Actualización de alias - AWS Key Management Service

Actualización de alias

Dado que un alias es un recurso independiente, puede cambiar la clave KMS asociada a un alias. Por ejemplo, si el alias test-key está asociado a una clave KMS, puede usar la operación UpdateAlias para asociarlo con una clave KMS diferente. Esta es una de las varias maneras de girar manualmente una clave KMS sin cambiar su material clave. También puede actualizar una clave KMS para que una aplicación que estaba utilizando una clave KMS para nuevos recursos utilice ahora una clave KMS diferente.

No puede actualizar un alias en la consola de AWS KMS. Además, no puede utilizar UpdateAlias (o cualquier otra operación) para cambiar un nombre de alias. Para cambiar un nombre de alias, elimine el alias actual y, a continuación, cree un alias nuevo para la clave KMS.

Al actualizar un alias, la clave de KMS actual y la nueva clave de KMS deben ser del mismo tipo (ambas simétricas o asimétricas o HMAC). También deben tener el mismo uso de claves (ENCRYPT_DECRYPT o SIGN_VERIFY o GENERATE_VERIFY_MAC). Esta restricción evita errores criptográficos en el código que utiliza alias.

El siguiente ejemplo comienza utilizando la operación ListAliases para mostrar que el alias test-key está asociado actualmente con la clave KMS 1234abcd-12ab-34cd-56ef-1234567890ab. 

$ aws kms list-aliases --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "Aliases": [
        {
            "AliasName": "alias/test-key",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
            "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
            "CreationDate": 1593622000.191,
            "LastUpdatedDate": 1593622000.191
        }
    ]
}

A continuación, utiliza la operación UpdateAlias para cambiar la clave KMS que está asociada con el alias test-key a la clave KMS 0987dcba-09fe-87dc-65ba-ab0987654321. No es necesario especificar la clave KMS asociada actualmente, solo la nueva («destino») clave KMS. El nombre del alias distingue entre mayúsculas y minúsculas.

$ aws kms update-alias --alias-name 'alias/test-key' --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321

Para comprobar que el alias se asocia ahora con la clave KMS de destino, utilice la operación ListAliases de nuevo. Este comando AWS CLI utiliza el parámetro --query para obtener solo el alias de test-key. Los campos TargetKeyId y LastUpdatedDate se actualizan.

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/test-key`]'
[
    {
        "AliasName": "alias/test-key",
        "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
        "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": 1593622000.191,
        "LastUpdatedDate": 1604958290.154
    }
]