密鑰別名(Key Alias)是指特定密鑰的簡稱,是密鑰的可選標識。您可以在API介面調用中使用別名來代替密鑰ID,方便您管理密鑰。本文介紹如何建立及管理密鑰的別名。
注意事項
別名必須擁有首碼
alias/。除首碼以外,長度為1~255個字元,支援英文字母、數字、底線(_)、短劃線(-)以及正斜線(/)。說明alias/acs/<雲產品>(例如alias/acs/oss)是KMS為服務密鑰預留的別名,自訂別名時請勿使用該格式。別名在一個阿里雲帳號的一個地區中具有唯一性,不同地區下密鑰的別名可以相同。
一個別名只能關聯一個密鑰,但是一個密鑰可以擁有多個別名。
別名不支援修改,您可以通過為一個密鑰建立新的別名,並且刪除舊的別名來達到修改別名的目的,刪除別名不會刪除其關聯的密鑰。
警告刪除別名前,請確保該別名已不再使用,否則可能會導致資料加密失敗。
當RAM使用者使用別名代替密鑰ID進行操作時,RAM使用者必須擁有對應密鑰的許可權,無需擁有對應別名的許可權。
建立別名
您可以為密鑰建立別名方便您管理密鑰,為密鑰建立新的別名時不會影響已有的別名。
前提條件
當RAM使用者建立別名時,您需要建立自訂權限原則,並授予該RAM使用者,使其擁有別名和關聯密鑰的許可權。更多資訊,請參見Key Management Service自訂權限原則參考。
以使用者123456為密鑰08ec3bb9-034f-485b-b1cd-3459baa8****建立別名alias/example為例,RAM權限原則內容如下:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:CreateAlias"
],
"Resource": [
"acs:kms:cn-hangzhou:123456:key/08ec3bb9-034f-485b-b1cd-3459baa8****",
"acs:kms:cn-hangzhou:123456:alias/example"
]
}
]
}操作步驟
您可以根據業務需要,選擇合適的建立方式建立別名。
建立別名的方式 | 操作步驟 |
通過控制台建立別名 |
|
通過API建立別名 | 通過調用CreateAlias介面建立別名。 |
通過ALIYUN CLI建立別名 | 通過命令aliyun kms CreateAlias建立別名。 |
更新別名
更新別名可以將已有的別名關聯到其他密鑰。
前提條件
當RAM使用者更新別名時,您需要建立自訂權限原則,並授予該RAM使用者,使其擁有原密鑰、目標密鑰以及別名的許可權。更多資訊,請參見Key Management Service自訂權限原則參考。
以使用者123456將密鑰08ec3bb9-034f-485b-b1cd-3459baa8****關聯的別名alias/example關聯到新密鑰127d2f84-ee5f-4f4d-9d41-dbc1aca2****為例,RAM權限原則內容如下:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:UpdateAlias"
],
"Resource": [
"acs:kms:cn-hangzhou:123456:key/08ec3bb9-034f-485b-b1cd-3459baa8****",
"acs:kms:cn-hangzhou:123456:key/127d2f84-ee5f-4f4d-9d41-dbc1aca2****",
"acs:kms:cn-hangzhou:123456:alias/example"
]
}
]
}操作步驟
您可以根據業務需要,選擇合適的更新方式更新別名。
更新別名的方式 | 操作步驟 |
通過API更新別名 | 通過調用UpdateAlias介面更新別名。 |
通過ALIYUN CLI更新別名 | 通過命令aliyun kms UpdateAlias更新別名。 |
查詢別名列表
您可以查詢目前使用者在當前地區的所有別名。
前提條件
當RAM使用者查詢別名列表時,您需要建立自訂權限原則,並授予該RAM使用者,使其擁有別名資源類型的許可權。更多資訊,請參見Key Management Service自訂權限原則參考。
以使用者123456查詢別名列表為例,RAM權限原則內容如下:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:ListAliases"
],
"Resource": [
"acs:kms:cn-hangzhou:123456:alias"
]
}
]
}操作步驟
您可以根據業務需要,選擇合適的查詢方式查詢別名列表。
查詢別名列表的方式 | 操作步驟 |
通過API查詢別名列表 | 通過調用ListAliases介面查詢別名列表。 |
通過ALIYUN CLI查詢別名列表 | 通過命令aliyun kms ListAliases查詢別名列表。 |
查詢指定密鑰關聯的別名
查詢結果將返回與指定密鑰相關聯的所有別名資訊。
前提條件
當RAM使用者查詢指定密鑰關聯的別名時,您需要建立自訂權限原則,並授予該RAM使用者,使其擁有指定密鑰的許可權。更多資訊,請參見Key Management Service自訂權限原則參考。
以使用者123456查詢密鑰127d2f84-ee5f-4f4d-9d41-dbc1aca2****關聯的所有別名為例,RAM權限原則內容如下:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:ListAliasesByKeyId"
],
"Resource": [
"acs:kms:cn-hangzhou:123456:key/127d2f84-ee5f-4f4d-9d41-dbc1aca2****"
]
}
]
}操作步驟
您可以根據業務需要,選擇合適的查詢方式查詢指定密鑰關聯的別名。
查詢方式 | 操作步驟 |
通過API查詢指定密鑰關聯的別名 | 通過調用ListAliasesByKeyId介面查詢指定密鑰關聯的別名。 |
通過ALIYUN CLI查詢指定密鑰關聯的別名 | 通過命令aliyun kms ListAliasesByKeyId查詢指定密鑰關聯的別名。 |
刪除別名
如果您不再需要別名,可以直接刪除別名,刪除別名不會影響其關聯的密鑰。
前提條件
當RAM使用者刪除別名時,您需要建立自訂權限原則,並授予該RAM使用者,使其擁有別名及其關聯密鑰的許可權。更多資訊,請參見Key Management Service自訂權限原則參考。
以使用者123456刪除密鑰127d2f84-ee5f-4f4d-9d41-dbc1aca2****關聯的別名alias/example為例,RAM權限原則內容如下:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:DeleteAlias"
],
"Resource": [
"acs:kms:cn-hangzhou:123456:key/127d2f84-ee5f-4f4d-9d41-dbc1aca2****",
"acs:kms:cn-hangzhou:123456:alias/example"
]
}
]
}操作步驟
您可以根據業務需要,選擇合適的刪除方式刪除別名。
刪除別名的方式 | 操作步驟 |
通過控制台刪除別名 |
|
通過API刪除別名 | 通過調用DeleteAlias介面刪除別名。 |
通過ALIYUN CLI刪除別名 | 通過命令aliyun kms DeleteAlias刪除別名。 |