Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Aliase in AWS KMS

PDF
RSS
Fokusmodus
Aliase in AWS KMS - AWS Key Management Service
Wie funktionieren Aliase

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ein Alias ist ein Anzeigename für einen AWS KMS key. Mit einem Alias können Sie beispielsweise auf einen KMS-Schlüssel als test-keyanstelle von 1234abcd-12ab-34cd-56ef-1234567890ab verweisen.

Sie können einen Alias verwenden, um einen KMS-Schlüssel in der AWS KMS Konsole, im DescribeKeyVorgang und bei kryptografischen Vorgängen wie Verschlüsseln und zu identifizieren. GenerateDataKey Darüber hinaus erleichtern Aliasse das Erkennen eines Von AWS verwalteter Schlüssel. Aliase für diese KMS-Schlüssel haben immer die Form aws/<service-name>. Der Alias Von AWS verwalteter Schlüssel für Amazon DynamoDB lautet beispielsweise. aws/dynamodb Sie können ähnliche Alias-Standards für Ihre Projekte festlegen, z. B. den Namen eines Projekts oder einer Kategorie vorab für Ihre Aliasse.

Sie können den Zugriff auf KMS-Schlüssel auch anhand ihrer Aliasse zulassen und verweigern, ohne Richtlinien zu bearbeiten oder Erteilungen zu verwalten. Diese Funktion ist Teil der AWS KMS Unterstützung für die attributebasierte Zugriffskontrolle (ABAC). Details hierzu finden Sie unter Verwenden Sie Aliase, um den Zugriff auf KMS-Schlüssel zu steuern.

Ein Großteil der Möglichkeiten von Aliassen ergibt sich aus Ihrer Fähigkeit, den KMS-Schlüssel, der einem Alias zugeordnet ist, jederzeit zu ändern. Aliasse machen Ihren Code einfacher zu schreiben und zu verwalten. Angenommen, Sie verwenden einen Alias, um auf einen bestimmten KMS-Schlüssel zu verweisen, und Sie möchten den KMS-Schlüssel ändern. In diesem Fall ordnen Sie den Alias einfach einem anderen KMS-Schlüssel zu. Sie müssen keine Codeänderungen ausführen.

Darüber hinaus erleichtern Aliasse die Wiederverwendung des gleichen Codes in verschiedenen AWS-Regionen. Erstellen Sie Aliasse mit demselben Namen in mehreren Regionen und ordnen Sie jeden Alias einem KMS-Schlüssel in seiner Region zu. Wenn der Code in jeder Region ausgeführt wird, bezieht sich der Alias auf den zugeordneten KMS-Schlüssel in dieser Region. Ein Beispiel finden Sie unter Erfahren Sie, wie Sie Aliase in Ihren Anwendungen verwenden.

Sie können einen Alias für einen KMS-Schlüssel in der AWS KMS Konsole, mithilfe der CreateAliasAPI oder mithilfe der Vorlage erstellen. AWS::KMS::Alias AWS CloudFormation

Die AWS KMS API bietet die vollständige Kontrolle über Aliase in jedem Konto und jeder Region. Die API umfasst Operationen zum Erstellen eines Alias (CreateAlias), zum Anzeigen von Aliasnamen und Alias ARNs (ListAliases), zum Ändern des mit einem Alias (UpdateAlias) verknüpften KMS-Schlüssels und zum Löschen eines Alias (DeleteAlias).

Wie funktionieren Aliase

Erfahren Sie, wie Aliasse in AWS KMS funktionieren.

Ein Alias ist eine unabhängige Ressource AWS

Ein Alias ist keine Eigenschaft eines KMS-Schlüssels. Die Aktionen, die Sie für den Alias ausführen, wirken sich nicht auf den zugeordneten KMS-Schlüssel aus. Sie können einen Alias für einen KMS-Schlüssel erstellen und dann den Alias aktualisieren, damit er einem anderen KMS-Schlüssel zugeordnet ist. Sie können den Alias sogar löschen, ohne dass sich auf den zugeordneten KMS-Schlüssel auswirkt. Wenn Sie jedoch einen KMS-Schlüssel löschen, werden alle Aliasse gelöscht, die diesem KMS-Schlüssel zugeordnet sind.

Wenn Sie einen Alias als Ressource in einer IAM-Richtlinie angeben, bezieht sich die Richtlinie auf den Alias und nicht auf den zugeordneten KMS-Schlüssel.

Jeder Alias hat zwei Formate

Wenn Sie einen Alias erstellen, geben Sie den Aliasnamen an. AWS KMS erstellt den Alias ARN für Sie.

  • Ein Alias-ARN ist ein Amazon-Ressourcenname (ARN), der den Alias eindeutig identifiziert. 

    # Alias ARN
arn:aws:kms:us-west-2:111122223333:alias/<alias-name>

  • Der Aliasname muss im Konto und in der Region eindeutig sein. In der AWS KMS API wird dem Aliasnamen immer ein Präfix alias/ vorangestellt. Dieses Präfix wird in der AWS KMS Konsole weggelassen.

    # Alias name
alias/<alias-name>
Aliase sind nicht geheim

Aliase können in CloudTrail Protokollen und anderen Ausgaben im Klartext angezeigt werden. Geben Sie keine vertraulichen oder sensiblen Informationen in den Alias-Namen ein.

Jeder Alias ist jeweils einem KMS-Schlüssel zugeordnet

Der Alias und sein KMS-Schlüssel müssen sich im selben Konto und in derselben Region befinden.

Sie können jedem vom Kunden verwalteten Schlüssel in derselben AWS-Konto Region einen Alias zuordnen. Sie haben jedoch keine Berechtigung, einen Alias einem Von AWS verwalteter Schlüssel zuzuordnen.

Diese ListAliasesAusgabe zeigt beispielsweise, dass der test-key Alias genau einem KMS-Zielschlüssel zugeordnet ist, der durch die TargetKeyId Eigenschaft dargestellt wird.

{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
}
Mehrere Aliasse können demselben KMS-Schlüssel zugeordnet werden

Beispielsweise können Sie die test-key- und project-key-Aliasse demselben KMS-Schlüssel zuordnen.

{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
},
{
     "AliasName": "alias/project-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/project-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1516435200.399,
     "LastUpdatedDate": 1516435200.399
}
Ein Alias muss in einem Konto und einer Region eindeutig sein.

Zum Beispiel können Sie nur einen test-key-Alias in jedem Konto und in jeder Region haben. Aliasse beachten die Groß-/Kleinschreibung, aber Aliasse, die sich nur in ihrer Großschreibung unterscheiden, sind sehr fehleranfällig. Sie können keinen Aliasnamen ändern. Sie können den Alias jedoch löschen und einen neuen Alias mit dem gewünschten Namen erstellen.

Sie können jedoch einen Alias mit demselben Namen in verschiedenen Regionen erstellen.

Sie können beispielsweise einen finance-key-Alias In USA Ost (Nord-Virginia) und einen finance-key-Alias in Europa (Frankfurt) haben. Jeder Alias wäre einem KMS-Schlüssel in seiner Region zugeordnet. Wenn Ihr Code auf einen Aliasnamen wie alias/finance-key verweist, können Sie ihn in mehreren Regionen ausführen. In jeder Region wird ein anderer KMS-Schlüssel verwendet. Details hierzu finden Sie unter Erfahren Sie, wie Sie Aliase in Ihren Anwendungen verwenden.

Sie können den KMS-Schlüssel ändern, der einem Alias zugeordnet ist.

Sie können den UpdateAliasVorgang verwenden, um einen Alias einem anderen KMS-Schlüssel zuzuordnen. Wenn beispielsweise der finance-key-Alias dem 1234abcd-12ab-34cd-56ef-1234567890ab-KMS-Schlüssel zugeordnet ist, verwenden, können Sie ihn so aktualisieren, dass er dem 0987dcba-09fe-87dc-65ba-ab0987654321-KMS-Schlüssel zugeordnet wird.

Der aktuelle KMS-Schlüssel und der neue KMS-Schlüssel müssen jedoch vom selben Typ sein (beide symmetrisch oder beide asymmetrisch oder beide HMAC) und die gleiche Schlüsselnutzung (ENCRYPT_DECRYPT oder SIGN_VERIFY oder GENERATE_VERIFY_MAC) aufweisen. Diese Beschränkung verhindert Fehler in Code, der Aliasse verwendet. Wenn Sie einen Alias einem anderen Schlüsseltyp zuordnen müssen und die Risiken verringert haben, können Sie den Alias löschen und neu erstellen.

Einige KMS-Schlüssel haben keine Aliasse

Wenn Sie einen KMS-Schlüssel in der AWS KMS Konsole erstellen, müssen Sie ihm einen neuen Alias geben. Ein Alias ist jedoch nicht erforderlich, wenn Sie den CreateKeyVorgang zum Erstellen eines KMS-Schlüssels verwenden. Sie können den UpdateAliasVorgang auch verwenden, um den KMS-Schlüssel zu ändern, der einem Alias zugeordnet ist, und den DeleteAliasVorgang zum Löschen eines Alias verwenden. Daher könnten manche KMS-Schlüssel mehrere Aliasse haben, während andere keinen haben.

AWS erstellt Aliase in Ihrem Konto

AWS erstellt Aliase in Ihrem Konto für. Von AWS verwaltete Schlüssel Diese Aliasse haben Namen des Formulars alias/aws/<service-name>, wie beispielsweise alias/aws/s3.

Einige AWS Aliase haben keinen KMS-Schlüssel. Diese vordefinierten Aliase sind normalerweise mit einem verknüpft Von AWS verwalteter Schlüssel , wenn Sie den Dienst nutzen.

Verwenden von Aliassen zum Identifizieren von KMS-Schlüsseln

Sie können einen Aliasnamen oder Alias-ARN verwenden, um einen KMS-Schlüssel in kryptografischen Vorgängen zu identifizieren DescribeKey, und GetPublicKey. (Wenn sich der KMS-Schlüssel in einem anderen AWS-Konto befindet, müssen Sie seinen Schlüssel-ARN oder Alias-ARN verwenden.) Aliasse sind keine gültigen Bezeichner für KMS-Schlüssel in anderen AWS KMS -Operationen. Informationen zu den gültigen Schlüsselkennungen für jeden AWS KMS API-Vorgang finden Sie in den Beschreibungen der KeyId Parameter in der AWS Key Management Service API-Referenz.

Sie können keinen Aliasnamen oder Alias-ARN verwenden, um einen KMS-Schlüssel in einer IAM-Richtlinie zu identifizieren. Um den Zugriff auf einen KMS-Schlüssel anhand seiner Aliase zu steuern, verwenden Sie die ResourceAliases Bedingungsschlüssel kms: RequestAlias oder kms:. Details hierzu finden Sie unter ABAC für AWS KMS.

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.