Utilisation d'alias dans vos applications - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation d'alias dans vos applications

Vous pouvez utiliser un alias pour représenter une KMS clé dans le code de votre application. Le KeyId paramètre dans AWS KMS opérations cryptographiques DescribeKey, et GetPublicKeyaccepte un nom d'alias ou un aliasARN.

Par exemple, la GenerateDataKey commande suivante utilise un nom d'alias (alias/finance) pour identifier une KMS clé. Le nom de l'alias est la valeur du paramètre KeyId. 

$ aws kms generate-data-key --key-id alias/finance --key-spec AES_256

Si la KMS clé se trouve dans une autre Compte AWS, vous devez utiliser une clé ARN ou un alias ARN dans ces opérations. Lorsque vous utilisez un aliasARN, n'oubliez pas que l'alias d'une KMS clé est défini dans le compte propriétaire de la KMS clé et qu'il peut différer d'une région à l'autre. Pour obtenir de l'aide pour trouver l'aliasARN, consultezRecherche du nom d'alias et de l'alias ARN.

Par exemple, la GenerateDataKey commande suivante utilise une KMS clé qui ne se trouve pas dans le compte de l'appelant. L'ExampleAliasalias est associé à la KMS clé dans le compte et la région spécifiés.

$ aws kms generate-data-key --key-id arn:aws:kms:us-west-2:444455556666:alias/ExampleAlias --key-spec AES_256

L'une des utilisations les plus puissantes des alias concerne les applications qui s'exécutent en plusieurs Régions AWS. Par exemple, vous pouvez avoir une application globale qui utilise une KMSclé RSA asymétrique pour la signature et la vérification.

  • Dans la région USA Ouest (Oregon) (us-west-2), vous souhaitez utiliser arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  • En Europe (Francfort) (eu-central-1), vous souhaitez utiliser arn:aws:kms:eu-central-1:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321.

  • Dans la région Asie-Pacifique (Singapour) (ap-southeast-1), vous souhaitez utiliser arn:aws:kms:ap-southeast-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d.

Vous pouvez créer une version différente de votre application dans chaque région ou utiliser un dictionnaire ou une instruction switch pour sélectionner la bonne KMS clé pour chaque région. Toutefois, il est beaucoup plus facile de créer un alias avec le même nom d'alias dans chaque région. Rappelez-vous que ne nom de l'alias est sensible à la casse.

aws --region us-west-2 kms create-alias \
    --alias-name alias/new-app \
    --key-id arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

aws --region eu-central-1 kms create-alias \
    --alias-name alias/new-app \
    --key-id arn:aws:kms:eu-central-1:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321

aws --region ap-southeast-1 kms create-alias \
    --alias-name alias/new-app \
    --key-id arn:aws:kms:ap-southeast-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d

Ensuite, utilisez l'alias dans votre code. Lorsque votre code s'exécute dans chaque région, l'alias fait référence à la KMS clé associée dans cette région. Par exemple, ce code appelle l'opération Sign avec un nom d'alias.

aws kms sign --key-id alias/new-app \
    --message $message \
    --message-type RAW \
    --signing-algorithm RSASSA_PSS_SHA_384

Cependant, il existe un risque que l'alias soit supprimé ou mis à jour pour être associé à une autre KMS clé. Dans ce cas, les tentatives de l'application pour vérifier les signatures à l'aide du nom d'alias échouent et vous devrez peut-être recréer ou mettre à jour l'alias.

Pour atténuer ce risque, soyez prudent lorsque vous autorisez les principaux à gérer les alias que vous utilisez dans votre application. Pour plus de détails, consultez Contrôle de l'accès aux alias.

Il existe plusieurs autres solutions pour les applications qui cryptent des données en plusieurs Régions AWS, y compris AWS Encryption SDK.