Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Aliase in AWS KMS
Ein *Alias* ist ein Anzeigename für einen AWS KMS key. Mit einem Alias können Sie beispielsweise auf einen KMS-Schlüssel als `test-key`anstelle von `1234abcd-12ab-34cd-56ef-1234567890ab` verweisen.
Sie können einen Alias verwenden, um einen KMS-Schlüssel in der AWS KMS Konsole, im [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Vorgang und bei [kryptografischen Vorgängen](kms-cryptography.md#cryptographic-operations) wie [Verschlüsseln](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) und zu identifizieren. [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) Darüber hinaus erleichtern Aliasse das Erkennen eines [Von AWS verwalteter Schlüssel](concepts.md#aws-managed-key). Aliase für diese KMS-Schlüssel haben immer die Form `aws/`. Der Alias Von AWS verwalteter Schlüssel für Amazon DynamoDB lautet beispielsweise. `aws/dynamodb` Sie können ähnliche Alias-Standards für Ihre Projekte festlegen, z. B. den Namen eines Projekts oder einer Kategorie vorab für Ihre Aliasse.
Sie können den Zugriff auf KMS-Schlüssel auch anhand ihrer Aliasse zulassen und verweigern, ohne Richtlinien zu bearbeiten oder Erteilungen zu verwalten. Diese Funktion ist Teil der AWS KMS Unterstützung für die [attributebasierte Zugriffskontrolle](abac.md) (ABAC). Details hierzu finden Sie unter [Verwenden Sie Aliase, um den Zugriff auf KMS-Schlüssel zu steuern](alias-authorization.md).
Ein Großteil der Möglichkeiten von Aliassen ergibt sich aus Ihrer Fähigkeit, den KMS-Schlüssel, der einem Alias zugeordnet ist, jederzeit zu ändern. Aliasse machen Ihren Code einfacher zu schreiben und zu verwalten. Angenommen, Sie verwenden einen Alias, um auf einen bestimmten KMS-Schlüssel zu verweisen, und Sie möchten den KMS-Schlüssel ändern. In diesem Fall ordnen Sie den Alias einfach einem anderen KMS-Schlüssel zu. Sie müssen keine Codeänderungen ausführen.
Darüber hinaus erleichtern Aliasse die Wiederverwendung des gleichen Codes in verschiedenen AWS-Regionen. Erstellen Sie Aliasse mit demselben Namen in mehreren Regionen und ordnen Sie jeden Alias einem KMS-Schlüssel in seiner Region zu. Wenn der Code in jeder Region ausgeführt wird, bezieht sich der Alias auf den zugeordneten KMS-Schlüssel in dieser Region. Ein Beispiel finden Sie unter [Erfahren Sie, wie Sie Aliase in Ihren Anwendungen verwenden](alias-using.md).
[Sie können einen Alias für einen KMS-Schlüssel in der AWS KMS Konsole, mithilfe der [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)API oder mithilfe der Vorlage erstellen. AWS::KMS::Alias CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-alias.html)
Die AWS KMS API bietet die vollständige Kontrolle über Aliase in jedem Konto und jeder Region. Die API umfasst Operationen zum Erstellen eines Alias ([CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)), zum Anzeigen von Aliasnamen und Alias ARNs ([ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)), zum Ändern des mit einem Alias ([UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html)) verknüpften KMS-Schlüssels und zum Löschen eines Alias ([DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html)).
## Wie funktionieren Aliase
Erfahren Sie, wie Aliasse in AWS KMS funktionieren.
**Ein Alias ist eine unabhängige Ressource AWS **
Ein Alias ist keine Eigenschaft eines KMS-Schlüssels. Die Aktionen, die Sie für den Alias ausführen, wirken sich nicht auf den zugeordneten KMS-Schlüssel aus. Sie können einen Alias für einen KMS-Schlüssel erstellen und dann den Alias aktualisieren, damit er einem anderen KMS-Schlüssel zugeordnet ist. Sie können den Alias sogar löschen, ohne dass sich auf den zugeordneten KMS-Schlüssel auswirkt. Wenn Sie jedoch einen KMS-Schlüssel löschen, werden alle Aliasse gelöscht, die diesem KMS-Schlüssel zugeordnet sind.
Wenn Sie einen Alias als Ressource in einer IAM-Richtlinie angeben, bezieht sich die Richtlinie auf den Alias und nicht auf den zugeordneten KMS-Schlüssel.
**Jeder Alias hat zwei Formate**
Wenn Sie einen Alias erstellen, geben Sie den Aliasnamen an. AWS KMS erstellt den Alias ARN für Sie.
+ Ein [Alias-ARN](concepts.md#key-id-alias-ARN) ist ein Amazon-Ressourcenname (ARN), der den Alias eindeutig identifiziert.
```
# Alias ARN
arn:aws:kms:us-west-2:111122223333:alias/
```
+ Der [Aliasname](concepts.md#key-id-alias-name) muss im Konto und in der Region eindeutig sein. In der AWS KMS API wird dem Aliasnamen immer ein Präfix `alias/` vorangestellt. Dieses Präfix wird in der AWS KMS Konsole weggelassen.
```
# Alias name
alias/
```
**Aliase sind nicht geheim**
Aliase können in CloudTrail Protokollen und anderen Ausgaben im Klartext angezeigt werden. Geben Sie keine vertraulichen oder sensiblen Informationen in den Alias-Namen ein.
**Jeder Alias ist jeweils einem KMS-Schlüssel zugeordnet**
Der Alias und sein KMS-Schlüssel müssen sich im selben Konto und in derselben Region befinden.
Sie können jedem vom [Kunden verwalteten Schlüssel](concepts.md#customer-mgn-key) in derselben AWS-Konto Region einen Alias zuordnen. Sie haben jedoch keine Berechtigung, einen Alias einem [Von AWS verwalteter Schlüssel](concepts.md#aws-managed-key) zuzuordnen.
Diese [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)Ausgabe zeigt beispielsweise, dass der `test-key` Alias genau einem KMS-Zielschlüssel zugeordnet ist, der durch die `TargetKeyId` Eigenschaft dargestellt wird.
```
{
"AliasName": "alias/test-key",
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
"TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"CreationDate": 1593622000.191,
"LastUpdatedDate": 1593622000.191
}
```
**Mehrere Aliasse können demselben KMS-Schlüssel zugeordnet werden**
Beispielsweise können Sie die `test-key`- und `project-key`-Aliasse demselben KMS-Schlüssel zuordnen.
```
{
"AliasName": "alias/test-key",
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
"TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"CreationDate": 1593622000.191,
"LastUpdatedDate": 1593622000.191
},
{
"AliasName": "alias/project-key",
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/project-key",
"TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"CreationDate": 1516435200.399,
"LastUpdatedDate": 1516435200.399
}
```
**Ein Alias muss in einem Konto und einer Region eindeutig sein.**
Zum Beispiel können Sie nur einen `test-key`-Alias in jedem Konto und in jeder Region haben. Aliasse beachten die Groß-/Kleinschreibung, aber Aliasse, die sich nur in ihrer Großschreibung unterscheiden, sind sehr fehleranfällig. Sie können keinen Aliasnamen ändern. Sie können den Alias jedoch löschen und einen neuen Alias mit dem gewünschten Namen erstellen.
**Sie können jedoch einen Alias mit demselben Namen in verschiedenen Regionen erstellen.**
Sie können beispielsweise einen `finance-key`-Alias In USA Ost (Nord-Virginia) und einen `finance-key`-Alias in Europa (Frankfurt) haben. Jeder Alias wäre einem KMS-Schlüssel in seiner Region zugeordnet. Wenn Ihr Code auf einen Aliasnamen wie `alias/finance-key` verweist, können Sie ihn in mehreren Regionen ausführen. In jeder Region wird ein anderer KMS-Schlüssel verwendet. Details hierzu finden Sie unter [Erfahren Sie, wie Sie Aliase in Ihren Anwendungen verwenden](alias-using.md).
**Sie können den KMS-Schlüssel ändern, der einem Alias zugeordnet ist.**
Sie können den [UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html)Vorgang verwenden, um einen Alias einem anderen KMS-Schlüssel zuzuordnen. Wenn beispielsweise der `finance-key`-Alias dem `1234abcd-12ab-34cd-56ef-1234567890ab`-KMS-Schlüssel zugeordnet ist, verwenden, können Sie ihn so aktualisieren, dass er dem `0987dcba-09fe-87dc-65ba-ab0987654321`-KMS-Schlüssel zugeordnet wird.
Der aktuelle KMS-Schlüssel und der neue KMS-Schlüssel müssen jedoch vom selben Typ sein (beide symmetrisch oder beide asymmetrisch oder beide HMAC) und die gleiche [Schlüsselnutzung](create-keys.md#key-usage) (ENCRYPT\$1DECRYPT oder SIGN\$1VERIFY oder GENERATE\$1VERIFY\$1MAC) aufweisen. Diese Beschränkung verhindert Fehler in Code, der Aliasse verwendet. Wenn Sie einen Alias einem anderen Schlüsseltyp zuordnen müssen und die Risiken verringert haben, können Sie den Alias löschen und neu erstellen.
**Einige KMS-Schlüssel haben keine Aliasse**
Wenn Sie einen KMS-Schlüssel in der AWS KMS Konsole erstellen, müssen Sie ihm einen neuen Alias geben. Ein Alias ist jedoch nicht erforderlich, wenn Sie den [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Vorgang zum Erstellen eines KMS-Schlüssels verwenden. Sie können den [UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html)Vorgang auch verwenden, um den KMS-Schlüssel zu ändern, der einem Alias zugeordnet ist, und den [DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html)Vorgang zum Löschen eines Alias verwenden. Daher könnten manche KMS-Schlüssel mehrere Aliasse haben, während andere keinen haben.
**AWS erstellt Aliase in Ihrem Konto**
AWS erstellt Aliase in Ihrem Konto für. [Von AWS verwaltete Schlüssel](concepts.md#aws-managed-key) Diese Aliasse haben Namen des Formulars `alias/aws/`, wie beispielsweise `alias/aws/s3`.
Einige AWS Aliase haben keinen KMS-Schlüssel. Diese vordefinierten Aliase sind normalerweise mit einem verknüpft Von AWS verwalteter Schlüssel , wenn Sie den Dienst nutzen.
**Verwenden von Aliassen zum Identifizieren von KMS-Schlüsseln**
Sie können einen [Aliasnamen oder [Alias-ARN](concepts.md#key-id-alias-ARN)](concepts.md#key-id-alias-name) verwenden, um einen KMS-Schlüssel in [kryptografischen Vorgängen](kms-cryptography.md#cryptographic-operations) zu identifizieren [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html), und [GetPublicKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetPublicKey.html). (Wenn sich der [KMS-Schlüssel in einem anderen AWS-Konto befindet](key-policy-modifying-external-accounts.md), müssen Sie seinen [Schlüssel-ARN](concepts.md#key-id-key-ARN) oder Alias-ARN verwenden.) Aliasse sind keine gültigen Bezeichner für KMS-Schlüssel in anderen AWS KMS -Operationen. Informationen zu den gültigen [Schlüsselkennungen](concepts.md#key-id) für jeden AWS KMS API-Vorgang finden Sie in den Beschreibungen der `KeyId` Parameter in der *AWS Key Management Service API-Referenz*.
Sie können keinen Aliasnamen oder Alias-ARN verwenden, um [einen KMS-Schlüssel in einer IAM-Richtlinie zu identifizieren](cmks-in-iam-policies.md). Um den Zugriff auf einen KMS-Schlüssel anhand seiner Aliase zu steuern, verwenden Sie die ResourceAliases Bedingungsschlüssel [kms: RequestAlias](conditions-kms.md#conditions-kms-request-alias) oder [kms:](conditions-kms.md#conditions-kms-resource-aliases). Details hierzu finden Sie unter [ABAC für AWS KMS](abac.md).
# Steuern des Zugriffs auf Aliasse
Wenn Sie einen Alias erstellen oder ändern, wirkt sich das auf den Alias und den zugehörigen KMS-Schlüssel aus. Daher müssen Prinzipale, die Aliasse verwalten, über die Berechtigung verfügen, die Alias-Operation für den Alias und alle betroffenen KMS-Schlüssel aufzurufen. Sie können diese Berechtigungen mithilfe von [Schlüsselrichtlinien](key-policies.md), [IAM-Richtlinien](iam-policies.md) und [Erteilungen](grants.md) erteilen.
**Anmerkung**
Seien Sie vorsichtig, wenn Sie Prinzipalen die Berechtigung zum Verwalten von Tags und Aliassen erteilen. Wenn Sie eine Markierung oder einen Alias ändern, wird dadurch die Berechtigung für den kundenverwalteten Schlüssel erteilt oder verweigert. Details dazu finden Sie unter [ABAC für AWS KMS](abac.md) und [Verwenden Sie Aliase, um den Zugriff auf KMS-Schlüssel zu steuern](alias-authorization.md).
Hinweise zur Steuerung des Zugriffs auf alle AWS KMS Operationen finden Sie unter[Berechtigungsreferenz](kms-api-permissions-reference.md).
Berechtigungen zum Erstellen und Verwalten von Aliasen funktionieren wie folgt.
## km: CreateAlias
Um einen Alias zu erstellen, benötigt der Prinzipal die folgenden Berechtigungen sowohl für den Alias als auch für den zugeordneten KMS-Schlüssel.
+ `kms:CreateAlias` für den Alias. Geben Sie diese Berechtigung in einer IAM-Richtlinie an, die dem Prinzipal zugeordnet ist, der den Alias erstellen darf.
Die folgende Beispiel-Richtlinienanweisung gibt einen bestimmten Alias in einem `Resource`-Element an. Sie können jedoch mehrere Alias auflisten ARNs oder ein Aliasmuster angeben, z. B. „test\$1“. Sie können auch einen `Resource`-Wert von `"*"` angeben, um dem Prinzipal zu erlauben, einen Alias im Konto und der Region zu erstellen. Die Berechtigung zum Erstellen eines Aliasses kann auch in einer `kms:Create*`-Berechtigung für alle Ressourcen in einem Konto und einer Region enthalten sein.
```
{
"Sid": "IAMPolicyForAnAlias",
"Effect": "Allow",
"Action": [
"kms:CreateAlias",
"kms:UpdateAlias",
"kms:DeleteAlias"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:alias/test-key"
}
```
+ `kms:CreateAlias` für den KMS-Schlüssel. Diese Berechtigung muss in einer Schlüsselrichtlinie oder in einer IAM-Richtlinie bereitgestellt werden, die von der Schlüsselrichtlinie delegiert wird.
```
{
"Sid": "Key policy for 1234abcd-12ab-34cd-56ef-1234567890ab",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSAdminUser"},
"Action": [
"kms:CreateAlias",
"kms:DescribeKey"
],
"Resource": "*"
}
```
Sie können Bedingungsschlüssel verwenden, um die KMS-Schlüssel einzuschränken, die Sie einem Alias zuordnen können. Sie können beispielsweise den KeySpec Bedingungsschlüssel [kms:](conditions-kms.md#conditions-kms-key-spec) verwenden, um es dem Prinzipal zu ermöglichen, Aliase nur für asymmetrische KMS-Schlüssel zu erstellen. Eine vollständige Liste der Bedingungsschlüssel, mit denen Sie die `kms:CreateAlias`-Berechtigung für KMS-Schlüsselressourcen einschränken können, finden Sie unter [AWS KMS Berechtigungen](kms-api-permissions-reference.md).
## km: ListAliases
Um Aliasse im Konto und in der Region aufzulisten, muss der Prinzipal über `kms:ListAliases`-Berechtigung in einer IAM-Richtlinie verfügen. Da diese Richtlinie nicht mit einem bestimmten KMS-Schlüssel oder Alias-Ressource verwandt ist, muss der Wert des Ressourcenelements in der Richtlinie [`"*"` sein](iam-policies-best-practices.md#require-resource-star).
Beispielsweise gibt die folgende IAM-Richtlinienanweisung dem Prinzipal die Berechtigung, alle KMS-Schlüssel und Aliasse im Konto und in der Region aufzulisten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
}
}
```
------
## km: UpdateAlias
Um den KMS-Schlüssel zu ändern, der einem Alias zugeordnet ist, benötigt der Prinzipal drei Berechtigungselemente: eines für den Alias, eines für den aktuellen KMS-Schlüssel und eines für den neuen KMS-Schlüssel.
Angenommen, Sie möchten z. B. den `test-key`-Alias aus dem KMS-Schlüssel mit Schlüssel-ID 1234abcd-12ab-34cd-56ef-1234567890ab zum KMS-Schlüssel mit Schlüssel-ID 0987dcba-09fe-87dc-65ba-ab0987654321 ändern. Fügen Sie in diesem Fall ähnliche Richtlinienanweisungen wie in den Beispielen in diesem Abschnitt ein.
+ `kms:UpdateAlias` für den Alias. Sie stellen diese Berechtigung in einer IAM-Richtlinie zur Verfügung, die dem Prinzipal angefügt ist. Die folgende IAM-Richtlinie gibt einen bestimmten Alias an. Sie können jedoch mehrere Alias auflisten ARNs oder ein Aliasmuster angeben, z. `"test*"` B. Sie können auch einen `Resource`-Wert von `"*"` angeben, um dem Prinzipal zu erlauben, einen Alias im Konto und der Region zu aktualisieren.
```
{
"Sid": "IAMPolicyForAnAlias",
"Effect": "Allow",
"Action": [
"kms:UpdateAlias",
"kms:ListAliases",
"kms:ListKeys"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:alias/test-key"
}
```
+ `kms:UpdateAlias` für den KMS-Schlüssel, der derzeit dem Alias zugeordnet ist. Diese Berechtigung muss in einer Schlüsselrichtlinie oder in einer IAM-Richtlinie bereitgestellt werden, die von der Schlüsselrichtlinie delegiert wird.
```
{
"Sid": "Key policy for 1234abcd-12ab-34cd-56ef-1234567890ab",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSAdminUser"},
"Action": [
"kms:UpdateAlias",
"kms:DescribeKey"
],
"Resource": "*"
}
```
+ `kms:UpdateAlias` für den KMS-Schlüssel, den die Operation dem Alias zuordnet. Diese Berechtigung muss in einer Schlüsselrichtlinie oder in einer IAM-Richtlinie bereitgestellt werden, die von der Schlüsselrichtlinie delegiert wird.
```
{
"Sid": "Key policy for 0987dcba-09fe-87dc-65ba-ab0987654321",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSAdminUser"},
"Action": [
"kms:UpdateAlias",
"kms:DescribeKey"
],
"Resource": "*"
}
```
Mit Hilfe von Bedingungsschlüsseln können Sie einen oder beide KMS-Schlüssel in einer `UpdateAlias`-Operation begrenzen. Sie können beispielsweise den ResourceAliases Bedingungsschlüssel [kms:](conditions-kms.md#conditions-kms-resource-aliases) verwenden, um es dem Prinzipal zu ermöglichen, Aliase nur dann zu aktualisieren, wenn der KMS-Zielschlüssel bereits einen bestimmten Alias hat. Eine vollständige Liste der Bedingungsschlüssel, mit denen Sie die `kms:UpdateAlias`-Berechtigung für KMS-Schlüsselressourcen einschränken können, finden Sie unter [AWS KMS Berechtigungen](kms-api-permissions-reference.md).
## km: DeleteAlias
Um einen Alias zu löschen, benötigt der Prinzipal die Berechtigung für den Alias und für den zugeordneten KMS-Schlüssel.
Wie immer sollten Sie Vorsicht walten lassen, wenn Sie Prinzipalen die Berechtigung zum Löschen einer Ressource erteilen. Das Löschen eines Aliasses hat keine Auswirkungen auf den zugehörigen KMS-Schlüssel. Es kann zwar zu einem Fehler in einer Anwendung führen, die auf dem Alias beruht, aber wenn Sie versehentlich einen Alias löschen, können Sie ihn neu erstellen.
+ `kms:DeleteAlias` für den Alias. Sie stellen diese Berechtigung in einer IAM-Richtlinie zur Verfügung, die dem Prinzipal angefügt ist, der den Alias löschen darf.
Die folgende Beispiel-Richtlinienanweisung gibt einen bestimmten Alias in einem `Resource`-Element an. Sie können jedoch mehrere Alias auflisten ARNs oder ein Aliasmuster angeben, z. B. Sie können auch den `Resource` Wert von angeben`"test*"`, `"*"` damit der Prinzipal alle Alias im Konto und in der Region löschen kann.
```
{
"Sid": "IAMPolicyForAnAlias",
"Effect": "Allow",
"Action": [
"kms:CreateAlias",
"kms:UpdateAlias",
"kms:DeleteAlias"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:alias/test-key"
}
```
+ `kms:DeleteAlias` für den zugeordneten KMS-Schlüssel. Diese Berechtigung muss in einer Schlüsselrichtlinie oder in einer IAM-Richtlinie bereitgestellt werden, die von der Schlüsselrichtlinie delegiert wird.
```
{
"Sid": "Key policy for 1234abcd-12ab-34cd-56ef-1234567890ab",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/KMSAdminUser"
},
"Action": [
"kms:CreateAlias",
"kms:UpdateAlias",
"kms:DeleteAlias",
"kms:DescribeKey"
],
"Resource": "*"
}
```
## Begrenzen von Alias-Berechtigungen
Sie können Bedingungsschlüssel verwenden, um Alias-Berechtigungen einzuschränken, wenn es sich bei der Ressource um einen KMS-Schlüssel handelt. Die folgende IAM-Richtlinie erlaubt beispielsweise Alias-Operationen für KMS-Schlüssel in einem bestimmten Konto und einer bestimmten Region. Es verwendet jedoch den KeyOrigin Bedingungsschlüssel [kms:](conditions-kms.md#conditions-kms-key-origin), um die Berechtigungen weiter auf KMS-Schlüssel mit Schlüsselmaterial von zu beschränken AWS KMS.
Eine vollständige Liste der Bedingungsschlüssel, mit denen Sie Alias-Berechtigungen für eine KMS-Schlüsselressource einschränken können, finden Sie unter [AWS KMS Berechtigungen](kms-api-permissions-reference.md).
```
{
"Sid": "IAMPolicyKeyPermissions",
"Effect": "Allow",
"Resource": "arn:aws:kms:us-west-2:111122223333:key/*",
"Action": [
"kms:CreateAlias",
"kms:UpdateAlias",
"kms:DeleteAlias"
],
"Condition": {
"StringEquals": {
"kms:KeyOrigin": "AWS_KMS"
}
}
}
```
Sie können keine Bedingungsschlüssel in einer Richtlinienanweisung verwenden, bei der die Ressource ein Alias ist. Um die Aliasse einzuschränken, die ein Prinzipal verwalten kann, verwenden Sie den Wert des `Resource`-Elements der IAM-Richtlinienanweisung, die den Zugriff auf den Alias steuert. Die folgenden Richtlinienanweisungen ermöglichen es dem Prinzipal beispielsweise, jeden Alias in der Region AWS-Konto und zu erstellen, zu aktualisieren oder zu löschen, sofern der Alias nicht mit beginnt`Restricted`.
```
{
"Sid": "IAMPolicyForAnAliasAllow",
"Effect": "Allow",
"Action": [
"kms:CreateAlias",
"kms:UpdateAlias",
"kms:DeleteAlias"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:alias/*"
},
{
"Sid": "IAMPolicyForAnAliasDeny",
"Effect": "Deny",
"Action": [
"kms:CreateAlias",
"kms:UpdateAlias",
"kms:DeleteAlias"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:alias/Restricted*"
}
```
# Aliase erstellen
Sie können Aliase in der AWS KMS Konsole oder mithilfe von AWS KMS API-Operationen erstellen.
Der Alias muss aus einer Zeichenfolge von 1–256 Zeichen bestehen. Er kann nur alphanumerische Zeichen (A-Z, a-z, 0-9), Bindestriche (-), Schrägstriche (/), Unterstriche (\$1) und Bindestriche (-) enthalten. Der Aliasname für einen [kundenverwalteten Schlüssel](concepts.md#customer-mgn-key) kann nicht mit `alias/aws/`beginnen. Das Präfix `alias/aws/` ist für [Von AWS verwalteter Schlüssel](concepts.md#aws-managed-key) reserviert.
Sie können einen Alias für einen neuen KMS-Schlüssel oder einen vorhandenen KMS-Schlüssel erstellen. Sie können einen Alias hinzufügen, sodass ein bestimmter KMS-Schlüssel in einem Projekt oder einer Anwendung verwendet wird.
Sie können auch eine AWS CloudFormation Vorlage verwenden, um einen Alias für einen KMS-Schlüssel zu erstellen. Weitere Informationen finden Sie unter [AWS::KMS::Alias](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-alias.html) im *AWS CloudFormation -Benutzerhandbuch*.
## Verwenden der AWS KMS Konsole
Wenn Sie [einen KMS-Schlüssel](create-keys.md) in der AWS KMS Konsole erstellen, müssen Sie einen Alias für den neuen KMS-Schlüssel erstellen. Um einen Alias für einen vorhandenen KMS-Schlüssel zu erstellen, verwenden Sie die **Aliasse**-Registerkarte auf der Detailseite für den KMS-Schlüssel.
1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Klicken Sie im Navigationsbereich auf **Kundenverwaltete Schlüssel**. Sie können keine Aliase für oder verwalten. Von AWS verwaltete Schlüssel AWS-eigene Schlüssel
1. Wählen Sie in der Tabelle die Schlüssel-ID oder den Alias des KMS-Schlüssels. Wählen Sie dann auf der Detailseite für den KMS-Schlüssel die **Aliasse**-Registerkarte.
Wenn ein KMS-Schlüssel über mehrere Aliasse verfügt, zeigt die **Aliasse**-Spalte in der Tabelle einen Alias und eine Aliasübersicht an, z. B. **(\$1*n* mehr)**. Wenn Sie die Aliasübersicht auswählen, gelangen Sie direkt zur **Aliases (Aliasse)**-Registerkarte auf der Seite mit den KMS-Schlüsseldetails.
1. Wählen Sie auf der **Aliasse**-Registerkarte **Create Alarm (Alarm erstellen)**. Geben Sie einen Aliasnamen ein und wählen Sie **Create alias (Alias erstellen)**.
**Wichtig**
Geben Sie keine vertraulichen oder sensiblen Informationen in dieses Feld ein. Dieses Feld kann in CloudTrail Protokollen und anderen Ausgaben im Klartext angezeigt werden.
**Anmerkung**
Fügen Sie das Präfix `alias/` nicht hinzu. Die Konsole fügt es automatisch für Sie hinzu. Wenn Sie `alias/ExampleAlias` eingeben, wird der tatsächliche Aliasname `alias/alias/ExampleAlias` sein.
## Verwenden der API AWS KMS
Verwenden Sie die [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)Operation, um einen Alias zu erstellen. Im Gegensatz zum Erstellen von KMS-Schlüsseln in der Konsole wird bei [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)diesem Vorgang kein Alias für einen neuen KMS-Schlüssel erstellt.
**Wichtig**
Geben Sie keine vertraulichen oder sensiblen Informationen in dieses Feld ein. Dieses Feld kann in CloudTrail Protokollen und anderen Ausgaben im Klartext angezeigt werden.
Sie können die `CreateAlias`-Operation verwenden, um einen Alias für einen neuen KMS-Schlüssel ohne Alias zu erstellen. Sie können auch die `CreateAlias`-Operation verwenden, um einen Alias zu einem vorhandenen KMS-Schlüssel hinzuzufügen oder einen Alias neu zu erstellen, der versehentlich gelöscht wurde.
Bei den AWS KMS API-Vorgängen muss der Aliasname mit beginnen, `alias/` gefolgt von einem Namen, z. B. `alias/ExampleAlias` Ein Alias muss im Konto und der Region eindeutig sein. Verwenden Sie die [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)Operation, um die Aliasnamen zu finden, die bereits verwendet werden. Bei dem Aliasnamen wird zwischen Groß-/Kleinschreibung unterschieden.
Die `TargetKeyId` kann jeder [kundenverwaltete Schlüssel](concepts.md#customer-mgn-key) in der gleichen AWS-Region sein. Verwenden Sie zum Identifizieren des KMS-Schlüssels seine [Schlüssel-ID](concepts.md#key-id-key-id) oder den [Schlüssel-ARN](concepts.md#key-id-key-ARN). Sie können keinen anderen Alias verwenden.
Das folgende Beispiel erstellt den `example-key`-Alias und ordnet ihn dem angegebenen KMS-Schlüssel zu. In diesen Beispielen wird die AWS Command Line Interface (AWS CLI) verwendet. Beispiele in verschiedenen Programmiersprachen finden Sie unter [Verwendung `CreateAlias` mit einem AWS SDK oder CLI](example_kms_CreateAlias_section.md).
```
$ aws kms create-alias \
--alias-name alias/example-key \
--target-key-id 1234abcd-12ab-34cd-56ef-1234567890ab
```
`CreateAlias` gibt keine Ausgabe zurück. Um den neuen Alias anzuzeigen, verwenden Sie die `ListAliases`-Operation. Details hierzu finden Sie unter [Verwenden der API AWS KMS](alias-view.md#alias-view-api).
# Suchen Sie den Aliasnamen und den Alias-ARN für einen KMS-Schlüssel
Aliase erleichtern das Erkennen von KMS-Schlüsseln in der AWS KMS Konsole. Sie können die Aliase für einen KMS-Schlüssel in der AWS KMS Konsole oder mithilfe des [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)Vorgangs anzeigen. Der [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Vorgang, der die Eigenschaften eines KMS-Schlüssels zurückgibt, beinhaltet keine Aliase.
Die folgenden Verfahren zeigen, wie Sie die Aliase, die einem KMS-Schlüssel zugeordnet sind, mithilfe der AWS KMS Konsole und der API anzeigen und AWS KMS identifizieren können. In den AWS KMS API-Beispielen wird das [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) verwendet, Sie können jedoch jede unterstützte Programmiersprache verwenden.
## Verwenden der AWS KMS Konsole
In der AWS KMS Konsole werden die Aliase angezeigt, die dem KMS-Schlüssel zugeordnet sind.
1. Öffnen Sie die AWS KMS Konsole unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Zum Anzeigen der Schlüssel in Ihrem Konto, die Sie erstellen und verwalten, wählen Sie im Navigationsbereich **Customer managed keys (Vom Kunden verwaltete Schlüssel)** aus. **Um die Schlüssel in Ihrem Konto anzuzeigen, das für Sie AWS erstellt und verwaltet wird, wählen AWS Sie im Navigationsbereich die Option Verwaltete Schlüssel aus.**
1. Die Spalte **Aliases (Aliase)** zeigt den Alias für jeden KMS-Schlüssel an. Wenn ein KMS-Schlüssel keinen Alias hat, wird ein Bindestrich (**-**) in der Spalte **Aliases (Aliase)** angezeigt.
Wenn ein KMS-Schlüssel über mehrere Aliase verfügt, enthält die **Aliase**-Spalte auch eine Aliasübersicht, z. B. **(\$1*n* mehr)**. Der folgende KMS-Schlüssel hat beispielsweise zwei Aliase, von denen einer ist `key-test`.
Um den Aliasnamen und den Alias-ARN aller Aliase für den KMS-Schlüssel zu finden, verwenden Sie die **Aliase**-Registerkarte.
+ Um direkt zur Registerkarte **Aliases (Aliase)** zu gelangen, wählen Sie in der Spalte **Aliases (Aliase)** die Aliasübersicht aus (**\$1*n* mehr**). Eine Aliasübersicht wird nur angezeigt, wenn der KMS-Schlüssel mehr als einen Alias hat.
+ Oder wählen Sie den Alias oder die Schlüssel-ID des KMS-Schlüssels aus (wodurch die Detailseite für den KMS-Schlüssel geöffnet wird) und wählen Sie dann die **Aliase**-Registerkarte. Die Registerkarten werden unter dem Abschnitt **General Configuration (allgemeine Konfiguration)** angezeigt.
![\[Kundenverwaltete Schlüssel interface showing a list with one key and options to create or filter keys.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/find-alias-name-1-sm.png)
1. Die **Aliase**-Registerkarte zeigt den Aliasnamen und Alias-ARN aller Aliase für einen KMS-Schlüssel an. Auf dieser Registerkarte können Sie auch Aliase für den KMS-Schlüssel erstellen und löschen.
![\[Aliases tab showing two key aliases with their names and ARNs listed in a table format.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/alias-tab-1.png)
**Von AWS verwaltete Schlüssel**
Sie können den Alias verwenden, um einen zu erkennen Von AWS verwalteter Schlüssel, wie auf dieser **Von AWS verwaltete Schlüssel**Beispielseite gezeigt. Die Aliasse für Von AWS verwaltete Schlüssel haben immer das Format: `aws/`. Der Alias Von AWS verwalteter Schlüssel für Amazon DynamoDB lautet beispielsweise. `aws/dynamodb`
![\[Aliasse auf der Von AWS verwaltete Schlüssel-Seite der AWS KMS -Konsole\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/alias-console-aws-managed-sm.png)
## Verwenden der API AWS KMS
Der [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)Vorgang gibt den Aliasnamen und den Alias-ARN der Aliase im Konto und in der Region zurück. Die Ausgabe umfasst Aliase für Von AWS verwaltete Schlüssel und für vom Kunden verwaltete Schlüssel. Die Aliasse für Von AWS verwaltete Schlüssel haben immer das Format `aws/`, z. B. `aws/dynamodb`.
Die Antwort kann auch Aliase ohne das Feld `TargetKeyId` enthalten. Dabei handelt es sich um vordefinierte Aliase, die AWS zwar erstellt, aber noch keinem KMS-Schlüssel zugeordnet wurden.
```
$ aws kms list-aliases
{
"Aliases": [
{
"AliasName": "alias/access-key",
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key",
"TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"CreationDate": 1516435200.399,
"LastUpdatedDate": 1516435200.399
},
{
"AliasName": "alias/ECC-P521-Sign",
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ECC-P521-Sign",
"TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"CreationDate": 1693622000.704,
"LastUpdatedDate": 1693622000.704
},
{
"AliasName": "alias/ImportedKey",
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ImportedKey",
"TargetKeyId": "1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d",
"CreationDate": 1493622000.704,
"LastUpdatedDate": 1521097200.235
},
{
"AliasName": "alias/finance-project",
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/finance-project",
"TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"CreationDate": 1604958290.014,
"LastUpdatedDate": 1604958290.014
},
{
"AliasName": "alias/aws/dynamodb",
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/dynamodb",
"TargetKeyId": "0987ab65-43cd-21ef-09ab-87654321cdef",
"CreationDate": 1521097200.454,
"LastUpdatedDate": 1521097200.454
},
{
"AliasName": "alias/aws/ebs",
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/ebs",
"TargetKeyId": "abcd1234-09fe-ef90-09fe-ab0987654321",
"CreationDate": 1466518990.200,
"LastUpdatedDate": 1466518990.200
}
]
}
```
Wenn Sie nur die Aliasse auflisten möchten, die einem bestimmten KMS-Schlüssel zugeordnet sind, verwenden Sie den optionalen `KeyId`-Parameter der `ListAliases`-Operation. Der `KeyId`-Parameter übernimmt die [Schlüssel-ID](concepts.md#key-id-key-id) oder den [Schüssel-ARN](concepts.md#key-id-key-ARN) des KMS-Schlüssels.
In diesem Beispiel werden alle Aliase abgerufen, die dem `0987dcba-09fe-87dc-65ba-ab0987654321`KMS-Schlüssel zugeordnet sind
```
$ aws kms list-aliases --key-id 0987dcba-09fe-87dc-65ba-ab0987654321
{
"Aliases": [
{
"AliasName": "alias/access-key",
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key",
"TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"CreationDate": "2018-01-20T15:23:10.194000-07:00",
"LastUpdatedDate": "2018-01-20T15:23:10.194000-07:00"
},
{
"AliasName": "alias/finance-project",
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/finance-project",
"TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"CreationDate": 1604958290.014,
"LastUpdatedDate": 1604958290.014
}
]
}
```
Der `KeyId`-Parameter akzeptiert keine Platzhalterzeichen, aber Sie können die Funktionen Ihrer Programmiersprache verwenden, um die Antwort zu filtern.
Mit dem folgenden AWS CLI Befehl werden beispielsweise nur die Aliase für abgerufen. Von AWS verwaltete Schlüssel
```
$ aws kms list-aliases --query 'Aliases[?starts_with(AliasName, `alias/aws/`)]'
```
Der folgende Befehl ruft nur den `access-key`-Alias ab. Bei dem Aliasnamen wird zwischen Groß- und Kleinschreibung unterschieden.
```
$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/access-key`]'
[
{
"AliasName": "alias/access-key",
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key",
"TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"CreationDate": "2018-01-20T15:23:10.194000-07:00",
"LastUpdatedDate": "2018-01-20T15:23:10.194000-07:00"
}
]
```
# Aliase aktualisieren
Da es sich bei einem Alias um eine unabhängige Ressource handelt, können Sie den KMS-Schlüssel ändern, der einem Alias zugeordnet ist. Wenn der `test-key` Alias beispielsweise einem KMS-Schlüssel zugeordnet ist, können Sie ihn mithilfe des [UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html)Vorgangs einem anderen KMS-Schlüssel zuordnen. Dies ist eine von mehreren Möglichkeiten, [einen KMS-Schlüssel manuell zu drehen](rotate-keys.md), ohne das Schlüsselmaterial zu ändern. Sie können auch einen KMS-Schlüssel aktualisieren, sodass eine Anwendung, die einen bestimmten KMS-Schlüssel für neue Ressourcen verwendet hat, jetzt einen anderen KMS-Schlüssel verwendet.
Sie können einen Alias in der AWS KMS Konsole nicht aktualisieren. Sie können außerdem nicht `UpdateAlias` (oder eine andere Operation) verwenden, einen Aliasnamen zu ändern. Wenn Sie einen Aliasnamen ändern möchten, löschen Sie den aktuellen Alias und erstellen Sie einen neuen Alias für den KMS-Schlüssel.
Wenn Sie einen Alias aktualisieren, müssen der aktuelle KMS-Schlüssel und der neue KMS-Schlüssel vom selben Typ sein (beide symmetrisch oder asymmetrisch oder HMAC). Sie müssen auch die gleiche Schlüsselverwendung haben (`ENCRYPT_DECRYPT` oder `SIGN_VERIFY` oder GENERATE\$1VERIFY\$1MAC). Diese Beschränkung verhindert kryptografische Fehler in Code, der Aliasse verwendet.
Im folgenden Beispiel wird zunächst anhand des [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)Vorgangs gezeigt, dass der `test-key` Alias derzeit dem KMS-Schlüssel zugeordnet ist`1234abcd-12ab-34cd-56ef-1234567890ab`.
```
$ aws kms list-aliases --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"Aliases": [
{
"AliasName": "alias/test-key",
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
"TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"CreationDate": 1593622000.191,
"LastUpdatedDate": 1593622000.191
}
]
}
```
Als Nächstes ändert die `UpdateAlias`-Operation den KMS-Schlüssel, der dem `test-key`-Alias zugeordnet ist, in den KMS-Schlüssel `0987dcba-09fe-87dc-65ba-ab0987654321`. Sie müssen nicht den aktuell zugeordneten KMS-Schlüssel angeben, sondern nur den neuen („Ziel“)-KMS-Schlüssel. Bei dem Aliasnamen wird zwischen Groß-/Kleinschreibung unterschieden.
```
$ aws kms update-alias --alias-name 'alias/test-key' --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
```
Um zu überprüfen, ob der Alias jetzt dem Ziel-KMS-Schlüssel zugeordnet ist, verwenden Sie die `ListAliases`-Operation erneut. Dieser AWS CLI Befehl verwendet den `--query` Parameter, um nur den `test-key` Alias abzurufen. Die `TargetKeyId`- und `LastUpdatedDate`-Felder werden aktualisiert.
```
$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/test-key`]'
[
{
"AliasName": "alias/test-key",
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
"TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"CreationDate": 1593622000.191,
"LastUpdatedDate": 1604958290.154
}
]
```
# Einen Alias löschen
Sie können einen Alias in der AWS KMS Konsole oder mithilfe des [DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html)Vorgangs löschen. Bevor Sie einen Alias löschen, stellen Sie sicher, dass er nicht verwendet wird. Obwohl das Löschen eines Aliasses keinen Einfluss auf den zugeordneten KMS-Schlüssel hat, kann es zu Problemen für jede Anwendung führen, die den Alias verwendet. Wenn Sie einen Alias versehentlich löschen, können Sie einen neuen Alias mit demselben Namen erstellen und diesen mit demselben oder einem anderen KMS-Schlüssel verknüpfen.
Wenn Sie einen KMS-Schlüssel löschen, werden alle Aliasse gelöscht, die diesem KMS-Schlüssel zugeordnet sind.
## Mithilfe der AWS KMS Konsole
Um einen Alias in der AWS KMS Konsole zu löschen, verwenden Sie die Registerkarte **Aliase** auf der Detailseite für den KMS-Schlüssel. Sie können mehrere Aliase für einen KMS-Schlüssel gleichzeitig löschen.
1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Klicken Sie im Navigationsbereich auf **Kundenverwaltete Schlüssel**. Sie können keine Aliase für oder verwalten. Von AWS verwaltete Schlüssel AWS-eigene Schlüssel
1. Wählen Sie in der Tabelle die Schlüssel-ID oder den Alias des KMS-Schlüssels. Wählen Sie dann auf der Detailseite für den KMS-Schlüssel die **Aliasse**-Registerkarte.
Wenn ein KMS-Schlüssel über mehrere Aliasse verfügt, zeigt die **Aliasse**-Spalte in der Tabelle einen Alias und eine Aliasübersicht an, z. B. **(\$1*n* mehr)**. Wenn Sie die Aliasübersicht auswählen, gelangen Sie direkt zur **Aliases (Aliasse)**-Registerkarte auf der Seite mit den KMS-Schlüsseldetails.
1. Aktivieren Sie auf der **Aliasse**-Registerkarte das Kontrollkästchen neben den Aliassen, die Sie löschen möchten. Wählen Sie dann **Löschen** aus.
## Verwenden der API AWS KMS
Verwenden Sie den [DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html)Vorgang, um einen Alias zu löschen. Diese Operation löscht jeweils einen Alias. Beim Aliasnamen wird zwischen Groß-/Kleinschreibung unterschieden und der Aliasname muss mit dem `alias/`-Präfix beginnen.
Der folgenden Befehl löscht beispielsweise den `test-key`-Alias. Dieser Befehl gibt keine Ausgabe zurück.
```
$ aws kms delete-alias --alias-name alias/test-key
```
Verwenden Sie den [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)Vorgang, um zu überprüfen, ob der Alias gelöscht wurde. Der folgende Befehl verwendet den `--query` Parameter in AWS CLI , um nur den `test-key` Alias abzurufen. Die leeren Klammern in der Antwort weisen darauf hin, dass die `ListAliases`-Antwort keinen `test-key`-Alias enthält. Um die Klammern zu entfernen, verwenden Sie den `--output text`-Parameter und -Wert.
```
$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/test-key`]'
[]
```
# Verwenden Sie Aliase, um den Zugriff auf KMS-Schlüssel zu steuern
Verwenden Sie diesen Bedingungsschlüssel, um den Zugriff auf einen KMS-Schlüssel anhand der Aliassen, die dem KMS-Schlüssel zugeordnet sind, zu steuern. Verwenden Sie dazu die ResourceAliases Bedingungsschlüssel [kms: RequestAlias](conditions-kms.md#conditions-kms-request-alias) und [kms:](conditions-kms.md#conditions-kms-resource-aliases). Diese Funktion ist Teil der AWS KMS Unterstützung für die [attributebasierte Zugriffskontrolle](abac.md) (ABAC).
Der `kms:RequestAlias`-Bedingungsschlüssel erlaubt oder verweigert den Zugriff auf einen KMS-Schlüssel basierend auf dem Alias in einer Anforderung. Der `kms:ResourceAliases`-Bedingungsschlüssel erlaubt oder verweigert den Zugriff auf einen KMS-Schlüssel basierend auf dem Alias, der mit dem KMS-Schlüssel verknüpft ist.
Diese Funktionen erlauben es Ihnen nicht, einen KMS-Schlüssel mithilfe eines Aliasses im `resource`-Element einer Richtlinienanweisung zu identifizieren. Wenn ein Alias der Wert eines`resource`-Element ist, gilt die Richtlinie für die Alias-Ressource und nicht für einen KMS-Schlüssel, der mit ihr verknüpft sein könnte.
**Anmerkung**
Es kann bis zu fünf Minuten dauern, bis Tag- und Alias-Änderungen Auswirkungen auf die KMS-Schlüsselautorisierung haben. Letzte Änderungen sind möglicherweise in API-Operationen sichtbar, bevor sie sich auf die Autorisierung auswirken.
Beachten Sie Folgendes, wenn Sie Aliasse verwenden, um den Zugriff auf KMS-Schlüssel zu steuern:
+ Verwenden Sie Aliasse, um beim Zugriff die bewährte Methode der [geringsten Berechtigung](iam-policies-best-practices.md) zu befolgen. Geben Sie IAM-Prinzipalen nur die Berechtigungen, die sie für die KMS-Schlüssel benötigen, die sie verwenden oder verwalten müssen. Verwenden Sie beispielsweise Aliase, um die KMS-Schlüssel zu identifizieren, die für ein Projekt verwendet werden. Geben Sie dann dem Projektteam die Berechtigung, nur KMS-Schlüssel mit den Projekt-Aliassen zu verwenden.
+ Seien Sie vorsichtig, wenn Sie Prinzipalen die `kms:CreateAlias`-, `kms:UpdateAlias`- oder `kms:DeleteAlias`-Berechtigung erteilen, mit denen sie Aliasse hinzufügen, bearbeiten und löschen können. Wenn Sie Aliasse verwenden, um den Zugriff auf KMS-Schlüssel zu steuern, kann das Ändern eines Aliasses Prinzipalen die Berechtigung zur Verwendung von KMS-Schlüsseln erteilen, die andernfalls nicht über die Berechtigung verfügen. Es kann auch den Zugriff auf KMS-Schlüssel verweigern, die andere Prinzipale für ihre Aufträge benötigen.
+ Prüfen Sie die Hauptbenutzer in Ihrer Datenbank AWS-Konto , die derzeit berechtigt sind, Aliase zu verwalten, und passen Sie die Berechtigungen gegebenenfalls an. Schlüsseladministratoren, die nicht über die Berechtigung zum Ändern von Schlüsselrichtlinien oder zum Erstellen von Erteilungen verfügen, können den Zugriff auf KMS-Schlüssel steuern, wenn sie über die Berechtigung zum Verwalten von Aliassen verfügen.
Zum Beispiel enthält die [Standard-Schlüsselrichtlinie für Schlüsseladministratoren](key-policy-default.md#key-policy-default-allow-administrators) der Konsole die `kms:CreateAlias`- `kms:DeleteAlias`- und `kms:UpdateAlias`-Berechtigung. IAM-Richtlinien geben möglicherweise dem Alias Berechtigungen für alle KMS-Schlüssel in Ihrem AWS-Konto. Die [AWSKeyManagementServicePowerUser](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSKeyManagementServicePowerUser)verwaltete Richtlinie ermöglicht es Prinzipalen beispielsweise, Aliase für alle KMS-Schlüssel zu erstellen, zu löschen und aufzulisten, sie jedoch nicht zu aktualisieren.
+ Bevor Sie eine Richtlinie festlegen, die von einem Alias abhängt, überprüfen Sie die Aliase auf den KMS-Schlüsseln in Ihrem. AWS-Konto Stellen Sie sicher, dass Ihre Richtlinie nur für die Aliase gilt, die Sie einschließen möchten. Verwenden Sie [CloudTrail Protokolle](alias-ct.md) und [CloudWatch Alarme](monitoring-cloudwatch.md), um Sie vor Aliasänderungen zu warnen, die sich auf den Zugriff auf Ihre KMS-Schlüssel auswirken könnten. Außerdem enthält die [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)Antwort das Erstellungsdatum und das Datum der letzten Aktualisierung für jeden Alias.
+ Die Alias-Richtlinienbedingungen verwenden Musterabgleich; sie sind nicht an eine bestimmte Instance eines Aliasses gebunden. Eine Richtlinie, die Alias-basierte Bedingungsschlüssel verwendet, wirkt sich auf alle neuen und vorhandenen Aliasse aus, die dem Muster entsprechen. Wenn Sie einen Alias löschen und neu erstellen, der einer Richtlinienbedingung entspricht, gilt die Bedingung für den neuen Alias, genau wie für den alten Alias.
Der `kms:RequestAlias`-Bedingungsschlüssel basiert auf dem Alias, der explizit in einer Operations-Anforderung angegeben ist. Der `kms:ResourceAliases`-Bedingungsschlüssel hängt von den Aliassen ab, die einem KMS-Schlüssel zugeordnet sind, auch wenn sie nicht in der Anforderung angezeigt werden.
## km: RequestAlias
Erlauben oder verweigern Sie den Zugriff auf einen KMS-Schlüssel basierend auf dem Alias, der den KMS-Schlüssel in einer Anforderung identifiziert. Sie können den RequestAlias Bedingungsschlüssel [kms:](conditions-kms.md#conditions-kms-request-alias) in einer [Schlüsselrichtlinie](key-policies.md) oder IAM-Richtlinie verwenden. Er gilt für Operationen, die einen Alias verwenden, um einen KMS-Schlüssel in einer Anfrage zu identifizieren, nämlich [kryptografische Operationen [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)](kms-cryptography.md#cryptographic-operations), und. [GetPublicKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetPublicKey.html) Es ist nicht gültig für Aliasoperationen wie [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)oder [DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html).
**Wichtig**
Eine `Deny` Richtlinienanweisung mit dieser `kms:RequestAlias` Bedingung wird nicht empfohlen, da Anrufer sie umgehen können, indem sie die [Schlüssel-ID, den [Schlüssel-ARN](concepts.md#key-id-key-ARN)](concepts.md#key-id-key-id) oder einen anderen Alias verwenden, um den KMS-Schlüssel in der Anfrage zu identifizieren. Um den Zugriff auf der Grundlage von Aliasnamen zu verweigern, die einem KMS-Schlüssel zugeordnet sind, verwenden Sie stattdessen den ResourceAliases Bedingungsschlüssel [kms:](conditions-kms.md#conditions-kms-resource-aliases).
Geben Sie im Bedingungsschlüssel einen [Aliasnamen](concepts.md#key-id-alias-name) oder ein Aliasnamen-Muster an. Sie können keinen [Alias-ARN](concepts.md#key-id-alias-ARN) angeben.
Die folgende Schlüsselrichtlinienanweisung erlaubt es beispielsweise Prinzipalen, die angegebenen Operationen auf dem KMS-Schlüssel zu verwenden. Die Berechtigung ist nur wirksam, wenn die Anforderung einen Alias verwendet, der `alpha` enthält, um den KMS-Schlüssel zu identifizieren.
```
{
"Sid": "Key policy using a request alias condition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/alpha-developer"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:RequestAlias": "alias/*alpha*"
}
}
}
```
Die folgende Beispielanforderung von einem autorisierten Prinzipal würde die Bedingung erfüllen. Eine Anforderung, die eine [Schlüssel-ID](concepts.md#key-id-key-id), einen [Schüssel-ARN](concepts.md#key-id-key-ARN) oder einen anderen Alias verwendet, würde die Bedingung nicht erfüllen, selbst wenn diese Werte denselben KMS-Schlüssel identifizieren.
```
$ aws kms describe-key --key-id "arn:aws:kms:us-west-2:111122223333:alias/project-alpha"
```
## km: ResourceAliases
Erlauben oder verweigern Sie den Zugriff auf einen KMS-Schlüssel anhand der Aliasse, die dem KMS-Schlüssel zugeordnet sind, selbst wenn der Alias nicht in einer Anforderung verwendet wird. Mit dem ResourceAliases Bedingungsschlüssel [kms:](conditions-kms.md#conditions-kms-resource-aliases) können Sie einen Alias oder ein Aliasmuster angeben, z. B.`alias/test*`, sodass Sie es in einer IAM-Richtlinie verwenden können, um den Zugriff auf mehrere KMS-Schlüssel in derselben Region zu steuern. Er ist für jeden AWS KMS Vorgang gültig, der einen KMS-Schlüssel verwendet.
Die folgende IAM-Richtlinie ermöglicht es den Prinzipalen beispielsweise, die angegebenen Operationen für die KMS-Schlüssel in zwei Schritten aufzurufen. AWS-Konten Die Berechtigung gilt jedoch nur für KMS-Schlüssel, die Aliassen zugeordnet sind, die mit `restricted` beginnen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AliasBasedIAMPolicy",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:*:111122223333:key/*",
"arn:aws:kms:*:444455556666:key/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"kms:ResourceAliases": "alias/restricted*"
}
}
}
]
}
```
------
Die `kms:ResourceAliases`-Bedingung ist eine Bedingung der Ressource, nicht die Anforderung. Daher kann eine Anforderung, die den Alias nicht angibt, weiterhin die Bedingung erfüllen.
Die folgende Beispielanforderung, die einen übereinstimmenden Alias angibt, erfüllt die Bedingung.
```
$ aws kms enable-key-rotation --key-id "alias/restricted-project"
```
Die folgende Beispielanforderung erfüllt jedoch auch die Bedingung, vorausgesetzt, dass der angegebene KMS-Schlüssel über einen Alias verfügt, der mit `restricted` beginnt, auch wenn dieser Alias nicht in der Anforderung verwendet wird.
```
$ aws kms enable-key-rotation --key-id "1234abcd-12ab-34cd-56ef-1234567890ab"
```
# Erfahren Sie, wie Sie Aliase in Ihren Anwendungen verwenden
Sie können einen Alias verwenden, um einen KMS-Schlüssel im Anwendungscode darzustellen. Der `KeyId` Parameter in AWS KMS [kryptografischen Operationen [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)](kms-cryptography.md#cryptographic-operations), und [GetPublicKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetPublicKey.html)akzeptiert einen Aliasnamen oder Alias-ARN.
Der folgende `GenerateDataKey`-Befehl verwendet beispielsweise einen Aliasnamen (`alias/finance`), um einen KMS-Schlüssel zu identifizieren. Der Aliasname ist der Wert des `KeyId`-Parameters.
```
$ aws kms generate-data-key --key-id alias/finance --key-spec AES_256
```
Wenn sich der KMS-Schlüssel in einem anderen befindet AWS-Konto, müssen Sie bei diesen Vorgängen einen Schlüssel-ARN oder Alias-ARN verwenden. Beachten Sie bei der Verwendung eines Alias-ARN, dass der Alias für einen KMS-Schlüssel in dem Konto definiert ist, das den KMS-Schlüssel besitzt und sich in jeder Region unterscheiden kann. Hilfestellung beim Suchen des Alias-ARN finden Sie unter [Suchen Sie den Aliasnamen und den Alias-ARN für einen KMS-Schlüssel](alias-view.md).
Der folgende `GenerateDataKey`-Befehl verwendet beispielsweise einen KMS-Schlüssel, der sich nicht im Konto des Anrufers befindet. Der `ExampleAlias`-Alias ist dem KMS-Schlüssel im angegebenen Konto und in der Region zugeordnet.
```
$ aws kms generate-data-key --key-id arn:aws:kms:us-west-2:444455556666:alias/ExampleAlias --key-spec AES_256
```
Eine der mächtigsten Verwendungen von Aliasen ist in Anwendungen, die in mehreren AWS-Regionen ausgeführt werden. Beispielsweise könnten Sie über eine globale Anwendung verfügen, die eine RSA [asymmetrischen KMS-Schlüssel](symmetric-asymmetric.md) zur Signatur und Verifizierung verwendet.
+ In USA West (Oregon) (us-west-2) sollten Sie `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab` verwenden.
+ In Europa (Frankfurt) (eu-central-1) sollten Sie `arn:aws:kms:eu-central-1:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321` verwenden.
+ In Asien-Pazifik (Singapur) (ap-southeast-1) sollten Sie `arn:aws:kms:ap-southeast-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d` verwenden.
Sie können in jeder Region eine andere Version Ihrer Anwendung erstellen oder ein Wörterbuch oder eine Switch-Anweisung verwenden, um den richtigen KMS-Schlüssel für jede Region auszuwählen. Es ist jedoch viel einfacher, in jeder Region einen Alias mit demselben Aliasnamen zu erstellen. Bei dem Aliasnamen wird zwischen Groß-/Kleinschreibung unterschieden.
```
aws --region us-west-2 kms create-alias \
--alias-name alias/new-app \
--key-id arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
aws --region eu-central-1 kms create-alias \
--alias-name alias/new-app \
--key-id arn:aws:kms:eu-central-1:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321
aws --region ap-southeast-1 kms create-alias \
--alias-name alias/new-app \
--key-id arn:aws:kms:ap-southeast-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d
```
Verwenden Sie dann den Alias in Ihrem Code. Wenn Ihr Code in jeder Region ausgeführt wird, verweist der Alias auf den zugehörigen KMS-Schlüssel in dieser Region. Beispielsweise ruft dieser Code die [Sign](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html)-Operation mit einem Aliasnamen auf.
```
aws kms sign --key-id alias/new-app \
--message $message \
--message-type RAW \
--signing-algorithm RSASSA_PSS_SHA_384
```
Es besteht jedoch das Risiko, dass der Alias gelöscht oder aktualisiert wird, um einem anderen KMS-Schlüssel zugeordnet zu werden. In diesem Fall schlagen die Versuche der Anwendung, Signaturen mit dem Aliasnamen zu überprüfen, fehl, und Sie müssen den Alias möglicherweise neu erstellen oder aktualisieren.
Um dieses Risiko zu verringern, sollten Sie den Prinzipalen die Berechtigung geben, die Aliase zu verwalten, die Sie in Ihrer Anwendung verwenden. Details hierzu finden Sie unter [Steuern des Zugriffs auf Aliasse](alias-access.md).
Es gibt mehrere andere Lösungen für Anwendungen, die Daten in mehreren AWS-Regionen verschlüsseln, einschließlich des [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/).
# Suchen Sie nach Aliasen in Protokollen AWS CloudTrail
Sie können einen Alias verwenden, um einen AWS KMS key in einer AWS KMS API-Operation darzustellen. Wenn Sie dies tun, werden der Alias und der Schlüssel-ARN des KMS-Schlüssels im AWS CloudTrail Protokolleintrag für das Ereignis aufgezeichnet. Der Alias erscheint im `requestParameters`-Feld. Der Schlüssel-ARN erscheint im `resources`-Feld. Dies gilt auch dann, wenn ein AWS Dienst eine Von AWS verwalteter Schlüssel in Ihrem Konto verwendet.
In der folgenden [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)Anfrage wird beispielsweise der `project-key` Alias verwendet, um einen KMS-Schlüssel darzustellen.
```
$ aws kms generate-data-key --key-id alias/project-key --key-spec AES_256
```
Wenn diese Anforderung im CloudTrail Protokoll aufgezeichnet wird, enthält der Protokolleintrag sowohl den Alias als auch den Schlüssel-ARN des tatsächlich verwendeten KMS-Schlüssels.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "ABCDE",
"arn": "arn:aws:iam::111122223333:role/ProjectDev",
"accountId": "111122223333",
"accessKeyId": "FFHIJ",
"userName": "example-dev"
},
"eventTime": "2020-06-29T23:36:41Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "205.205.123.000",
"userAgent": "aws-cli/1.18.89 Python/3.6.10 Linux/4.9.217-0.1.ac.205.84.332.metal1.x86_64 botocore/1.17.12",
"requestParameters": {
"keyId": "alias/project-key",
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "d93f57f5-d4c5-4bab-8139-5a1f7824a363",
"eventID": "d63001e2-dbc6-4aae-90cb-e5370aca7125",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
Einzelheiten zur Protokollierung von AWS KMS Vorgängen in CloudTrail Protokollen finden Sie unter[AWS KMS API-Aufrufe protokollieren mit AWS CloudTrail](logging-using-cloudtrail.md).