Kinesis CMK 手动轮换 - 我可以每月手动分配别名来流式传输和轮换密钥吗?
Kinesis CMK manual rotation - can I assign alias to stream and rotate key manually every month?
我遗漏或误解了一些东西...
我创建了一个 Kinesis 数据流并将其配置为使用别名为 kdskeyalias 的 CMK。 CMK 被分配了 KeyID 31c1...e95e1.
然后我生成了一个新密钥 2437...83b75 并更新了别名以指向它。
当我列出别名时,它看起来是正确的。别名指向新的 keyid。然而,当我查看流配置时,加密设置仍然指向原始 keyid:31c1...e95e1。
有没有一种方法可以将流配置为使用别名,以便我可以手动轮换密钥?
如果您使用控制台,当您从下拉列表中 select 时,将使用 密钥 ARN,而不是密钥的别名 ARN。
您可以使用 describe-stream AWC CLI 调用验证。
如果您这样做,您应该看到以下 key ARN(示例):
arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
对于 密钥别名 ARN 它将是(示例):
arn:aws:kms:us-east-1:123456789012:alias/MyAliasName
要指定别名 ARN,您可以使用 start-stream-encryption AWS CLI。
我遗漏或误解了一些东西...
我创建了一个 Kinesis 数据流并将其配置为使用别名为 kdskeyalias 的 CMK。 CMK 被分配了 KeyID 31c1...e95e1.
然后我生成了一个新密钥 2437...83b75 并更新了别名以指向它。
当我列出别名时,它看起来是正确的。别名指向新的 keyid。然而,当我查看流配置时,加密设置仍然指向原始 keyid:31c1...e95e1。
有没有一种方法可以将流配置为使用别名,以便我可以手动轮换密钥?
如果您使用控制台,当您从下拉列表中 select 时,将使用 密钥 ARN,而不是密钥的别名 ARN。
您可以使用 describe-stream AWC CLI 调用验证。
如果您这样做,您应该看到以下 key ARN(示例):
arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
对于 密钥别名 ARN 它将是(示例):
arn:aws:kms:us-east-1:123456789012:alias/MyAliasName
要指定别名 ARN,您可以使用 start-stream-encryption AWS CLI。