Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS KMS keys
Bei den KMS-Schlüsseln, die Sie für die Verwendung in Ihren eigenen kryptografischen Anwendungen erstellen und verwalten, handelt es sich um vom Kunden verwaltete Schlüssel. Vom Kunden verwaltete Schlüssel können auch in Verbindung mit AWS Diensten verwendet werden, die KMS-Schlüssel verwenden, um die Daten zu verschlüsseln, die der Dienst in Ihrem Namen speichert. Kundenverwaltete Schlüssel werden für Kunden empfohlen, die die volle Kontrolle über den Lebenszyklus und die Verwendung ihrer Schlüssel haben möchten. Es fallen monatliche Kosten an, wenn Sie einen vom Kunden verwalteten Schlüssel in Ihrem Konto haben. Darüber hinaus fallen bei Anfragen zur Nutzung und/oder Verwaltung des Schlüssels Nutzungskosten an. Weitere Informationen finden Sie unter AWS Key Management Service Preise
Es gibt Fälle, in denen ein Kunde zwar möchte, dass ein AWS Dienst seine Daten verschlüsselt, er möchte aber nicht den Aufwand für die Verwaltung von Schlüsseln übernehmen und nicht für einen Schlüssel bezahlen möchte. An Von AWS verwalteter Schlüsselist ein KMS-Schlüssel, der in Ihrem Konto vorhanden ist, aber nur unter bestimmten Umständen verwendet werden kann. Insbesondere kann er nur im Kontext des AWS Dienstes verwendet werden, in dem Sie tätig sind, und er kann nur von Prinzipalen innerhalb des Kontos verwendet werden, in dem der Schlüssel vorhanden ist. Sie können nichts über den Lebenszyklus oder die Berechtigungen dieser Schlüssel verwalten. Wenn Sie Verschlüsselungsfunktionen in AWS Diensten verwenden, werden Sie vielleicht feststellen Von AWS verwaltete Schlüssel, dass sie einen Alias der Form „aws<service code>“ verwenden. Ein aws/ebs Schlüssel kann beispielsweise nur zum Verschlüsseln von EBS-Volumes und nur für Volumes verwendet werden, die von IAM-Prinzipalen im selben Konto wie der Schlüssel verwendet werden. Stellen Sie sich einen vor Von AWS verwalteter Schlüssel , der nur von Benutzern in Ihrem Konto für Ressourcen in Ihrem Konto verwendet werden kann. Sie können Ressourcen, die unter oder verschlüsselt wurden, nicht Von AWS verwalteter Schlüssel mit anderen Konten teilen. Von AWS verwalteter Schlüssel Es ist zwar kostenlos, ein in Ihrem Konto zu speichern, aber die Nutzung dieses Schlüsseltyps durch den AWS Dienst, der dem Schlüssel zugewiesen ist, wird Ihnen in Rechnung gestellt.
Von AWS verwaltete Schlüssel sind ein veralteter Schlüsseltyp, der ab 2021 nicht mehr für neue AWS Dienste erstellt wird. Stattdessen verwenden neue (und ältere) AWS Dienste standardmäßig sogenannte An AWS-eigener Schlüsselzur Verschlüsselung von Kundendaten. An AWS-eigener Schlüssel ist ein KMS-Schlüssel, der sich in einem vom AWS Dienst verwalteten Konto befindet, sodass die Servicebetreiber den Lebenszyklus und die Nutzungsberechtigungen verwalten können. Durch die Verwendung AWS-eigene Schlüssel können AWS Dienste Ihre Daten transparent verschlüsseln und eine einfache konto- oder regionsübergreifende gemeinsame Nutzung von Daten ermöglichen, ohne dass Sie sich Gedanken über wichtige Berechtigungen machen müssen. Wird AWS-eigene Schlüssel für encryption-by-default Workloads verwendet, die einen einfacheren, automatisierteren Datenschutz bieten. Da diese Schlüssel Eigentum sind und von ihnen verwaltet werden AWS, fallen keine Gebühren für ihre Existenz oder Nutzung an. Sie können ihre Richtlinien nicht ändern, Sie können keine Aktivitäten im Zusammenhang mit diesen Schlüsseln überprüfen und Sie können sie nicht löschen. Verwenden Sie vom Kunden verwaltete Schlüssel, wenn Kontrolle wichtig ist, aber verwenden Sie AWS-eigene Schlüssel sie, wenn Komfort am wichtigsten ist.
| Vom Kunden verwaltete Schlüssel | Von AWS verwaltete Schlüssel | AWS-eigene Schlüssel | |
| Schlüsselrichtlinie | Ausschließlich vom Kunden kontrolliert | Wird vom Service gesteuert; vom Kunden einsehbar | Ausschließlich kontrolliert und nur von dem AWS Dienst einsehbar, der Ihre Daten verschlüsselt |
| Protokollierung | CloudTrail Datenspeicher für Kundendaten oder Ereignisse | CloudTrail Datenspeicher für Kundendaten oder Ereignisse | Für den Kunden nicht sichtbar |
| Lebenszyklusmanagement | Der Kunde verwaltet Rotation, Löschung und regionalen Standort | AWS KMS verwaltet Rotation (jährlich), Löschung und regionalen Standort | AWS-Service verwaltet Rotation, Löschung und regionalen Standort |
| Preise |
Monatliche Gebühr für das Vorhandensein von Schlüsseln (anteilig) stündlich). Wird auch für die Nutzung von Schlüsseln berechnet |
Keine monatliche Gebühr; dem Anrufer wird jedoch die API-Nutzung für diese Schlüssel in Rechnung gestellt | Keine Gebühren für den Kunden |
Die von Ihnen erstellten KMS-Schlüssel sind kundenverwaltete Schlüssel. AWS-Services , die KMS-Schlüssel zur Entschlüsselung Ihrer Service-Ressourcen verwenden, erstellen oft Schlüssel für Sie. KMS-Schlüssel, die in Ihrem AWS Konto AWS-Services erstellt werden, sind Von AWS verwaltete Schlüssel. KMS-Schlüssel, die in einem Dienstkonto AWS-Services erstellt werden, sind AWS-eigene Schlüssel.
| Typ des KMS-Schlüssels | Kann KMS-Schlüsselmetadaten anzeigen | Kann KMS-Schlüssel verwalten | Wird nur für meine verwendet AWS-Konto | Automatisches Rotieren | Preise |
|---|---|---|---|---|---|
| Kundenverwalteter Schlüssel | Ja | Ja | Ja | Optional. | Monatliche Gebühr (anteilig stündlich) Gebühr pro Nutzung |
| Von AWS verwalteter Schlüssel | Ja | Nein | Ja | Erforderlich Jedes Jahr (ungefähr 365 Tage). | Keine monatliche Gebühr Gebühr pro Nutzung (einige AWS-Services zahlen diese Gebühr für Sie) |
| AWS-eigener Schlüssel | Nein | Nein | Nein | Der AWS-Service verwaltet die Rotationsstrategie. | Keine Gebühren |
AWS Dienste, die in integriert werden, AWS KMS unterscheiden sich in ihrer Unterstützung für KMS-Schlüssel. Einige AWS Dienste verschlüsseln Ihre Daten standardmäßig mit einem AWS-eigener Schlüssel oder einem Von AWS verwalteter Schlüssel. Einige AWS Dienste unterstützen vom Kunden verwaltete Schlüssel. Andere AWS Dienste unterstützen alle Arten von KMS-Schlüsseln AWS-eigener Schlüssel, sodass Sie einen vom Kunden verwalteten Schlüssel einfach Von AWS verwalteter Schlüssel, sichtbar oder kontrollieren können. Ausführliche Informationen zu den Verschlüsselungsoptionen, die ein AWS Dienst bietet, finden Sie unter dem Thema Verschlüsselung im Ruhezustand im Benutzer- oder Entwicklerhandbuch für den Dienst.
Kundenverwaltete Schlüssel
Die von Ihnen erstellten KMS-Schlüssel sind kundenverwaltete Schlüssel. Von Kunden verwaltete Schlüssel sind KMS-Schlüssel in Ihrem AWS-Konto System, die Sie selbst erstellen, besitzen und verwalten. Sie haben die volle Kontrolle über diese KMS-Schlüssel. Dies gilt auch für die Festlegung und Verwaltung ihrer Schlüsselrichtlinien, IAM-Richtlinien und Erteilungen, ihre Aktivierung und Deaktivierung, die Drehung ihrer Verschlüsselungsinformationen, das Hinzufügen von Tags, das Erstellen von Aliassen, die sich auf die KMS-Schlüssel beziehen, und das Einplanen der KMS-Schlüssel zum Löschen.
Kundenverwaltete Schlüssel werden auf der Seite Customer managed keys (Kundenverwaltete Schlüssel) der AWS Management Console
für AWS KMS angezeigt. Verwenden Sie den DescribeKeyVorgang, um einen vom Kunden verwalteten Schlüssel eindeutig zu identifizieren. Für kundenverwaltete Schlüssel ist der Wert des KeyManager-Felds der DescribeKey-Antwort CUSTOMER.
Sie können Ihren kundenverwalteten Schlüssel in kryptografischen Operationen verwenden und ihre Verwendung in AWS CloudTrail -Protokollen prüfen. Darüber hinaus bieten Ihnen viele mit AWS KMS integrierte AWS -Services die Möglichkeit, einen kundenverwalteten Schlüssel zum Schutz der Daten anzugeben, die für Sie gespeichert und verwaltet werden.
Für kundenverwaltete Schlüssel fällt eine monatliche Gebühr sowie eine Gebühr für die über das kostenlose Kontingent hinausgehende Nutzung an. Sie werden auf die AWS KMS Kontingente für Ihr Konto angerechnet. Weitere Informationen finden Sie unter AWS Key Management Service – Preise
Von AWS verwaltete Schlüssel
Von AWS verwaltete Schlüsselsind KMS-Schlüssel in Ihrem Konto, die in Ihrem Namen von einem integrierten AWS Dienst
Bei einigen AWS Diensten können Sie einen Von AWS verwalteter Schlüssel oder einen vom Kunden verwalteten Schlüssel auswählen, um Ihre Ressourcen in diesem Dienst zu schützen. Generell gilt: Sofern Sie nicht selbst die Kontrolle über den Verschlüsselungsschlüssel haben müssen, der Ihre Ressourcen schützt, Von AWS verwalteter Schlüssel ist an eine gute Wahl. Sie müssen den Schlüssel oder seine Schlüsselrichtlinie nicht erstellen oder verwalten, und für einen Von AWS verwalteter Schlüssel gibt es keine monatliche Gebühr.
Sie sind berechtigt, sie Von AWS verwaltete Schlüssel in Ihrem Konto einzusehen, ihre wichtigsten Richtlinien einzusehen und ihre Verwendung in AWS CloudTrail Protokollen zu überprüfen. Sie können jedoch keine Eigenschaften von ändern Von AWS verwaltete Schlüssel, sie rotieren, ihre wichtigsten Richtlinien ändern oder ihre Löschung planen. Und Sie können sie nicht direkt für kryptografische Operationen verwenden Von AWS verwaltete Schlüssel . Der Dienst, der sie erstellt, verwendet sie in Ihrem Namen.
Die Richtlinien zur Ressourcenkontrolle in Ihrer Organisation gelten nicht für. Von AWS verwaltete Schlüssel
Von AWS verwaltete Schlüssel erscheinen auf der Von AWS verwaltete SchlüsselSeite des AWS Management Console Formulars AWS KMS. Sie können es auch Von AWS verwaltete Schlüssel anhand ihrer Aliase identifizieren, die das Format habenaws/, wie service-nameaws/redshift z. Verwenden Sie die Operation Von AWS verwaltete Schlüssel, um einen eindeutig zu identifizieren. DescribeKey Für Von AWS verwaltete Schlüssel ist der Wert des KeyManager-Felds der DescribeKey-Antwort AWS.
Alle Von AWS verwaltete Schlüssel werden jedes Jahr automatisch rotiert. Dieser Rotationsplan kann nicht geändert werden.
Anmerkung
Im Mai 2022 AWS KMS wurde der Rotationsplan Von AWS verwaltete Schlüssel von allen drei Jahren (ungefähr 1.095 Tage) auf jedes Jahr (ungefähr 365 Tage) geändert.
Neue Von AWS verwaltete Schlüssel werden automatisch ein Jahr nach ihrer Erstellung und danach ungefähr jedes Jahr rotiert.
Bestehende Von AWS verwaltete Schlüssel werden automatisch ein Jahr nach ihrer letzten Rotation und danach jedes Jahr gewechselt.
Es gibt keine monatliche Gebühr für Von AWS verwaltete Schlüssel. Für eine Nutzung, die über das kostenlose Kontingent hinausgeht, können Gebühren anfallen. Einige AWS Dienste übernehmen diese Kosten jedoch für Sie. Weitere Informationen finden Sie im Benutzerhandbuch oder Entwicklerhandbuch für den Service unter dem Thema Verschlüsselung im Ruhezustand. Für Einzelheiten vgl. AWS Key Management Service
-Preise
Von AWS verwaltete Schlüssel rechnen Sie die Anzahl der KMS-Schlüssel in jeder Region Ihres Kontos nicht auf die Ressourcenkontingente an. Wenn die KMS-Schlüssel jedoch im Namen eines Prinzipals in Ihrem Konto verwendet werden, werden sie auf die Anforderungskontingente angerechnet. Details hierzu finden Sie unter Kontingente.
AWS-eigene Schlüssel
AWS-eigene Schlüsselsind eine Sammlung von KMS-Schlüsseln, die ein AWS Dienst besitzt und verwaltet, sodass sie in mehreren Fällen verwendet AWS-Konten werden können. Sie AWS-eigene Schlüssel gehören zwar nicht zu Ihrem AWS-Konto, können aber von einem AWS Dienst verwendet werden AWS-eigener Schlüssel , um die Ressourcen in Ihrem Konto zu schützen.
Bei einigen AWS Diensten können Sie einen AWS-eigener Schlüssel oder einen vom Kunden verwalteten Schlüssel auswählen. Generell gilt: Sofern Sie nicht verpflichtet sind, den Verschlüsselungsschlüssel, der Ihre Ressourcen schützt, zu überprüfen oder zu kontrollieren, AWS-eigener Schlüssel ist an eine gute Wahl. AWS-eigene Schlüssel sind völlig kostenlos (keine monatlichen Gebühren oder Nutzungsgebühren), sie werden nicht auf die AWS KMS Kontingente für Ihr Konto angerechnet und sie sind einfach zu verwenden. Sie müssen den Schlüssel oder seine Schlüsselrichtlinie nicht erstellen oder pflegen.
Die Rotation von AWS-eigene Schlüssel variiert je nach Dienst. Informationen zur Rotation eines bestimmten AWS-eigener Schlüssel Dienstes finden Sie unter dem Thema Verschlüsselung im Ruhezustand im Benutzer- oder Entwicklerhandbuch für den Dienst.
AWS KMS key Hierarchie
Ihre Schlüsselhierarchie beginnt mit einem logischen Schlüssel der obersten Ebene, einem. AWS KMS key Ein KMS-Schlüssel stellt einen Container für Schlüsselmaterial der obersten Ebene dar und ist innerhalb des AWS -Service-Namespace mit einem Amazon-Ressourcennamen (ARN) eindeutig definiert. Der ARN enthält eine eindeutig generierte Schlüsselkennung, eine Schlüssel-ID. Ein KMS-Schlüssel wird auf der Grundlage einer vom Benutzer initiierten Anfrage über erstellt. AWS KMS AWS KMS Fordert bei Empfang die Erstellung eines ersten HSM-Backing-Schlüssels (HBK) an, der im KMS-Schlüsselcontainer platziert werden soll. Der HBK wird auf einem HSM in der Domäne generiert und ist so konzipiert, dass er niemals im Klartext aus dem HSM exportiert wird. Stattdessen wird der HBK unter HSM-verwalteten Domänenschlüsseln verschlüsselt exportiert. Diese exportierten Token HBKs werden als exportierte Schlüsseltoken () EKTs bezeichnet.
Der EKT wird in einen äußerst langlebigen Speicher mit geringer Latenz exportiert. Angenommen, Sie erhalten einen ARN für den logischen KMS-Schlüssel. Dies stellt für Sie die Spitze einer Schlüsselhierarchie oder eines kryptografischen Kontexts dar. Sie können mehrere KMS-Schlüssel in Ihrem Konto erstellen und Richtlinien für Ihre KMS-Schlüssel wie für jede andere AWS benannte Ressource festlegen.
Innerhalb der Hierarchie eines bestimmten KMS-Schlüssels kann man sich den HBK als eine Version des KMS-Schlüssels vorstellen. Wenn Sie den KMS-Schlüssel rotieren möchten AWS KMS, wird ein neuer HBK erstellt und dem KMS-Schlüssel als aktive HBK für den KMS-Schlüssel zugeordnet. Ältere Daten HBKs bleiben erhalten und können zum Entschlüsseln und Überprüfen zuvor geschützter Daten verwendet werden. Aber nur der aktive kryptografische Schlüssel kann verwendet werden, um neue Informationen zu schützen.
Sie können Anfragen stellen AWS KMS , um Ihre KMS-Schlüssel zum direkten Schutz von Informationen zu verwenden, oder zusätzliche HSM-generierte Schlüssel anfordern, die unter Ihrem KMS-Schlüssel geschützt sind. Diese Schlüssel werden als Kundendatenschlüssel oder bezeichnet. CDKs CDKs können verschlüsselt als Chiffretext (CT), im Klartext oder in beidem zurückgegeben werden. Alle mit einem KMS-Schlüssel verschlüsselten Objekte (entweder vom Kunden bereitgestellte Daten oder von HSM generierte Schlüssel) können nur auf einem HSM per Call Through entschlüsselt werden. AWS KMS
Der zurückgegebene Chiffretext oder die entschlüsselte Nutzlast werden niemals darin gespeichert. AWS KMS Die Informationen werden Ihnen über Ihre TLS-Verbindung an AWS KMS zurückgesendet. Dies gilt auch für Anrufe, die von AWS Diensten in Ihrem Namen getätigt werden.
Die Schlüsselhierarchie und die spezifischen Schlüsseleigenschaften werden in der folgenden Tabelle angezeigt.
| Schlüssel | Beschreibung | Lebenszyklus |
|---|---|---|
|
Domain-Schlüssel |
Ein 256-Bit-AES-GCM-Schlüssel nur im Speicher eines HSM, der verwendet wird, um Versionen der KMS-Schlüssel, die HSM-Unterstützungsschlüssel einzuschließen. |
Täglich gedreht 1 |
|
HSM-Unterstützungsschlüssel |
Ein symmetrischer 256-Bit-Schlüssel oder privater RSA- oder elliptischer Kurvenschlüssel, der zum Schutz von Kundendaten und -schlüsseln verwendet und unter Domänenschlüsseln verschlüsselt gespeichert wird. Ein oder mehrere HSM-Unterstützungsschlüssel umfassen den KMS-Schlüssel, dargestellt durch die keyId. |
Jährlich gedreht 2 (optionale Konfiguration) |
|
Abgeleiteter Verschlüsselungsschlüssel |
Ein 256-Bit-AES-GCM-Schlüssel nur im Speicher eines HSM, der zum Verschlüsseln von Kundendaten und Schlüsseln verwendet wird. Abgeleitet von einem HBK für jede Verschlüsselung. |
Wird einmal pro Verschlüsselung verwendet und beim Entschlüsseln regeneriert |
|
Kunden-Datenschlüssel |
Benutzerdefinierter symmetrischer oder asymmetrischer Schlüssel, der aus HSM in Klartext und Verschlüsselungstext exportiert wird. Unter einem HSM-Unterstützungsschlüssel verschlüsselt und über den TLS-Kanal an autorisierte Benutzer zurückgegeben. |
Drehung und Nutzung durch Anwendung gesteuert |
Ich AWS KMS könnte die Rotation der Domänenschlüssel von Zeit zu Zeit auf höchstens wöchentlich lockern, um die Aufgaben der Domänenverwaltung und -konfiguration zu berücksichtigen.
2 Standardmäßig, die von in AWS KMS Ihrem Namen Von AWS verwaltete Schlüssel erstellt und verwaltet werden, werden jährlich automatisch gewechselt.
Schlüsselkennungen () KeyId
Schlüsselbezeichner fungieren als Namen für Ihre KMS-Schlüssel. Sie helfen Ihnen, Ihre KMS-Schlüssel in der Konsole zu erkennen. Sie verwenden sie, um anzugeben, welche KMS-Schlüssel Sie in AWS KMS -API-Operationen, Schlüsselrichtlinien, IAM-Richtlinien und Erteilungen verwenden möchten. Die Schlüsselkennungswerte stehen in keinem Zusammenhang mit dem Schlüsselmaterial, das dem KMS-Schlüssel zugeordnet ist.
AWS KMS definiert mehrere Schlüsselkennungen. Wenn Sie einen KMS-Schlüssel erstellen, AWS KMS generiert er einen Schlüssel-ARN und eine Schlüssel-ID, die Eigenschaften des KMS-Schlüssels sind. Wenn Sie einen Alias erstellen, AWS KMS generiert er einen Alias-ARN auf der Grundlage des von Ihnen definierten Aliasnamens. Sie können die Schlüssel- und Alias-Identifikatoren in der AWS Management Console und in der AWS KMS API einsehen.
In der AWS KMS Konsole können Sie KMS-Schlüssel nach ihrem Schlüssel-ARN, ihrer Schlüssel-ID oder ihrem Aliasnamen anzeigen und filtern und nach Schlüssel-ID und Aliasnamen sortieren. Hilfestellung beim Suchen der Schlüsselbezeichner in der Konsole finden Sie unter Finden Sie die Schlüssel-ID und den Schlüssel-ARN.
In der AWS KMS API haben die Parameter, die Sie zur Identifizierung eines KMS-Schlüssels verwenden, einen Namen KeyId oder eine Variante, z. B. TargetKeyId oderDestinationKeyId. Die Werte dieser Parameter sind jedoch nicht auf Schlüssel beschränkt IDs. Für einige eignet sich jeder gültige Schlüsselbezeichner. Informationen zu den Werten für die einzelnen Parameter finden Sie in der Parameterbeschreibung in der AWS Key Management Service API-Referenz.
Anmerkung
Achten Sie bei der Verwendung der AWS KMS API darauf, welche Schlüssel-ID Sie verwenden. APIs Für unterschiedliche sind unterschiedliche Schlüsselkennungen erforderlich. Verwenden Sie im Allgemeinen die vollständigste Schlüsselbezeichnung, die für Ihre Aufgabe praktisch ist.
AWS KMS unterstützt die folgenden Schlüsselkennungen.
- Schüssel-ARN
-
Der Schlüssel-ARN ist der Amazon-Ressourcenname (ARN) eines KMS-Schlüssels. Er ist eine eindeutige, vollqualifizierte Kennung für den KMS-Schlüssel. Ein Schlüssel-ARN umfasst die AWS-Konto, Region und die Schlüssel-ID. Hilfestellung beim Suchen des Schlüssel-ARN eines KMS-Schlüssels finden Sie unter Finden Sie die Schlüssel-ID und den Schlüssel-ARN.
Das Format eines Schlüssel-ARN lautet wie folgt:
arn:<partition>:kms:<region>:<account-id>:key/<key-id>Es folgt ein Beispiel eines Schlüssel-ARNs für einen einzelregionalen KMS-Schlüssel.
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890abDas
key-idARNs Schlüsselelement von Schlüsseln mit mehreren Regionen beginnt mit demmrk-Präfix. Es folgt ein Beispiel eines Schlüssel-ARN für einen multiregionalen KMS-Schlüssel.arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab
- Schlüssel-ID
-
Die Schlüssel-ID identifiziert einen KMS-Schlüssel innerhalb eines Kontos und einer Region eindeutig. Hilfestellung beim Suchen der Schlüssel-ID eines KMS-Schlüssels finden Sie unter Finden Sie die Schlüssel-ID und den Schlüssel-ARN.
Es folgt ein Beispiel einer Schlüssel-ID für einen einzelregionalen KMS-Schlüssel.
1234abcd-12ab-34cd-56ef-1234567890abDer Schlüssel IDs von Schlüsseln für mehrere Regionen beginnt mit dem
mrk-Präfix. Es folgt ein Beispiel einer Schlüssel-ID für einen multiregionalen KMS-Schlüssel.mrk-1234abcd12ab34cd56ef1234567890ab - Alias-ARN
-
Der Alias-ARN ist der Amazon-Ressourcenname (ARN) eines AWS KMS Alias. Es ist ein eindeutiger, vollqualifizierter Bezeichner für den Alias und für den KMS-Schlüssel, den er repräsentiert. Ein Alias-ARN umfasst die AWS-Konto, Region und den Aliasnamen.
Ein Alias-ARN identifiziert zu einem bestimmten Zeitpunkt einen bestimmten KMS-Schlüssel. Da Sie jedoch den KMS-Schlüssel ändern können, der dem Alias zugeordnet ist, kann der Alias-ARN zu verschiedenen Zeiten unterschiedliche KMS-Schlüssel identifizieren. Hilfestellung beim Suchen des Alias-ARN eines KMS-Schlüssels finden Sie unter Suchen Sie den Aliasnamen und den Alias-ARN für einen KMS-Schlüssel.
Das Format eines Alias-ARN lautet wie folgt:
arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>Es folgt der Alias-ARN für einen fiktiven
ExampleAlias.arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias - Alias-Name
-
Der Aliasname besteht aus einer Zeichenfolge mit bis zu 256 Zeichen. Er identifiziert einen zugeordneten KMS-Schlüssel innerhalb eines Kontos und einer Region eindeutig. In der AWS KMS API beginnen Aliasnamen immer mit
alias/. Hilfestellung beim Suchen des Aliasnamens eines KMS-Schlüssels finden Sie unter Suchen Sie den Aliasnamen und den Alias-ARN für einen KMS-Schlüssel.Das Format eines Aliasnamens lautet wie folgt:
alias/<alias-name>Zum Beispiel:
alias/ExampleAliasDas
aws/-Präfix für einen Aliasnamen ist für Von AWS verwaltete Schlüssel reserviert. Sie können keinen Alias mit diesem Präfix erstellen. Der Aliasname von Von AWS verwalteter Schlüssel für Amazon Simple Storage Service (Amazon S3) lautet beispielsweise wie folgt.alias/aws/s3
