AWS::KMS::Alias
AWS::KMS::Alias 资源指定 AWS Key Management Service (AWS KMS) 中的客户主密钥 (CMK) 的显示名称。您可以在 AWS KMS 控制台、DescribeKey 操作和加密操作(如 Decrypt 和 GenerateDataKey)中使用别名来标识 CMK。
使用别名引用 CMK 有助于您简化密钥管理。例如,代码中的别名可映射到其他 AWS 区域中的其他 CMK。有关更多信息,请参阅 AWS Key Management Service 开发人员指南 中的使用别名。
在指定别名时,请遵循以下规则。
-
每个别名只能指向一个 CMK,但多个别名可以指向同一 CMK。
-
别名与它指向的 CMK 必须位于同一个 AWS 账户和区域中。
-
别名名称在 AWS 账户和区域中必须是唯一的。但是,您可以在不同的 AWS 区域中创建具有相同名称的别名。例如,您可以在多个区域中拥有
alias/projectKey,它指向该区域中的 CMK。 -
每个别名名称必须以
alias/开头,后跟一个名称(例如alias/exampleKey)。别名名称只能包含字母数字字符、正斜杠 (/)、下划线 (_) 和连字符 (-)。别名名称不能以 alias/aws/ 开头。该别名名称前缀将保留以用于 AWS 托管 CMK。
语法
要在 AWS CloudFormation 模板中声明此实体,请使用以下语法:
JSON
{ "Type" : "AWS::KMS::Alias", "Properties" : { "AliasName" :String, "TargetKeyId" :String} }
YAML
Type: AWS::KMS::Alias Properties: AliasName:StringTargetKeyId:String
属性
AliasName-
指定别名名称。此值必须以
alias/开头,后跟一个名称(例如alias/ExampleAlias)。别名必须为 1-256 个字符的字符串。它只能包含字母数字字符、正斜杠 (/)、下划线 (_) 和连字符 (-)。别名名称不能以
alias/aws/开头。alias/aws/前缀保留用于 AWS 托管 CMK。模式:
alias/^[a-zA-Z0-9/_-]+$最小值:
1最大值:
256必需:是
类型:字符串
Update requires: Replacement
TargetKeyId-
将别名与指定的客户托管的 CMK 关联。CMK 必须位于同一 AWS 账户和区域中。
必须提供有效的 CMK ID。如果提供 Null 或空字符串值,则此操作将返回错误。
要获得有关查找密钥 ID 和 ARN 的帮助,请参阅 AWS Key Management Service 开发人员指南 中的查找密钥 ID 和 ARN。
指定该 CMK 的密钥 ID 和 Amazon 资源名称 (ARN)。
例如:
-
密钥 ID:
1234abcd-12ab-34cd-56ef-1234567890ab -
密钥 ARN:
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
要获取 CMK 的密钥 ID 和密钥 ARN,请使用 ListKeys 或 DescribeKey。
必需:是
类型:字符串
最低:
1最高:
2048Update requires: No interruption
-
返回值
Ref
在将此资源的逻辑 ID 传递给内部 Ref 函数时,Ref 返回别名名称,例如 alias/exampleAlias。
For more information about using the Ref function, see Ref.
示例
创建别名
以下示例为 CMK 创建 alias/exampleAlias 别名。通过引用 CMK 的资源名称来标识 CMK。在使用这些示例之前,请将示例目标密钥 ID 替换为有效值。
JSON
"myAlias" : { "Type" : "AWS::KMS::Alias", "Properties" : { "AliasName" : "alias/exampleAlias", "TargetKeyId" : {"Ref": "myKey"} } }
YAML
myAlias: Type: AWS::KMS::Alias Properties: AliasName: alias/exampleAlias TargetKeyId: Ref: myKey
另请参阅
-
AWS Key Management Service API 参考 中的 CreateAlias。