使用别名 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用别名

别名Amazon KMS key 的友好名称。例如,别名允许您将 KMS 密钥引用为 test-key,而不是 1234abcd-12ab-34cd-56ef-1234567890ab

您可以使用别名在Amazon KMS控制台、操作和加密DescribeKey操作(例如 E n crypt 和)中标识 KMS 密钥。GenerateDataKey别名还使您能够轻松识别 Amazon 托管式密钥。这些 KMS 密钥的别名始终具有 aws/<service-name> 形式。例如,适用于 Amazon DynamoDB 的 Amazon 托管式密钥 的别名为 aws/dynamodb。您可以为项目建立类似的别名标准,例如在别名前加上项目或类别的名称。

您还可以根据 KMS 密钥的别名允许和拒绝访问 KMS 密钥,而无需编辑策略或管理授权。此功能是 Amazon KMS 对基于属性的访问控制 (ABAC) 的一部分。有关更多信息,请参阅 使用别名控制对 KMS 密钥的访问

别名的大部分功能来自于您随时更改与别名关联的 KMS 密钥的能力。别名可以使您的代码更易于编写和维护。例如,假设您使用别名来引用特定 KMS 密钥,并且您想要更改 KMS 密钥。在这种情况下,只需将别名与其他 KMS 密钥关联即可。您不需要更改您的代码。

别名还您更容易在不同 Amazon Web Services 区域 中重用相同代码。在多个区域中创建具有相同名称的别名,并将每个别名与其区域中的 KMS 密钥关联。当代码在每个区域中运行时,别名将引用该区域中关联的 KMS 密钥。有关示例,请参阅在应用程序中使用别名

您可以使用 CreateAliasAPI 或使用Amazon CloudFormation模板在Amazon KMS控制台中为 KMS 密钥创建别名。

Amazon KMS API 提供对每个账户和区域中的别名的完全控制。API 包括创建别名 (CreateAlias)、查看别名和别名 ARN (ListAliases)、更改与别名关联的 KMS 密钥 (UpdateAlias) 以及删除别名 (DeleteAlias) 的操作。有关使用多种编程语言管理别名的示例,请参阅 使用别名

以下资源可帮助您了解更多信息:

  • 有关 KMS 密钥标识符(包括别名)的信息,请参阅 密钥标识符 (KeyId)

  • 有关使用Amazon CloudFormation模板为 KMS 密钥创建别名的帮助,请参阅Amazon CloudFormation用户指南AWS::KMS::Alias中的。

  • 要获得查找与 KMS 密钥关联的别名的帮助,请参阅 查找别名和别名 ARN

  • 有关别名的资源配额和与别名相关的 API 操作的费率配额的信息,请参阅 配额

  • 有关使用多种编程语言创建和管理别名的示例,请参阅 使用别名

主题