本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
尋找索引KMS鍵ARN的別名名稱和別名
別名可讓您輕鬆識別 AWS KMS 主控台中的KMS金鑰。您可以在 AWS KMS 主控台中或使用 ListAliases操作來檢視KMS金鑰的別名。DescribeKey 傳回KMS金鑰屬性的操作不包含別名。
下列程序示範如何使用 AWS KMS 主控台和 檢視和識別與KMS金鑰相關聯的別名 AWS KMS API。這些 AWS KMS API範例使用 AWS Command Line Interface (AWS CLI)
AWS KMS 主控台會顯示與KMS金鑰相關聯的別名。
-
在 https://console.aws.amazon.com/kms
開啟 AWS KMS 主控台。 -
若要變更 AWS 區域,請使用頁面右上角的區域選取器。
-
若要檢視您所建立及管理帳戶中的金鑰,請在導覽窗格中選擇Customer managed keys (客戶受管金鑰)。若要檢視帳戶中為您 AWS 建立和管理的金鑰,請在導覽窗格中選擇 AWS 受管金鑰 。
-
別名欄會顯示每個KMS金鑰的別名。如果KMS索引鍵沒有別名,則別名欄中會出現破折號 (-)。
如果索引KMS鍵具有多個別名,則別名資料欄也具有別名摘要,例如 (+n 更多)。例如,下列KMS金鑰有兩個別名,其中一個是
key-test。若要尋找KMS金鑰所有別名ARN的別名名稱和別名,請使用別名標籤。
-
若要直接移至 Aliases (別名) 欄中的 Aliases (別名) 索引標籤,請選擇別名摘要 (+n 等)。只有當KMS金鑰具有多個別名時,才會顯示別名摘要。
-
或者,選擇KMS金鑰的別名或金鑰 ID (開啟KMS金鑰的詳細資訊頁面),然後選擇別名索引標籤。索引標籤位於 General configuration (一般組態) 區段。
-
-
別名索引標籤會顯示KMS索引鍵所有別名ARN的別名名稱和別名。您也可以在此索引標籤上建立和刪除KMS金鑰的別名。
AWS 受管金鑰
您可以使用別名來識別 AWS 受管金鑰,如本範例AWS 受管金鑰頁面所示。 AWS 受管金鑰
的別名一律具有以下格式:aws/。例如, AWS 受管金鑰 適用於 Amazon DynamoDB 的 別名為 <service-name>aws/dynamodb。
ListAliases 操作會傳回帳戶和區域中ARN別名的別名名稱和別名。輸出包含客戶受管金鑰的 AWS 受管金鑰 和 別名。 AWS 受管金鑰 別名具有格式 aws/,例如 <service-name>aws/dynamodb。
回應可能也包含沒有 TargetKeyId 欄位的別名。這些是預先定義的別名, AWS 已建立但尚未與KMS金鑰建立關聯。
$aws kms list-aliases{ "Aliases": [ { "AliasName": "alias/access-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1516435200.399, "LastUpdatedDate": 1516435200.399 }, { "AliasName": "alias/ECC-P521-Sign", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ECC-P521-Sign", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1693622000.704, "LastUpdatedDate": 1693622000.704 }, { "AliasName": "alias/ImportedKey", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ImportedKey", "TargetKeyId": "1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d", "CreationDate": 1493622000.704, "LastUpdatedDate": 1521097200.235 }, { "AliasName": "alias/finance-project", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/finance-project", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1604958290.014, "LastUpdatedDate": 1604958290.014 }, { "AliasName": "alias/aws/dynamodb", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/dynamodb", "TargetKeyId": "0987ab65-43cd-21ef-09ab-87654321cdef", "CreationDate": 1521097200.454, "LastUpdatedDate": 1521097200.454 }, { "AliasName": "alias/aws/ebs", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/ebs", "TargetKeyId": "abcd1234-09fe-ef90-09fe-ab0987654321", "CreationDate": 1466518990.200, "LastUpdatedDate": 1466518990.200 } ] }
若要取得與特定KMS金鑰相關聯的所有別名,請使用 ListAliases操作的選用KeyId參數。KeyId 參數會取得金鑰的金鑰 ARN ID 或KMS金鑰。
此範例會取得與0987dcba-09fe-87dc-65ba-ab0987654321KMS金鑰相關聯的所有別名。
$aws kms list-aliases --key-id 0987dcba-09fe-87dc-65ba-ab0987654321{ "Aliases": [ { "AliasName": "alias/access-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": "2018-01-20T15:23:10.194000-07:00", "LastUpdatedDate": "2018-01-20T15:23:10.194000-07:00" }, { "AliasName": "alias/finance-project", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/finance-project", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1604958290.014, "LastUpdatedDate": 1604958290.014 } ] }
KeyId 參數不會採用萬用字元,但您可以使用程式設計語言的功能來篩選回應。
例如,下列 AWS CLI 命令只會取得 的別名 AWS 受管金鑰。
$aws kms list-aliases --query 'Aliases[?starts_with(AliasName, `alias/aws/`)]'
下列命令只會取得 access-key 別名。別名名稱區分大小寫。
$aws kms list-aliases --query 'Aliases[?AliasName==`alias/access-key`]'[ { "AliasName": "alias/access-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": "2018-01-20T15:23:10.194000-07:00", "LastUpdatedDate": "2018-01-20T15:23:10.194000-07:00" } ]
