Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Alias en AWS KMS
Un alias es un nombre fácil de recordar para un AWS KMS key. Por ejemplo, un alias permite hacer referencia a una KMS clave como test-key en lugar de1234abcd-12ab-34cd-56ef-1234567890ab.
Puede usar un alias para identificar una KMS clave en la AWS KMS consola, en la DescribeKeyoperación y en las operaciones criptográficas, como Encrypt y. GenerateDataKey Los alias también facilitan el reconocimiento de un Clave administrada de AWS. Los alias de estas KMS claves siempre tienen la forma. aws/ Por ejemplo, el alias de Amazon <service-name>aws/dynamodb DynamoDB es. Clave administrada de AWS Puede establecer estándares de alias similares para sus proyectos, como anteponer los alias con el nombre de un proyecto o categoría.
También puede permitir y denegar el acceso a KMS las claves en función de sus alias sin necesidad de editar las políticas ni gestionar las concesiones. Esta función forma parte de la AWS KMS compatibilidad con el control de acceso basado en atributos (). ABAC Para obtener más información, consulte Utilice alias para controlar el acceso a las claves KMS.
Gran parte del poder de los alias proviene de la posibilidad de cambiar la KMS clave asociada a un alias en cualquier momento. Los alias pueden hacer que su código sea más fácil de escribir y mantener. Por ejemplo, supongamos que utiliza un alias para hacer referencia a una KMS clave concreta y desea cambiarlaKMS. En ese caso, simplemente asocie el alias a una KMS clave diferente. No es necesario realizar cambios en el código.
Los alias también facilitan la reutilización del mismo código en diferentes Regiones de AWS. Cree alias con el mismo nombre en varias regiones y asocie cada alias a una KMS clave de su región. Cuando el código se ejecuta en cada región, el alias hace referencia a la KMS clave asociada en esa región. Para ver un ejemplo, consulta Obtenga información sobre cómo utilizar alias en las aplicaciones.
Puede crear un alias para una KMS clave en la AWS KMS consola mediante la CreateAliasAPIplantilla::: :Alias o la AWS CloudFormation plantillaAWS::KMS: Alias.
AWS KMS APIProporciona un control total de los alias de cada cuenta y región. APIIncluye operaciones para crear un alias (CreateAlias), ver los nombres de los alias y los alias ARNs (ListAliases), cambiar la KMS clave asociada a un alias (UpdateAlias) y eliminar un alias (DeleteAlias).
Cómo funcionan los alias
Obtenga información sobre cómo funcionan los alias en AWS KMS.
- Un alias es un AWS recurso independiente
-
Un alias no es una propiedad de una KMS clave. Las acciones que realices con el alias no afectan a la KMS clave asociada. Puedes crear un alias para una KMS clave y, a continuación, actualizarlo para que se asocie a una KMS clave diferente. Incluso puedes eliminar el alias sin que ello afecte a la KMS clave asociada. Sin embargo, si elimina una KMS clave, se eliminan todos los alias asociados a esa KMS clave.
Si especifica un alias como recurso en una IAM política, la política se refiere al alias, no a la KMS clave asociada.
- Cada alias tiene dos formatos
-
Al crear un alias, se especifica el nombre del alias. AWS KMS crea el alias ARN automáticamente.
-
Un alias ARN es un nombre de recurso de Amazon (ARN) que lo identifica de forma exclusiva.
# Alias ARN arn:aws:kms:us-west-2:111122223333:alias/<alias-name> -
El nombre de alias debe ser único en la cuenta y la región. En el AWS KMS API, el nombre del alias siempre lleva el prefijo.
alias/Este prefijo se omite en la consola. AWS KMS# Alias name alias/<alias-name>
-
- Los alias no son secretos
-
Los alias pueden mostrarse en texto plano en los CloudTrail registros y otros resultados. No incluya información confidencial en el nombre del alias.
- Cada alias está asociado a una KMS clave a la vez
-
El alias y su KMS clave deben estar en la misma cuenta y región.
Puede asociar un alias a cualquier clave gestionada por el cliente de la misma Cuenta de AWS región. Sin embargo, no tiene permiso para asociar un alias con una Clave administrada de AWS.
Por ejemplo, este ListAliasesresultado muestra que el
test-keyalias está asociado exactamente a una KMS clave de destino, que se representa mediante laTargetKeyIdpropiedad.{ "AliasName": "alias/test-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1593622000.191, "LastUpdatedDate": 1593622000.191 } - Se pueden asociar varios alias a la misma clave KMS
-
Por ejemplo, puede asociar los
project-keyaliastest-keyy a la misma KMS clave.{ "AliasName": "alias/test-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1593622000.191, "LastUpdatedDate": 1593622000.191 }, { "AliasName": "alias/project-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/project-key", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1516435200.399, "LastUpdatedDate": 1516435200.399 } - El alias debe ser único en la cuenta y región.
-
Por ejemplo, solo puede tener un alias
test-keyen cada cuenta y región. Los alias distinguen entre mayúsculas y minúsculas, pero los alias que solo difieren en sus mayúsculas son muy propensos a errores. No puede cambiar un nombre de alias. Sin embargo, puede eliminar el alias y crear un nuevo alias con el nombre deseado. - Puede crear alias con el mismo nombre en diferentes regiones
-
Por ejemplo, puede tener un alias
finance-keyen EE. UU. Este (Norte de Virginia) y un aliasfinance-keyen Europa (Fráncfort). Cada alias estaría asociado a una KMS clave de su región. Si su código se refiere a un nombre de alias comoalias/finance-key, puede ejecutarlo en varias regiones. En cada región, utiliza una KMS clave diferente. Para obtener más información, consulte Obtenga información sobre cómo utilizar alias en las aplicaciones. - Puede cambiar la KMS clave asociada a un alias
-
Puede utilizar la UpdateAliasoperación para asociar un alias a una KMS clave diferente. Por ejemplo, si el
finance-keyalias está asociado a la1234abcd-12ab-34cd-56ef-1234567890abKMS clave, puede actualizarlo para que esté asociado a la0987dcba-09fe-87dc-65ba-ab0987654321KMS clave.Sin embargo, la KMS clave actual y la nueva deben ser del mismo tipo (ambas simétricas, asimétricas o ambasHMAC) y deben tener el mismo uso de clave (ENCRYPT_ DECRYPT o _ VERIFY o SIGN _ GENERATE VERIFY _MAC). Esta restricción evita errores en el código que utiliza alias. Si debe asociar un alias a otro tipo de clave y ha mitigado los riesgos, puede eliminar el alias y volver a crearlo.
- Algunas KMS claves no tienen alias
-
Al crear una KMS clave en la AWS KMS consola, debe asignarle un nuevo alias. Sin embargo, no se requiere un alias cuando se utiliza la CreateKeyoperación para crear una KMS clave. Además, puede utilizar la UpdateAliasoperación para cambiar la KMS clave asociada a un alias y la DeleteAliasoperación para eliminar un alias. Como resultado, es posible que algunas KMS claves tengan varios alias y que otras no tengan ninguno.
- AWS crea alias en tu cuenta
-
AWS crea alias en tu cuenta para. Claves administradas por AWS Estos alias tienen nombres del formulario
alias/aws/, como, por ejemplo,<service-name>alias/aws/s3.Algunos AWS alias no KMS tienen clave. Estos alias predefinidos suelen estar asociados a un Clave administrada de AWS cuando se empieza a utilizar el servicio.
- Utilice alias para identificar las claves KMS
-
Puede utilizar un alias o un alias ARN para identificar una KMS clave en las operaciones criptográficas DescribeKey, y. GetPublicKey (Si la KMSclave está en otro lugar Cuenta de AWS, debe usar su clave ARN o alias)ARN. Los alias no son identificadores válidos para KMS las claves de otras AWS KMS operaciones. Para obtener información sobre los identificadores clave válidos para cada AWS KMS API operación, consulte las descripciones de los
KeyIdparámetros en la Referencia.AWS Key Management Service APINo puede utilizar un alias o un alias ARN para identificar una KMS clave en una IAM política. Para controlar el acceso a una KMS clave en función de sus alias, utilice las claves ResourceAliasescondicionales kms: RequestAlias o kms:. Para obtener más información, consulte ABAC para AWS KMS.
