使用别名 - AWS Key Management Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

使用别名

别名客户主密钥 (CMK)。例如,别名可让您参考 CMK 作为 test-key 而不是 1234abcd-12ab-34cd-56ef-1234567890ab.

您可以使用别名来识别 CMK 在 AWS KMS 控制台,在 描述关键密码操作,例如 加密生成数据密钥.

别名也便于识别 AWS 管理 CMKs. 这些别名 CMKs 始终采用以下形式: aws/<service-name>。例如, AWS 管理 CMK 对于 Amazon DynamoDB 是 aws/dynamodb。您可以为您的项目建立类似的别名标准,例如,使用项目或类别的名称预先设置别名。

别名的大部分力量来自您改变 CMK 与别名相关联。别名可使代码更容易编写和维护。例如,假设您使用别名引用特定 CMK 您想改变 CMK. 在这种情况下,只需将别名与不同的 CMK. 您不需要更改代码。

别名还可以使在不同位置重复使用相同代码更容易 AWS 区域。创建多个区域中具有相同名称的别名,并将每个别名与 CMK 区域。当代码在每个区域运行时,别名引用其相关 CMK 在该地区。有关示例,请参阅在您的应用程序中使用别名

的 AWS KMS API可完全控制每个帐户和区域中的别名。API包括创建别名的操作(创建别名),查看别名和别名ARN(列表别名),更改 CMK 与别名关联(更新别名),然后删除别名(删除别名)。有关管理别名(多种编程语言)的示例,请参阅 使用别名.

以下资源可以帮助您了解更多信息:

关于别名

了解别名如何工作 AWS KMS.

别名是独立的 AWS 资源

别名不是 CMK. 您在别名上采取的行动不会影响其关联的 CMK. 您可以为 CMK 然后更新别名,使其与不同的 CMK. 您甚至可以删除别名,而不会对关联的 CMK.

每个别名有两种格式。

  • 别名ARN 是唯一标识别名的PDF资源名称(ARN)。

    # Alias ARN arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias
  • 别名 开始于 alias。别名仅对帐户和区域唯一。

    # Alias name alias/ExampleAlias
每个别名与一个相关联 CMK 一次

别名及其 CMK 必须位于同一客户和地区。

您可以将别名与任何 客户管理 CMK 相同 AWS 客户和地区。但是,您无权将别名与 AWS 管理 CMK.

例如, 列表别名 输出表明 test-key 别名正与一个目标相关联 CMK,它由 TargetKeyId 属性。

{ "AliasName": "alias/test-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab" }
多个别名可与其相关联 CMK

例如,您可以关联 test-keyproject-key 别名相同 CMK. 只有一个别名出现在 AWS KMS 但 列表别名 答案显示所有别名或给定 CMK.

{ "AliasName": "alias/test-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab" }, { "AliasName": "alias/project-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/project-key", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab" }
别名在客户和地区中必须是唯一的

例如,您只能有一个 test-key 每个区域的别名。别名区分大小写,但只有大小写不同的别名很容易出现错误。您不能更改别名。但是,您可以删除该别名,并使用所需名称创建新别名。

您可以在不同的区域创建具有相同名称的别名

例如,您可以 finance-key 别名 美国东部(弗吉尼亚北部) 和a finance-key 别名 欧洲(法兰克福). 每个别名将与 CMK 区域。如果您的代码引用了别名,例如 alias/finance-key,您可以在多个区域运行它。在每个地区,它使用不同的 CMK. 有关详细信息,请参阅 在您的应用程序中使用别名

您可以更改 CMK 与别名关联

您可以使用 更新别名 将别名与不同的 CMK. 例如,如果 finance-key 别名与 1234abcd-12ab-34cd-56ef-1234567890ab CMK,您可以更新它,以便它与 0987dcba-09fe-87dc-65ba-ab0987654321 CMK.

但是,当前和新的 CMK 必须是相同的类型(对称或不对称),且必须具有相同的 关键用途 (ENCRYPT_DECRYPT或SIGN_VERIFY)。此限制可防止使用别名的代码中出现错误。如果您必须将别名与不同类型的密钥相关联,并且已缓解风险,则可以删除别名并重新创建。

有些 CMKs 没有别名

当您创建一个 CMK 在 AWS KMS 您必须为它提供一个新别名。但是当您使用 创建键 以创建一个 CMK. 此外,您还可以使用 更新别名 操作来更改 CMK 与别名和删除别名 删除别名的操作。因此,有些 CMKs 可能有几个别名,有些可能没有。

AWS 在您的帐户中创建别名

AWS 在您的帐户中创建别名, AWS 管理 CMKs. 这些别名包含表单名称 alias/aws/<service-name>,例如 alias/aws/s3.

有些 AWS 别名无 CMK. 这些预定义别名通常与 AWS 管理 CMK 开始使用服务时。别名 AWS 在您的帐户中创建,包括预定义的别名,不要计入您的 AWS KMS 别名配额.

使用别名识别 CMKs

您可以使用 别名别名ARN 识别 CMK 在 AWS KMS 密码操作描述关键 操作。但是,您不能在管理 CMKs,例如 禁用键GetKey策略. 有关有效 关键标识符 每个 AWS KMS API操作,请参阅 KeyId 参数 AWS Key Management Service API Reference.

您不能使用别名或别名ARN来识别 CMK 在 Resource 的要素 IAM 政策. 此限制可防止如果您打算控制特定 CMK,但别名已删除或更新为其他 CMK。

创建别名

您可以在 AWS KMS 或使用 AWS KMS API操作。

别名必须为1的串–256个字符。它只能包含字母数字字符、正斜杠 (/)、下划线 (_) 和连字符 (-)。的别名 客户管理 CMK 开头不能是 alias/aws/。的 alias/aws/ 保留前缀 AWS 管理 CMKs.

您可以为新的 CMK 或现有 CMK. 您可以添加一个别名,以便 CMK 用于项目或应用程序。

创建别名(控制台)

您可以在 AWS KMS 但仅作为 创建 CMK,其中每个新别名都需要新的别名 CMK.

您不能使用 AWS KMS 为现有 CMK 或更新或删除别名。要更新或删除别名,包括您在控制台中创建的别名,请使用 AWS KMS API操作。

创建别名(AWS KMS API)

要创建别名,请使用 CreateAlias 操作。与创建 CMKs 在话务台中, 创建键 操作不会为新的 CMK.

您可以使用 CreateAlias 操作为新的 CMK 无别名。您也可以使用 CreateAlias 将别名添加到任何现有 CMK 或以重新创建意外删除的别名。

在 AWS KMS API操作,别名必须以 alias/ 后接一个姓名,例如 alias/ExampleAlias。别名在帐户和区域中必须是唯一的。要查找已在使用的别名,请使用 列表别名 操作。别名名称区分大小写。

TargetKeyId 可以是任何 客户管理 CMK 相同 AWS 区域。确定 CMK,使用其 密钥ID主要ARN. 您不能使用另一个别名。

以下示例创建 example-key 别名,并将其与指定的 CMK. 这些示例使用 AWS Command Line Interface (AWS CLI)。有关使用多种编程语言的示例,请参阅使用别名

$ aws kms create-alias \ --alias-name alias/example-key \ --target-key-id 1234abcd-12ab-34cd-56ef-1234567890ab

CreateAlias 未返回任何输出。要查看新别名,请使用 ListAliases 操作。有关详细信息,请参阅 查看别名(AWS KMS API)

查看别名

别名易于识别 CMKs 在 AWS KMS 话务台。但是,控制台仅显示每个别名 CMK. 要查看所有别名, CMK,使用 列表别名 操作。的 描述关键 操作,返回有关 CMK,不包括别名。

查看别名(控制台)

客户管理密钥AWS 管理键 页面中的 AWS KMS 控制台显示与每个 CMK. 您还可以搜索、排序和筛选 CMKs 基于其别名。

以下图片 AWS KMS 控制台显示 客户管理密钥 示例帐户页面。如图片所示, CMKs 没有别名。


          中的别名 客户管理密钥 第页,共页 AWS KMS 话务台

每个 CMK 显示 CMK. 要打开 CMK,在 CMK 选择其别名或密钥ID。

此页面显示一个别名,但不显示别名ARN。有关查找别名ARN的帮助,请参阅 查找别名和别名 ARN.

您可以使用别名识别 AWS 管理 CMK,如本例所示 AWS 管理键 第页。的别名 AWS 管理 CMKs 始终采用以下格式: aws/<service-name>。例如, AWS 管理 CMK 对于 Amazon DynamoDB 是 aws/dynamodb.


          中的别名 AWS 管理键 第页,共页 AWS KMS 话务台

的 AWS KMS 需要您在创建 CMK. 它还会显示与 CMK. 但是,您不能使用控制台创建其他别名,请更改 CMK 与别名关联,或删除别名。这些任务只能通过 AWS KMS API。

此外, AWS KMS 控制台每个仅显示一个别名 CMK 但不显示别名ARN。要查看特定的所有别名 CMK 或要查看帐户和区域中的任何别名的别名ARN,请使用 列表别名 操作。

查看别名(AWS KMS API)

列表别名 操作返回帐户和区域的别名和别名ARN。输出包括别名 AWS 管理 CMKs 以及客户管理 CMKs. 的别名 AWS 管理 CMKs 有 aws/<service-name>,例如 aws/dynamodb.

该响应可能还包括没有 TargetKeyId 字段的别名。这些是预定义的别名, AWS 已创建,但尚未与 CMK. 别名 AWS 在您的帐户中创建,包括预定义的别名,不要计入您的 AWS KMS 别名配额.

$ aws kms list-aliases { "Aliases": [ { "AliasName": "alias/access-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321" }, { "AliasName": "alias/ECC-P521-Sign", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ECC-P521-Sign", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab" }, { "AliasName": "alias/ImportedKey", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ImportedKey", "TargetKeyId": "1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d" }, { "AliasName": "alias/finance-project", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/finance-project", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321" }, { "AliasName": "alias/aws/dynamodb", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/dynamodb", "TargetKeyId": "0987ab65-43cd-21ef-09ab-87654321cdef" }, { "AliasName": "alias/aws/ebs", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/ebs", "TargetKeyId": "abcd1234-09fe-ef90-09fe-ab0987654321" } ] }

获取与特定别名相关的所有别名 CMK,使用可选 KeyId 参数 ListAliases 操作。的 KeyId 参数使用 密钥ID主要ARN 的 CMK.

此示例包含与 0987dcba-09fe-87dc-65ba-ab0987654321 CMK.

$ aws kms list-aliases --key-id 0987dcba-09fe-87dc-65ba-ab0987654321 { "Aliases": [ { "AliasName": "alias/access-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321" }, { "AliasName": "alias/finance-project", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/finance-project", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321" } ] }

KeyId 参数不采用星号字符,但您可以使用编程语言的功能筛选答案。

例如,以下 AWS CLI 命令仅获取的别名 AWS 管理 CMKs.

$ aws kms list-aliases --query 'Aliases[?starts_with(AliasName, `alias/aws/`)]'

下列命令只能 access-key 别名。别名名称区分大小写。

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/access-key`]' [ { "AliasName": "alias/access-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321" } ]

在您的应用程序中使用别名

您可以使用别名来表示 CMK 在应用程序代码中。的 KeyId 参数 描述关键GetPublicKey(获取公共密钥) 运营和整体 密码操作 接受别名或别名ARN。

例如,以下 GenerateDataKey 命令使用别名(alias/finance)以识别 CMK. 别名是 KeyId 参数。

$ aws kms generate-data-key --key-id alias/finance --key-spec AES_256

别名最强大的用途之一是在多个应用中运行 AWS 区域。例如,您可能有一个全局应用程序使用RSA 非对称 CMK 进行签名和验证。

  • 在 美国西部(俄勒冈) (我们西2区),您想使用 arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  • 在 欧洲(法兰克福) (eu-central-1),您想使用 arn:aws:kms:eu-central-1:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321

  • 在 亚太区域(新加坡) (ap-southeast-1),您想使用 arn:aws:kms:ap-southeast-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d.

您可以在每个区域创建应用程序的不同版本,或使用字典或转换语句选择右侧 CMK 每个地区。但是在每个区域创建具有相同别名的别名要容易得多。请记住,别名区分大小写。

aws --region us-west-2 kms create-alias \ --alias-name alias/new-app \ --key-id arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab aws --region eu-central-1 kms create-alias \ --alias-name alias/new-app \ --key-id arn:aws:kms:eu-central-1:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321 aws --region ap-southeast-1 kms create-alias \ --alias-name alias/new-app \ --key-id arn:aws:kms:ap-southeast-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d

然后,使用代码中的别名。当代码在每个区域运行时,别名将引用其相关 CMK 在该地区。例如,该代码称为 签名 操作使用别名。

aws kms sign --key-id alias/new-app \ --message $message \ --message-type RAW \ --signing-algorithm RSASSA_PSS_SHA_384

但是,存在删除或更新别名以与不同的 CMK. 在这种情况下,应用程序尝试使用别名验证签名将失败,您可能需要重新创建或更新别名。

为降低这种风险,应谨慎给予委托人管理您在应用程序中使用的别名的权限。有关详细信息,请参阅 控制别名的访问

有其他几种解决方案可以加密多个 AWS 地区,包括 AWS 加密 SDK.

更新别名

由于别名是独立资源,因此您可以更改 CMK 与别名关联。例如,如果 test-key 别名与一个 CMK,您可以使用 更新别名 将其与不同的 CMK. 这是 手动旋转 CMK 而不改变其关键材料。您也可以更新 CMK 以便使用应用程序 CMK 新资源的使用方式 CMK.

您不能在 AWS KMS 话务台。此外,您不能使用 UpdateAlias (或任何其他操作)更改别名。要更改别名,请删除当前别名,然后为 CMK.

更新别名时,当前 CMK 和新的 CMK 必须是相同的类型(对称或不对称)。它们还必须具有相同的关键用途(ENCRYPT_DECRYPTSIGN_VERIFY)。此限制可防止使用别名的代码中出现密码错误。

以下示例首先使用 列表别名 以表明 test-key 别名当前与 CMK 1234abcd-12ab-34cd-56ef-1234567890ab.

$ aws kms list-aliases --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "Aliases": [ { "AliasName": "alias/test-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab" } ] }

接下来,它使用 UpdateAlias 操作来更改 CMK 与 test-key 别名至 CMK 0987dcba-09fe-87dc-65ba-ab0987654321。您不需要指定当前关联的 CMK,只有新的(“目标”) CMK. 别名名称区分大小写。

$ aws kms update-alias --alias-name 'alias/test-key' --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321

验证别名是否与目标相关联 CMK,使用 ListAliases 再次操作。这 AWS CLI 命令使用 --query 参数,只获取 test-key 别名。

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/test-key`]' [ { "AliasName": "alias/test-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321" } ]

删除别名

要删除别名,请使用 DeleteAlias 操作。无法在 AWS KMS 话务台。在删除别名之前,请确保其不在使用中。虽然删除别名不会影响关联的 CMK,它可能会对使用别名的任何应用程序造成问题。

如果您错误地删除别名,您可以创建一个具有相同名称的新别名,并将其与相同或不同的别名相关联 CMK.

例如,下列命令删除 test-key 别名。该命令不会返回任何输出。别名名称区分大小写。

$ aws kms delete-alias --alias name alias/test-key

要验证别名是否已删除,请使用 列表别名 操作。下列命令使用 --query 参数 AWS CLI 只获得 test-key 别名。回答中的括号留空表示 ListAliases 回答不包括 test-key 别名。要消除括号,请使用 --output text 参数和值。

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/test-key`]' []

控制别名的访问

创建或更改别名时,会影响别名及其关联 CMK. 因此,管理别名的委托人必须具有调用别名和所有受影响的别名操作的特权 CMKs. 您可以使用 关键政策, IAM 政策资助金.

有关控制访问所有 AWS KMS 操作,请参阅 AWS KMS API 权限参考.

创建和管理别名的权限如下。

kms:CreateAlias

要创建别名,委托人需要别名和关联的 CMK.

  • kms:CreateAlias 别名。在 IAM 附加到允许创建别名的principal的策略。

    以下策略语句示例指定了 Resource 元素。但是您可以指定一个资源值 "*" 允许委托人在帐户和区域中创建任何别名。创建别名的权限也可包含在 kms:Create* 客户和地区中所有资源的权限。

    { "Sid": "IAM policy for an alias", "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:UpdateAlias" "kms:DeleteAlias" ], "Resource": "arn:aws:kms:us-west-2:111122223333:alias/test-key" }
  • kms:CreateAlias 为 CMK. 此许可必须在关键政策或 IAM 关键政策委托的策略。

    { "Sid": "Key policy for 1234abcd-12ab-34cd-56ef-1234567890ab", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSAdminUser"}, "Action": [ "kms:CreateAlias", "kms:DescribeKey" ], "Resource": "*" }
kms:ListAliases

要列出帐户和区域的别名,委托人必须 kms:ListAliases 许可 IAM 政策。本政策与任何特定 CMK 或别名资源。

例如,以下 IAM 政策声明赋予主要权限以列出所有 CMKs 和别名。

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" } }
kms:更新别名

更改 CMK 与别名相关,则principal需要三个权限元素:一个用于别名,一个用于当前 CMK,以及 CMK.

例如,假设您想更改 test-key 别名 CMK 带密钥ID 1234abcd-12ab-34cd-56ef-1234567890ab 到 CMK 带密钥ID 0987dcba-09fe-87dc-65ba-ab0987654321. 在这种情况下,请纳入与本节示例类似的政策声明。

  • kms:UpdateAlias 别名。您在 IAM 附加在委托人上的政策。以下内容 IAM 策略指定特定别名。但您列出多个别名ARN或使用 Resource 价值 "*" 将权限应用到帐户和区域中的所有别名。

    { "Sid": "IAM policy for an alias", "Effect": "Allow", "Action": [ "kms:UpdateAlias", "kms:ListAliases", "kms:ListKeys", ], "Resource": "arn:aws:kms:us-west-2:111122223333:alias/test-key" }
  • kms:UpdateAlias 为 CMK 当前与别名关联的。此许可必须在关键政策或 IAM 关键政策委托的策略。

    { "Sid": "Key policy for 1234abcd-12ab-34cd-56ef-1234567890ab", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSAdminUser"}, "Action": [ "kms:UpdateAlias", "kms:DescribeKey" ], "Resource": "*" }
  • kms:UpdateAlias 为 CMK 操作与别名关联。此许可必须在关键政策或 IAM 关键政策委托的策略。

    { "Sid": "Key policy for 0987dcba-09fe-87dc-65ba-ab0987654321", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSAdminUser"}, "Action": [ "kms:UpdateAlias", "kms:DescribeKey" ], "Resource": "*" }
kms:DeleteAlias

要删除别名,主体需要别名和相关 CMK.

与往常一样,您在授予委托人删除资源的权限时应谨慎。但是,删除别名对关联的 CMK. 虽然它可能导致依赖别名的应用程序出现故障,但是如果您错误地删除别名,则可以重新创建它。

  • kms:DeleteAlias 别名。在 IAM 附加到允许删除别名的principal的策略。

    以下策略语句示例指定了 Resource 元素。但是您可以指定一个资源值 "*" 允许委托人在帐户和区域中创建任何别名。

    { "Sid": "IAM policy for an alias", "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:UpdateAlias" "kms:DeleteAlias" ], "Resource": "arn:aws:kms:us-west-2:111122223333:alias/test-key" }
  • kms:DeleteAlias 相关 CMK. 此许可必须在关键政策或 IAM 关键政策委托的策略。

    { "Sid": "Key policy for 1234abcd-12ab-34cd-56ef-1234567890ab", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSAdminUser"}, "Action": [ "kms:CreateAlias", "kms:UpdateAlias", "kms:DeleteAlias", "kms:DescribeKey" ], "Resource": "*" }

在中查找别名 AWS CloudTrail 日志

当您使用别名来表示 客户主密钥 (CMK) AWS KMS API操作、别名和 CMK 记录在 AWS CloudTrail 事件的日志条目。别名显示在 requestParameters 字段。关键ARN出现在 resources 字段。即使 AWS 服务使用 AWS 管理 CMK 在您的帐户中。

例如,以下 生成数据密钥 请求使用 project-key 别名以表示 CMK.

$ aws kms generate-data-key --key-id alias/project-key --key-spec AES_256

当此请求记录在 CloudTrail 日志,日志条目包括实际 CMK 使用的。

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "ABCDE", "arn": "arn:aws:iam::111122223333:role/ProjectDev", "accountId": "111122223333", "accessKeyId": "FFHIJ", "userName": "example-dev" }, "eventTime": "2020-06-29T23:36:41Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-west-2", "sourceIPAddress": "205.205.123.000", "userAgent": "aws-cli/1.18.89 Python/3.6.10 Linux/4.9.217-0.1.ac.205.84.332.metal1.x86_64 botocore/1.17.12", "requestParameters": { "keyId": "alias/project-key", "keySpec": "AES_256" }, "responseElements": null, "requestID": "d93f57f5-d4c5-4bab-8139-5a1f7824a363", "eventID": "d63001e2-dbc6-4aae-90cb-e5370aca7125", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }

有关日志记录的详细信息 AWS KMS 运营 CloudTrail 日志,请参阅 使用 AWS CloudTrail 记录 AWS KMS API 调用.