KMS GUI中没有显示默认的EBS密钥

0

【以下的问题经过翻译处理】 当我运行命令aws kms list-keys时,我可以看到一个默认启用的EBS主密钥。以下是describe-key输出的内容:

{
    "KeyMetadata": {
        "Origin": "AWS_KMS", 
        "KeyId": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", 
        "Description": "Default master key that protects my EBS volumes when no other key is defined", 
        "KeyManager": "AWS", 
        "Enabled": true, 
        "KeyUsage": "ENCRYPT_DECRYPT", 
        "KeyState": "Enabled", 
        "CreationDate": 1526533744.85, 
        "Arn": "arn:aws:kms:ap-southeast-2:xxxxxxxxxxxx:key/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", 
        "AWSAccountId": "xxxxxxxxxxxx"
    }
}

然而,在新的KMS GUI中目前未显示出此密钥。我从aws kms list-keys输出中看到另一个默认的EBS主密钥在GUI中有显示。请问为什么只有1个EBS密钥显示出来?

如果我使用经典GUI,我可以看到密钥存在,但别名为空。以下是截图:https://i.imgur.com/o79YO43.png

profile picture
专家
已提问 3 个月前7 查看次数
1 回答
0

【以下的回答经过翻译处理】 一些客户可能会看到一个或多个没有别名的AWS托管CMK。这些密钥被称为备用密钥。它们具有完全功能,并且具有与其他AWS托管CMK相同的安全和耐久性属性。备用密钥通常被隐藏不可见,不打算由客户使用。请注意,并非所有没有别名的密钥都是备用的AWS托管CMK。您使用CreateKey API创建的客户托管CMK也可能没有别名。

即使AWS服务将备用密钥显示为选项,您也应避免使用备用密钥。相反,请选择与相应服务相关的客户管理CMK或AWS托管CMK,带有熟悉的“aws/*”别名。

如果您已经使用备用密钥,您仍然可以继续使用,但我们建议如有可能更改为客户托管CMK或带有正确别名的AWS托管CMK,以避免潜在的混淆。例如在CloudTrail日志中,如果您看疑似备用密钥正在使用,您可以使用ListKeys或DescribeKey API来验证该密钥是否是AWS托管CMK。有关帮助,请参阅KMS文档中https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys.html

您无法删除AWS托管CMK,包括这些备用密钥。但是,请记住,备用密钥可以继续安全使用,并且备用密钥的存在不会增加对其他密钥的安全风险。与所有AWS托管CMK一样,AWS不收取备用密钥的存储费用,并且仅为这些CMK的使用收费。关于AWS托管密钥的费用请参考:https://aws.amazon.com/kms/pricing/

profile picture
专家
已回答 3 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则