    }
别名在给定的账户和区域中必须是唯一的

例如,您在每个账户和区域中只能有一个 alias/sampleAlias1 别名。别名区分大小写,但我们建议不要使用仅大小写不同的别名,因为这样很容易出错。您不能更改别名名称。但是,您可以删除别名并使用所需名称创建新别名。

您可以在不同的区域中创建具有相同名称的别名。

例如,您可以在美国东部(弗吉尼亚州北部)拥有 alias/sampleAlias2 别名,在美国西部(俄勒冈州)拥有 alias/sampleAlias2 别名。每个别名都将与其所在地区的 AWS 支付加密密钥相关联。如果您的代码引用 alias/finance-key 之类的别名名称,您可以在多个区域中运行它。在每个区域中,它使用不同的别名 /sampleAlias2。有关详细信息,请参阅在应用程序中使用别名

您可以更改与别名关联的 AWS 支付加密密钥

您可以使用该UpdateAlias操作将别名与不同的 AWS 支付加密密钥相关联。例如,如果alias/sampleAlias2别名与arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h AWS 支付加密密钥相关联,则可以对其进行更新,使其与arn:aws:payment-cryptography:us-east-2:111122223333:key/tqv5yij6wtxx64pi密钥关联。

警告

AWS Payment Cryptography 无法验证新旧密钥是否具有所有相同的属性,例如密钥用法。使用不同的密钥类型进行更新可能会导致应用程序出现问题。

有些密钥没有别名

别名是一项可选功能,除非您选择以这种方式操作环境,否则并非所有密钥都有别名。可以使用 create-alias 命令将密钥与别名相关联。此外,您还可以使用 UpdateAlias 操作来更改与别名关联的 AWS Payment Cryptography 密钥,并使用 delete-alias 操作来删除别名。因此,某些 AWS 支付密码学密钥可能有多个别名,而有些可能没有别名。

将密钥映射到别名

您可以使用 create-alias 命令将密钥(由 ARN 表示)映射到一个或多个别名。此命令不是幂等的,要更新别名,请使用 update-alias 命令。

$ aws payment-cryptography create-alias --alias-name alias/sampleAlias1 \
             --key-arn arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
{
    "Alias": {
        "AliasName": "alias/alias/sampleAlias1",
        "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h"
    }
}