使用别名 - AWS Key Management Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用别名

别名客户主密钥 (CMK) 的友好名称。例如,通过别名,您可以将 引用CMK为 test-key ,而不是 1234abcd-12ab-34cd-56ef-1234567890ab

您可以使用别名CMK在 AWS KMS 控制台、 DescribeKey 操作和加密操作(如 Encrypt 和 )中标识 GenerateDataKey

别名还可让您轻松识别 AWS 托管CMKs的 。这些 的别名CMKs始终采用以下格式aws/<service-name>:。 例如, AWS CMK 托管的 的别名Amazon DynamoDB为 aws/dynamodb。 您可以为项目建立类似的别名标准,例如,使用您的项目或类别的名称来前缀您的别名。

您还可以CMKs基于别名允许和拒绝对 的访问,而无需编辑策略或管理授权。此功能是AWS KMS支持基于属性的访问控制 (ABAC) 的一部分。有关详细信息,请参阅 使用别名控制对 的访问 CMKs.

别名的大部分功能来自于您随时更改与别名CMK关联的 的能力。别名可让您的代码更易于编写和维护。例如,假设您使用别名来引用特定的 CMK ,并且您希望更改 CMK。在这种情况下,只需将别名与其他 关联CMK。您无需更改代码。

通过别名,还可以更轻松地在不同的区域中重用相同的代码AWS。在多个区域中创建具有相同名称的别名,并将每个别名与其CMK区域中的 关联。当代码在每个区域中运行时,别名将引用它CMK在该区域中关联的 。有关示例,请参阅在应用程序中使用别名.

AWS KMS API 提供对每个账户和区域中别名的完全控制。API 包含用于创建别名 (CreateAlias)、查看别名和别名 ARNs (ListAliases)、更改与别名 (CMKUpdateAlias) 关联的 以及删除别名 (DeleteAlias) 的操作。有关管理别名多种编程语言的示例,请参阅使用别名

以下资源可以帮助您了解更多信息:

  • 有关CMK标识符(包括别名)的信息,请参阅密钥标识符 (KeyId)

  • 有关查找与 关联的别名的帮助CMK,请参阅 查找别名和别名 ARN

  • 有关别名的资源配额以及与别名相关的 API 操作的速率配额的信息,请参阅配额

  • 有关使用多种编程语言创建和管理别名的示例,请参阅使用别名