Aliase aktualisieren

Da es sich bei einem Alias um eine unabhängige Ressource handelt, können Sie den KMS-Schlüssel ändern, der einem Alias zugeordnet ist. Wenn der test-key Alias beispielsweise einem KMS-Schlüssel zugeordnet ist, können Sie ihn mithilfe des UpdateAliasVorgangs einem anderen KMS-Schlüssel zuordnen. Dies ist eine von mehreren Möglichkeiten, einen KMS-Schlüssel manuell zu drehen, ohne das Schlüsselmaterial zu ändern. Sie können auch einen KMS-Schlüssel aktualisieren, sodass eine Anwendung, die einen bestimmten KMS-Schlüssel für neue Ressourcen verwendet hat, jetzt einen anderen KMS-Schlüssel verwendet.

Sie können einen Alias in der AWS KMS Konsole nicht aktualisieren. Sie können außerdem nicht UpdateAlias (oder eine andere Operation) verwenden, einen Aliasnamen zu ändern. Wenn Sie einen Aliasnamen ändern möchten, löschen Sie den aktuellen Alias und erstellen Sie einen neuen Alias für den KMS-Schlüssel.

Wenn Sie einen Alias aktualisieren, müssen der aktuelle KMS-Schlüssel und der neue KMS-Schlüssel vom selben Typ sein (beide symmetrisch oder asymmetrisch oder HMAC). Sie müssen auch die gleiche Schlüsselverwendung haben (ENCRYPT_DECRYPT oder SIGN_VERIFY oder GENERATE_VERIFY_MAC). Diese Beschränkung verhindert kryptografische Fehler in Code, der Aliasse verwendet.

Im folgenden Beispiel wird zunächst anhand des ListAliasesVorgangs gezeigt, dass der test-key Alias derzeit dem KMS-Schlüssel zugeordnet ist1234abcd-12ab-34cd-56ef-1234567890ab.


$ aws kms list-aliases --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "Aliases": [
        {
            "AliasName": "alias/test-key",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
            "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
            "CreationDate": 1593622000.191,
            "LastUpdatedDate": 1593622000.191
        }
    ]
}

Als Nächstes ändert die UpdateAlias-Operation den KMS-Schlüssel, der dem test-key-Alias zugeordnet ist, in den KMS-Schlüssel 0987dcba-09fe-87dc-65ba-ab0987654321. Sie müssen nicht den aktuell zugeordneten KMS-Schlüssel angeben, sondern nur den neuen („Ziel“)-KMS-Schlüssel. Bei dem Aliasnamen wird zwischen Groß-/Kleinschreibung unterschieden.


$ aws kms update-alias --alias-name 'alias/test-key' --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321

Um zu überprüfen, ob der Alias jetzt dem Ziel-KMS-Schlüssel zugeordnet ist, verwenden Sie die ListAliases-Operation erneut. Dieser AWS CLI Befehl verwendet den --query Parameter, um nur den test-key Alias abzurufen. Die TargetKeyId- und LastUpdatedDate-Felder werden aktualisiert.


$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/test-key`]'
[
    {
        "AliasName": "alias/test-key",
        "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
        "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": 1593622000.191,
        "LastUpdatedDate": 1604958290.154
    }
]

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Finden Sie den Aliasnamen und den Alias-ARN

Löscht einen Alias