本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
尋找 KMS 金鑰的別名名稱和別名 ARN
別名可讓您在 AWS KMS 主控台中輕鬆識別 KMS 金鑰。您可以在 AWS KMS 主控台或使用 ListAliases 操作來檢視 KMS 金鑰的別名。DescribeKey 操作 (會傳回 KMS 金鑰的屬性) 不包含別名。
下列程序示範如何使用 AWS KMS 主控台和 AWS KMS API 檢視和識別與 KMS 金鑰相關聯的別名。 AWS KMS API 範例使用 AWS Command Line Interface (AWS CLI)
AWS KMS 主控台會顯示與 KMS 金鑰相關聯的別名。
-
在 https://https://console.aws.amazon.com/kms
開啟 AWS KMS 主控台。 -
若要變更 AWS 區域,請使用頁面右上角的區域選擇器。
-
若要檢視您所建立及管理帳戶中的金鑰,請在導覽窗格中選擇Customer managed keys (客戶受管金鑰)。若要檢視帳戶中為您 AWS 建立和管理的金鑰,請在導覽窗格中選擇AWS 受管金鑰。
-
Aliases (別名) 欄會顯示每個 KMS 金鑰的別名。如果 KMS 金鑰沒有別名,則會在 Aliases (別名) 資料欄中使用破折號 (-) 顯示。
如果 KMS 金鑰有多個別名,Aliases (別名) 資料欄也有別名摘要,例如 (+n more) (+n 等)。例如,下列 KMS 金鑰有兩個別名,其中一個是
key-test。若要尋找 KMS 金鑰所有別名的別名名稱和別名 ARN,請使用 Aliases (別名) 索引標籤。
-
若要直接移至 Aliases (別名) 欄中的 Aliases (別名) 索引標籤,請選擇別名摘要 (+n 等)。只有在 KMS 金鑰具有多個別名時,才會顯示別名摘要。
-
或者,選擇 KMS 金鑰的別名或金鑰 ID (這會開啟 KMS 金鑰的詳細資訊頁面),然後選擇 Aliases (別名) 索引標籤。索引標籤位於 General configuration (一般組態) 區段。
-
-
Aliases (別名) 索引標籤會顯示 KMS 金鑰所有別名的別名名稱和別名 ARN。您也可以在此索引標籤上建立並刪除 KMS 金鑰的別名。
AWS 受管金鑰
您可以使用別名來辨識 AWS 受管金鑰,如本範例AWS 受管金鑰頁面所示。 AWS 受管金鑰
的別名一律具有以下格式:aws/。例如, AWS 受管金鑰 適用於 Amazon DynamoDB 的 別名為 <service-name>aws/dynamodb。
ListAliases 操作會傳回帳戶和區域中別名的別名名稱和別名 ARN。輸出包含客戶受管金鑰的 AWS 受管金鑰 和 別名。 AWS 受管金鑰 別名具有格式 aws/,例如 <service-name>aws/dynamodb。
回應可能也包含沒有 TargetKeyId 欄位的別名。這些是 AWS 已建立但尚未與 KMS 金鑰建立關聯的預先定義別名。
$aws kms list-aliases{ "Aliases": [ { "AliasName": "alias/access-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1516435200.399, "LastUpdatedDate": 1516435200.399 }, { "AliasName": "alias/ECC-P521-Sign", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ECC-P521-Sign", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1693622000.704, "LastUpdatedDate": 1693622000.704 }, { "AliasName": "alias/ImportedKey", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ImportedKey", "TargetKeyId": "1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d", "CreationDate": 1493622000.704, "LastUpdatedDate": 1521097200.235 }, { "AliasName": "alias/finance-project", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/finance-project", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1604958290.014, "LastUpdatedDate": 1604958290.014 }, { "AliasName": "alias/aws/dynamodb", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/dynamodb", "TargetKeyId": "0987ab65-43cd-21ef-09ab-87654321cdef", "CreationDate": 1521097200.454, "LastUpdatedDate": 1521097200.454 }, { "AliasName": "alias/aws/ebs", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/ebs", "TargetKeyId": "abcd1234-09fe-ef90-09fe-ab0987654321", "CreationDate": 1466518990.200, "LastUpdatedDate": 1466518990.200 } ] }
若要取得與特定 KMS 金鑰關聯的所有別名,請使用 ListAliases 操作的選用 KeyId 參數。KeyId 參數採用 KMS 金鑰的金鑰 ID 或金鑰 ARN。
此範例會將所有別名與 0987dcba-09fe-87dc-65ba-ab0987654321 KMS 金鑰關聯。
$aws kms list-aliases --key-id 0987dcba-09fe-87dc-65ba-ab0987654321{ "Aliases": [ { "AliasName": "alias/access-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": "2018-01-20T15:23:10.194000-07:00", "LastUpdatedDate": "2018-01-20T15:23:10.194000-07:00" }, { "AliasName": "alias/finance-project", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/finance-project", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1604958290.014, "LastUpdatedDate": 1604958290.014 } ] }
KeyId 參數不會採用萬用字元,但您可以使用程式設計語言的功能來篩選回應。
例如,下列 AWS CLI 命令只會取得 的別名 AWS 受管金鑰。
$aws kms list-aliases --query 'Aliases[?starts_with(AliasName, `alias/aws/`)]'
下列命令只會取得 access-key 別名。別名名稱區分大小寫。
$aws kms list-aliases --query 'Aliases[?AliasName==`alias/access-key`]'[ { "AliasName": "alias/access-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": "2018-01-20T15:23:10.194000-07:00", "LastUpdatedDate": "2018-01-20T15:23:10.194000-07:00" } ]
