Mettre à jour les alias - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mettre à jour les alias

Étant donné qu'un alias est une ressource indépendante, vous pouvez modifier la clé KMS qui lui est associée. Par exemple, si l'test-keyalias est associé à une clé KMS, vous pouvez utiliser l'UpdateAliasopération pour l'associer à une autre clé KMS. C'est l'une des nombreuses façons de faire tourner manuellement une clé KMS sans modifier ses éléments de clé. Vous pouvez également mettre à jour une clé KMS de sorte qu'une application qui utilisait une clé KMS pour de nouvelles ressources utilise désormais une clé KMS différente.

Vous ne pouvez pas mettre à jour un alias dans la AWS KMS console. En outre, vous ne pouvez pas utiliser UpdateAlias (ou toute autre opération) pour modifier un nom d'alias. Pour modifier un nom d'alias, supprimez l'alias actuel, puis créez un alias pour la clé KMS.

Lorsque vous mettez à jour un alias, la clé KMS actuelle et la nouvelle clé KMS doivent être du même type (toutes deux soit symétriques, soit asymétriques, soit HMAC). Elles doivent également avoir la même utilisation de la clé (ENCRYPT_DECRYPT ou SIGN_VERIFY ou GENERATE_VERIFY_MAC). Cette restriction empêche les erreurs cryptographiques dans le code qui utilise des alias.

L'exemple suivant commence par utiliser l'ListAliasesopération pour montrer que l'test-keyalias est actuellement associé à la clé KMS1234abcd-12ab-34cd-56ef-1234567890ab. 

$ aws kms list-aliases --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "Aliases": [
        {
            "AliasName": "alias/test-key",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
            "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
            "CreationDate": 1593622000.191,
            "LastUpdatedDate": 1593622000.191
        }
    ]
}

Ensuite, il utilise l'opération UpdateAlias pour modifier la clé KMS associée à l'alias test-key avec la clé KMS 0987dcba-09fe-87dc-65ba-ab0987654321. Vous n'avez pas besoin de spécifier la clé KMS actuellement associée, uniquement la nouvelle clé KMS (« cible »). Le nom de l'alias est sensible à la casse.

$ aws kms update-alias --alias-name 'alias/test-key' --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321

Pour vérifier que l'alias est maintenant associé à la clé KMS cible, utilisez à nouveau l'opération ListAliases. Cette AWS CLI commande utilise le --query paramètre pour obtenir uniquement l'test-keyalias. Les champs TargetKeyId et LastUpdatedDate sont mis à jour.

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/test-key`]'
[
    {
        "AliasName": "alias/test-key",
        "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
        "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": 1593622000.191,
        "LastUpdatedDate": 1604958290.154
    }
]