エイリアスを更新する

エイリアスは独立したリソースであるため、エイリアスに関連付けられたKMSキーを変更できます。例えば、test-keyエイリアスが 1 つのKMSキーに関連付けられている場合は、 UpdateAliasオペレーションを使用して別のKMSキーに関連付けることができます。これは、KMSキーマテリアルを変更せずにキーを手動でローテーションする方法の 1 つです。また、新しいリソースに 1 つのKMSキーを使用していたアプリケーションが別のKMSキーを使用するようにKMSキーを更新することもできます。

AWS KMS コンソールでエイリアスを更新することはできません。また、 UpdateAlias （または他のオペレーション）を使用してエイリアス名を変更することはできません。エイリアス名を変更するには、現在のエイリアスを削除してから、KMSキーの新しいエイリアスを作成します。

エイリアスを更新する場合、現在のKMSキーと新しいキーは同じタイプである必要があります (対称キーと非対称KMSキーの両方、または HMAC）。また、同じキー使用量 (ENCRYPT_DECRYPT SIGN_VERIFYまたは GENERATE_VERIFY_) である必要がありますMAC。この制限により、エイリアスを使用するコードの暗号化エラーが防止されます。

次の例は、 ListAliasesオペレーションを使用して、test-keyエイリアスが現在KMSキー に関連付けられていることを示すことから始めます1234abcd-12ab-34cd-56ef-1234567890ab。

$ aws kms list-aliases --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "Aliases": [
        {
            "AliasName": "alias/test-key",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
            "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
            "CreationDate": 1593622000.191,
            "LastUpdatedDate": 1593622000.191
        }
    ]
}

次に、 UpdateAliasオペレーションを使用して、test-keyエイリアスに関連付けられているKMSキーをKMSキー に変更します0987dcba-09fe-87dc-65ba-ab0987654321。現在関連付けられているKMSキーを指定する必要はありません。新しい (「ターゲット」) KMSキーのみを指定する必要があります。エイリアス名では、大文字と小文字が区別されます。

$ aws kms update-alias --alias-name 'alias/test-key' --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321

エイリアスがターゲットKMSキーに関連付けられていることを確認するには、 ListAliasesオペレーションを再度使用します。この AWS CLI コマンドは、 test-key --queryパラメータを使用してエイリアスのみを取得します。TargetKeyId および LastUpdatedDate フィールドが更新されます。

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/test-key`]'
[
    {
        "AliasName": "alias/test-key",
        "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
        "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": 1593622000.191,
        "LastUpdatedDate": 1604958290.154
    }
]