使用別名

別名是 AWS KMS key 的易記名稱。例如，別名可讓您將 KMS 金鑰稱為 test-key，而不是 1234abcd-12ab-34cd-56ef-1234567890ab。

您可以使用別名來識別AWS KMS主控台、作業中和密碼編譯DescribeKey作業 (例如 Encrypt 和 GenerateDataKey. 別名也可以很容易地識別 AWS 受管金鑰。這些 KMS 金鑰的別名一律具有 aws/<service-name> 格式。例如，Amazon DynamoDB 的 AWS 受管金鑰 別名是 aws/dynamodb。您可以為專案建立類似的別名標準，例如在別名前面加上專案或品類的名稱。

您也可以根據其別名允許和拒絕存取 KMS 金鑰，而不需編輯政策或管理授權。這項功能是對屬性型存取控制 (ABAC) 的 AWS KMS 支援。如需詳細資訊，請參閱 使用別名來控制對 KMS 金鑰的存取。

別名的大部分功能來自於您隨時變更與別名相關聯之 KMS 金鑰的能力。別名可以讓您的程式碼更容易撰寫和維護。例如，假設您使用別名來指代特定的 KMS 金鑰，而且您想要變更 KMS 金鑰。在這種情況下，只要將別名與不同的 KMS 金鑰建立關聯即可。您不需要變更程式碼。

別名也可以更容易在不同的 AWS 區域 中重複使用相同的程式碼。在多個區域中建立具有相同名稱的別名，並將每個別名與其區域中的 KMS 金鑰產生關聯。當程式碼在每個區域中執行時，別名是指該區域中相關聯的 KMS 金鑰。如需範例，請參閱 在應用程式中使用別名。

您可以使用 CreateAliasAPI 或使用AWS CloudFormation範本，在AWS KMS主控台中為 KMS 金鑰建立別名。

AWS KMS API 可完全控制每個帳戶和區域中的別名。API 包括建立別名 (CreateAlias)、檢視別名和別名 ARN (ListAliases)、變更與別名 () 相關聯的 KMS 金鑰，以及刪除別名 (DeleteAlias) 的作業。UpdateAlias如需管理別名之多種程式設計語言的範例，請參閱 處理別名。

下列資源可協助您進一步了解：

• 如需 KMS 金鑰識別符 (包括別名) 的相關資訊，請參閱 金鑰識別碼 (KeyId)。

• 如需使用AWS CloudFormation範本建立 KMS 金鑰別名的說明，請參閱使用AWS CloudFormation者指南AWS::KMS::Alias中的〈〉。

• 如需尋找與 KMS 金鑰相關聯的別名，請參閱 尋找別名和別名 ARN

• 如需別名資源配額和與別名相關聯 API 操作之費率配額的相關資訊，請參閱 配額。

• 如需建立和管理別名之多種程式設計語言的範例，請參閱 處理別名。

主題

• 關於別名
• 管理別名
• 在應用程式中使用別名
• 控制對別名的存取
• 使用別名來控制對 KMS 金鑰的存取
• 尋找 AWS CloudTrail 日誌中的別名