AWSマネジメントコンソールでS3バケットのデフォルト暗号化設定で、エイリアス名でキーを指定できるが、後で確認するとエイリアス名ではなくキーIDで表示される。
- 設定時
- 設定後に確認すると
AWS CLI からS3とKMSの設定を確認すると、S3バケットとエイリアス名ではなくキーIDと紐付いているように見える。
- デフォルト暗号化キーはエイリアスではなくキーIDで指定されている。
$ aws s3api get-bucket-encryption --bucket az-test-bucket1 { "ServerSideEncryptionConfiguration": { "Rules": [ { "ApplyServerSideEncryptionByDefault": { "KMSMasterKeyID": "arn:aws:kms:ap-northeast-1:123456789012:key/608781a9-cf79-4e35-98dd-7efa5a109f72", "SSEAlgorithm": "aws:kms" } } ] }
$ aws kms describe-key --key-id 608781a9-cf79-4e35-98dd-7efa5a109f72 { "KeyMetadata": { "Origin": "EXTERNAL", "KeyId": "608781a9-cf79-4e35-98dd-7efa5a109f72", "Description": "", "KeyManager": "CUSTOMER", "ExpirationModel": "KEY_MATERIAL_EXPIRES", "ValidTo": 1541059200.0, "Enabled": true, "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1540447295.095, "Arn": "arn:aws:kms:ap-northeast-1:123456789012:key/608781a9-cf79-4e35-98dd-7efa5a109f72", "AWSAccountId": "123456789012" } }
$ aws kms list-aliases|jq '.Aliases[] | select(.AliasName=="alias/test-key")' { "AliasArn": "arn:aws:kms:ap-northeast-1:123456789012:alias/test-key", "AliasName": "alias/test-key", "TargetKeyId": "608781a9-cf79-4e35-98dd-7efa5a109f72" }