我错过或误解了某些东西... 我创建了一个 Kinesis 数据流,并将其配置为使用别名为kdskeyalias的 CMK。主密钥被分配了密钥ID 31c1...e95e1.
然后,我生成了一个新密钥 2437...83b75,并更新了别名以指向它。
当我列出别名时,它看起来是正确的。别名指向新的密钥 ID。但是,当我查看流配置时,加密设置仍然指向原始密钥ID:31c1...e95e1.
有没有办法将流配置为使用别名,以便我可以手动轮换密钥?
如果您使用控制台,则当您从下拉列表中选择密钥 ARN 时,将使用密钥 ARN,而不是密钥的别名ARN。
您可以使用描述流 AWC CLI 调用来验证这一点。
如果执行此操作,应会看到以下关键 ARN(示例(:
ARN:AWS:KMS:美国东部-1:123456789012:KEY/12345678-1234-1234-1234-123456789012
对于密钥别名 ARN,它将是(示例(:
arn:aws:kms:us-east-1:123456789012:alias/MyAliasName
要指定别名 ARN,您可以使用启动流加密 AWS CLI。