Aliase in AWS KMS - AWS Key Management Service
Wie funktionieren Aliase

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aliase in AWS KMS

Ein Alias ist ein Anzeigename für einen AWS KMS key. Mit einem Alias können Sie beispielsweise auf einen KMS Schlüssel als test-key statt auf verweisen. 1234abcd-12ab-34cd-56ef-1234567890ab

Sie können einen Alias verwenden, um einen KMS Schlüssel in der AWS KMS Konsole, im DescribeKeyVorgang und bei kryptografischen Vorgängen wie Verschlüsseln und zu identifizieren. GenerateDataKey Darüber hinaus erleichtern Aliasse das Erkennen eines Von AWS verwalteter Schlüssel. Aliase für diese KMS Schlüssel haben immer die Form. aws/<service-name> Der Alias Von AWS verwalteter Schlüssel für Amazon DynamoDB lautet beispielsweise. aws/dynamodb Sie können ähnliche Alias-Standards für Ihre Projekte festlegen, z. B. den Namen eines Projekts oder einer Kategorie vorab für Ihre Aliasse.

Sie können den Zugriff auf KMS Schlüssel auch anhand ihrer Aliase zulassen und verweigern, ohne Richtlinien zu bearbeiten oder Zuschüsse zu verwalten. Diese Funktion ist Teil der AWS KMS Unterstützung für die attributebasierte Zugriffskontrolle (). ABAC Details hierzu finden Sie unter Verwenden Sie Aliase, um den Zugriff auf Schlüssel zu KMS steuern.

Ein Großteil der Macht von Aliasnamen beruht auf Ihrer Fähigkeit, den mit einem Alias verknüpften KMS Schlüssel jederzeit zu ändern. Aliasse machen Ihren Code einfacher zu schreiben und zu verwalten. Nehmen wir zum Beispiel an, Sie verwenden einen Alias, um auf einen bestimmten KMS Schlüssel zu verweisen, und Sie möchten den KMS Schlüssel ändern. In diesem Fall verknüpfen Sie den Alias einfach mit einem anderen KMS Schlüssel. Sie müssen keine Codeänderungen ausführen.

Darüber hinaus erleichtern Aliasse die Wiederverwendung des gleichen Codes in verschiedenen AWS-Regionen. Erstellen Sie Aliase mit demselben Namen in mehreren Regionen und verknüpfen Sie jeden Alias mit einem KMS Schlüssel in seiner Region. Wenn der Code in jeder Region ausgeführt wird, bezieht sich der Alias auf den zugehörigen KMS Schlüssel in dieser Region. Ein Beispiel finden Sie unter Erfahren Sie, wie Sie Aliase in Ihren Anwendungen verwenden.

Sie können einen Alias für einen KMS Schlüssel in der AWS KMS Konsole erstellen, indem Sie die CreateAliasAPIVorlage oder die AWS CloudFormation VorlageAWS::KMS: :Alias verwenden.

Das AWS KMS API bietet die vollständige Kontrolle über Aliase in jedem Konto und jeder Region. APIDazu gehören Operationen zum Erstellen eines Alias (CreateAlias), zum Anzeigen von Aliasnamen und Alias ARNs (ListAliases), zum Ändern des mit einem Alias verknüpften KMS Schlüssels (UpdateAlias) und zum Löschen eines Alias (DeleteAlias).

Wie funktionieren Aliase

Erfahren Sie, wie Aliasse in AWS KMS funktionieren.

Ein Alias ist eine unabhängige Ressource AWS

Ein Alias ist keine Eigenschaft eines KMS Schlüssels. Die Aktionen, die Sie mit dem Alias ausführen, wirken sich nicht auf den zugehörigen KMS Schlüssel aus. Sie können einen Alias für einen KMS Schlüssel erstellen und dann den Alias so aktualisieren, dass er einem anderen KMS Schlüssel zugeordnet ist. Sie können den Alias sogar löschen, ohne dass dies Auswirkungen auf den zugehörigen KMS Schlüssel hat. Wenn Sie jedoch einen KMS Schlüssel löschen, werden alle mit diesem KMS Schlüssel verknüpften Aliase gelöscht.

Wenn Sie in einer IAM Richtlinie einen Alias als Ressource angeben, bezieht sich die Richtlinie auf den Alias, nicht auf den zugehörigen KMS Schlüssel.

Jeder Alias hat zwei Formate

Wenn Sie einen Alias erstellen, geben Sie den Aliasnamen an. AWS KMS erstellt den Alias ARN für Sie.

  • Ein Alias ARN ist ein Amazon-Ressourcenname (ARN), der den Alias eindeutig identifiziert. 

    # Alias ARN
arn:aws:kms:us-west-2:111122223333:alias/<alias-name>

  • Der Aliasname muss im Konto und in der Region eindeutig sein. In der AWS KMS API hat der Aliasname immer das Präfix. alias/ Dieses Präfix wird in der AWS KMS Konsole weggelassen.

    # Alias name
alias/<alias-name>
Aliase sind nicht geheim

Aliase können in CloudTrail Protokollen und anderen Ausgaben im Klartext angezeigt werden. Geben Sie keine vertraulichen oder sensiblen Informationen in den Alias-Namen ein.

Jeder Alias ist jeweils einem KMS Schlüssel zugeordnet

Der Alias und sein KMS Schlüssel müssen sich im selben Konto und in derselben Region befinden.

Sie können jedem vom Kunden verwalteten Schlüssel in derselben AWS-Konto Region einen Alias zuordnen. Sie haben jedoch keine Berechtigung, einen Alias einem Von AWS verwalteter Schlüssel zuzuordnen.

Diese ListAliasesAusgabe zeigt beispielsweise, dass der test-key Alias genau einem KMS Zielschlüssel zugeordnet ist, der durch die TargetKeyId Eigenschaft repräsentiert wird.

{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
}
KMSDiesem Schlüssel können mehrere Aliase zugeordnet werden

Sie können beispielsweise die project-key Aliase test-key und demselben KMS Schlüssel zuordnen.

{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
},
{
     "AliasName": "alias/project-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/project-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1516435200.399,
     "LastUpdatedDate": 1516435200.399
}
Ein Alias muss in einem Konto und einer Region eindeutig sein.

Zum Beispiel können Sie nur einen test-key-Alias in jedem Konto und in jeder Region haben. Aliasse beachten die Groß-/Kleinschreibung, aber Aliasse, die sich nur in ihrer Großschreibung unterscheiden, sind sehr fehleranfällig. Sie können keinen Aliasnamen ändern. Sie können den Alias jedoch löschen und einen neuen Alias mit dem gewünschten Namen erstellen.

Sie können jedoch einen Alias mit demselben Namen in verschiedenen Regionen erstellen.

Sie können beispielsweise einen finance-key-Alias In USA Ost (Nord-Virginia) und einen finance-key-Alias in Europa (Frankfurt) haben. Jeder Alias wäre einem KMS Schlüssel in seiner Region zugeordnet. Wenn Ihr Code auf einen Aliasnamen wie alias/finance-key verweist, können Sie ihn in mehreren Regionen ausführen. In jeder Region wird ein anderer KMS Schlüssel verwendet. Details hierzu finden Sie unter Erfahren Sie, wie Sie Aliase in Ihren Anwendungen verwenden.

Sie können den mit einem Alias verknüpften KMS Schlüssel ändern

Sie können den UpdateAliasVorgang verwenden, um einen Alias einem anderen KMS Schlüssel zuzuordnen. Wenn der finance-key Alias beispielsweise mit dem 1234abcd-12ab-34cd-56ef-1234567890ab KMS Schlüssel verknüpft ist, können Sie ihn so aktualisieren, dass er dem 0987dcba-09fe-87dc-65ba-ab0987654321 KMS Schlüssel zugeordnet ist.

Der aktuelle und der neue KMS Schlüssel müssen jedoch vom gleichen Typ sein (beide symmetrisch oder beide asymmetrisch oder beideHMAC) und sie müssen dieselbe Schlüsselverwendung haben (ENCRYPT_ DECRYPT oder _ VERIFY oder SIGN GENERATE _ _). VERIFY MAC Diese Beschränkung verhindert Fehler in Code, der Aliasse verwendet. Wenn Sie einen Alias einem anderen Schlüsseltyp zuordnen müssen und die Risiken verringert haben, können Sie den Alias löschen und neu erstellen.

Einige KMS Schlüssel haben keine Aliase

Wenn Sie einen KMS Schlüssel in der AWS KMS Konsole erstellen, müssen Sie ihm einen neuen Alias geben. Ein Alias ist jedoch nicht erforderlich, wenn Sie den CreateKeyVorgang zum Erstellen eines KMS Schlüssels verwenden. Sie können den UpdateAliasVorgang auch verwenden, um den mit einem Alias verknüpften KMS Schlüssel zu ändern, und den DeleteAliasVorgang zum Löschen eines Alias verwenden. Daher haben einige KMS Schlüssel möglicherweise mehrere Aliase, andere wiederum keine.

AWS erstellt Aliase in Ihrem Konto

AWS erstellt Aliase in Ihrem Konto für. Von AWS verwaltete Schlüssel Diese Aliasse haben Namen des Formulars alias/aws/<service-name>, wie beispielsweise alias/aws/s3.

Einige AWS Aliase haben keinen Schlüssel. KMS Diese vordefinierten Aliase sind normalerweise mit einem verknüpft Von AWS verwalteter Schlüssel , wenn Sie den Dienst nutzen.

Verwenden Sie Aliase, um Schlüssel zu identifizieren KMS

Sie können einen Aliasnamen oder Alias verwendenARN, um einen KMS Schlüssel bei kryptografischen Operationen zu identifizieren DescribeKey, und. GetPublicKey (Wenn sich der KMSSchlüssel in einem anderen befindet AWS-Konto, müssen Sie dessen Schlüssel ARN oder Alias verwendenARN.) Aliase sind keine gültigen Bezeichner für KMS Schlüssel in anderen AWS KMS Operationen. Informationen zu den gültigen Schlüsselbezeichnern für jede AWS KMS API Operation finden Sie in den Beschreibungen der KeyId Parameter in der Referenz.AWS Key Management Service API

Sie können keinen Aliasnamen oder Alias verwendenARN, um einen KMS Schlüssel in einer IAM Richtlinie zu identifizieren. Um den Zugriff auf einen KMS Schlüssel anhand seiner Aliase zu steuern, verwenden Sie die ResourceAliases Bedingungsschlüssel kms: RequestAlias oder kms:. Details hierzu finden Sie unter ABACfür AWS KMS.