CMK Key1 在轮换/过期/删除时会发生什么情况，如果我们对该 CMK Key1 使用 CMK 别名：跨账户或什至相同的账户引用？

使用“CMK Key1”加密的资产或对象会发生什么：

• 当该密钥轮换/过期/删除时
• 当我们在“CMK Key1”上附加“CMK ALIAS-xyz”时（跨账户或什至相同的账户引用）

1. 是否可以使用新的“CMK Key2”（也附加到 CMK Key1 的别名“CMK ALIAS-xyz”）来重新加密使用“CMK Key1”加密的资产的现有数据对象"，没有任何停机时间/代码更改？

2. 当我们轮换别名密钥时，代码中对 CMK 的直接引用会发生什么变化？

IMAGE - Pictorial representation of above questions

我目前的观察：

支持别名/表明可能的观点：

• 删除别名不会影响关联的 CMK。
• 跨账户使用：是的。要使用不同 AWS 账户中的 CMK 执行此操作，请在 KeyId 参数的值中指定密钥 ARN 或“别名 ARN”。因此，这意味着 Alias 带有自己的 ARN，它独立于实际的 CMK。
• 有权管理标签和别名的委托人还可以控制对 CMK 的访问。有关详细信息，请参阅将 ABAC 用于 AWS KMS。
• AWS KMS 支持 ABAC，允许您根据与 CMK 关联的标签和别名控制对客户主密钥 (CMK) 的访问。

表示不可能的问题/要点：

• 这些功能不允许您通过在策略语句的资源元素中使用别名来识别 CMK。当别名是资源元素的值时，该策略适用于别名资源，而不适用于可能与其关联的任何 CMK。
• 我们遇到了跨账户别名不起作用的情况，需要将实际 arn 与外部客户的数据资产结合使用。我们的客户所做的唯一更改是将 arn 的白名单而不是他们的别名列入白名单，并且他们有权访问。

参考来源：

• https://docs.aws.amazon.com/kms/latest/developerguide/alias-authorization.html

• https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html#cross-account-use

• https://docs.aws.amazon.com/kms/latest/developerguide/alias-access.html

• https://docs.amazonaws.cn/en_us/kms/latest/developerguide/abac.html

• （如果您愿意，请忽略这一点）另一方面，如果 CMK 已导入密钥材料，则无法自动执行密钥轮换：“您无法自动轮换非对称 CMK、具有导入密钥材料的 CMK 或 CMK在自定义密钥存储中。但是，您可以手动轮换它们。” “当您开始使用新 CMK 时，请务必保持启用原始 CMK，以便 AWS KMS 可以解密原始 CMK 加密的数据。解密数据时，KMS 会识别用于加密数据的 CMK，它使用使用相同的 CMK 解密数据。只要您同时启用原始 CMK 和新 CMK，AWS KMS 就可以解密由任一 CMK 加密的任何数据。”

解决方法

暂无找到可以解决该程序问题的有效方法，小编努力寻找整理中！

如果你已经找到好的解决方法，欢迎将解决方案带上本链接一起发送给小编。

小编邮箱:dio#foxmail.com (将#修改为@）