创建别名 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建别名

您可以在 Amazon KMS 控制台中创建别名,也可以使用 Amazon KMS API操作来创建别名。

别名必须为 1-256 个字符的字符串。它只能包含字母数字字符、正斜杠 (/)、下划线 (_) 和连字符 (-)。客户托管密钥的别名名称不能以开头 alias/aws/ 开头。alias/aws/ 前缀专门预留供 Amazon 托管式密钥 使用。

您可以为新KMS密钥或现有KMS密钥创建别名。您可以添加别名,以便在项目或应用程序中使用特定的KMS密钥。

您也可以使用 Amazon CloudFormation 模板为KMS密钥创建别名。有关更多信息,请参阅《Amazon CloudFormation 用户指南》中的AWSKMS::: Alias

在 Amazon KMS 控制台中创建KMS密钥时,必须为新KMS密钥创建别名。要为现有KMS密钥创建别名,请使用密钥详情页面上的 “别名” 选项卡。KMS

  1. 登录 Amazon Web Services Management Console 并在 https://console.aws.amazon.com/km s 处打开 Amazon Key Management Service (Amazon KMS) 控制台。

  2. 要更改 Amazon Web Services 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择客户托管密钥。您无法管理 Amazon 托管式密钥 或 Amazon 拥有的密钥的别名。

  4. 在表中,选择密钥的密钥 ID 或别名。KMS然后,在KMS密钥详情页面上,选择别名选项卡。

    如果KMS密钥有多个别名,则表中的 “名” 列会显示一个别名和一个别名摘要,例如(+ n 更多)。选择别名摘要将您直接带到KMS密钥详情页面上的 “别名” 选项卡。

  5. Aliases(别名)选项卡上,选择 Create alias(创建别名)。输入别名名称,然后选择 Create alias(创建别名)。

    重要

    不要在此字段中包含机密或敏感信息。此字段可能会以纯文本形式显示在 CloudTrail 日志和其他输出中。

    注意

    不要添加 alias/ 前缀。控制台会为您自动添加。如果您输入 alias/ExampleAlias,实际的别名名称将是 alias/alias/ExampleAlias

要创建别名,请使用CreateAlias操作。与在控制台中创建KMS密钥的过程不同,该CreateKey操作不会为新KMS密钥创建别名。

重要

不要在此字段中包含机密或敏感信息。此字段可能会以纯文本形式显示在 CloudTrail 日志和其他输出中。

您可以使用该CreateAlias操作为没有别名的新KMS密钥创建别名。您还可以使用该CreateAlias操作为任何现有KMS密钥添加别名或重新创建意外删除的别名。

在 Amazon KMS API操作中,别名必须以开头alias/后跟一个名称,例如alias/ExampleAlias。别名在账户和 区域中必须是唯一的。要查找已在使用的别名,请使用ListAliases操作。别名名称区分大小写。

TargetKeyId可以是相同 Amazon Web Services 区域中的任何客户托管密钥。要识别KMS密钥,请使用其密钥 ID密钥ARN。您不能使用另一个别名。

以下示例创建example-key别名并将其与指定的KMS密钥关联。这些示例使用 Amazon Command Line Interface (Amazon CLI)。有关使用多种编程语言的示例,请参阅与 Amazon SDK或CreateAlias一起使用 CLI

$ aws kms create-alias \ --alias-name alias/example-key \ --target-key-id 1234abcd-12ab-34cd-56ef-1234567890ab

CreateAlias 不返回任何输出。要查看新别名,请使用 ListAliases 操作。有关详细信息,请参阅使用 Amazon KMS API