使用别名 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用别名

一个alias是的友好名称客户主键(厘米). 例如,别名允许您将 CMK 引用为test-key而不是1234abcd-12ab-34cd-56ef-1234567890ab

您可以使用别名在Amazon KMS控制台中的DescribeKey操作,并在加密操作之外的压缩算法(例如EncryptGenerateDataKey

别名还使您能够轻松识别Amazon托管 CMK。这些 CMK 的别名始终具有以下形式:aws/<service-name>。 例如,Amazon适用于 Amazon DynamoDB 的托管 CMK 是aws/dynamodb。您可以为项目建立类似的别名标准,例如在别名前加上项目或类别的名称。

您还可以根据 CMK 的别名允许和拒绝对其进行访问,而无需编辑策略或管理授权。此功能位于上下文中Amazon KMS支持基于属性的访问控制(阿巴克). 有关详细信息,请参阅 使用别名控制对 CMK 的访问

别名的大部分功能来自于您能够随时更改与别名关联的 CMK。别名可以使您的代码更易于编写和维护。例如,假设您使用别名来引用特定 CMK,并且希望更改 CMK。在这种情况下,只需将别名与不同的 CMK 关联。您无需更改您的代码。

别名还可以更容易地在不同的 Amazon Web Services 区域 。在多个区域中创建具有相同名称的别名,并将每个别名与其区域中的 CMK 关联。当代码在每个区域中运行时,别名将引用其在该区域中关联的 CMK。有关示例,请参阅在应用程序中使用别名

这些区域有:Amazon KMSAPI 提供对每个账户和地区的别名的完全控制。API 包括创建别名 ()CreateAlias),查看别名和别名 ARN(ListAliases),请更改与别名关联的 CMK(UpdateAlias),然后删除一个别名(DeleteAlias)。有关管理别名多种编程语言的示例,请参阅使用别名

以下资源可以帮助您了解更多信息:

  • 有关 CMK 标识符(包括别名)的信息,请参阅密钥标识符 (KeyId)

  • 有关查找与 CMK 关联的别名的帮助,请参阅查找别名和别名 ARN

  • 有关别名的资源配额和与别名相关的 API 操作的费率配额的信息,请参阅Quotas

  • 有关使用多种编程语言创建和管理别名的示例,请参阅。使用别名