问题描述
使用“CMK Key1”加密的资产或对象会发生什么:
- 当该密钥轮换/过期/删除时
- 当我们在“CMK Key1”上附加“CMK ALIAS-xyz”时(跨账户或什至相同的账户引用)
-
是否可以使用新的“CMK Key2”(也附加到 CMK Key1 的别名“CMK ALIAS-xyz”)来重新加密使用“CMK Key1”加密的资产的现有数据对象",没有任何停机时间/代码更改?
-
当我们轮换别名密钥时,代码中对 CMK 的直接引用会发生什么变化?
IMAGE - Pictorial representation of above questions
我目前的观察:
支持别名/表明可能的观点:
- 删除别名不会影响关联的 CMK。
- 跨账户使用:是的。要使用不同 AWS 账户中的 CMK 执行此操作,请在 KeyId 参数的值中指定密钥 ARN 或“别名 ARN”。因此,这意味着 Alias 带有自己的 ARN,它独立于实际的 CMK。
- 有权管理标签和别名的委托人还可以控制对 CMK 的访问。有关详细信息,请参阅将 ABAC 用于 AWS KMS。
- AWS KMS 支持 ABAC,允许您根据与 CMK 关联的标签和别名控制对客户主密钥 (CMK) 的访问。
表示不可能的问题/要点:
- 这些功能不允许您通过在策略语句的资源元素中使用别名来识别 CMK。当别名是资源元素的值时,该策略适用于别名资源,而不适用于可能与其关联的任何 CMK。
- 我们遇到了跨账户别名不起作用的情况,需要将实际 arn 与外部客户的数据资产结合使用。我们的客户所做的唯一更改是将 arn 的白名单而不是他们的别名列入白名单,并且他们有权访问。
参考来源:
-
https://docs.aws.amazon.com/kms/latest/developerguide/alias-authorization.html
-
https://docs.aws.amazon.com/kms/latest/developerguide/alias-access.html
-
https://docs.amazonaws.cn/en_us/kms/latest/developerguide/abac.html
-
(如果您愿意,请忽略这一点)另一方面,如果 CMK 已导入密钥材料,则无法自动执行密钥轮换:“您无法自动轮换非对称 CMK、具有导入密钥材料的 CMK 或 CMK在自定义密钥存储中。但是,您可以手动轮换它们。” “当您开始使用新 CMK 时,请务必保持启用原始 CMK,以便 AWS KMS 可以解密原始 CMK 加密的数据。解密数据时,KMS 会识别用于加密数据的 CMK,它使用使用相同的 CMK 解密数据。只要您同时启用原始 CMK 和新 CMK,AWS KMS 就可以解密由任一 CMK 加密的任何数据。”
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)