Mengelola alias - AWS Key Management Service
Membuat aliasMelihat aliasMemperbarui aliasMenghapus alias

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola alias

Pengguna yang diotorisasi dapat membuat, melihat, dan menghapus alias. Anda juga dapat memperbarui alias, yaitu mengaitkan alias yang ada dengan kunci KMS yang berbeda.

Membuat alias

Anda dapat membuat alias di konsol AWS KMS atau dengan menggunakan operasi API AWS KMS.

Alias harus string berisi 1-256 karakter. Ini hanya dapat berisi karakter alfanumerik, garis miring depan (/), garis bawah (_), dan tanda garis (-). Nama alias untuk kunci yang dikelola pelanggan tidak dapat dimulai denganalias/aws/. alias/aws/Awalan dicadangkan untuk Kunci yang dikelola AWS.

Anda dapat membuat alias untuk kunci KMS baru atau untuk kunci KMS yang ada. Anda dapat menambahkan alias sehingga kunci KMS tertentu digunakan dalam proyek atau aplikasi.

Buat alias (konsol)

Saat Anda membuat kunci KMS di AWS KMS konsol, Anda harus membuat alias untuk kunci KMS baru. Untuk membuat alias untuk kunci KMS yang ada, gunakan tab Alias pada halaman detail untuk kunci KMS.

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di panel navigasi, pilih Kunci yang dikelola pelanggan. Anda tidak dapat mengelola alias untuk Kunci yang dikelola AWS atauKunci milik AWS.

  4. Dalam tabel, pilih ID kunci atau alias kunci KMS. Kemudian, pada halaman detail kunci KMS, pilih tab Alias.

    Jika kunci KMS memiliki beberapa alias, kolom Alias dalam tabel menampilkan satu alias dan ringkasan alias, seperti (+ n lebih). Memilih ringkasan alias akan membawa Anda langsung ke tab Alias pada halaman detail kunci KMS.

  5. Pada tab Alias, pilih Buat alias. Masukkan nama alias dan pilih Buat alias.

    penting

    Jangan sertakan informasi rahasia atau sensitif di bidang ini. Bidang ini dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya.

    catatan

    Jangan tambahkan alias/ awalan. Konsol secara otomatis menambahkannya untuk Anda. Jika Anda memasukkan alias/ExampleAlias, nama alias sebenarnya akan alias/alias/ExampleAlias.

Buat alias (API AWS KMS)

Untuk membuat alias, gunakan CreateAliasoperasi. Berbeda dengan proses pembuatan kunci KMS di konsol, CreateKeyoperasi tidak membuat alias untuk kunci KMS baru.

penting

Jangan sertakan informasi rahasia atau sensitif di bidang ini. Bidang ini dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya.

Anda dapat menggunakan CreateAlias operasi untuk membuat alias untuk kunci KMS baru tanpa alias. Anda juga dapat menggunakan CreateAlias operasi untuk menambahkan alias ke kunci KMS yang ada atau untuk membuat ulang alias yang secara tidak sengaja dihapus.

Di operasi API AWS KMS, nama alias harus dimulai dengan alias/ diikuti dengan nama, misalnya alias/ExampleAlias. Alias harus unik di akun dan Wilayah. Untuk menemukan nama alias yang sudah digunakan, gunakan ListAliasesoperasi. Nama alias peka terhadap huruf besar-kecil.

TargetKeyIdDapat berupa kunci yang dikelola pelanggan dalam hal yang samaWilayah AWS. Untuk mengidentifikasi kunci KMS, gunakan ID kunci atau kunci ARN. Anda tidak dapat menggunakan alias lain.

Contoh berikut membuat example-key alias dan mengaitkannya dengan kunci KMS tertentu. Contoh-contoh ini menggunakan AWS Command Line Interface (AWS CLI). Untuk contoh dalam beberapa bahasa pemrograman, lihat Bekerja dengan alias.

$ aws kms create-alias \
    --alias-name alias/example-key \
    --target-key-id 1234abcd-12ab-34cd-56ef-1234567890ab

CreateAliastidak mengembalikan output apa pun. Untuk melihat alias baru, gunakan operasi ListAliases. Untuk rincian selengkapnya, lihat Melihat alias (API AWS KMS).

Melihat alias

Alias memudahkan untuk mengenali kunci KMS di konsol. AWS KMS Anda dapat melihat alias untuk kunci KMS di AWS KMS konsol atau dengan menggunakan operasi. ListAliases DescribeKeyOperasi, yang mengembalikan properti kunci KMS, tidak termasuk alias.

Melihat alias (konsol)

Kunci dan Kunci yang dikelola AWShalaman yang dikelola Pelanggan di AWS KMS konsol menampilkan alias yang terkait dengan setiap kunci KMS. Anda juga dapat mencari, mengurutkan, dan memfilter kunci KMS berdasarkan aliasnya.

Gambar konsol AWS KMS berikut menunjukkan alias pada halaman Kunci terkelola pelanggan dari akun contoh. Seperti yang ditunjukkan pada gambar, beberapa tombol KMS tidak memiliki alias.

Ketika kunci KMS memiliki beberapa alias, kolom Alias menampilkan satu alias dan ringkasan alias (+ n lebih). Ringkasan alias menunjukkan berapa banyak alias tambahan yang terkait dengan kunci KMS dan tautan ke tampilan semua alias untuk kunci KMS pada tab Alias.

Alias di halaman Kunci terkelola pelanggan dari konsol AWS KMS

Tab Alias pada halaman detail untuk setiap tombol KMS menampilkan nama alias dan alias ARN dari semua alias untuk kunci KMS di dan Wilayah. Akun AWS Anda juga dapat menggunakan tab Alias untuk membuat alias dan menghapus alias.

Untuk menemukan nama alias dan alias ARN dari semua alias untuk kunci KMS, gunakan tab Alias.

  • Untuk pergi langsung ke tab Alias, di kolom Alias, pilih ringkasan alias (+n lebih banyak). Ringkasan alias hanya muncul jika kunci KMS memiliki lebih dari satu alias.

  • Atau, pilih alias atau ID kunci dari kunci KMS (yang membuka halaman detail untuk tombol KMS) dan kemudian pilih tab Alias. Tab ada di bawah bagian Konfigurasi umum.

Gambar berikut menunjukkan tab Alias untuk kunci KMS contoh.

Anda dapat menggunakan alias untuk mengenaliKunci yang dikelola AWS, seperti yang ditunjukkan pada Kunci yang dikelola AWShalaman contoh ini. Alias untuk Kunci yang dikelola AWS selalu memiliki format:aws/<service-name>. Misalnya, alias Kunci yang dikelola AWS untuk Amazon DynamoDB adalah. aws/dynamodb

Alias di Kunci yang dikelola AWShalaman konsol AWS KMS

Melihat alias (API AWS KMS)

ListAliasesOperasi mengembalikan nama alias dan alias ARN alias di akun dan Wilayah. Outputnya mencakup alias untuk Kunci yang dikelola AWS dan untuk kunci yang dikelola pelanggan. Alias untuk Kunci yang dikelola AWS memiliki formataws/<service-name>, sepertiaws/dynamodb.

Respons mungkin juga menyertakan alias yang tidak memiliki bidang TargetKeyId. Ini adalah alias yang AWS telah ditentukan sebelumnya yang telah dibuat tetapi belum dikaitkan dengan kunci KMS.

$ aws kms list-aliases
{
    "Aliases": [
        {
            "AliasName": "alias/access-key",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key",
            "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
            "CreationDate": 1516435200.399,
            "LastUpdatedDate": 1516435200.399
        },        
        {
            "AliasName": "alias/ECC-P521-Sign",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ECC-P521-Sign",
            "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
            "CreationDate": 1693622000.704,
            "LastUpdatedDate": 1693622000.704
        },
        {
            "AliasName": "alias/ImportedKey",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ImportedKey",
            "TargetKeyId": "1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d",
            "CreationDate": 1493622000.704,
            "LastUpdatedDate": 1521097200.235
        },
        {
            "AliasName": "alias/finance-project",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/finance-project",
            "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
            "CreationDate": 1604958290.014,
            "LastUpdatedDate": 1604958290.014
        },
        {
            "AliasName": "alias/aws/dynamodb",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/dynamodb",
            "TargetKeyId": "0987ab65-43cd-21ef-09ab-87654321cdef",
            "CreationDate": 1521097200.454,
            "LastUpdatedDate": 1521097200.454
        },
        {
            "AliasName": "alias/aws/ebs",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/ebs",
            "TargetKeyId": "abcd1234-09fe-ef90-09fe-ab0987654321",
            "CreationDate": 1466518990.200,
            "LastUpdatedDate": 1466518990.200
        }
    ]
}

Untuk mendapatkan semua alias yang terkait dengan kunci KMS tertentu, gunakan KeyId parameter opsional operasi. ListAliases KeyIdParameter mengambil ID kunci atau kunci ARN dari kunci KMS.

Contoh ini mendapatkan semua alias yang terkait dengan kunci 0987dcba-09fe-87dc-65ba-ab0987654321 KMS.

$ aws kms list-aliases --key-id 0987dcba-09fe-87dc-65ba-ab0987654321
{
    "Aliases": [
        {
            "AliasName": "alias/access-key",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key",
            "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
            "CreationDate": "2018-01-20T15:23:10.194000-07:00",
            "LastUpdatedDate": "2018-01-20T15:23:10.194000-07:00"
        },
        {
            "AliasName": "alias/finance-project",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/finance-project",
            "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
            "CreationDate": 1604958290.014,
            "LastUpdatedDate": 1604958290.014
        }
    ]
}

Parameter KeyId tidak mengambil karakter wildcard, tetapi Anda dapat menggunakan fitur bahasa pemrograman Anda untuk menyaring respons.

Misalnya, AWS CLI perintah berikut hanya mendapatkan alias untukKunci yang dikelola AWS.

$ aws kms list-aliases --query 'Aliases[?starts_with(AliasName, `alias/aws/`)]'

Perintah berikut hanya mendapatkan alias access-key. Nama alias peka terhadap huruf besar-kecil.

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/access-key`]'
[
    {
        "AliasName": "alias/access-key",
        "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key",
        "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": "2018-01-20T15:23:10.194000-07:00",
        "LastUpdatedDate": "2018-01-20T15:23:10.194000-07:00"
    }
]

Memperbarui alias

Karena alias adalah sumber daya independen, Anda dapat mengubah kunci KMS yang terkait dengan alias. Misalnya, jika test-key alias dikaitkan dengan satu kunci KMS, Anda dapat menggunakan UpdateAliasoperasi untuk mengaitkannya dengan kunci KMS yang berbeda. Ini adalah salah satu dari beberapa cara untuk memutar kunci KMS secara manual tanpa mengubah materi utamanya. Anda juga dapat memperbarui kunci KMS sehingga aplikasi yang menggunakan satu kunci KMS untuk sumber daya baru sekarang menggunakan kunci KMS yang berbeda.

Anda tidak dapat memperbarui alias di konsol AWS KMS. Juga, Anda tidak dapat menggunakan UpdateAlias (atau operasi lainnya) untuk mengubah nama alias. Untuk mengubah nama alias, hapus alias saat ini dan kemudian buat alias baru untuk kunci KMS.

Saat Anda memperbarui alias, kunci KMS saat ini dan kunci KMS baru harus tipe yang sama (simetris atau asimetris atau HMAC). Mereka juga harus memiliki penggunaan kunci yang sama (ENCRYPT_DECRYPTatau SIGN_VERIFY atau GENERATE_VERIFY_MAC). Pembatasan ini mencegah kesalahan kriptografi dalam kode yang menggunakan alias.

Contoh berikut dimulai dengan menggunakan ListAliasesoperasi untuk menunjukkan bahwa test-key alias saat ini dikaitkan dengan kunci KMS. 1234abcd-12ab-34cd-56ef-1234567890ab 

$ aws kms list-aliases --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "Aliases": [
        {
            "AliasName": "alias/test-key",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
            "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
            "CreationDate": 1593622000.191,
            "LastUpdatedDate": 1593622000.191
        }
    ]
}

Selanjutnya, ia menggunakan UpdateAlias operasi untuk mengubah kunci KMS yang terkait dengan test-key alias ke kunci KMS. 0987dcba-09fe-87dc-65ba-ab0987654321 Anda tidak perlu menentukan kunci KMS yang saat ini terkait, hanya kunci KMS baru (“target”). Nama alias peka terhadap huruf besar-kecil.

$ aws kms update-alias --alias-name 'alias/test-key' --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321

Untuk memverifikasi bahwa alias sekarang dikaitkan dengan kunci KMS target, gunakan ListAliases operasi lagi. Perintah AWS CLI ini menggunakan parameter --query untuk hanya mendapatkan alias test-key. Bidang TargetKeyId dan LastUpdatedDate diperbarui.

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/test-key`]'
[
    {
        "AliasName": "alias/test-key",
        "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
        "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": 1593622000.191,
        "LastUpdatedDate": 1604958290.154
    }
]

Menghapus alias

Anda dapat menghapus alias di AWS KMS konsol atau dengan menggunakan DeleteAliasoperasi. Sebelum menghapus alias, pastikan bahwa itu tidak digunakan. Meskipun menghapus alias tidak memengaruhi kunci KMS terkait, itu mungkin menimbulkan masalah untuk aplikasi apa pun yang menggunakan alias. Jika Anda menghapus alias secara tidak sengaja, Anda dapat membuat alias baru dengan nama yang sama dan mengaitkannya dengan kunci KMS yang sama atau berbeda.

Jika Anda menghapus kunci KMS, semua alias yang terkait dengan kunci KMS tersebut akan dihapus.

Menghapus alias (konsol)

Untuk menghapus alias di AWS KMS konsol, gunakan tab Alias pada halaman detail untuk tombol KMS. Anda dapat menghapus beberapa alias untuk kunci KMS sekaligus.

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di panel navigasi, pilih Kunci yang dikelola pelanggan. Anda tidak dapat mengelola alias untuk Kunci yang dikelola AWS atauKunci milik AWS.

  4. Dalam tabel, pilih ID kunci atau alias kunci KMS. Kemudian, pada halaman detail kunci KMS, pilih tab Alias.

    Jika kunci KMS memiliki beberapa alias, kolom Alias dalam tabel menampilkan satu alias dan ringkasan alias, seperti (+ n lebih). Memilih ringkasan alias akan membawa Anda langsung ke tab Alias pada halaman detail kunci KMS.

  5. Pada tab Alias, pilih kotak centang di samping alias yang ingin Anda hapus. Kemudian pilih Hapus.

Hapus alias (API AWS KMS)

Untuk menghapus alias, gunakan DeleteAliasoperasi. Operasi ini menghapus satu alias pada satu waktu. Nama alias peka terhadap huruf besar-kecil dan harus didahului oleh prefiks alias/.

Misalnya, perintah berikut menghapus alias test-key. Perintah ini tidak memberikan output apa pun. 

$ aws kms delete-alias --alias-name alias/test-key

Untuk memverifikasi bahwa alias dihapus, gunakan ListAliasesoperasi. Perintah berikut menggunakan parameter --query di AWS CLI untuk hanya mendapatkan alias test-key. Tanda kurung kosong dalam respons menunjukkan bahwa respons ListAliases tidak menyertakan alias test-key. Untuk menghilangkan tanda kurung, gunakan parameter dan nilai --output text.

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/test-key`]'
[]