AWS::KMS::Alias
AWS::KMS::Alias 资源指定 AWS Key Management Service (AWS KMS) 中的客户主密钥 (CMK) 的显示名称。您可以使用别名在加密操作中标识 CMK。
使用别名引用 CMK 有助于您简化密钥管理。例如,代码中的别名可映射到其他 AWS 区域中的其他 CMK。有关更多信息,请参阅 AWS Key Management Service 开发人员指南 中的使用别名。
在指定别名时,请遵循以下规则。
-
每个别名只能指向一个 CMK,但多个别名可以指向同一 CMK。
-
别名与它指向的 CMK 必须位于同一个 AWS 账户和区域中。
-
别名名称在 AWS 账户和区域中必须是唯一的。但是,您可以在不同的 AWS 区域中创建具有相同名称的别名。例如,您可以在多个区域中拥有
alias/projectKey,它指向该区域中的 CMK。 -
每个别名名称必须以
alias/开头,后跟一个名称(例如alias/exampleKey)。别名名称只能包含字母数字字符、正斜杠 (/)、下划线 (_) 和连字符 (-)。别名名称不能以 alias/aws/ 开头。该别名名称前缀将保留以用于 AWS 托管 CMK。
语法
要在 AWS CloudFormation 模板中声明此实体,请使用以下语法:
JSON
{ "Type" : "AWS::KMS::Alias", "Properties" : { "AliasName" :String, "TargetKeyId" :String} }
YAML
Type: AWS::KMS::Alias Properties: AliasName:StringTargetKeyId:String
属性
AliasName-
指定别名名称。此值必须以
alias/开头,后跟一个名称(例如alias/ExampleAlias)。别名名称不能以alias/aws/开头。alias/aws/前缀保留用于 AWS 托管 CMK。必需:是
类型:字符串
最低:
1最高:
256模式:
^[a-zA-Z0-9:/_-]+$Update requires: Replacement
TargetKeyId-
标识别名引用的 CMK。指定该 CMK 的密钥 ID 和 Amazon 资源名称 (ARN)。您不能指定另一个别名。要获得有关查找密钥 ID 和 ARN 的帮助,请参阅 AWS Key Management Service 开发人员指南 中的查找密钥 ID 和 ARN。
必需:是
类型:字符串
最低:
1最高:
2048Update requires: No interruption
返回值
Ref
在将此资源的逻辑 ID 传递给内部 Ref 函数时,Ref 返回别名名称,例如 alias/exampleAlias。
For more information about using the Ref function, see Ref.
示例
创建别名
以下示例为 CMK 创建 alias/exampleAlias 别名。通过引用 CMK 的资源名称来标识 CMK。在使用这些示例之前,请将示例目标密钥 ID 替换为有效值。
JSON
"myAlias" : { "Type" : "AWS::KMS::Alias", "Properties" : { "AliasName" : "alias/exampleAlias", "TargetKeyId" : {"Ref": "myKey"} } }
YAML
myAlias: Type: AWS::KMS::Alias Properties: AliasName: alias/exampleAlias TargetKeyId: Ref: myKey
另请参阅
-
AWS Key Management Service API 参考 中的 CreateAlias。