AWS KMS keys - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS KMS keys

Bei den KMS Schlüsseln, die Sie für die Verwendung in Ihren eigenen kryptografischen Anwendungen erstellen und verwalten, handelt es sich um vom Kunden verwaltete Schlüssel. Vom Kunden verwaltete Schlüssel können auch in Verbindung mit AWS Diensten verwendet werden, die KMS Schlüssel verwenden, um die Daten zu verschlüsseln, die der Dienst in Ihrem Namen speichert. Kundenverwaltete Schlüssel werden für Kunden empfohlen, die die volle Kontrolle über den Lebenszyklus und die Verwendung ihrer Schlüssel haben möchten. Es fallen monatliche Kosten an, wenn Sie einen vom Kunden verwalteten Schlüssel in Ihrem Konto haben. Darüber hinaus fallen bei Anfragen zur Nutzung und/oder Verwaltung des Schlüssels Nutzungskosten an. Weitere Informationen finden Sie unter AWS Key Management Service Preise.

Es gibt Fälle, in denen ein Kunde zwar möchte, dass ein AWS Dienst seine Daten verschlüsselt, er möchte aber nicht den Aufwand für die Verwaltung von Schlüsseln übernehmen und nicht für einen Schlüssel bezahlen möchte. Ein Von AWS verwalteter Schlüsselist ein KMS Schlüssel, der in Ihrem Konto vorhanden ist, aber nur unter bestimmten Umständen verwendet werden kann. Insbesondere kann er nur im Kontext des AWS Dienstes verwendet werden, in dem Sie tätig sind, und er kann nur von Prinzipalen innerhalb des Kontos verwendet werden, für das der Schlüssel vorhanden ist. Sie können nichts über den Lebenszyklus oder die Berechtigungen dieser Schlüssel verwalten. Wenn Sie Verschlüsselungsfunktionen in AWS Diensten verwenden, werden Sie vielleicht feststellen Von AWS verwaltete Schlüssel, dass sie einen Alias der Form „aws<service code>“ verwenden. Ein aws/ebs Schlüssel kann beispielsweise nur zum Verschlüsseln von EBS Volumes und nur für Volumes verwendet werden, die von IAM Prinzipalen mit demselben Konto wie der Schlüssel verwendet werden. Stellen Sie sich einen vor Von AWS verwalteter Schlüssel , der nur von Benutzern in Ihrem Konto für Ressourcen in Ihrem Konto verwendet werden kann. Sie können Ressourcen, die unter oder verschlüsselt wurden, nicht Von AWS verwalteter Schlüssel mit anderen Konten teilen. Von AWS verwalteter Schlüssel Es ist zwar kostenlos, ein in Ihrem Konto zu speichern, aber die Nutzung dieses Schlüsseltyps durch den AWS Dienst, der dem Schlüssel zugewiesen ist, wird Ihnen in Rechnung gestellt.

Von AWS verwaltete Schlüssel sind ein veralteter Schlüsseltyp, der ab 2021 nicht mehr für neue AWS Dienste erstellt wird. Stattdessen verwenden neue (und ältere) AWS Dienste standardmäßig sogenannte An AWS-eigener Schlüsselzur Verschlüsselung von Kundendaten. An AWS-eigener Schlüssel ist ein KMS Schlüssel, der sich in einem vom AWS Dienst verwalteten Konto befindet, sodass die Servicebetreiber den Lebenszyklus und die Nutzungsberechtigungen verwalten können. Durch die Nutzung AWS-eigene Schlüssel können AWS Dienste Ihre Daten transparent verschlüsseln und eine einfache konto- oder regionsübergreifende gemeinsame Nutzung von Daten ermöglichen, ohne dass Sie sich Gedanken über wichtige Berechtigungen machen müssen. Wird AWS-eigene Schlüssel für encryption-by-default Workloads verwendet, die einen einfacheren, automatisierteren Datenschutz bieten. Da diese Schlüssel Eigentum sind und von ihnen verwaltet werden AWS, fallen keine Gebühren für ihre Existenz oder Nutzung an. Sie können ihre Richtlinien nicht ändern, Sie können keine Aktivitäten mit diesen Schlüsseln überprüfen und Sie können sie nicht löschen. Verwenden Sie vom Kunden verwaltete Schlüssel, wenn Kontrolle wichtig ist, aber verwenden Sie AWS-eigene Schlüssel sie, wenn Komfort am wichtigsten ist.

Vom Kunden verwaltete Schlüssel Von AWS verwaltete Schlüssel AWS-eigene Schlüssel
Schlüsselrichtlinie Ausschließlich vom Kunden kontrolliert Wird vom Service gesteuert; vom Kunden einsehbar Ausschließlich kontrolliert und nur von dem AWS Dienst einsehbar, der Ihre Daten verschlüsselt
Protokollierung CloudTrail Datenspeicher für Kundendaten oder Ereignisse CloudTrail Datenspeicher für Kundendaten oder Ereignisse Für den Kunden nicht sichtbar
Lebenszyklusmanagement Der Kunde verwaltet Rotation, Löschung und regionalen Standort AWS KMS verwaltet Rotation (jährlich), Löschung und regionalen Standort AWS-Service verwaltet Rotation, Löschung und regionalen Standort
Preise

Monatliche Gebühr für das Vorhandensein von Schlüsseln (anteilig)

stündlich). Wird auch für die Nutzung von Schlüsseln berechnet

Keine monatliche Gebühr; dem Anrufer wird jedoch die API Nutzung dieser Schlüssel in Rechnung gestellt Keine Gebühren für den Kunden

Die KMS Schlüssel, die Sie erstellen, sind vom Kunden verwaltete Schlüssel. AWS-Services die KMS Schlüssel verwenden, um Ihre Serviceressourcen zu verschlüsseln, erstellen häufig Schlüssel für Sie. KMSSchlüssel, die in Ihrem AWS Konto AWS-Services erstellt werden, sind Von AWS verwaltete Schlüssel. KMSSchlüssel, die in einem Dienstkonto AWS-Services erstellt werden, sind AWS-eigene Schlüssel.

Art des KMS Schlüssels Kann KMS wichtige Metadaten anzeigen Kann KMS Schlüssel verwalten Wird nur für meine verwendet AWS-Konto Automatisches Rotieren Preise
Kundenverwalteter Schlüssel Ja Ja Ja Optional.

Monatliche Gebühr (anteilig stündlich)

Gebühr pro Nutzung

Von AWS verwalteter Schlüssel Ja Nein Ja Erforderlich Jedes Jahr (ungefähr 365 Tage).

Keine monatliche Gebühr

Gebühr pro Nutzung (einige AWS-Services zahlen diese Gebühr für Sie)

AWS-eigener Schlüssel Nein Nein Nein Der AWS-Service verwaltet die Rotationsstrategie. Keine Gebühren

AWS Dienste, die AWS KMS sich integrieren lassen, unterscheiden sich in ihrer Unterstützung für KMS Schlüssel. Einige AWS Dienste verschlüsseln Ihre Daten standardmäßig mit einem AWS-eigener Schlüssel oder einem Von AWS verwalteter Schlüssel. Einige AWS Dienste unterstützen vom Kunden verwaltete Schlüssel. Andere AWS Dienste unterstützen alle Arten von KMS Schlüsseln AWS-eigener Schlüssel, sodass Sie einen vom Kunden verwalteten Schlüssel einfach Von AWS verwalteter Schlüssel, sichtbar oder kontrollieren können. Ausführliche Informationen zu den Verschlüsselungsoptionen, die ein AWS Dienst bietet, finden Sie unter dem Thema Verschlüsselung im Ruhezustand im Benutzer- oder Entwicklerhandbuch für den Dienst.

Kundenverwaltete Schlüssel

Die KMS Schlüssel, die Sie erstellen, sind vom Kunden verwaltete Schlüssel. Kundenverwaltete Schlüssel sind KMS Schlüssel in Ihrem AWS-Konto System, die Sie erstellen, besitzen und verwalten. Sie haben die volle Kontrolle über diese KMS Schlüssel, einschließlich der Einrichtung und Verwaltung ihrer wichtigsten Richtlinien, IAM Richtlinien und Genehmigungen, ihrer Aktivierung und Deaktivierung, der Rotation ihres kryptografischen Materials, des Hinzufügens von Tags, der Erstellung von Aliasnamen, die auf die KMS Schlüssel verweisen, und der Planung der Löschung der KMS Schlüssel.

Kundenverwaltete Schlüssel werden auf der Seite Customer managed keys (Kundenverwaltete Schlüssel) der AWS Management Console für AWS KMS angezeigt. Verwenden Sie den Vorgang, um einen vom Kunden verwalteten Schlüssel eindeutig zu identifizieren. DescribeKey Für kundenverwaltete Schlüssel ist der Wert des KeyManager-Felds der DescribeKey-Antwort CUSTOMER.

Sie können Ihren kundenverwalteten Schlüssel in kryptografischen Operationen verwenden und ihre Verwendung in AWS CloudTrail -Protokollen prüfen. Darüber hinaus bieten Ihnen viele mit AWS KMS integrierte AWS -Services die Möglichkeit, einen kundenverwalteten Schlüssel zum Schutz der Daten anzugeben, die für Sie gespeichert und verwaltet werden.

Für kundenverwaltete Schlüssel fällt eine monatliche Gebühr sowie eine Gebühr für die über das kostenlose Kontingent hinausgehende Nutzung an. Sie werden auf die AWS KMS Kontingente für Ihr Konto angerechnet. Weitere Informationen finden Sie unter AWS Key Management Service – Preise und Kontingente.

Von AWS verwaltete Schlüssel

Von AWS verwaltete Schlüsselsind KMS Schlüssel in Ihrem Konto, die in Ihrem Namen von einem integrierten AWS Dienst erstellt, verwaltet und verwendet werden AWS KMS.

Bei einigen AWS Diensten können Sie einen Von AWS verwalteter Schlüssel oder einen vom Kunden verwalteten Schlüssel auswählen, um Ihre Ressourcen in diesem Dienst zu schützen. Generell gilt: Sofern Sie nicht selbst die Kontrolle über den Verschlüsselungsschlüssel haben müssen, der Ihre Ressourcen schützt, Von AWS verwalteter Schlüssel ist an eine gute Wahl. Sie müssen den Schlüssel oder seine Schlüsselrichtlinie nicht erstellen oder verwalten, und für einen Von AWS verwalteter Schlüssel gibt es keine monatliche Gebühr.

Sie sind berechtigt, sie Von AWS verwaltete Schlüssel in Ihrem Konto einzusehen, ihre wichtigsten Richtlinien einzusehen und ihre Verwendung in AWS CloudTrail Protokollen zu überprüfen. Sie können jedoch keine Eigenschaften von ändern Von AWS verwaltete Schlüssel, sie rotieren, ihre wichtigsten Richtlinien ändern oder ihre Löschung planen. Und Sie können sie nicht direkt für kryptografische Operationen verwenden Von AWS verwaltete Schlüssel . Der Dienst, der sie erstellt, verwendet sie in Ihrem Namen.

Die Richtlinien zur Ressourcenkontrolle in Ihrer Organisation gelten nicht für. Von AWS verwaltete Schlüssel

Von AWS verwaltete Schlüssel erscheinen auf der Von AWS verwaltete SchlüsselSeite des AWS Management Console Formulars AWS KMS. Sie können es auch Von AWS verwaltete Schlüssel anhand ihrer Aliase identifizieren, die das Format habenaws/service-name, wie aws/redshift z. Verwenden Sie die Operation Von AWS verwaltete Schlüssel, um einen eindeutig zu identifizieren. DescribeKey Für Von AWS verwaltete Schlüssel ist der Wert des KeyManager-Felds der DescribeKey-Antwort AWS.

Alle Von AWS verwaltete Schlüssel werden jedes Jahr automatisch rotiert. Dieser Rotationsplan kann nicht geändert werden.

Anmerkung

Im Mai 2022 AWS KMS wurde der Rotationsplan Von AWS verwaltete Schlüssel von allen drei Jahren (ungefähr 1.095 Tage) auf jedes Jahr (ungefähr 365 Tage) geändert.

Neue Von AWS verwaltete Schlüssel werden automatisch ein Jahr nach ihrer Erstellung und danach ungefähr jedes Jahr rotiert.

Bestehende Von AWS verwaltete Schlüssel werden automatisch ein Jahr nach ihrer letzten Rotation und danach jedes Jahr gewechselt.

Es gibt keine monatliche Gebühr für Von AWS verwaltete Schlüssel. Für eine Nutzung, die über das kostenlose Kontingent hinausgeht, können Gebühren anfallen. Einige AWS Dienste übernehmen diese Kosten jedoch für Sie. Weitere Informationen finden Sie im Benutzerhandbuch oder Entwicklerhandbuch für den Service unter dem Thema Verschlüsselung im Ruhezustand. Für Einzelheiten vgl. AWS Key Management Service -Preise.

Von AWS verwaltete Schlüssel werden nicht auf die Ressourcenkontingente für die Anzahl der KMS Schlüssel in jeder Region Ihres Kontos angerechnet. Wenn die KMS Schlüssel jedoch im Namen eines Hauptbenutzers in Ihrem Konto verwendet werden, werden sie auf die Anforderungskontingente angerechnet. Details hierzu finden Sie unter Kontingente.

AWS-eigene Schlüssel

AWS-eigene Schlüsselsind eine Sammlung von KMS Schlüsseln, die ein AWS Dienst besitzt und verwaltet, sodass sie in mehreren Fällen verwendet AWS-Konten werden können. Sie AWS-eigene Schlüssel gehören zwar nicht zu Ihrem AWS-Konto, können aber von einem AWS Dienst verwendet werden AWS-eigener Schlüssel , um die Ressourcen in Ihrem Konto zu schützen.

Bei einigen AWS Diensten können Sie einen AWS-eigener Schlüssel oder einen vom Kunden verwalteten Schlüssel auswählen. Generell gilt: Sofern Sie nicht verpflichtet sind, den Verschlüsselungsschlüssel, der Ihre Ressourcen schützt, zu überprüfen oder zu kontrollieren, AWS-eigener Schlüssel ist an eine gute Wahl. AWS-eigene Schlüssel sind völlig kostenlos (keine monatlichen Gebühren oder Nutzungsgebühren), sie werden nicht auf die AWS KMS Kontingente für Ihr Konto angerechnet und sie sind einfach zu verwenden. Sie müssen den Schlüssel oder seine Schlüsselrichtlinie nicht erstellen oder pflegen.

Die Rotation von AWS-eigene Schlüssel variiert je nach Dienst. Informationen zur Rotation eines bestimmten AWS-eigener Schlüssel Dienstes finden Sie unter dem Thema Verschlüsselung im Ruhezustand im Benutzer- oder Entwicklerhandbuch für den Dienst.

AWS KMS key Hierarchie

Ihre Schlüsselhierarchie beginnt mit einem logischen Schlüssel der obersten Ebene, einem. AWS KMS key Ein KMS Schlüssel stellt einen Container für Schlüsselmaterial der obersten Ebene dar und ist innerhalb des AWS Service-Namespace mit einem Amazon-Ressourcennamen () ARN eindeutig definiert. Das ARN beinhaltet eine eindeutig generierte Schlüssel-ID, eine Schlüssel-ID. Ein KMS Schlüssel wird auf der Grundlage einer vom Benutzer initiierten Anfrage über AWS KMS erstellt. AWS KMS Fordert bei Empfang die Erstellung eines ersten HSM Backing-Schlüssels (HBK) an, der im KMS Schlüsselcontainer platziert werden soll. Der HBK wird HSM in der Domäne generiert und ist so konzipiert, dass er niemals HSM im Klartext exportiert wird. Stattdessen HBK wird das unter HSM -managed domain keys verschlüsselt exportiert. Diese exportierten HBKs werden als exportierte Schlüsseltoken (EKTs) bezeichnet.

Das EKT wird in einen äußerst langlebigen Speicher mit niedriger Latenz exportiert. Nehmen wir zum Beispiel an, Sie erhalten ARN einen logischen KMS Schlüssel. Dies stellt für Sie die Spitze einer Schlüsselhierarchie oder eines kryptografischen Kontexts dar. Sie können mehrere KMS Schlüssel in Ihrem Konto erstellen und Richtlinien für Ihre KMS Schlüssel festlegen, wie bei jeder anderen AWS benannten Ressource.

Innerhalb der Hierarchie eines bestimmten KMS Schlüssels HBK kann dieser als eine Version des KMS Schlüssels betrachtet werden. Wenn Sie den KMS Schlüssel rotieren möchten AWS KMS, HBK wird ein neuer Schlüssel erstellt und dem KMS Schlüssel als aktivem HBK KMS Schlüssel zugeordnet. Ältere HBKs Daten bleiben erhalten und können verwendet werden, um zuvor geschützte Daten zu entschlüsseln und zu verifizieren. Aber nur der aktive kryptografische Schlüssel kann verwendet werden, um neue Informationen zu schützen.

AWS KMS key Hierarchie.

Sie können Anfragen stellen AWS KMS , um Ihre KMS Schlüssel direkt zum Schutz von Informationen zu verwenden, oder zusätzliche HSM generierte Schlüssel anfordern, die unter Ihrem KMS Schlüssel geschützt sind. Diese Schlüssel werden Kundendatenschlüssel oder CDKs genannt. CDKskönnen verschlüsselt als Chiffretext (CT), im Klartext oder in beidem zurückgegeben werden. Alle unter einem KMS Schlüssel verschlüsselten Objekte (entweder vom Kunden bereitgestellte Daten oder HSM generierte Schlüssel) können nur bei einem Anruf entschlüsselt werden. HSM AWS KMS

Der zurückgegebene Chiffretext oder die entschlüsselte Nutzlast wird niemals darin gespeichert. AWS KMS Die Informationen werden Ihnen über Ihre Verbindung zu zurückgegeben. TLS AWS KMS Dies gilt auch für Anrufe, die von AWS Diensten in Ihrem Namen getätigt werden.

Die Schlüsselhierarchie und die spezifischen Schlüsseleigenschaften werden in der folgenden Tabelle angezeigt.

Schlüssel Beschreibung Lebenszyklus

Domain-Schlüssel

Ein AES GCM 256-Bit-Schlüssel, der sich nur im Speicher befindet und zum Umschließen von Versionen der KMS Schlüssel, den HSM Backing-Tasten, HSM verwendet wird.

Täglich gedreht 1

HSMunterstützender Schlüssel

Ein privater 256-Bit-Schlüssel mit symmetrischem Schlüssel RSA oder elliptischer Kurve, der zum Schutz von Kundendaten und Schlüsseln verwendet und verschlüsselt unter Domainschlüsseln gespeichert wird. Ein oder mehrere HSM Backing-Schlüssel bestehen aus dem KMS Schlüssel, dargestellt durch. keyId

Jährlich gedreht 2 (optionale Konfiguration)

Abgeleiteter Verschlüsselungsschlüssel

Ein AES GCM 256-Bit-Schlüssel, der sich nur im Speicher eines Schlüssels befindet und zur Verschlüsselung von Kundendaten und Schlüsseln HSM verwendet wird. Abgeleitet von einer HBK für jede Verschlüsselung.

Wird einmal pro Verschlüsselung verwendet und beim Entschlüsseln regeneriert

Kunden-Datenschlüssel

Benutzerdefinierter symmetrischer oder asymmetrischer Schlüssel, der aus HSM Klartext und Chiffretext exportiert wurde.

Mit einem HSM Backing-Schlüssel verschlüsselt und über Kanal an autorisierte Benutzer zurückgegeben. TLS

Drehung und Nutzung durch Anwendung gesteuert

1 AWS KMS könnte die Rotation der Domänenschlüssel von Zeit zu Zeit auf höchstens wöchentlich lockern, um die Aufgaben der Domänenverwaltung und Konfiguration zu berücksichtigen.

2 Standardmäßig, die von in AWS KMS Ihrem Namen Von AWS verwaltete Schlüssel erstellt und verwaltet werden, werden jährlich automatisch gewechselt.

Schlüsselkennungen () KeyId

Schlüsselkennungen verhalten sich wie Namen für Ihre KMS Schlüssel. Sie helfen Ihnen, Ihre KMS Schlüssel in der Konsole zu erkennen. Sie verwenden sie, um anzugeben, welche KMS Schlüssel Sie für AWS KMS API Operationen, wichtige Richtlinien, IAM Richtlinien und Zuschüsse verwenden möchten. Die Werte der Schlüsselkennungen haben nichts mit dem Schlüsselmaterial zu tun, das dem KMS Schlüssel zugeordnet ist.

AWS KMS definiert mehrere Schlüsselkennungen. AWS KMS Generiert beim Erstellen eines KMS Schlüssels einen Schlüssel ARN und eine Schlüssel-ID, die Eigenschaften des KMS Schlüssels sind. Wenn Sie einen Alias erstellen, AWS KMS generiert dieser ARN auf dem Aliasnamen, den Sie definieren, einen Alias. Sie können die Schlüssel- und Alias-Identifikatoren im AWS Management Console und im AWS KMS API anzeigen.

In der AWS KMS Konsole können Sie KMS Schlüssel nach ihrem SchlüsselARN, ihrer Schlüssel-ID oder ihrem Aliasnamen anzeigen und filtern sowie nach Schlüssel-ID und Aliasnamen sortieren. Hilfestellung beim Suchen der Schlüsselbezeichner in der Konsole finden Sie unter Finden Sie die Schlüssel-ID und den Schlüssel ARN.

In der sind die Parameter AWS KMS API, die Sie zur Identifizierung eines KMS Schlüssels verwenden, benannt KeyId oder eine Variante, z. B. TargetKeyId oderDestinationKeyId. Die Werte dieser Parameter sind jedoch nicht auf Schlüssel beschränktIDs. Für einige eignet sich jeder gültige Schlüsselbezeichner. Informationen zu den Werten für die einzelnen Parameter finden Sie in der Parameterbeschreibung in der AWS Key Management Service API Referenz.

Anmerkung

Achten Sie bei der Verwendung von darauf AWS KMS API, welche Schlüssel-ID Sie verwenden. Verschiedene APIs erfordern unterschiedliche Schlüsselkennungen. Verwenden Sie im Allgemeinen die vollständigste Schlüsselbezeichnung, die für Ihre Aufgabe praktisch ist.

AWS KMS unterstützt die folgenden Schlüsselkennungen.

Schlüssel ARN

Der Schlüssel ARN ist der Amazon-Ressourcenname (ARN) eines KMS Schlüssels. Es ist ein eindeutiger, vollqualifizierter Bezeichner für den KMS Schlüssel. Ein Schlüssel ARN umfasst die AWS-Konto, die Region und die Schlüssel-ID. Hilfe bei der Suche nach dem Schlüssel ARN eines KMS Schlüssels finden Sie unterFinden Sie die Schlüssel-ID und den Schlüssel ARN.

Das Format eines Schlüssels ARN lautet wie folgt:

arn:<partition>:kms:<region>:<account-id>:key/<key-id>

Im Folgenden finden Sie ein Beispiel ARN für einen Schlüssel mit nur einer RegionKMS.

arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

Das Tool key-id Das Element des Schlüssels ARNs von Schlüsseln mit mehreren Regionen beginnt mit dem mrk- Präfix. Im Folgenden finden Sie ein Beispiel ARN für einen Schlüssel mit mehreren Regionen.

arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab
Schlüssel-ID

Die Schlüssel-ID identifiziert einen KMS Schlüssel innerhalb eines Kontos und einer Region eindeutig. Hilfe bei der Suche nach der Schlüssel-ID eines KMS Schlüssels finden Sie unterFinden Sie die Schlüssel-ID und den Schlüssel ARN.

Im Folgenden finden Sie ein Beispiel für eine Schlüssel-ID für einen KMS Schlüssel mit nur einer Region.

1234abcd-12ab-34cd-56ef-1234567890ab

Der Schlüssel IDs von Schlüsseln mit mehreren Regionen beginnt mit dem mrk- Präfix. Es folgt ein Beispiel einer Schlüssel-ID für einen multiregionalen KMS-Schlüssel.

mrk-1234abcd12ab34cd56ef1234567890ab
Alias ARN

Der Alias ARN ist der Amazon-Ressourcenname (ARN) eines AWS KMS Alias. Es ist ein eindeutiger, vollqualifizierter Bezeichner für den Alias und den KMS Schlüssel, für den er steht. Ein Alias ARN umfasst AWS-Konto die Region und den Aliasnamen.

Zu einem bestimmten Zeitpunkt ARN identifiziert ein Alias einen bestimmten KMS Schlüssel. Da Sie jedoch den mit dem Alias verknüpften KMS Schlüssel ändern können, ARN kann der Alias verschiedene KMS Schlüssel zu unterschiedlichen Zeiten identifizieren. Hilfe bei der Suche nach dem Alias ARN eines KMS Schlüssels finden Sie unterSuchen Sie den Aliasnamen und den Alias ARN für einen KMS Schlüssel.

Das Format eines Alias ARN lautet wie folgt:

arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>

Das Folgende ist der Alias ARN für einen fiktivenExampleAlias.

arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias
Alias-Name

Der Aliasname besteht aus einer Zeichenfolge mit bis zu 256 Zeichen. Es identifiziert eindeutig einen zugehörigen KMS Schlüssel innerhalb eines Kontos und einer Region. In der AWS KMS API beginnen Aliasnamen immer mitalias/. Hilfe bei der Suche nach dem Aliasnamen eines KMS Schlüssels finden Sie unterSuchen Sie den Aliasnamen und den Alias ARN für einen KMS Schlüssel.

Das Format eines Aliasnamens lautet wie folgt:

alias/<alias-name>

Zum Beispiel:

alias/ExampleAlias

Das aws/-Präfix für einen Aliasnamen ist für Von AWS verwaltete Schlüssel reserviert. Sie können keinen Alias mit diesem Präfix erstellen. Der Aliasname von Von AWS verwalteter Schlüssel für Amazon Simple Storage Service (Amazon S3) lautet beispielsweise wie folgt.

alias/aws/s3