Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengelola alias
Pengguna yang diotorisasi dapat membuat, melihat, dan menghapus alias. Anda juga dapat memperbarui alias, yaitu mengaitkan alias yang ada dengan kunci KMS yang berbeda.
Membuat alias
Anda dapat membuat alias di konsol AWS KMS atau dengan menggunakan operasi API AWS KMS.
Alias harus string berisi 1-256 karakter. Ini hanya dapat berisi karakter alfanumerik, garis miring depan (/), garis bawah (_), dan tanda garis (-). Nama alias untuk kunci yang dikelola pelanggan tidak dapat dimulai denganalias/aws/
. alias/aws/
Awalan dicadangkan untuk Kunci yang dikelola AWS.
Anda dapat membuat alias untuk kunci KMS baru atau untuk kunci KMS yang ada. Anda dapat menambahkan alias sehingga kunci KMS tertentu digunakan dalam proyek atau aplikasi.
Buat alias (konsol)
Saat Anda membuat kunci KMS di AWS KMS konsol, Anda harus membuat alias untuk kunci KMS baru. Untuk membuat alias untuk kunci KMS yang ada, gunakan tab Alias pada halaman detail untuk kunci KMS.
-
Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms
. -
Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
-
Di panel navigasi, pilih Kunci yang dikelola pelanggan. Anda tidak dapat mengelola alias untuk Kunci yang dikelola AWS atauKunci milik AWS.
-
Dalam tabel, pilih ID kunci atau alias kunci KMS. Kemudian, pada halaman detail kunci KMS, pilih tab Alias.
Jika kunci KMS memiliki beberapa alias, kolom Alias dalam tabel menampilkan satu alias dan ringkasan alias, seperti (+ n lebih). Memilih ringkasan alias akan membawa Anda langsung ke tab Alias pada halaman detail kunci KMS.
-
Pada tab Alias, pilih Buat alias. Masukkan nama alias dan pilih Buat alias.
penting
Jangan sertakan informasi rahasia atau sensitif di bidang ini. Bidang ini dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya.
catatan
Jangan tambahkan
alias/
awalan. Konsol secara otomatis menambahkannya untuk Anda. Jika Anda memasukkanalias/ExampleAlias
, nama alias sebenarnya akanalias/alias/ExampleAlias
.
Buat alias (API AWS KMS)
Untuk membuat alias, gunakan CreateAliasoperasi. Berbeda dengan proses pembuatan kunci KMS di konsol, CreateKeyoperasi tidak membuat alias untuk kunci KMS baru.
penting
Jangan sertakan informasi rahasia atau sensitif di bidang ini. Bidang ini dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya.
Anda dapat menggunakan CreateAlias
operasi untuk membuat alias untuk kunci KMS baru tanpa alias. Anda juga dapat menggunakan CreateAlias
operasi untuk menambahkan alias ke kunci KMS yang ada atau untuk membuat ulang alias yang secara tidak sengaja dihapus.
Di operasi API AWS KMS, nama alias harus dimulai dengan alias/
diikuti dengan nama, misalnya alias/ExampleAlias
. Alias harus unik di akun dan Wilayah. Untuk menemukan nama alias yang sudah digunakan, gunakan ListAliasesoperasi. Nama alias peka terhadap huruf besar-kecil.
TargetKeyId
Dapat berupa kunci yang dikelola pelanggan dalam hal yang samaWilayah AWS. Untuk mengidentifikasi kunci KMS, gunakan ID kunci atau kunci ARN. Anda tidak dapat menggunakan alias lain.
Contoh berikut membuat example-key
alias dan mengaitkannya dengan kunci KMS tertentu. Contoh-contoh ini menggunakan AWS Command Line Interface (AWS CLI). Untuk contoh dalam beberapa bahasa pemrograman, lihat Bekerja dengan alias.
$
aws kms create-alias \ --alias-name alias/example-key \ --target-key-id 1234abcd-12ab-34cd-56ef-1234567890ab
CreateAlias
tidak mengembalikan output apa pun. Untuk melihat alias baru, gunakan operasi ListAliases
. Untuk rincian selengkapnya, lihat Melihat alias (API AWS KMS).
Melihat alias
Alias memudahkan untuk mengenali kunci KMS di konsol. AWS KMS Anda dapat melihat alias untuk kunci KMS di AWS KMS konsol atau dengan menggunakan operasi. ListAliases DescribeKeyOperasi, yang mengembalikan properti kunci KMS, tidak termasuk alias.
Melihat alias (konsol)
Kunci dan Kunci yang dikelola AWShalaman yang dikelola Pelanggan di AWS KMS konsol menampilkan alias yang terkait dengan setiap kunci KMS. Anda juga dapat mencari, mengurutkan, dan memfilter kunci KMS berdasarkan aliasnya.
Gambar konsol AWS KMS berikut menunjukkan alias pada halaman Kunci terkelola pelanggan dari akun contoh. Seperti yang ditunjukkan pada gambar, beberapa tombol KMS tidak memiliki alias.
Ketika kunci KMS memiliki beberapa alias, kolom Alias menampilkan satu alias dan ringkasan alias (+ n lebih). Ringkasan alias menunjukkan berapa banyak alias tambahan yang terkait dengan kunci KMS dan tautan ke tampilan semua alias untuk kunci KMS pada tab Alias.
![Alias di halaman Kunci terkelola pelanggan dari konsol AWS KMS](images/alias-console-sm.png)
Tab Alias pada halaman detail untuk setiap tombol KMS menampilkan nama alias dan alias ARN dari semua alias untuk kunci KMS di dan Wilayah. Akun AWS Anda juga dapat menggunakan tab Alias untuk membuat alias dan menghapus alias.
Untuk menemukan nama alias dan alias ARN dari semua alias untuk kunci KMS, gunakan tab Alias.
-
Untuk pergi langsung ke tab Alias, di kolom Alias, pilih ringkasan alias (+n lebih banyak). Ringkasan alias hanya muncul jika kunci KMS memiliki lebih dari satu alias.
-
Atau, pilih alias atau ID kunci dari kunci KMS (yang membuka halaman detail untuk tombol KMS) dan kemudian pilih tab Alias. Tab ada di bawah bagian Konfigurasi umum.
Gambar berikut menunjukkan tab Alias untuk kunci KMS contoh.
![](images/alias-tab-2.png)
Anda dapat menggunakan alias untuk mengenaliKunci yang dikelola AWS, seperti yang ditunjukkan pada Kunci yang dikelola AWShalaman contoh ini. Alias untuk Kunci yang dikelola AWS selalu memiliki format:aws/
. Misalnya, alias Kunci yang dikelola AWS untuk Amazon DynamoDB adalah. <service-name>
aws/dynamodb
![Alias di Kunci yang dikelola AWShalaman konsol AWS KMS](images/alias-console-aws-managed-sm.png)
Melihat alias (API AWS KMS)
ListAliasesOperasi mengembalikan nama alias dan alias ARN alias di akun dan Wilayah. Outputnya mencakup alias untuk Kunci yang dikelola AWS dan untuk kunci yang dikelola pelanggan. Alias untuk Kunci yang dikelola AWS memiliki formataws/
, seperti<service-name>
aws/dynamodb
.
Respons mungkin juga menyertakan alias yang tidak memiliki bidang TargetKeyId
. Ini adalah alias yang AWS telah ditentukan sebelumnya yang telah dibuat tetapi belum dikaitkan dengan kunci KMS.
$
aws kms list-aliases
{ "Aliases": [ { "AliasName": "alias/access-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1516435200.399, "LastUpdatedDate": 1516435200.399 }, { "AliasName": "alias/ECC-P521-Sign", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ECC-P521-Sign", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1693622000.704, "LastUpdatedDate": 1693622000.704 }, { "AliasName": "alias/ImportedKey", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ImportedKey", "TargetKeyId": "1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d", "CreationDate": 1493622000.704, "LastUpdatedDate": 1521097200.235 }, { "AliasName": "alias/finance-project", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/finance-project", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1604958290.014, "LastUpdatedDate": 1604958290.014 }, { "AliasName": "alias/aws/dynamodb", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/dynamodb", "TargetKeyId": "0987ab65-43cd-21ef-09ab-87654321cdef", "CreationDate": 1521097200.454, "LastUpdatedDate": 1521097200.454 }, { "AliasName": "alias/aws/ebs", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/ebs", "TargetKeyId": "abcd1234-09fe-ef90-09fe-ab0987654321", "CreationDate": 1466518990.200, "LastUpdatedDate": 1466518990.200 } ] }
Untuk mendapatkan semua alias yang terkait dengan kunci KMS tertentu, gunakan KeyId
parameter opsional operasi. ListAliases
KeyId
Parameter mengambil ID kunci atau kunci ARN dari kunci KMS.
Contoh ini mendapatkan semua alias yang terkait dengan kunci 0987dcba-09fe-87dc-65ba-ab0987654321
KMS.
$
aws kms list-aliases --key-id 0987dcba-09fe-87dc-65ba-ab0987654321
{ "Aliases": [ { "AliasName": "alias/access-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": "2018-01-20T15:23:10.194000-07:00", "LastUpdatedDate": "2018-01-20T15:23:10.194000-07:00" }, { "AliasName": "alias/finance-project", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/finance-project", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1604958290.014, "LastUpdatedDate": 1604958290.014 } ] }
Parameter KeyId
tidak mengambil karakter wildcard, tetapi Anda dapat menggunakan fitur bahasa pemrograman Anda untuk menyaring respons.
Misalnya, AWS CLI perintah berikut hanya mendapatkan alias untukKunci yang dikelola AWS.
$
aws kms list-aliases --query 'Aliases[?starts_with(AliasName, `alias/aws/`)]'
Perintah berikut hanya mendapatkan alias access-key
. Nama alias peka terhadap huruf besar-kecil.
$
aws kms list-aliases --query 'Aliases[?AliasName==`alias/access-key`]'
[ { "AliasName": "alias/access-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": "2018-01-20T15:23:10.194000-07:00", "LastUpdatedDate": "2018-01-20T15:23:10.194000-07:00" } ]
Memperbarui alias
Karena alias adalah sumber daya independen, Anda dapat mengubah kunci KMS yang terkait dengan alias. Misalnya, jika test-key
alias dikaitkan dengan satu kunci KMS, Anda dapat menggunakan UpdateAliasoperasi untuk mengaitkannya dengan kunci KMS yang berbeda. Ini adalah salah satu dari beberapa cara untuk memutar kunci KMS secara manual tanpa mengubah materi utamanya. Anda juga dapat memperbarui kunci KMS sehingga aplikasi yang menggunakan satu kunci KMS untuk sumber daya baru sekarang menggunakan kunci KMS yang berbeda.
Anda tidak dapat memperbarui alias di konsol AWS KMS. Juga, Anda tidak dapat menggunakan UpdateAlias
(atau operasi lainnya) untuk mengubah nama alias. Untuk mengubah nama alias, hapus alias saat ini dan kemudian buat alias baru untuk kunci KMS.
Saat Anda memperbarui alias, kunci KMS saat ini dan kunci KMS baru harus tipe yang sama (simetris atau asimetris atau HMAC). Mereka juga harus memiliki penggunaan kunci yang sama (ENCRYPT_DECRYPT
atau SIGN_VERIFY
atau GENERATE_VERIFY_MAC). Pembatasan ini mencegah kesalahan kriptografi dalam kode yang menggunakan alias.
Contoh berikut dimulai dengan menggunakan ListAliasesoperasi untuk menunjukkan bahwa test-key
alias saat ini dikaitkan dengan kunci KMS. 1234abcd-12ab-34cd-56ef-1234567890ab
$
aws kms list-aliases --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{ "Aliases": [ { "AliasName": "alias/test-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1593622000.191, "LastUpdatedDate": 1593622000.191 } ] }
Selanjutnya, ia menggunakan UpdateAlias
operasi untuk mengubah kunci KMS yang terkait dengan test-key
alias ke kunci KMS. 0987dcba-09fe-87dc-65ba-ab0987654321
Anda tidak perlu menentukan kunci KMS yang saat ini terkait, hanya kunci KMS baru (“target”). Nama alias peka terhadap huruf besar-kecil.
$
aws kms update-alias --alias-name 'alias/test-key' --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
Untuk memverifikasi bahwa alias sekarang dikaitkan dengan kunci KMS target, gunakan ListAliases
operasi lagi. Perintah AWS CLI ini menggunakan parameter --query
untuk hanya mendapatkan alias test-key
. Bidang TargetKeyId
dan LastUpdatedDate
diperbarui.
$
aws kms list-aliases --query 'Aliases[?AliasName==`alias/test-key`]'
[ { "AliasName": "alias/test-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1593622000.191, "LastUpdatedDate": 1604958290.154 } ]
Menghapus alias
Anda dapat menghapus alias di AWS KMS konsol atau dengan menggunakan DeleteAliasoperasi. Sebelum menghapus alias, pastikan bahwa itu tidak digunakan. Meskipun menghapus alias tidak memengaruhi kunci KMS terkait, itu mungkin menimbulkan masalah untuk aplikasi apa pun yang menggunakan alias. Jika Anda menghapus alias secara tidak sengaja, Anda dapat membuat alias baru dengan nama yang sama dan mengaitkannya dengan kunci KMS yang sama atau berbeda.
Jika Anda menghapus kunci KMS, semua alias yang terkait dengan kunci KMS tersebut akan dihapus.
Menghapus alias (konsol)
Untuk menghapus alias di AWS KMS konsol, gunakan tab Alias pada halaman detail untuk tombol KMS. Anda dapat menghapus beberapa alias untuk kunci KMS sekaligus.
-
Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms
. -
Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
-
Di panel navigasi, pilih Kunci yang dikelola pelanggan. Anda tidak dapat mengelola alias untuk Kunci yang dikelola AWS atauKunci milik AWS.
-
Dalam tabel, pilih ID kunci atau alias kunci KMS. Kemudian, pada halaman detail kunci KMS, pilih tab Alias.
Jika kunci KMS memiliki beberapa alias, kolom Alias dalam tabel menampilkan satu alias dan ringkasan alias, seperti (+ n lebih). Memilih ringkasan alias akan membawa Anda langsung ke tab Alias pada halaman detail kunci KMS.
-
Pada tab Alias, pilih kotak centang di samping alias yang ingin Anda hapus. Kemudian pilih Hapus.
Hapus alias (API AWS KMS)
Untuk menghapus alias, gunakan DeleteAliasoperasi. Operasi ini menghapus satu alias pada satu waktu. Nama alias peka terhadap huruf besar-kecil dan harus didahului oleh prefiks alias/
.
Misalnya, perintah berikut menghapus alias test-key
. Perintah ini tidak memberikan output apa pun.
$
aws kms delete-alias --alias-name alias/test-key
Untuk memverifikasi bahwa alias dihapus, gunakan ListAliasesoperasi. Perintah berikut menggunakan parameter --query
di AWS CLI untuk hanya mendapatkan alias test-key
. Tanda kurung kosong dalam respons menunjukkan bahwa respons ListAliases
tidak menyertakan alias test-key
. Untuk menghilangkan tanda kurung, gunakan parameter dan nilai --output text
.
$
aws kms list-aliases --query 'Aliases[?AliasName==`alias/test-key`]'
[]