尋找索引KMS鍵ARN的別名名稱和別名 - AWS Key Management Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

尋找索引KMS鍵ARN的別名名稱和別名

別名可讓您輕鬆識別 AWS KMS 主控台中的KMS金鑰。您可以在 AWS KMS 主控台中或使用 ListAliases操作來檢視KMS金鑰的別名。DescribeKey 傳回KMS金鑰屬性的操作不包含別名。

下列程序示範如何使用 AWS KMS 主控台和 檢視和識別與KMS金鑰相關聯的別名 AWS KMS API。這些 AWS KMS API範例使用 AWS Command Line Interface (AWS CLI),但您可以使用任何支援的程式設計語言。

AWS KMS 主控台會顯示與KMS金鑰相關聯的別名。

  1. https://console.aws.amazon.com/kms 開啟 AWS KMS 主控台。

  2. 若要變更 AWS 區域,請使用頁面右上角的區域選取器。

  3. 若要檢視您所建立及管理帳戶中的金鑰,請在導覽窗格中選擇Customer managed keys (客戶受管金鑰)。若要檢視帳戶中為您 AWS 建立和管理的金鑰,請在導覽窗格中選擇 AWS 受管金鑰

  4. 別名欄會顯示每個KMS金鑰的別名。如果KMS索引鍵沒有別名,則別名欄中會出現破折號 (-)。

    如果索引KMS鍵具有多個別名,則別名資料欄也具有別名摘要,例如 (+n 更多)。例如,下列KMS金鑰有兩個別名,其中一個是 key-test

    若要尋找KMS金鑰所有別名ARN的別名名稱和別名,請使用別名標籤。

    • 若要直接移至 Aliases (別名) 欄中的 Aliases (別名) 索引標籤,請選擇別名摘要 (+n)。只有當KMS金鑰具有多個別名時,才會顯示別名摘要。

    • 或者,選擇KMS金鑰的別名或金鑰 ID (開啟KMS金鑰的詳細資訊頁面),然後選擇別名索引標籤。索引標籤位於 General configuration (一般組態) 區段。

    客戶受管金鑰 interface showing a list with one key and options to create or filter keys.
  5. 別名索引標籤會顯示KMS索引鍵所有別名ARN的別名名稱和別名。您也可以在此索引標籤上建立和刪除KMS金鑰的別名。

    Aliases tab showing two key aliases with their names and ARNs listed in a table format.
AWS 受管金鑰

您可以使用別名來識別 AWS 受管金鑰,如本範例AWS 受管金鑰頁面所示。 AWS 受管金鑰 的別名一律具有以下格式:aws/<service-name>。例如, AWS 受管金鑰 適用於 Amazon DynamoDB 的 別名為 aws/dynamodb

AWS KMS 主控台 AWS 受管金鑰 頁面中的別名

ListAliases 操作會傳回帳戶和區域中ARN別名的別名名稱和別名。輸出包含客戶受管金鑰的 AWS 受管金鑰 和 別名。 AWS 受管金鑰 別名具有格式 aws/<service-name>,例如 aws/dynamodb

回應可能也包含沒有 TargetKeyId 欄位的別名。這些是預先定義的別名, AWS 已建立但尚未與KMS金鑰建立關聯。

$ aws kms list-aliases { "Aliases": [ { "AliasName": "alias/access-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1516435200.399, "LastUpdatedDate": 1516435200.399 }, { "AliasName": "alias/ECC-P521-Sign", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ECC-P521-Sign", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1693622000.704, "LastUpdatedDate": 1693622000.704 }, { "AliasName": "alias/ImportedKey", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ImportedKey", "TargetKeyId": "1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d", "CreationDate": 1493622000.704, "LastUpdatedDate": 1521097200.235 }, { "AliasName": "alias/finance-project", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/finance-project", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1604958290.014, "LastUpdatedDate": 1604958290.014 }, { "AliasName": "alias/aws/dynamodb", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/dynamodb", "TargetKeyId": "0987ab65-43cd-21ef-09ab-87654321cdef", "CreationDate": 1521097200.454, "LastUpdatedDate": 1521097200.454 }, { "AliasName": "alias/aws/ebs", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/ebs", "TargetKeyId": "abcd1234-09fe-ef90-09fe-ab0987654321", "CreationDate": 1466518990.200, "LastUpdatedDate": 1466518990.200 } ] }

若要取得與特定KMS金鑰相關聯的所有別名,請使用 ListAliases操作的選用KeyId參數。KeyId 參數會取得金鑰的金鑰 ARN ID 或KMS金鑰。

此範例會取得與0987dcba-09fe-87dc-65ba-ab0987654321KMS金鑰相關聯的所有別名。

$ aws kms list-aliases --key-id 0987dcba-09fe-87dc-65ba-ab0987654321 { "Aliases": [ { "AliasName": "alias/access-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": "2018-01-20T15:23:10.194000-07:00", "LastUpdatedDate": "2018-01-20T15:23:10.194000-07:00" }, { "AliasName": "alias/finance-project", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/finance-project", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1604958290.014, "LastUpdatedDate": 1604958290.014 } ] }

KeyId 參數不會採用萬用字元,但您可以使用程式設計語言的功能來篩選回應。

例如,下列 AWS CLI 命令只會取得 的別名 AWS 受管金鑰。

$ aws kms list-aliases --query 'Aliases[?starts_with(AliasName, `alias/aws/`)]'

下列命令只會取得 access-key 別名。別名名稱區分大小寫。

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/access-key`]' [ { "AliasName": "alias/access-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": "2018-01-20T15:23:10.194000-07:00", "LastUpdatedDate": "2018-01-20T15:23:10.194000-07:00" } ]