Obtenga información sobre cómo utilizar alias en las aplicaciones

Puedes usar un alias para representar una KMS clave en el código de tu aplicación. El KeyId parámetro en las operaciones AWS KMS criptográficas y GetPublicKeyacepta un nombre o aliasARN. DescribeKey

Por ejemplo, el GenerateDataKey comando siguiente usa un nombre de alias (alias/finance) para identificar una KMS clave. El nombre del alias es el valor del parámetro KeyId.


$ aws kms generate-data-key --key-id alias/finance --key-spec AES_256

Si la KMS clave está en otro nombre Cuenta de AWS, debe usar una clave ARN o un alias ARN en estas operaciones. Cuando utilice un aliasARN, recuerde que el alias de una KMS clave se define en la cuenta propietaria de la KMS clave y puede diferir en cada región. Si necesita ayuda para encontrar el aliasARN, consulteBusque el nombre del alias y el alias ARN de una KMS clave.

Por ejemplo, el siguiente GenerateDataKey comando usa una KMS clave que no está en la cuenta de la persona que llama. El ExampleAlias alias está asociado a la KMS clave de la cuenta y la región especificadas.


$ aws kms generate-data-key --key-id arn:aws:kms:us-west-2:444455556666:alias/ExampleAlias --key-spec AES_256

Uno de los usos más potentes de los alias es en aplicaciones que se ejecutan en múltiples Regiones de AWS. Por ejemplo, puede que tengas una aplicación global que utilice una KMSclave RSA asimétrica para la firma y la verificación.

En EE.UU. Oeste (Oregón) (us-west-2), desea usar arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.
En Europa (Fráncfort) (eu-central-1), desea usar arn:aws:kms:eu-central-1:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321
En Asia Pacífico (Singapur) (ap-southeast-1), desea usar arn:aws:kms:ap-southeast-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d.

Puede crear una versión diferente de la aplicación en cada región o utilizar un diccionario o una sentencia de cambio para seleccionar la KMS clave correcta para cada región. Pero es mucho más fácil crear un alias con el mismo nombre de alias en cada región. El nombre del alias distingue entre mayúsculas y minúsculas.


aws --region us-west-2 kms create-alias \
    --alias-name alias/new-app \
    --key-id arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

aws --region eu-central-1 kms create-alias \
    --alias-name alias/new-app \
    --key-id arn:aws:kms:eu-central-1:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321

aws --region ap-southeast-1 kms create-alias \
    --alias-name alias/new-app \
    --key-id arn:aws:kms:ap-southeast-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d

A continuación, usa el alias en tu código. Cuando el código se ejecute en cada región, el alias hará referencia a la KMS clave asociada en esa región. Por ejemplo, este código llama a la operación Sign (Firmar) con un nombre de alias.


aws kms sign --key-id alias/new-app \
    --message $message \
    --message-type RAW \
    --signing-algorithm RSASSA_PSS_SHA_384

Sin embargo, existe el riesgo de que el alias se elimine o actualice para asociarlo a una KMS clave diferente. En ese caso, los intentos de la aplicación de verificar firmas utilizando el nombre de alias fallarán y es posible que deba volver a crearlo o actualizarlo.

Para mitigar este riesgo, tenga cuidado al conceder permiso a las entidades principales para administrar los alias que utiliza en la aplicación. Para obtener más información, consulte Control del acceso a alias.

Hay varias otras soluciones para aplicaciones que cifran datos en múltiples Regiones de AWS, incluido el AWS Encryption SDK.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Utilice alias para controlar el acceso a las claves KMS

Busca alias en los registros AWS CloudTrail