Atualizar aliases - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Atualizar aliases

Como um alias é um recurso independente, você pode alterar a KMS chave associada a um alias. Por exemplo, se o test-key alias estiver associado a uma KMS chave, você poderá usar a UpdateAliasoperação para associá-lo a uma KMS chave diferente. Essa é uma das várias maneiras de girar manualmente uma KMS chave sem alterar o material da chave. Você também pode atualizar uma KMS chave para que um aplicativo que estava usando uma KMS chave para novos recursos agora use uma KMS chave diferente.

Você não pode atualizar um alias no AWS KMS console. Além disso, você não pode usar UpdateAlias (nem qualquer outra operação) para alterar um nome de alias. Para alterar o nome de um alias, exclua o alias atual e crie um novo alias para a chave. KMS

Quando você atualiza um alias, a KMS chave atual e a nova KMS chave devem ser do mesmo tipo (simétrica ou assimétrica ou). HMAC Eles também devem ter o mesmo uso de chave (ENCRYPT_DECRYPTou SIGN_VERIFY ou GENERATE _ VERIFY _MAC). Essa restrição previne erros criptográficos no código que usa aliases.

O exemplo a seguir começa usando a ListAliasesoperação para mostrar que o test-key alias está atualmente associado à KMS chave1234abcd-12ab-34cd-56ef-1234567890ab. 

$ aws kms list-aliases --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "Aliases": [
        {
            "AliasName": "alias/test-key",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
            "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
            "CreationDate": 1593622000.191,
            "LastUpdatedDate": 1593622000.191
        }
    ]
}

Em seguida, ele usa a UpdateAlias operação para alterar a KMS chave associada ao test-key alias para KMS chave0987dcba-09fe-87dc-65ba-ab0987654321. Você não precisa especificar a KMS chave atualmente associada, somente a nova KMS chave (“alvo”). O nome do alias diferencia maiúsculas de minúsculas.

$ aws kms update-alias --alias-name 'alias/test-key' --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321

Para verificar se o alias agora está associado à KMS chave de destino, use a ListAliases operação novamente. Esse AWS CLI comando usa o --query parâmetro para obter somente o test-key alias. Os campos TargetKeyId e LastUpdatedDate são atualizados.

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/test-key`]'
[
    {
        "AliasName": "alias/test-key",
        "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
        "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": 1593622000.191,
        "LastUpdatedDate": 1604958290.154
    }
]