使用别名 - AWS Key Management Service

使用别名

别名AWS KMS key 的友好名称。例如,别名允许您将 KMS 密钥引用为 test-key,而不是 1234abcd-12ab-34cd-56ef-1234567890ab

您可以在 AWS KMS 控制台、DescribeKey 操作和加密操作(如 EncryptGenerateDataKey)中使用别名来标识 KMS 密钥。

别名还使您能够轻松识别 AWS 托管式密钥。这些 KMS 密钥的别名始终具有 aws/<service-name> 形式。例如,适用于 Amazon DynamoDB 的 AWS 托管式密钥 的别名为 aws/dynamodb。您可以为项目建立类似的别名标准,例如在别名前加上项目或类别的名称。

您还可以根据 KMS 密钥的别名允许和拒绝访问 KMS 密钥,而无需编辑策略或管理授权。此功能是 AWS KMS 对基于属性的访问控制 (ABAC) 的一部分。有关详细信息,请参阅使用别名控制对 KMS 密钥的访问

别名的大部分功能来自于您随时更改与别名关联的 KMS 密钥的能力。别名可以使您的代码更易于编写和维护。例如,假设您使用别名来引用特定 KMS 密钥,并且您想要更改 KMS 密钥。在这种情况下,只需将别名与其他 KMS 密钥关联即可。您不需要更改您的代码。

别名还您更容易在不同 AWS 区域 中重用相同代码。在多个区域中创建具有相同名称的别名,并将每个别名与其区域中的 KMS 密钥关联。当代码在每个区域中运行时,别名将引用该区域中关联的 KMS 密钥。有关示例,请参阅在应用程序中使用别名

您可以在 AWS KMS 控制台中,通过使用 CreateAlias API 或通过使用 AWS CloudFormation 模板为 KMS 密钥创建别名。

AWS KMS API 提供对每个账户和区域中的别名的完全控制。API 包括创建别名 (CreateAlias),查看别名和别名 ARN (ListAliases),更改与别名关联的 KMS 密钥 (UpdateAlias) 以及删除别名 (DeleteAlias) 的操作。有关使用多种编程语言管理别名的示例,请参阅 使用别名

以下资源可帮助您了解更多信息:

  • 有关 KMS 密钥标识符(包括别名)的信息,请参阅 密钥标识符 (KeyId)

  • 在使用 AWS CloudFormation 模板为 KMS 密钥创建别名时如需帮助,请参阅AWS CloudFormation用户指南中的 AWS::KMS::Alias

  • 要获得查找与 KMS 密钥关联的别名的帮助,请参阅 查找别名和别名 ARN

  • 有关别名的资源配额和与别名相关的 API 操作的费率配额的信息,请参阅 配额

  • 有关使用多种编程语言创建和管理别名的示例,请参阅 使用别名