使用 AWS CLI 创建和管理 KMS 密钥#

AWS Key Management Service (KMS) 提供了安全管理加密密钥的服务，可用于保护您的数据。本文将详细介绍如何使用 AWS CLI 创建和管理 KMS 密钥。

前提条件#

已安装并配置 AWS CLI
拥有适当的 IAM 权限来创建和管理 KMS 密钥

1. 创建 KMS 密钥#

创建 KMS 密钥需要提供描述信息和区域：

1
aws kms create-key \
2
  --description "My production encryption key" \
3
  --region us-west-2

执行后会返回详细的密钥元数据：

1
{
2
  "KeyMetadata": {
3
    "AWSAccountId": "123456789012",
4
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
5
    "Arn": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab",
6
    "CreationDate": "2023-04-01T12:00:00.000000+00:00",
7
    "Enabled": true,
8
    "Description": "My production encryption key",
9
    "KeyUsage": "ENCRYPT_DECRYPT",
10
    "KeyState": "Enabled",
11
    "Origin": "AWS_KMS",
12
    "KeyManager": "CUSTOMER",
13
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
14
    "EncryptionAlgorithms": [
15
      "SYMMETRIC_DEFAULT"
16
    ]
17
  }
18
}

2. 为密钥创建别名#

别名使密钥更易于识别和管理。使用上一步返回的 KeyId 创建别名：

1
aws kms create-alias \
2
  --alias-name alias/my-production-key \
3
  --target-key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
4
  --region us-west-2

3. 一步完成创建和别名设置#

您可以使用以下脚本在一个操作中完成密钥创建和别名设置：

1
#!/bin/bash
2

3
# 创建密钥并获取 KeyId
4
KEY_ID=$(aws kms create-key \
5
  --description "My production encryption key" \
6
  --region us-west-2 \
7
  --query 'KeyMetadata.KeyId' \
8
  --output text)
9

10
# 为密钥创建别名
11
aws kms create-alias \
12
  --alias-name alias/my-production-key \
13
  --target-key-id $KEY_ID \
14
  --region us-west-2
15

16
echo "✅ 已创建 KMS 密钥，ID: $KEY_ID，别名: alias/my-production-key"

4. 验证创建结果#

创建完成后，您可以验证密钥和别名是否正确创建：

1
# 通过别名查询密钥详情
2
aws kms describe-key \
3
  --key-id alias/my-production-key \
4
  --region us-west-2
5

6
# 列出所有别名
7
aws kms list-aliases \
8
  --region us-west-2
9

10
# 筛选特定密钥的别名
11
aws kms list-aliases \
12
  --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
13
  --region us-west-2

5. 密钥轮换和管理#

启用自动密钥轮换#

1
aws kms enable-key-rotation \
2
  --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
3
  --region us-west-2

检查密钥轮换状态#

1
aws kms get-key-rotation-status \
2
  --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
3
  --region us-west-2

更新密钥描述#

1
aws kms update-key-description \
2
  --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
3
  --description "Updated production encryption key" \
4
  --region us-west-2

重要说明#

别名规则：
- 别名名称必须以 alias/ 前缀开头
- 别名在一个 AWS 账户和区域内必须唯一
- 一个密钥可以关联多个别名
- 创建别名成功时不会返回任何输出
密钥类型：
- 默认创建的是对称加密密钥
- 若需要非对称密钥，可添加 --key-spec 参数
密钥策略：
- 默认策略允许根账户完全控制密钥
- 可通过 --policy 参数自定义策略

最佳实践#

命名和组织#

使用描述性别名：为密钥创建清晰、有意义的别名，如 alias/app-name-environment-purpose
环境隔离：为不同环境（开发、测试、生产）使用不同的密钥，并在别名中明确标识
标签管理：使用标签对密钥进行分类和管理，便于成本分配和权限控制

1
# 为密钥添加标签
2
aws kms tag-resource \
3
  --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
4
  --tags TagKey=Environment,TagValue=Production \
5
  --region us-west-2

安全控制#

最小权限原则：仅授予应用程序所需的最小权限
启用密钥轮换：对所有生产环境的密钥启用自动轮换
监控和审计：使用 CloudTrail 和 CloudWatch 监控密钥使用情况

1
# 创建具有特定权限的密钥策略
2
aws kms create-key \
3
  --description "Restricted production key" \
4
  --policy file://key-policy.json \
5
  --region us-west-2

成本优化#

合理使用别名：使用别名引用密钥可减少代码修改
删除未使用的密钥：定期审查并计划删除未使用的密钥
监控 API 调用：KMS 按 API 调用次数计费，优化应用程序减少不必要的调用

1
# 计划删除不再需要的密钥（默认等待期为30天）
2
aws kms schedule-key-deletion \
3
  --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
4
  --pending-window-in-days 7 \
5
  --region us-west-2

灾难恢复#

跨区域备份：考虑在多个区域创建密钥，以支持跨区域灾难恢复
密钥材料备份：对于导入的密钥材料，确保安全备份
文档化流程：记录密钥管理流程，包括创建、轮换和删除程序

常见问题排查#

权限错误：检查 IAM 策略和密钥策略是否正确配置
别名冲突：确保别名在账户和区域内唯一
API 限流：大量操作时可能遇到 API 限流，实施指数退避重试策略

总结#

通过 AWS CLI 管理 KMS 密钥提供了灵活且强大的方式来保护您的数据。遵循本文的最佳实践，可以确保您的密钥管理既安全又高效。随着应用规模的增长，考虑使用 AWS CloudFormation 或 Terraform 等基础设施即代码工具来管理密钥，以提高一致性和可重复性。