ablog

不器用で落着きのない技術者のメモ

S3のデフォルト暗号化キーはエイリアス名ではなくキーIDと紐付いてそう

AWSマネジメントコンソールでS3バケットのデフォルト暗号化設定で、エイリアス名でキーを指定できるが、後で確認するとエイリアス名ではなくキーIDで表示される。

  • 設定時

  • 設定後に確認すると


AWS CLI からS3とKMSの設定を確認すると、S3バケットエイリアス名ではなくキーIDと紐付いているように見える。

  • デフォルト暗号化キーはエイリアスではなくキーIDで指定されている。
$ aws s3api get-bucket-encryption --bucket az-test-bucket1
{
    "ServerSideEncryptionConfiguration": {
        "Rules": [
            {
                "ApplyServerSideEncryptionByDefault": {
                    "KMSMasterKeyID": "arn:aws:kms:ap-northeast-1:123456789012:key/608781a9-cf79-4e35-98dd-7efa5a109f72",
                    "SSEAlgorithm": "aws:kms"
                }
            }
        ]
    }
$ aws kms describe-key --key-id 608781a9-cf79-4e35-98dd-7efa5a109f72
{
    "KeyMetadata": {
        "Origin": "EXTERNAL",
        "KeyId": "608781a9-cf79-4e35-98dd-7efa5a109f72",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "ExpirationModel": "KEY_MATERIAL_EXPIRES",
        "ValidTo": 1541059200.0,
        "Enabled": true,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1540447295.095,
        "Arn": "arn:aws:kms:ap-northeast-1:123456789012:key/608781a9-cf79-4e35-98dd-7efa5a109f72",
        "AWSAccountId": "123456789012"
    }
}
$ aws kms list-aliases|jq '.Aliases[] | select(.AliasName=="alias/test-key")'
{
  "AliasArn": "arn:aws:kms:ap-northeast-1:123456789012:alias/test-key",
  "AliasName": "alias/test-key",
  "TargetKeyId": "608781a9-cf79-4e35-98dd-7efa5a109f72"
}