Alias en AWS KMS - AWS Key Management Service
Funcionamiento de los alias

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Alias en AWS KMS

Un alias es un nombre fácil de recordar para un AWS KMS key. Por ejemplo, un alias le permite referirse a una clave KMS como test-key en lugar de 1234abcd-12ab-34cd-56ef-1234567890ab.

Puede usar un alias para identificar una clave KMS en la AWS KMS consola, en la DescribeKeyoperación y en las operaciones criptográficas, como Encrypt y. GenerateDataKey Los alias también facilitan el reconocimiento de un Clave administrada de AWS. Los alias de estas claves KMS siempre tienen la forma aws/<service-name>. Por ejemplo, el alias de Amazon aws/dynamodb DynamoDB es. Clave administrada de AWS Puede establecer estándares de alias similares para sus proyectos, como anteponer los alias con el nombre de un proyecto o categoría.

También puede permitir y denegar el acceso a claves KMS en función de sus alias sin editar políticas ni administrar concesiones. Esta función forma parte de la AWS KMS compatibilidad con el control de acceso basado en atributos (ABAC). Para obtener más información, consulte Uso de alias para controlar el acceso a las claves KMS.

Gran parte de la potencia de los alias proviene de su capacidad de cambiar la clave KMS asociada a un alias en cualquier momento. Los alias pueden hacer que su código sea más fácil de escribir y mantener. Por ejemplo, supongamos que utiliza un alias para hacer referencia a una clave KMS concreta y desea cambiar la clave KMS. En ese caso, simplemente asocie el alias con una clave KMS diferente. No es necesario realizar cambios en el código.

Los alias también facilitan la reutilización del mismo código en diferentes Regiones de AWS. Cree alias con el mismo nombre en varias regiones y asocie cada alias a una clave KMS en su región. Cuando el código se ejecuta en cada región, el alias hace referencia a la clave KMS asociada en esa región. Para ver un ejemplo, consulta Obtención de información sobre cómo utilizar alias en las aplicaciones.

Puede crear un alias para una clave de KMS en la AWS KMS consola, mediante la CreateAliasAPI o mediante la plantilla. AWS::KMS::Alias AWS CloudFormation

La AWS KMS API proporciona un control total de los alias de cada cuenta y región. La API incluye operaciones para crear un alias (CreateAlias), ver los nombres de los alias y los alias ARNs (ListAliases), cambiar la clave de KMS asociada a un alias (UpdateAlias) y eliminar un alias (DeleteAlias).

Funcionamiento de los alias

Obtenga información sobre cómo funcionan los alias en AWS KMS.

Un alias es un AWS recurso independiente

Un alias no es propiedad de una clave KMS. Las acciones que realice en el alias no afectan a su clave KMS asociada. Puede crear un alias para una clave KMS y, a continuación, actualizar el alias para que esté asociado a una clave KMS diferente. Incluso puede eliminar el alias sin ningún efecto en la clave KMS asociada. Sin embargo, si elimina una clave KMS, se eliminan todos los alias asociados a esa clave KMS.

Si especifica un alias como recurso en una política de IAM, la política hace referencia al alias, no a la clave KMS asociada.

Cada alias tiene dos formatos

Al crear un alias, se especifica el nombre del alias. AWS KMS crea el alias ARN por usted.

  • Un ARN de alias es un nombre de recurso de Amazon (ARN) que identifica de forma exclusiva el alias. 

    # Alias ARN
arn:aws:kms:us-west-2:111122223333:alias/<alias-name>

  • El nombre de alias debe ser único en la cuenta y la región. En la AWS KMS API, el nombre del alias siempre lleva el prefijo. alias/ Este prefijo se omite en la consola. AWS KMS 

    # Alias name
alias/<alias-name>
Los alias no son secretos

Los alias pueden mostrarse en texto plano en los CloudTrail registros y otros resultados. No incluya información confidencial en el nombre del alias.

Cada alias está asociado a una clave KMS a la vez

El alias y la clave KMS deben estar en la misma cuenta y región.

Puede asociar un alias a cualquier clave gestionada por el cliente en la misma región Cuenta de AWS . Sin embargo, no tiene permiso para asociar un alias con una Clave administrada de AWS.

Por ejemplo, este ListAliasesresultado muestra que el test-key alias está asociado exactamente a una clave de KMS de destino, que se representa mediante la TargetKeyId propiedad.

{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
}
Se pueden asociar varios alias con la misma clave KMS

Por ejemplo, puede asociar los alias test-key y project-key con la misma clave KMS.

{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
},
{
     "AliasName": "alias/project-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/project-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1516435200.399,
     "LastUpdatedDate": 1516435200.399
}
El alias debe ser único en la cuenta y región.

Por ejemplo, solo puede tener un alias test-key en cada cuenta y región. Los alias distinguen entre mayúsculas y minúsculas, pero los alias que solo difieren en sus mayúsculas son muy propensos a errores. No puede cambiar un nombre de alias. Sin embargo, puede eliminar el alias y crear un nuevo alias con el nombre deseado.

Puede crear alias con el mismo nombre en diferentes regiones

Por ejemplo, puede tener un alias finance-key en EE. UU. Este (Norte de Virginia) y un alias finance-key en Europa (Fráncfort). Cada alias se asociaría a una clave KMS en su región. Si su código se refiere a un nombre de alias como alias/finance-key, puede ejecutarlo en varias regiones. En cada región, utiliza una clave KMS diferente. Para obtener más información, consulte Obtención de información sobre cómo utilizar alias en las aplicaciones.

Puede cambiar la clave KMS asociada a un alias

Puede utilizar la UpdateAliasoperación para asociar un alias a una clave de KMS diferente. Por ejemplo, si el alias finance-key está asociado con la clave KMS 1234abcd-12ab-34cd-56ef-1234567890ab, puede actualizarla para que esté asociada con la clave KMS 0987dcba-09fe-87dc-65ba-ab0987654321.

Sin embargo, la clave de KMS actual y la nueva deben ser del mismo tipo (ambas simétricas o ambas asimétricas o ambas HMAC) y deben tener el mismo uso de clave (ENCRYPT_DECRYPT o SIGN_VERIFY o GENERATE_VERIFY_MAC). Esta restricción evita errores en el código que utiliza alias. Si debe asociar un alias a otro tipo de clave y ha mitigado los riesgos, puede eliminar el alias y volver a crearlo.

Algunas claves KMS no tienen alias

Al crear una clave KMS en la AWS KMS consola, debe asignarle un nuevo alias. Sin embargo, no se requiere un alias cuando se utiliza la CreateKeyoperación para crear una clave de KMS. Además, puede utilizar la UpdateAliasoperación para cambiar la clave de KMS asociada a un alias y la DeleteAliasoperación para eliminar un alias. Como resultado, algunas claves KMS pueden tener varios alias, y algunas podrían tener ninguno.

AWS crea alias en tu cuenta

AWS crea alias en tu cuenta para. Claves administradas por AWS Estos alias tienen nombres del formulario alias/aws/<service-name>, como, por ejemplo, alias/aws/s3.

Algunos AWS alias no tienen clave KMS. Estos alias predefinidos suelen estar asociados a un Clave administrada de AWS cuando se empieza a utilizar el servicio.

Usar alias para identificar claves KMS

Puede usar un nombre de alias o un ARN de alias para identificar una clave de KMS en las operaciones criptográficas, y DescribeKey. GetPublicKey (Si la clave KMS está en una Cuenta de AWS diferente, debe usar su ARN de clave o ARN de alias). Los alias no son identificadores válidos para las claves KMS en otras operaciones de AWS KMS . Para obtener información sobre los identificadores clave válidos para cada operación de la AWS KMS API, consulte las descripciones de los KeyId parámetros en la referencia de la AWS Key Management Service API.

No puede utilizar un nombre de alias ni un ARN de alias para identificar una clave KMS en una política de IAM. Para controlar el acceso a una clave KMS en función de sus alias, usa las claves ResourceAliasescondicionales kms: RequestAlias o kms:. Para obtener más información, consulte ABAC para AWS KMS.