查找KMS密钥的别名ARN和别名 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查找KMS密钥的别名ARN和别名

别名便于识别 Amazon KMS 控制台中的KMS按键。您可以在 Amazon KMS 控制台中或使用ListAliases操作来查看KMS密钥的别名。该DescribeKey操作返回KMS密钥的属性,但不包括别名。

以下过程演示如何使用 Amazon KMS 控制台和来查看和识别与KMS密钥关联的别名。 Amazon KMS API这些 Amazon KMS API示例使用 Amazon Command Line Interface (Amazon CLI),但您可以使用任何支持的编程语言。

Amazon KMS 控制台显示与KMS密钥关联的别名。

  1. https://console.aws.amazon.com/km Amazon KMS s 处打开控制台。

  2. 要更改 Amazon Web Services 区域,请使用页面右上角的区域选择器。

  3. 要查看您账户中自己所创建和管理的密钥,请在导航窗格中选择 Customer managed keys (客户托管密钥)。要查看您的账户中为您 Amazon 创建和管理的密钥,请在导航窗格中选择Amazon 托管密钥

  4. 名列显示每个KMS密钥的别名。如果KMS密钥没有别名,则在别名列中会出现一个短划线 (-)。

    如果KMS密钥有多个别名,则 “名” 列还会显示别名摘要,例如(+ n 更多)。例如,以下KMS密钥有两个别名,其中一个是key-test

    要查找KMS密钥所有别名的别ARN名和别名,请使用别名选项卡

    • 要直接转到 Aliases(别名)选项卡上的 Aliases(别名)列中,选择别名摘要(再加 n)。仅当KMS密钥有多个别名时,才会显示别名摘要。

    • 或者,选择密钥的别名或KMS密钥 ID(这将打开密KMS钥的详情页面),然后选择 “别名” 选项卡。这些选项卡在 General configuration(常规配置)部分下。

    客户自主管理型密钥 interface showing a list with one key and options to create or filter keys.
  5. 名选项卡显示密钥所有别名的别ARN名和别名。KMS您也可以在此选项卡上创建和删除KMS密钥的别名。

    Aliases tab showing two key aliases with their names and ARNs listed in a table format.
Amazon 托管式密钥

您可以使用别名来识别 Amazon 托管式密钥,如本示例Amazon 托管式密钥页所示。 Amazon 托管式密钥 的别名始终具有以下格式:aws/<service-name>。例如,亚马逊 DynamoD Amazon 托管式密钥 B 的别名是。aws/dynamodb

Amazon KMS 控制台的 Amazon 托管式密钥 页面中的别名

ListAliases操作返回账户和区域中别名的别名ARN和别名。输出包括客户托管密钥 Amazon 托管式密钥 和客户托管密钥的别名。 Amazon 托管式密钥 的别名始终具有格式 aws/<service-name>,如 aws/dynamodb

该响应可能还包括没有 TargetKeyId 字段的别名。这些是 Amazon 已创建但尚未与KMS密钥关联的预定义别名。

$ aws kms list-aliases { "Aliases": [ { "AliasName": "alias/access-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1516435200.399, "LastUpdatedDate": 1516435200.399 }, { "AliasName": "alias/ECC-P521-Sign", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ECC-P521-Sign", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1693622000.704, "LastUpdatedDate": 1693622000.704 }, { "AliasName": "alias/ImportedKey", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ImportedKey", "TargetKeyId": "1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d", "CreationDate": 1493622000.704, "LastUpdatedDate": 1521097200.235 }, { "AliasName": "alias/finance-project", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/finance-project", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1604958290.014, "LastUpdatedDate": 1604958290.014 }, { "AliasName": "alias/aws/dynamodb", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/dynamodb", "TargetKeyId": "0987ab65-43cd-21ef-09ab-87654321cdef", "CreationDate": 1521097200.454, "LastUpdatedDate": 1521097200.454 }, { "AliasName": "alias/aws/ebs", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/ebs", "TargetKeyId": "abcd1234-09fe-ef90-09fe-ab0987654321", "CreationDate": 1466518990.200, "LastUpdatedDate": 1466518990.200 } ] }

要获取与特定KMS密钥关联的所有别名,请使用ListAliases操作的可选KeyId参数。该KeyId参数采用密钥 ID密钥ARN的KMS密钥。

此示例获取与0987dcba-09fe-87dc-65ba-ab0987654321KMS密钥关联的所有别名。

$ aws kms list-aliases --key-id 0987dcba-09fe-87dc-65ba-ab0987654321 { "Aliases": [ { "AliasName": "alias/access-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": "2018-01-20T15:23:10.194000-07:00", "LastUpdatedDate": "2018-01-20T15:23:10.194000-07:00" }, { "AliasName": "alias/finance-project", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/finance-project", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1604958290.014, "LastUpdatedDate": 1604958290.014 } ] }

KeyId 参数不采用通配符,但您可以使用编程语言的功能筛选响应。

例如,以下 Amazon CLI 命令仅获取的别名。 Amazon 托管式密钥

$ aws kms list-aliases --query 'Aliases[?starts_with(AliasName, `alias/aws/`)]'

例如,以下命令仅获取 access-key 别名。别名名称区分大小写。

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/access-key`]' [ { "AliasName": "alias/access-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": "2018-01-20T15:23:10.194000-07:00", "LastUpdatedDate": "2018-01-20T15:23:10.194000-07:00" } ]