我缺少或误解了一些东西...我创建了一个Kinesis数据流,并将其配置为使用一个带有别名的CMK。kdskeyalias. CMK 被分配了 KeyID 31c1...e95e1。
kdskeyalias
然后我生成了一个新的键 2437...83b75 并更新了别名指向它。
当我列出别名时,它看起来是正确的。别名名称指向新的keyid。然而,当我查看流配置时,加密设置仍然指向原来的keyid:31c1...e95e1。
有什么方法可以让我配置流使用别名,从而可以手动旋转密钥?
如果你使用控制台。钥匙ARN 将在您从下拉列表中选择它时使用,而不是键的别名 ARN。
您可以 验证 通过使用 描述流 AWC CLI调用。
如果你这样做,你应该看到以下内容 钥匙ARN (例子)。
arn:aws:kms:us-east-1:123456789012。钥匙12345678-1234-1234-1234-123456789012
对于 钥匙别名 ARN 它将是(例子)。
arn:aws:kms:us-east -1:123456789012:别名MyAliasName
要指定别名ARN,您可以使用 开始流加密 AWS CLI。