旋轉 AWS KMS keys

若要為您的客戶受管金鑰建立新的加密材料，您可以建立新的 KMS 金鑰，然後變更您的應用程式或別名來使用新的 KMS 金鑰。或者，您可以透過啟用自動金鑰輪替或執行隨選輪換，來輪替與現有 KMS 金鑰相關聯的金鑰材料。

根據預設，當您啟用 KMS 金鑰的自動金鑰輪換時，每年會為 KMS 金鑰 AWS KMS 產生新的加密資料。您也可以指定自訂設rotation-period定，以定義啟用自動金鑰輪換後的 AWS KMS 天數，以及之後每次自動輪換之間的天數。如果您需要立即啟動關鍵材料旋轉，無論是否啟用了自動按鍵旋轉，都可以執行隨選旋轉。依需求旋轉不會變更既有的自動旋轉明細表。

AWS KMS 永久儲存所有先前版本的加密資料，以便您可以解密使用該 KMS 金鑰加密的任何資料。 AWS KMS 在您刪除 KMS 金鑰之前，不會刪除任何旋轉的金鑰材料。您可以在 Amazon CloudWatch 和 AWS Key Management Service 主控台追蹤 KMS 金鑰的金鑰材料輪換。 AWS CloudTrail您也可以使用GetKeyRotationStatus操作來確認 KMS 金鑰是否已啟用自動循環，並識別任何進行中的隨選旋轉。您可以使用ListKeyRotations操作來檢視已完成旋轉的詳細資訊。

當您使用旋轉的 KMS 金鑰加密資料時， AWS KMS 會使用目前的金鑰材料。當您使用旋轉的 KMS 金鑰解密密文時， AWS KMS 會使用用來加密密碼的金鑰材料版本。您不能選擇特定版本的密鑰材料進行解密操作， AWS KMS 會自動選擇正確的版本。由於使用適當的金鑰材料 AWS KMS 透明地解密，因此您可以在應用程式中安全地使用旋轉的 KMS 金鑰， AWS 服務 而不需要變更程式碼。

不過，自動金鑰輪換對 KMS 金鑰保護的資料沒有影響。它不會輪換 KMS 金鑰產生的資料金鑰，或重新加密 KMS 金鑰保護的任何資料，也不會減輕受損資料金鑰的有效性。

AWS KMS 僅針對具有 AWS KMS 建立金鑰材料的對稱式加密 KMS 金鑰支援自動和隨選金鑰輪替。對於客户受管 KMS 金鑰而言，自動輪換為選用功能。 AWS KMS 會一直每年輪換一次 AWS 受管 KMS 金鑰的金鑰資料。AWS 擁有 KMS 金鑰的輪換由擁有金鑰的 AWS 服務管理。

注意

在 2022 年 5 月 AWS 受管金鑰 更改的輪替期。如需詳細資訊，請參閱 AWS 受管金鑰。

金鑰輪換只會變更金鑰資料 (即加密操作中使用的密碼編譯私密)。無論其金鑰材料變更多少次，KMS 金鑰都是相同的邏輯資源。KMS 金鑰的屬性不會變更，如下圖所示。

您可以決定建立新的 KMS 金鑰，並使用它來代替原始 KMS 金鑰。這與輪換現有 KMS 金鑰的金鑰材料有相同效果，所以通常被視為手動輪換金鑰。如果您想要輪換不符合自動金鑰輪換資格的 KMS 金鑰 (包括非對稱 KMS 金鑰、HMAC KMS 金鑰、自訂金鑰存放區中的 KMS 金鑰，以及含有匯入金鑰材料的 KMS 金鑰)，則手動輪換是個不錯的選擇。

金鑰輪換和定價

AWS KMS 針對 KMS 金鑰維護的金鑰材料的第一次和第二輪替，收取月費。此價格上漲的上限是在第二輪旋轉，並且任何後續的輪換都不會計費。如需詳細資訊，請參閱 AWS Key Management Service 定價。

注意

您可利用 AWS Cost Explorer Service 來檢視金鑰儲存費用明細。例如，您可指定 $REGION-KMS-Keys 作為用量類型，然後按 API 操作將資料分組，以便篩選檢視並查看作為目前及輪換 KMS 金鑰計費的金鑰總費用。

您可能仍會看到歷史日期的舊版 Unknown API 操作執行個體。

金鑰輪換和配額

在計算金鑰資源配額時，每個 KMS 金鑰都被視為一個金鑰，而不考慮輪換的金鑰資料版本編號。

如需金鑰資料和輪換的詳細資訊，請參閱 AWS Key Management Service 密碼編譯詳細資訊。

為什麼要輪換 KMS 金鑰？

密碼編譯最佳做法不鼓勵廣泛重複使用直接加密資料的金鑰，例如產生的資料金鑰。 AWS KMS 當 256 位元資料金鑰加密數百萬則訊息時，這些金鑰可能會用盡，並開始產生帶有詭祕模式的密文，狡猾分子可利用這些模式來發現金鑰中的位元。為避免此金鑰用盡，最好僅採用資料金鑰一次，或僅採用數次，這樣可有效輪換金鑰資料。

然而，KMS 金鑰最常用作包裝金鑰，也稱為金鑰加密的金鑰。包裝金鑰不會加密資料，其所加密的是用於加密資料的資料金鑰。因此，其使用頻率遠低於資料金鑰，且重複使用頻率之低，鮮少具金鑰額度用盡風險。

儘管額度用盡風險非常低，但由於業務或合約規則或政府法規，您仍可能需要輪換 KMS 金鑰。當您必須輪換 KMS 金鑰時，建議您採用自動金鑰輪換 (若支援)，並在不支援自動金鑰輪換時採用手動金鑰輪換。

您可以考慮執行隨需旋轉，以展示關鍵的材料旋轉功能或驗證自動化腳本。我們建議您對意外旋轉使用隨需旋轉，並在可能的情況下使用自動按鍵旋轉與自訂輪換週期。

按鍵旋轉的運作方式

按鍵旋轉設計為透明且易於使用。 AWS KMS AWS KMS 僅支援客戶管理金鑰的選擇性自動和隨選金鑰輪換。

自動按鍵旋轉

AWS KMS 在您的輪替週期定義的下一個輪替日期自動輪換 KMS 金鑰。您不必記住或排程更新。

按需旋轉

無論是否啟用自動金鑰輪換，都可立即啟動與 KMS 金鑰相關聯的金鑰材料輪換。

管理金鑰資料

AWS KMS 即使金鑰輪替已停用，也會保留 KMS 金鑰的所有金鑰材料。 AWS KMS 只有當您刪除 KMS 金鑰時，才會刪除金鑰材料。

使用金鑰資料

當您使用旋轉的 KMS 金鑰加密資料時， AWS KMS 會使用目前的金鑰材料。當您使用輪換的 KMS 金鑰來對加密文字進行解密時， AWS KMS 會使用原先用來加密的相同版本的金鑰資料。您不能選擇特定版本的密鑰材料進行解密操作， AWS KMS 會自動選擇正確的版本。

輪換期間

輪替週期定義了啟用自動按鍵輪換後的 AWS KMS 天數，以及之後每個自動按鍵輪換之間的天數。如果您在啟用自動金鑰輪換RotationPeriodInDays時未指定值，預設值為 365 天。

您可以使用 kms: RotationPeriodInDays condition 鍵來進一步限制主RotationPeriodInDays參數中可指定的值。

輪換日期

AWS KMS 根據您的輪替週期定義的輪替日期自動輪換 KMS 金鑰。預設輪替期間為 365 天。

客戶受管金鑰

由於自動金鑰輪換在客戶自管金鑰是選擇性，且可隨時啟用及停用，因此輪換日期取決於最近啟用輪換的日期。如果您修改先前啟用自動按鍵輪換的金鑰循環週期，日期可能會變更。在金鑰的使用壽命中，輪換日期可能會多次變更。

例如，如果您在 2022 年 1 月 1 日建立客戶管理的金鑰，並在 2022 年 3 月 15 日啟用預設輪替 365 天的自動金鑰 AWS KMS 輪替，則會在 2023 年 3 月 15 日、2024 年 3 月 15 日、3 月 15 日及之後每 365 天輪換金鑰資料。

下列範例假設已啟用自動金鑰輪換，預設輪替期為 365 天。這些範例示範可能會影響金鑰輪替期間的特殊情況。

• 停用金鑰輪換 — 如您在任何時候停用自動金鑰輪換，KMS 金鑰會繼續使用停用輪換時所用的金鑰資料版本。如果您再次啟用自動按鍵旋轉，則 AWS KMS 會根據新的旋轉啟用日期旋轉關鍵材料。

• 停用的 KMS 金鑰 — 當 KMS 金鑰停用時， AWS KMS 不會輪替該金鑰。不過，金鑰輪換狀態不會變更，而且當 KMS 金鑰停用時您無法變更它。重新啟用 KMS 金鑰時，如果金鑰材料已超過其上次排定的輪替日期，則 AWS KMS 會立即輪換該金鑰。如果關鍵材料沒有錯過其上次排定的旋轉日期，則會 AWS KMS 恢復原始關鍵旋轉明細表。

• KMS 金鑰擱置刪除 — 雖然 KMS 金鑰正在擱置刪除，但 AWS KMS 不會輪換。金鑰輪換狀態會設定為 false，且等待刪除時您無法變更它。如果刪除已取消，會恢復先前的金鑰輪換狀態。如果關鍵材料超過其上次排定的旋轉日期，請立即對其進行 AWS KMS 旋轉。如果關鍵材料沒有錯過其上次排定的旋轉日期，則會 AWS KMS 恢復原始關鍵旋轉明細表。

AWS 受管金鑰

AWS KMS AWS 受管金鑰 每年自動輪換 (大約 365 天)。您無法啟用或停用 AWS 受管金鑰 的金鑰輪換。

的關鍵材料在創建日期後一年首次輪換，之後每年（大約從上次輪換的 365 天）進行首次輪換。 AWS 受管金鑰

注意

在 2022 年 5 月，將輪 AWS KMS 換日程 AWS 受管金鑰 從每 3 年 (約 1,095 天) 變更為每年 (約 365 天)。

新功能會 AWS 受管金鑰 在建立一年後自動輪換，之後大約每年輪換一次。

現 AWS 受管金鑰 有檔案會在最近輪替一年後自動輪換，之後每年輪換一次。

AWS 擁有的金鑰

您無法啟用或停用 AWS 擁有的金鑰的金鑰輪換。的金鑰輪替策略 AWS 擁有的金鑰 由建立和管理金鑰的 AWS 服務決定。如需詳細資訊，請參閱該服務使用者指南或開發人員指南中的靜態加密主題。

支援的 KMS 金鑰類型

僅對稱加密 KMS 金鑰 (其含有 AWS KMS 產生的金鑰資料 (來源 = AWS_KMS)) 支援自動金鑰輪換。

在下列 KMS 金鑰類型上不支援自動金鑰輪換，但是您可以手動輪換這些 KMS 金鑰。

• 非對稱 KMS 金鑰

• HMAC KMS 金鑰

• 自訂金鑰存放區中的 KMS 金鑰

• 包含匯入金鑰資料的 KMS 金鑰

多區域金鑰

您可以啟用和停用多區域金鑰的自動金鑰輪換。您只能在主要金鑰上設定屬性。 AWS KMS 同步處理金鑰時，它會將內容設定從主索引鍵複製到其複本金鑰。旋轉主索引鍵的金鑰材料時， AWS KMS 會自動將該金鑰材料複製到其所有複本金鑰中。如需詳細資訊，請參閱 輪換多區域金鑰。

AWS 服務

您可以啟用您在 AWS 服務中用於伺服器端加密之客戶受管金鑰的自動金鑰輪換。年度輪換是透明的，而且與 AWS 服務相容。

監控金鑰輪換

AWS KMS 輪換AWS 受管金鑰或客戶受管金鑰的金鑰材料時，會將KMS CMK Rotation事件寫入 Amazon， EventBridge並將RotateKey 事件寫入 AWS CloudTrail 日誌。您可以使用這些記錄來驗證 KMS 金鑰是否已輪換。

您可以使用 AWS Key Management Service 主控台來檢視剩餘的隨選旋轉次數，以及 KMS 金鑰的所有已完成金鑰材料輪換清單。

您可以使用ListKeyRotations操作來檢視已完成旋轉的詳細資訊。

最終一致性

金鑰輪換會受到與其他 AWS KMS 管理作業相同的最終一致性效果。在新的金鑰材料可用於整個 AWS KMS之前，可能會稍微延遲。然而，輪換金鑰材料不會造成密碼編譯操作中的任何中斷或延遲。在新的金鑰材料可用於整個 AWS KMS之前，目前的金鑰材料會用於密碼編譯操作。自動旋轉多區域鍵的關鍵材料時，會 AWS KMS 使用目前的關鍵材料，直到具有相關多區域鍵的所有區域都可用新的關鍵材料為止。

如何啟用和停用自動金鑰輪換

根據預設，當您啟用 KMS 金鑰的自動金鑰輪換時，每年會為 KMS 金鑰 AWS KMS 產生新的加密資料。您也可以指定自訂設rotation-period定，以定義啟用自動金鑰輪換後的 AWS KMS 天數，以及之後每次自動輪換之間的天數。

自動金鑰輪換有下列好處：

• KMS 金鑰的屬性，包括其金鑰 ID、金鑰 ARN、區域、政策和許可，在金鑰輪換時不會變更。

• 您不需要變更參考 KMS 金鑰之金鑰 ID 或金鑰 ARN 的應用程式或別名。

• 輪換金鑰資料不會影響 KMS 金鑰在任何 AWS 服務之中的使用。

• 啟用金鑰輪換後，會在 AWS KMS 輪換期間定義的下一個輪替日期自動輪換 KMS 金鑰。您不必記住或排程更新。

獲授權的使用者可以使用 AWS KMS 主控台和 AWS KMS API 來啟用和停用自動金鑰輪換，以及檢視金鑰輪替狀態。

主題

• 啟用和停用自動按鍵旋轉 (主控台)
• 啟用和停用自動金鑰輪換 (AWS KMS API)

啟用和停用自動按鍵旋轉 (主控台)

1. 登入 AWS Management Console 並開啟 AWS Key Management Service (AWS KMS) 主控台，網址為 https://console.aws.amazon.com/kms。

2. 若要變更 AWS 區域，請使用頁面右上角的「地區」選取器。

3. 在導覽窗格中，選擇 Customer managed keys (客戶受管金鑰)。(您不能啟用或停用 AWS 受管金鑰的輪換。它們會每年自動輪換一次。)

4. 選擇 KMS 金鑰的別名或金鑰 ID。

5. 選擇 Key rotation (金鑰輪換) 標籤。

   金鑰輪替索引標籤只會顯示在具有 AWS KMS 產生金鑰材料 (來源為 AWS_KMS) 的對稱加密 KMS 金鑰的詳細資料頁面上，包括多區域對稱加密 KMS 金鑰。

   您無法自動輪換非對稱 KMS 金鑰、HMAC KMS 金鑰、含有匯入金鑰資料的 KMS 金鑰，或是位於自訂金鑰存放區中的 KMS 金鑰。但是，您可以手動進行輪換。

6. 在「自動旋轉金鑰」區段中，選擇 「編輯」。

7. 選取「啟用」做為「按鍵旋轉」。

   注意

   如果 KMS 金鑰已停用或擱置刪除，則 AWS KMS 不會輪替金鑰材料，您也無法更新自動金鑰輪替狀態或輪替期間。啟用 KMS 金鑰或取消刪除，以更新自動金鑰輪替組態。如需詳細資訊，請參閱 按鍵旋轉的運作方式 和 AWS KMS 金鑰的主要狀態。

8. (選擇性) 輸入介於 90 天到 2560 天之間的輪替期間。預設值為 365 天。如果您沒有指定自訂輪替週期，則 AWS KMS 會每年輪換關鍵素材。

   您可以使用 kms: RotationPeriodInDays 條件索引鍵來限制主體可為循環期間指定的值。

9. 選擇儲存。

啟用和停用自動金鑰輪換 (AWS KMS API)

您可以使用 AWS Key Management Service (AWS KMS) API 啟用和停用自動金鑰輪換，以及檢視任何客戶管理金鑰的目前輪替狀態。以下範例使用 AWS Command Line Interface (AWS CLI)，但您可以使用任何支援的程式設計語言。

此EnableKeyRotation作業會為指定的 KMS 金鑰啟用自動金鑰輪替。該DisableKeyRotation操作將禁用它。若要在這些操作中識別 KMS 金鑰，請使用其金鑰 ID 或金鑰 ARN。依預設，客戶受管金鑰會停用金鑰輪換。

您可以使用 kms: RotationPeriodInDays 條件索引鍵來限制主體可為EnableKeyRotation要求RotationPeriodInDays參數指定的值。

下列範例會對指定的對稱加密 KMS 金鑰啟用循環期 180 天的金鑰輪替，並使用該GetKeyRotationStatus作業查看結果。接著它停用金鑰輪換，並再次使用 GetKeyRotationStatus 來查看變更。

$ aws kms enable-key-rotation \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --rotation-period-in-days 180

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": true,
    "RotationPeriodInDays": 180,
    "NextRotationDate": "2024-02-14T18:14:33.587000+00:00"
}

$ aws kms disable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": false
}
            

如何執行隨選金鑰輪換

無論是否啟用自動金鑰輪替，您都可以在客戶管理的 KMS 金鑰中執行按需輪替金鑰資料。停用自動旋轉 (DisableKeyRotation) 不會影響您執行隨選旋轉的能力，也不會取消任何進行中的隨選旋轉。依需求旋轉不會變更既有的自動旋轉明細表。例如，假設 KMS 金鑰已啟用自動金鑰輪替，輪替期為 730 天。如果金鑰排定在 2024 年 4 月 14 日自動輪替，且您在 2024 年 4 月 10 日執行依需求輪替，金鑰將會在 2024 年 4 月 14 日及之後的每 730 天自動輪換一次。

每個 KMS 金鑰最多可以執行 10 次隨選金鑰輪替。您可以使用 AWS KMS 主控台來檢視 KMS 金鑰可用的剩餘隨選旋轉次數。

僅對稱加密 KMS 金鑰支援隨選金鑰輪替。您無法對非對稱 KMS 金鑰、HMAC KMS 金鑰、含匯入金鑰材料的 KMS 金鑰或自訂金鑰存放區中的 KMS 金鑰執行隨選輪換。若要執行一組相關多區域金鑰的隨選輪換，請在主索引鍵上叫用隨選輪換。

授權使用者可以使用 AWS KMS 主控台和 AWS KMS API 啟動隨選金鑰輪替，並檢視金鑰輪替狀態。

主題

• 啟動隨選金鑰輪換 (主控台)
• 啟動隨選金鑰輪換 (AWS KMS API)

啟動隨選金鑰輪換 (主控台)

1. 登入 AWS Management Console 並開啟 AWS Key Management Service (AWS KMS) 主控台，網址為 https://console.aws.amazon.com/kms。

2. 若要變更 AWS 區域，請使用頁面右上角的「地區」選取器。

3. 在導覽窗格中，選擇 Customer managed keys (客戶受管金鑰)。(您無法執行的隨選旋轉 AWS 受管金鑰。 它們每年都會自動旋轉。）

4. 選擇 KMS 金鑰的別名或金鑰 ID。

5. 選擇 Key rotation (金鑰輪換) 標籤。

   金鑰輪替索引標籤只會顯示在具有 AWS KMS 產生金鑰材料 (來源為 AWS_KMS) 的對稱加密 KMS 金鑰的詳細資料頁面上，包括多區域對稱加密 KMS 金鑰。

   您無法對非對稱 KMS 金鑰、HMAC KMS 金鑰、含匯入金鑰材料的 KMS 金鑰或自訂金鑰存放區中的 KMS 金鑰執行隨選輪換。但是，您可以手動進行輪換。

6. 在 [隨選按鍵旋轉] 區段中，選擇 [旋轉鍵]。

7. 閱讀並考慮警告以及金鑰剩餘隨選旋轉次數的相關資訊。如果您決定不要繼續進行隨選旋轉，請選擇「取消」。

8. 選擇旋轉鍵以確認按需旋轉。

   注意

   隨選輪換會受到與其他 AWS KMS 管理作業相同的最終一致性效果。在新的金鑰材料可用於整個 AWS KMS之前，可能會稍微延遲。主控台頂端的橫幅會在隨選輪換完成時通知您。

啟動隨選金鑰輪換 (AWS KMS API)

您可以使用 AWS Key Management Service (AWS KMS) API 啟動隨選金鑰輪換，並檢視任何客戶管理金鑰的目前輪替狀態。以下範例使用 AWS Command Line Interface (AWS CLI)，但您可以使用任何支援的程式設計語言。

此RotateKeyOnDemand作業會立即啟動指定 KMS 金鑰的隨選金鑰輪替。若要在這些操作中識別 KMS 金鑰，請使用其金鑰 ID 或金鑰 ARN。

下列範例會針對指定的對稱加密 KMS 金鑰啟動隨選金鑰輪替，並使用此GetKeyRotationStatus作業來確認隨選輪換是否正在進行中。kms:GetKeyRotationStatus回應OnDemandRotationStartDate中的指定正在進行中的隨選輪換啟動的日期和時間。

$ aws kms rotate-key-on-demand --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"    
}

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": true,
    "NextRotationDate": "2024-03-14T18:14:33.587000+00:00",
    "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
    "RotationPeriodInDays": 365    
}

手動輪換金鑰

您可能會想要建立新的 KMS 金鑰，並使用它來取代目前的 KMS 金鑰，而不是啟用自動金鑰輪換。新的 KMS 金鑰擁有與目前 KMS 金鑰不同的密碼編譯資料，使用新的 KMS 金鑰與變更現有 KMS 金鑰中的金鑰材料具有相同的效果。將一個 KMS 金鑰更換為另一個 KMS 金鑰的程序稱為手動金鑰輪換。

當您想要輪換不符合自動金鑰輪換資格的 KMS 金鑰 (例如非對稱 KMS 金鑰、HMAC KMS 金鑰、自訂金鑰存放區中的 KMS 金鑰，以及使用匯入金鑰材料的 KMS 金鑰) 時，手動輪換是個不錯的選擇。

注意

當您開始使用新的 KMS 金鑰時，請務必將原始 KMS 金鑰保持啟用狀態， AWS KMS 以便解密原始 KMS 金鑰加密的資料。

在手動輪換 KMS 金鑰時，您還需要更新應用程式中對 KMS 金鑰 ID 或金鑰 ARN 的參考。別名會將易記名稱關聯至 KMS 金鑰，讓此程序更容易進行。您可在應用程式中使用別名來參考 KMS 金鑰。而後，在您想要變更應用程式使用的 KMS 金鑰時，變更別名的目標 KMS 金鑰即可，而無需編輯應用程式代碼。如需詳細資訊，請參閱 在應用程式中使用別名。

注意

指向手動輪替 KMS 金鑰的最新版本的別名是「加密」DescribeKey、、、和「簽署」作業的絕佳解決方案。GenerateDataKeyGenerateDataKeyPairGenerateMac管理 KMS 金鑰的作業 (例如DisableKey或) 不允許使用別名ScheduleKeyDeletion。

在手動輪替的對稱加密 KMS 金鑰上呼叫「解密」作業時，請省略命令中的KeyId參數。 AWS KMS 會自動使用加密密文字的 KMS 金鑰。

使用非對稱 KMS 金鑰呼叫Decrypt或驗證，或使用 HMAC KMS 金鑰呼叫VerifyMac時，需要此KeyId參數。當 KeyId 參數的值是不再指向執行密碼編譯操作的 KMS 金鑰的別名時 (例如手動輪換金鑰時)，這些請求將失敗。若要避免此錯誤，您必須追蹤每個操作並為其指定正確的 KMS 金鑰。

若要變更別名的目標 KMS 金鑰，請使用 AWS KMS API 中的UpdateAlias作業。例如，此命令會更新 alias/TestKey 別名以指向新的 KMS 金鑰。由於作業不會傳回任何輸出，因此範例會使用該ListAliases作業來顯示別名現在與不同的 KMS 金鑰相關聯，而且LastUpdatedDate欄位也會更新。這些 ListAliases 命令使用中的queryAWS CLI 參數僅取得alias/TestKey別名。

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]'
{
    "Aliases": [
        {
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey",
            "AliasName": "alias/TestKey",
            "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
            "CreationDate": 1521097200.123,
            "LastUpdatedDate": 1521097200.123
        },
    ]
}


$ aws kms update-alias --alias-name alias/TestKey --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
            
$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]'
{
    "Aliases": [
        {
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey",
            "AliasName": "alias/TestKey",
            "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
            "CreationDate": 1521097200.123,
            "LastUpdatedDate": 1604958290.722
        },
    ]
}