Drehen von AWS KMS keys - AWS Key Management Service
Warum die KMS-Schlüssel rotieren?So funktioniert die automatische SchlüsselrotationSo aktivieren und deaktivieren Sie die automatische Schlüsselrotation:Manuelles Rotieren von Schlüsseln

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Drehen von AWS KMS keys

Um neue kryptografische Daten für Ihre kundenverwalteten Schlüssel zu erstellen, können Sie neue KMS-Schlüssel erstellen und anschließend Ihre Anwendungen oder Aliasse so ändern, dass diese die neuen KMS-Schlüssel verwenden. Sie können die automatische Schlüsseldrehung auch für einen vorhandenen KMS-Schlüssel aktivieren.

Wenn Sie die automatische Schlüsseldrehung für einen kundenverwalteten Schlüssel aktivieren, generiert AWS KMS jedes Jahr neues kryptografisches Material für den KMS-Schlüssel. AWS KMS speichert auch das ältere kryptografische Material des KMS-Schlüssels dauerhaft, sodass es zum Entschlüsseln von verschlüsselten Daten verwendet werden kann. AWS KMS löscht gedrehtes Schlüsselmaterial erst, wenn Sie den KMS-Schlüssel löschen. Die Drehungsverfolgung von Schlüsselmaterial für Ihre KMS-Schlüssel erfolgt in Amazon CloudWatch undAWS CloudTrail.

Wenn Sie mit einem KMS-Schlüssel Daten verschlüsseln, verwendet AWS KMS das aktuelle Schlüsselmaterial. Wenn Sie mit den gedrehten KMS-Schlüssel verwenden, um Verschlüsselungstext zu entschlüsseln, verwendet AWS KMS die Schlüsselversion, die zum Verschlüsseln verwendet wurde. Sie können keine bestimmte Version des Schlüsselmaterials anfordern. Da AWS KMS mit dem entsprechenden Schlüsselmaterial transparent entschlüsselt, können Sie einen gedrehten KMS-Schlüssel sicher in Anwendungen und AWS-Services ohne Codeänderungen verwenden.

Die automatische Schlüsseldrehung hat jedoch keine Auswirkungen auf die Daten, die der KMS-Schlüssel schützt. Es dreht nicht die Datenschlüssel, die der KMS-Schlüssel generiert hat und verschlüsselt keine Daten neu, die durch den KMS-Schlüssel geschützt sind. Es minimiert auch nicht die Auswirkungen eines kompromittierten Datenschlüssels.

AWS KMS unterstützt die automatische Schlüsseldrehung nur für KMS-Schlüssel mit symmetrischer Verschlüsselung mit Schlüsselmaterial, das AWS KMS erstellt. Die automatische Drehung ist optional für vom Kunden verwaltete KMS-Schlüssel. AWS KMS dreht immer jedes Jahr das Schlüsselmaterial für AWS-verwaltete KMS-Schlüssel. Rotation vonAWSim Besitz von KMS-Schlüsselvariiert.

Anmerkung

Das Drehungsintervall für Von AWS verwaltete Schlüssel wurde im Mai 2022 geändert. Details hierzu finden Sie unter Von AWS verwaltete Schlüssel.

Durch die Schlüsseldrehung wird nur das Schlüsselmaterial des CMK geändert. Dabei handelt es sich um das kryptografische Geheimnis, das für Verschlüsselungsoperationen verwendet werden. Der KMS-Schlüssel ist dieselbe logische Ressource, unabhängig davon, ob oder wie oft das Schlüsselmaterial geändert wird. Die Eigenschaften des KMS-Schlüssels werden nicht geändert, wie in der folgenden Abbildung dargestellt.

Die automatische Schlüsselrotation bietet folgende Vorteile:

  • Die Eigenschaften des KMS-Schlüssels, einschließlich Schlüssel-ID, Schlüssel-ARN, Region, Richtlinien und Berechtigungen, werden bei der Drehung des Schlüssels nicht geändert.

  • Sie müssen keine Anwendungen oder Aliasse ändern, die sich auf die KMS-Schlüssel-ID oder den ARN beziehen.

  • Drehendes Schlüsselmaterial beeinträchtigt die Verwendung des KMS-Schlüssels in keinem AWS-Service.

  • Nachdem die Schlüsseldrehung von Ihnen aktiviert wurde, dreht AWS KMS den KMS-Schlüssel jedes Jahr automatisch. Sie müssen das Update nicht selbst planen.

Möglicherweise möchten Sie einen neuen KMS-Schlüssel erstellen und anstelle des ursprünglichen KMS-Schlüssels verwenden. Dies hat den gleichen Effekt wie das Drehen des Schlüsselmaterials in einem vorhandenen KMS-Schlüssel, sodass es häufig als manuelle Drehung des Schlüssels betrachtet wird. Die manuelle Rotation ist eine gute Wahl, wenn Sie den Zeitplan für die Schlüsselrotation kontrollieren möchten. Es bietet auch eine Möglichkeit zum Drehen von KMS-Schlüsseln, die nicht für eine automatische Schlüsseldrehung geeignet sind, einschließlich asymmetrischer KMS-Schlüssel, HMAC-KMS-Schlüssel, KMS-Schlüssel in benutzerdefinierten Schlüsselspeichern und KMS-Schlüssel mit importiertem Schlüsselmaterial.

Schlüsselrotation und Preise

AWS KMS berechnet eine monatliche Gebühr für jede Version des Schlüsselmaterials in Ihrem KMS-Schlüssel. Für Einzelheiten vgl. AWS Key Management Service-Preise.

Schlüsselrotation und Kontingente

Jeder KMS-Schlüssel zählt als Schlüssel bei der Berechnung wichtiger Ressourcenkontingente, unabhängig von der Anzahl der gedrehten Schlüsselmaterialversionen.

Weitere Informationen zu Schlüsselmaterial und Drehung finden Sie unter AWS Key Management Service Kryptografische Details.

Warum die KMS-Schlüssel rotieren?

Bewährte kryptografische Verfahren raten von der umfassenden Wiederverwendung von Schlüsseln ab, die Daten direkt verschlüsseln, wie z. B. derAWS KMS generierten Datenschlüssel. Wenn 256-Bit-Datenschlüssel Millionen von Nachrichten verschlüsseln, können sie erschöpft sein und beginnen, Chiffretext mit subtilen Mustern zu erzeugen, die kluge Akteure ausnutzen können, um die Bits im Schlüssel zu entdecken. Um diese Erschöpfung der Schlüssel zu vermeiden, ist es am besten, Datenschlüssel einmal oder nur ein paar Mal zu verwenden, wodurch das Schlüsselmaterial effektiv rotiert.

KMS-Schlüssel werden jedoch am häufigsten als Wrapping-Schlüssel verwendet, die auch als Schlüsselverschlüsselungsschlüssel bezeichnet werden. Anstatt Daten zu verschlüsseln, verschlüsseln Wrapping Keys die Datenschlüssel, die Ihre Daten verschlüsseln. Daher werden sie weitaus seltener verwendet als Datenschlüssel und werden fast nie so oft wiederverwendet, dass das Risiko besteht, dass die Schlüssel erschöpft sind.

Trotz dieses sehr geringen Erschöpfungsrisikos müssen Sie möglicherweise aufgrund von Geschäfts- oder Vertragsregeln oder behördlichen Vorschriften Ihre KMS-Schlüssel wechseln. Wenn Sie gezwungen sind, KMS-Schlüssel zu rotieren, empfehlen wir, die automatische Schlüsselrotation zu verwenden, sofern dies unterstützt wird, und die manuelle Schlüsselrotation, wenn die automatische Schlüsselrotation nicht unterstützt wird.

So funktioniert die automatische Schlüsselrotation

Die Tastenrotation inAWS KMS ist so konzipiert, dass sie transparent und einfach zu bedienen ist. AWS KMSunterstützt die optionale automatische Schlüsselrotation nur für vom Kunden verwaltete Schlüssel.

Verwalten von Schlüsselmaterial

AWS KMSspeichert das gesamte Schlüsselmaterial für einen KMS-Schlüssel, auch wenn die Schlüsselrotation deaktiviert ist.AWS KMSlöscht Schlüsselmaterial nur, wenn Sie den KMS-Schlüssel löschen.

Verwenden von Schlüsselmaterial

Wenn Sie mit einem KMS-Schlüssel Daten verschlüsseln, verwendet AWS KMS das aktuelle Schlüsselmaterial. Wenn Sie mit dem KMS-Schlüssel Daten entschlüsseln, verwendet AWS KMS das Schlüsselmaterial, das zum Verschlüsseln verwendet wurde. Sie können keine bestimmte Version des Schlüsselmaterials anfordern.

Rotations

AWS KMSrotiert Schlüsselmaterial ein Jahr (ungefähr 365 Tage), nachdem die Rotation aktiviert wurde, und danach jedes Jahr (ungefähr 365 Tage).

Kundenverwaltete Schlüssel

Da die automatische Schlüsselrotation für vom Kunden verwaltete Schlüssel optional ist und jederzeit aktiviert und deaktiviert werden kann, hängt das Rotationsdatum von dem Datum ab, an dem die Rotation zuletzt aktiviert wurde. Dieses Datum kann sich während der Schlüsseldrehung mehrfach ändern.

Wenn Sie beispielsweise am 1. Januar 2022 einen vom Kunden verwalteten Schlüssel erstellen und die automatische Schlüsselrotation am 15. März 2022 aktivieren, wird das Schlüsselmaterial am 15. März 2023, 15. März 2024 und danach alle 365 TageAWS KMS rotiert.

Folgende Fälle sind Sonderfälle:

  • Schlüsselrotation deaktivieren — Wenn Sie die automatische Schlüsselrotation zu einem beliebigen Zeitpunkt deaktivieren, verwendet der KMS-Schlüssel weiterhin die Version des Schlüsselmaterials, die er verwendet hat, als die Rotation deaktiviert wurde. Wenn Sie die automatische Schlüsseldrehung erneut aktivieren,AWS KMS dreht das Schlüsselmaterial ein Jahr nach dem neuen Rotations

  • Deaktiviert KMS-Schlüssel — Während ein KMS-Schlüssel deaktiviert ist, wird er vonAWS KMS nicht gedreht. Der Status der Schlüsseldrehung ändert sich jedoch nicht, und Sie können ihn nicht ändern, solange der KMS-Schlüssel deaktiviert ist. Wenn das Schlüsselmaterial bei der erneuten Aktivierung des KMS-Schlüssels älter als ein Jahr ist, dreht AWS KMS ihn sofort und danach jedes Jahr. Wenn das Schlüsselmaterial jünger als ein Jahr ist, setzt AWS KMS den ursprünglichen Zeitplan der Schlüsseldrehung fort.

  • KMS-Schlüssel, dessen Löschung aussteht, wird vonAWS KMS nicht gedreht. Als Status der Schlüsselrotation wird false eingestellt und er kann von Ihnen nicht mehr geändert werden, während der Löschvorgang ansteht. Wenn der Löschvorgang abgebrochen wird, wird der vorherige Status der Schlüsselrotation wiederhergestellt. Wenn das Schlüsselmaterial älter als ein Jahr ist,AWS KMS dreht ihn sofort und danach jedes Jahr (ungefähr 365 Tage nach der letzten Drehungsdrehung). Wenn das Schlüsselmaterial jünger als ein Jahr ist, setzt AWS KMS den ursprünglichen Zeitplan der Schlüsseldrehung fort.

Von AWS verwaltete Schlüssel

AWS KMS dreht Von AWS verwaltete Schlüssel automatisch jedes Jahr (ungefähr 365 Tage). Sie können die Schlüsseldrehung von Von AWS verwaltete Schlüssel nicht aktivieren oder deaktivieren.

Das Schlüsselmaterial für einVon AWS verwalteter Schlüssel wird zuerst ein Jahr nach seinem Erstellungsdatum und danach jedes Jahr (etwa 365 Tage nach der letzten Rotation) rotiert.

Anmerkung

Im Mai 2022 hat AWS KMS den Rotationszeitplan für Von AWS verwaltete Schlüssel von alle drei Jahre (ungefähr 1 095 Tage) auf jedes Jahr (ungefähr 365 Tage) geändert.

Neue Von AWS verwaltete Schlüssel werden automatisch ein Jahr nach ihrer Erstellung und etwa jedes Jahr danach rotiert.

Vorhandene Von AWS verwaltete Schlüssel werden automatisch ein Jahr nach ihrer letzten Drehung und danach jedes Jahr gedreht.

AWS-eigene Schlüssel

Sie können die Schlüsseldrehung von AWS-eigene Schlüssel nicht aktivieren oder deaktivieren. Die Schlüsselrotationsstrategie für einen AWS-eigener Schlüssel wird durch den AWS-Service festgelegt, der den Schlüssel erstellt und verwaltet. Weitere Informationen finden Sie im Thema Verschlüsselung im Ruhezustand im Benutzerhandbuch oder Entwicklerhandbuch für den Service.

Unterstützte KMS-Schlüsseltypen

Die automatische Schlüsseldrehung wird nur für KMS-Schlüssel mit symmetrischer Verschlüsselung mit Schlüsselmaterial, das AWS KMS generiert (Ursprung = AWS_KMS).

Die automatische Schlüsseldrehung wird bei den folgenden Typen von KMS-Schlüsseln nicht unterstützt. Sie können diese KMS-Schlüssel jedoch manuell drehen.

Multiregionale Schlüssel

Sie können die automatische Drehung des Schlüsselmaterials für multiregionale Schlüssel aktivieren und deaktivieren. Sie legen die Eigenschaft nur für den Primärschlüssel fest. Wenn AWS KMS die Schlüssel synchronisiert, kopiert es die Einstellung der Eigenschaften vom Primärschlüssel in alle seine Replikatschlüssel. Wenn das Schlüsselmaterial des Primärschlüssels gedreht wird, kopiert AWS KMSdieses Schlüsselmaterial automatisch in alle seine Replikatschlüssel. Details hierzu finden Sie unter Drehen von multiregionalen Schlüsseln.

AWS-Services

Sie können für die kundenverwalteten KMS-Schlüssel, die Sie für die serverseitige Verschlüsselung in AWS-Services verwenden, eine automatische Schlüsseldrehung aktivieren. Die jährliche Drehung ist transparent und mit AWS-Services kompatibel.

Überwachen der Schlüsselrotation.

Wenn das Schlüsselmaterial für einen Von AWS verwalteter Schlüsseloder vom Kunden verwalteten SchlüsselAWS KMS automatisch rotiert wird, wird einKMS CMK Rotation Ereignis an Amazon EventBridge und ein RotateKey Ereignis in IhrAWS CloudTrail Protokoll geschrieben. Sie können die diese Datensätze verwenden, um zu überprüfen, ob der KMS-Schlüssel gedreht wurde.

Letztendliche Datenkonsistenz

Die automatische Schlüsseldrehung unterliegt den gleichen Effekten der letztendlichen Konsistenz, wie andere AWS KMS-Verwaltungsoperationen. Es kann zu einer leichten Verzögerung kommen, bevor das neue Schlüsselmaterial in allen Bereichen von AWS KMS verfügbar ist. Das Drehen von Schlüsselmaterial verursacht jedoch keine Unterbrechung oder Verzögerung kryptografischer Operationen. Das aktuelle Schlüsselmaterial wird in kryptografischen Operationen verwendet, bis das neue Schlüsselmaterial überall in AWS KMS verfügbar ist. Wenn Schlüsselmaterial für einen multiregionalen Schlüssel automatisch gedreht wird, verwendet AWS KMS das aktuelle Schlüsselmaterial, bis das neue Schlüsselmaterial in allen Regionen mit einem zugehörigen multiregionalen Schlüssel verfügbar ist.

So aktivieren und deaktivieren Sie die automatische Schlüsselrotation:

Zugelassene Benutzer können die AWS KMS-Konsole oder die AWS KMS-API verwenden, um die automatische Schlüsseldrehung zu aktivieren und zu deaktivieren und den Schlüsseldrehungsstatus anzuzeigen.

Wenn Sie die automatische Schlüsseldrehung aktivieren, dreht AWS KMS das Schlüsselmaterial des KMS-Schlüssels ein Jahr nach dem Aktivierungsdatum und danach jedes Jahr.

Aktivieren und Deaktivieren der Schlüsseldrehung (Konsole)

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Key Management Service (AWS KMS)-Konsole unter https://console.aws.amazon.com/kms.

  2. Wenn Sie die AWS-Region ändern möchten, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel. (Sie können die Drehung von Von AWS verwaltete Schlüssel nicht aktiviern oder deaktivieren. Diese werden automatisch jedes Jahr gedreht.)

  4. Wählen Sie den Alias oder die Schlüssel-ID eines KMS-Schlüssels.

  5. Wählen Sie die Registerkarte Key rotation (Schlüsselrotation).

    Die Registerkarte Key rotation (Schlüsseldrehung) wird nur auf der Detailseite von KMS-Schlüsseln mit symmetrischer Verschlüsselung mit von AWS KMS generiertem Schlüsselmaterial angezeigt (die Einstellung von Origin (Ursprung) lautet AWS_KMS), einschließlich multiregionaler KMS-Schlüssel mit symmetrischer Verschlüsselung.

    Asymmetrische KMS-Schlüssel, HMAC-KMS-Schlüssel, KMS-Schlüssel mit importiertem Schlüsselmaterial oder KMS-Schlüssel in benutzerdefinierten Schlüsselspeichern können nicht automatisch gedreht werden. Sie können sie jedoch manuell rotieren.

  6. Markieren oder entfernen Sie das Kontrollkästchen Automatically rotate this KMS-key every year (diesen KMS-Schlüssel jedes Jahr automatisch drehen).

    Anmerkung

    Wenn ein KMS-Schlüssel deaktiviert ist oder gelöscht werden soll, ist das Kontrollkästchen Automatically rotate this KMS-Key every year (diesen KMS-Schlüssel jedes Jahr automatisch drehen) deaktiviert, und seine Einstellung kann nicht geändert werden. Wenn Sie den KMS-Schlüssel aktivieren oder den Löschvorgang abbrechen, wird der Status der Schlüsseldrehung wiederhergestellt. Details dazu finden Sie unter So funktioniert die automatische Schlüsselrotation und Schlüsselstatus von AWS KMS-Schlüsseln.

  7. Wählen Sie Speichern.

Aktivieren und Deaktivieren der Schlüsseldrehung (AWS KMS-API)

Sie können die AWS Key Management Service (AWS KMS)-API verwenden, um die automatische Schlüsseldrehung zu aktivieren und zu deaktivieren und den aktuellen Drehungsstatus eines kundenverwalteten Schlüssels anzeigen. Diese Beispiele nutzen die AWS Command Line Interface (AWS CLI), Sie können aber jede unterstützte Programmiersprache nutzen.

Die EnableKeyRotationOperation aktiviert die automatische Schlüsseldrehung für den angegebenen KMS-Schlüssel. Die DisableKeyRotationOperation deaktiviert es. Um den KMS-Schlüssel bei diesen Operationen zu identifizieren, verwenden Sie seine Schlüssel-ID oder den Schlüssel-ARN. Standardmäßig ist die Schlüsseldrehung für kundenverwaltete KMS-Schlüssel deaktiviert.

Im folgenden Beispiel wird die Schlüsseldrehung auf dem angegebenen KMS-Schlüssel mit symmetrischer Verschlüsselung aktiviert und das Ergebnis mithilfe der GetKeyRotationStatusOperation angezeigt. Anschließend wird die Schlüsselrotation deaktiviert und die Änderung wieder mit GetKeyRotationStatus angezeigt.

$ aws kms enable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyRotationEnabled": true
}

$ aws kms disable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyRotationEnabled": false
}

Manuelles Rotieren von Schlüsseln

Gegebenenfalls möchten Sie einen neuen KMS-Schlüssel erstellen und diesen anstelle eines aktuellen KMS-Schlüssels verwenden, anstatt die automatische Schlüsseldrehung zu aktivieren. Wenn der neue KMS-Schlüssel andere kryptografische Daten aufweist als der aktuelle KMS-Schlüssel, hat die Verwendung des neuen KMS-Schlüssels den gleichen Effekt wie die Änderung des Schlüsselmaterials in einem vorhandenen KMS-Schlüssel. Das Ersetzen eines KMS-Schlüssels durch einen anderen wird als manuelle Schlüsseldrehung bezeichnet.

Gegebenenfalls bevorzugen Sie die manuelle Rotation von Schlüsseln, da Sie dadurch die Rotationshäufigkeit steuern können. Dies ist auch eine gute Lösung für KMS-Schlüssel, die nicht für die automatische Schlüsseldrehung geeignet sind, wie beispielsweise asymmetrische KMS-Schlüssel, HMAC-KMS-Schlüssel, KMS-Schlüssel in benutzerdefinierten Schlüsselspeichern und KMS-Schlüssel mit importiertem Schlüsselmaterial.

Anmerkung

Wenn Sie den neuen KMS-Schlüssel verwenden, stellen Sie sicher, dass der ursprüngliche KMS-Schlüssel weiterhin aktiviert ist, damit AWS KMS Daten entschlüsseln kann, die vom ursprünglichen KMS-Schlüssel verschlüsselt wurden.

Wenn Sie KMS-Schlüssel manuell rotieren, müssen Sie auch die Verweise auf die ID oder den ARN des KMS-Schlüssels in Ihren Anwendungen aktualisieren. Dieses Verfahren lässt sich durch Aliasse, die einen Anzeigenamen mit einem KMS-Schlüssel verknüpfen, vereinfachen. Verwenden Sie einen Alias, um auf einen KMS-Schlüssel in Ihren Anwendungen zu verweisen. Wenn Sie dann den von der Anwendung verwendeten KMS-Schlüssel ändern möchten, anstatt den Anwendungscode zu bearbeiten, ändern Sie den Ziel-KMS-Schlüssel des Alias. Details hierzu finden Sie unter Verwenden von Aliassen in Ihren Anwendungen.

Anmerkung

Aliase, die auf die neueste Version eines manuell rotierten KMS-Schlüssels verweisen, sind eine gute Lösung für die Operationen DescribeKey, Verschlüsseln GenerateDataKeyGenerateDataKeyPair, GenerateMac, und Signieren. Aliase sind in Vorgängen, die KMS-Schlüssel verwalten, nicht zulässig, z. B. DisableKeyoder ScheduleKeyDeletion.

Beim Anrufen der Entschlüsselungs-Operation für manuell rotierte KMS-Schlüssel mit symmetrischer Verschlüsselung, lassen Sie die KeyId-Parameter aus dem Befehl. AWS KMS verwendet automatisch den KMS-Schlüssel, der den Geheimtext verschlüsselt hat.

DerKeyId Parameter muss angegeben werden, wenn ein asymmetrischer KMS-Schlüssel oder ein VerifyMacHMAC-KMS-Schlüssel angerufen werden.Decrypt Diese Anfragen schlagen fehl, wenn der Wert vom KeyId-Parameter ein Alias ist, der nicht mehr auf den KMS-Schlüssel verweist, der die kryptografische Operation ausgeführt hat, z. B. wenn ein Schlüssel manuell gedreht wird. Um diesen Fehler zu vermeiden, müssen Sie den richtigen KMS-Schlüssel für jeden Vorgang verfolgen und angeben.

Verwenden Sie die UpdateAliasOperation in derAWS KMS -API, um den Ziel-KMS-Schlüssel eines Alias zu ändern. Beispielsweise aktualisiert dieser Befehl den alias/TestKey-Alias, so dass er auf einen neuen KMS-Schlüssel verweist. Da die Operation keine Ausgabe zurückgibt, verwendet das Beispiel die ListAliasesOperation, um zu zeigen, dass der Alias jetzt einem anderen KMS-Schlüssel zugeordnet ist und dasLastUpdatedDate Feld wird aktualisiert Die ListAliases Befehle verwenden den queryParameter in,AWS CLI um nur denalias/TestKey Alias abzurufen.

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]'
{
    "Aliases": [
        {
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey",
            "AliasName": "alias/TestKey",
            "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
            "CreationDate": 1521097200.123,
            "LastUpdatedDate": 1521097200.123
        },
    ]
}


$ aws kms update-alias --alias-name alias/TestKey --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
            
$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]'
{
    "Aliases": [
        {
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey",
            "AliasName": "alias/TestKey",
            "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
            "CreationDate": 1521097200.123,
            "LastUpdatedDate": 1604958290.722
        },
    ]
}