使用别名 - AWS Key Management Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用别名

别名 (客户主密钥) 的友好名称。CMK例如,别名允许您将 CMK 称为 test-key 而不是 1234abcd-12ab-34cd-56ef-1234567890ab

您可以在 CMK 控制台、AWS KMSDescribeKey 操作和加密操作(如 EncryptGenerateDataKey)中使用别名来标识

此外,别名可让您轻松识别 AWS 托管 CMKs。这些 CMKs 的别名始终采用以下格式:aws/<service-name>。 例如,AWS 的 CMK 托管 Amazon DynamoDB 的别名为 aws/dynamodb。 您可以为项目建立类似的别名标准,例如,使用项目或类别的名称作为别名的前缀。

您还可以基于别名允许和拒绝对 CMKs 的访问,而无需编辑策略或管理授权。此功能是 AWS KMS 对基于属性的访问控制 (ABAC) 的支持的一部分。有关详细信息,请参阅 使用别名控制对 CMKs 的访问.

大部分别名功能来自于您随时更改与别名关联的 CMK 的能力。别名可让您的代码更易于编写和维护。例如,假设您使用别名来引用特定的 CMK,并且您希望更改 CMK。在这种情况下,只需将别名与其他 CMK 关联。您不需要更改代码。

此外,别名还可简化在不同 AWS 区域中重复使用相同代码的过程。在多个区域中创建具有相同名称的别名,并将每个别名与其区域中的 CMK 关联。当代码在每个区域中运行时,别名将引用其在该区域中的关联 CMK。有关示例,请参阅在应用程序中使用别名.

API 提供对每个账户和区域中别名的完全控制。AWS KMS该 API 包含创建别名 (CreateAlias)、查看别名名称和别名 ARNs (ListAliases)、更改与别名关联的 CMK 以及删除别名 (UpdateAlias)。DeleteAlias有关管理别名多种编程语言的示例,请参阅使用别名

以下资源可以帮助您了解更多信息:

  • 有关 CMK 标识符(包括别名)的信息,请参阅密钥标识符 (KeyId)

  • 有关查找与CMK关联的别名的帮助,请参阅查找别名和别名 ARN

  • 有关别名的资源配额以及与别名相关的 API 操作的速率配额的信息,请参阅配额

  • 有关使用多种编程语言创建和管理别名的示例,请参阅使用别名