KMS GUI中没有显示默认的EBS密钥

Question

【以下的问题经过翻译处理】 当我运行命令**aws kms list-keys**时，我可以看到一个默认启用的EBS主密钥。以下是**describe-key**输出的内容：

```
{
    "KeyMetadata": {
        "Origin": "AWS_KMS", 
        "KeyId": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", 
        "Description": "Default master key that protects my EBS volumes when no other key is defined", 
        "KeyManager": "AWS", 
        "Enabled": true, 
        "KeyUsage": "ENCRYPT_DECRYPT", 
        "KeyState": "Enabled", 
        "CreationDate": 1526533744.85, 
        "Arn": "arn:aws:kms:ap-southeast-2:xxxxxxxxxxxx:key/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", 
        "AWSAccountId": "xxxxxxxxxxxx"
    }
}

```

然而，在新的KMS GUI中目前未显示出此密钥。我从**aws kms list-keys**输出中看到另一个默认的EBS主密钥在GUI中有显示。请问为什么只有1个EBS密钥显示出来？

如果我使用经典GUI，我可以看到密钥存在，但别名为空。以下是截图：

Answer

【以下的回答经过翻译处理】 一些客户可能会看到一个或多个没有别名的AWS托管CMK。这些密钥被称为备用密钥。它们具有完全功能，并且具有与其他AWS托管CMK相同的安全和耐久性属性。备用密钥通常被隐藏不可见，不打算由客户使用。请注意，并非所有没有别名的密钥都是备用的AWS托管CMK。您使用CreateKey API创建的客户托管CMK也可能没有别名。

即使AWS服务将备用密钥显示为选项，您也应避免使用备用密钥。相反，请选择与相应服务相关的客户管理CMK或AWS托管CMK，带有熟悉的“aws/*”别名。

如果您已经使用备用密钥，您仍然可以继续使用，但我们建议如有可能更改为客户托管CMK或带有正确别名的AWS托管CMK，以避免潜在的混淆。例如在CloudTrail日志中，如果您看疑似备用密钥正在使用，您可以使用ListKeys或DescribeKey API来验证该密钥是否是AWS托管CMK。有关帮助，请参阅KMS文档中。

您无法删除AWS托管CMK，包括这些备用密钥。但是，请记住，备用密钥可以继续安全使用，并且备用密钥的存在不会增加对其他密钥的安全风险。与所有AWS托管CMK一样，AWS不收取备用密钥的存储费用，并且仅为这些CMK的使用收费。关于AWS托管密钥的费用请参考：

KMS GUI中没有显示默认的EBS密钥

相关内容