Atualizar aliases - AWS Key Management Service

Atualizar aliases

Como um alias é um recurso independente, é possível alterar a chave do KMS associada a ele. Por exemplo, se o alias test-key estiver associado a uma chave do KMS, você poderá usar a operação UpdateAlias para associá-lo a outra chave do KMS. Esta é uma das várias maneiras de alternar manualmente uma chave do KMS sem alterar seu material de chave. Também é possível atualizar uma chave do KMS para que uma aplicação que estava usando uma determinada chave do KMS para novos recursos use agora uma diferente.

Não é possível atualizar um alias no console do AWS KMS. Além disso, você não pode usar UpdateAlias (nem qualquer outra operação) para alterar um nome de alias. Para alterar um nome de alias, exclua o alias atual e crie um novo para a chave do KMS.

Quando você atualiza um alias, a chave atual do KMS e a nova chave do KMS devem ser do mesmo tipo (ambas simétricas, assimétricas ou HMAC). Elas também devem ter o mesmo uso de chave (ENCRYPT_DECRYPT ou SIGN_VERIFY ou GENERATE_VERIFY_MAC). Essa restrição previne erros criptográficos no código que usa aliases.

O exemplo a seguir começa usando a operação ListAliases para mostrar que o alias test-key está associado à chave do KMS 1234abcd-12ab-34cd-56ef-1234567890ab. 

$ aws kms list-aliases --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "Aliases": [
        {
            "AliasName": "alias/test-key",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
            "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
            "CreationDate": 1593622000.191,
            "LastUpdatedDate": 1593622000.191
        }
    ]
}

Em seguida, ele usará a operação UpdateAlias para alterar a chave do KMS associada ao alias test-key para a chave do KMS 0987dcba-09fe-87dc-65ba-ab0987654321. Não é necessário especificar a chave do KMS atualmente associada, apenas a nova chave do KMS ("de destino"). O nome do alias diferencia maiúsculas de minúsculas.

$ aws kms update-alias --alias-name 'alias/test-key' --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321

Para verificar se o alias agora está associado à chave do KMS de destino, use a operação ListAliases novamente. Este comando de AWS CLI usa o parâmetro --query para obter apenas o alias test-key. Os campos TargetKeyId e LastUpdatedDate são atualizados.

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/test-key`]'
[
    {
        "AliasName": "alias/test-key",
        "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
        "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": 1593622000.191,
        "LastUpdatedDate": 1604958290.154
    }
]