KMS GUI中没有显示默认的EBS密钥

0

【以下的问题经过翻译处理】 当我运行命令aws kms list-keys时,我可以看到一个默认启用的EBS主密钥。以下是describe-key输出的内容:

{
    "KeyMetadata": {
        "Origin": "AWS_KMS", 
        "KeyId": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", 
        "Description": "Default master key that protects my EBS volumes when no other key is defined", 
        "KeyManager": "AWS", 
        "Enabled": true, 
        "KeyUsage": "ENCRYPT_DECRYPT", 
        "KeyState": "Enabled", 
        "CreationDate": 1526533744.85, 
        "Arn": "arn:aws:kms:ap-southeast-2:xxxxxxxxxxxx:key/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", 
        "AWSAccountId": "xxxxxxxxxxxx"
    }
}

然而,在新的KMS GUI中目前未显示出此密钥。我从aws kms list-keys输出中看到另一个默认的EBS主密钥在GUI中有显示。请问为什么只有1个EBS密钥显示出来?

如果我使用经典GUI,我可以看到密钥存在,但别名为空。以下是截图:https://i.imgur.com/o79YO43.png

profile picture
EXPERTE
gefragt vor 4 Monaten14 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 一些客户可能会看到一个或多个没有别名的AWS托管CMK。这些密钥被称为备用密钥。它们具有完全功能,并且具有与其他AWS托管CMK相同的安全和耐久性属性。备用密钥通常被隐藏不可见,不打算由客户使用。请注意,并非所有没有别名的密钥都是备用的AWS托管CMK。您使用CreateKey API创建的客户托管CMK也可能没有别名。

即使AWS服务将备用密钥显示为选项,您也应避免使用备用密钥。相反,请选择与相应服务相关的客户管理CMK或AWS托管CMK,带有熟悉的“aws/*”别名。

如果您已经使用备用密钥,您仍然可以继续使用,但我们建议如有可能更改为客户托管CMK或带有正确别名的AWS托管CMK,以避免潜在的混淆。例如在CloudTrail日志中,如果您看疑似备用密钥正在使用,您可以使用ListKeys或DescribeKey API来验证该密钥是否是AWS托管CMK。有关帮助,请参阅KMS文档中https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys.html

您无法删除AWS托管CMK,包括这些备用密钥。但是,请记住,备用密钥可以继续安全使用,并且备用密钥的存在不会增加对其他密钥的安全风险。与所有AWS托管CMK一样,AWS不收取备用密钥的存储费用,并且仅为这些CMK的使用收费。关于AWS托管密钥的费用请参考:https://aws.amazon.com/kms/pricing/

profile picture
EXPERTE
beantwortet vor 4 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen