Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Alias dans AWS KMS

PDF
RSS
Mode de mise au point
Alias dans AWS KMS - AWS Key Management Service
Comment fonctionnent les alias

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Un alias est un nom convivial pour une AWS KMS key. Par exemple, un alias vous permet de faire référence à une clé KMS en tant que test-key au lieu de 1234abcd-12ab-34cd-56ef-1234567890ab.

Vous pouvez utiliser un alias pour identifier une clé KMS dans la AWS KMS console, dans l'DescribeKeyopération et dans les opérations cryptographiques, telles que Encrypt et. GenerateDataKey Les alias facilitent également la reconnaissance d'une Clé gérée par AWS. Les alias de ces clés KMS sont toujours au format aws/<service-name>. Par exemple, l'alias Clé gérée par AWS pour Amazon aws/dynamodb DynamoDB est. Vous pouvez établir des normes d'alias similaires pour vos projets, par exemple préfacer vos alias avec le nom d'un projet ou d'une catégorie.

Vous pouvez également autoriser et refuser l'accès aux clés KMS en fonction de leurs alias sans modifier les politiques ni gérer les octrois. Cette fonctionnalité fait partie de la AWS KMS prise en charge du contrôle d'accès basé sur les attributs (ABAC). Pour plus de détails, consultez Utiliser des alias pour contrôler l'accès aux clés KMS.

Une grande partie des performances des alias provient de votre capacité à modifier la clé KMS associée à un alias à tout moment. Les alias peuvent faciliter l'écriture et la maintenance de votre code. Par exemple, supposons que vous utilisiez un alias pour faire référence à une clé KMS particulière et que vous souhaitiez modifier la clé KMS. Dans ce cas, il suffit d'associer l'alias à une autre clé KMS. Vous n'avez pas besoin d'apporter de modifications à votre code.

Les alias facilitent également la réutilisation du même code dans différentes Régions AWS. Créez des alias portant le même nom dans plusieurs régions et associez chaque alias à une clé KMS dans sa région. Lorsque le code s'exécute dans chaque région, l'alias fait référence à la clé KMS associée dans cette région. Pour obtenir un exemple, consultez Apprenez à utiliser des alias dans vos applications.

Vous pouvez créer un alias pour une clé KMS dans la AWS KMS console, à l'aide de l'CreateAliasAPI ou du AWS::KMS::Alias AWS CloudFormation modèle.

L' AWS KMS API fournit un contrôle total des alias dans chaque compte et région. L'API inclut des opérations permettant de créer un alias (CreateAlias), d'afficher les noms d'alias et d'alias ARNs (ListAliases), de modifier la clé KMS associée à un alias (UpdateAlias) et de supprimer un alias (DeleteAlias).

Comment fonctionnent les alias

Découvrez comment les alias fonctionnent dans AWS KMS.

Un alias est une AWS ressource indépendante

Un alias n'est pas une propriété d'une clé KMS. Les actions que vous effectuez sur l'alias n'affectent pas sa clé KMS associée. Vous pouvez créer un alias pour une clé KMS, puis mettre à jour l'alias afin qu'il soit associé à une autre clé KMS. Vous pouvez même supprimer l'alias sans aucun effet sur la clé KMS associée. Toutefois, si vous supprimez une clé KMS, tous les alias associés à cette clé KMS sont supprimés.

Si vous spécifiez un alias comme ressource dans une politique IAM, la politique fait référence à l'alias et non à la clé KMS associée.

Chaque alias a deux formats.

Lorsque vous créez un alias, vous spécifiez son nom. AWS KMS crée l'alias ARN pour vous.

  • Un ARN d'alias est un Amazon Resource Name (ARN) qui identifie l'alias de façon unique. 

    # Alias ARN
arn:aws:kms:us-west-2:111122223333:alias/<alias-name>

  • Un nom d'alias qui est unique dans le compte et la région. Dans l' AWS KMS API, le nom de l'alias est toujours préfixé paralias/. Ce préfixe est omis dans la AWS KMS console.

    # Alias name
alias/<alias-name>
Les alias ne sont pas secrets

Les alias peuvent être affichés en texte clair dans les CloudTrail journaux et autres sorties. N'incluez pas d'informations confidentielles ou sensibles dans le nom de l’alias.

Chaque alias est associé à une clé KMS à la fois.

L'alias et sa clé KMS doivent se trouver dans le même compte et la même région.

Vous pouvez associer un alias à n'importe quelle clé gérée par le client dans Compte AWS la même région. Cependant, vous n'êtes pas autorisé à associer un alias à une Clé gérée par AWS.

Par exemple, cette ListAliasessortie indique que l'test-keyalias est associé à une seule clé KMS cible, qui est représentée par la TargetKeyId propriété.

{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
}
Plusieurs alias peuvent être associés à la même clé KMS.

Par exemple, vous pouvez associer les alias test-key et project-key à la même clé KMS.

{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
},
{
     "AliasName": "alias/project-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/project-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1516435200.399,
     "LastUpdatedDate": 1516435200.399
}
Un alias doit être unique dans un compte et une région.

Par exemple, vous ne pouvez avoir qu'un seul alias test-key dans chaque compte et région. Les alias sont sensibles à la casse, mais les alias qui ne diffèrent que par leur majuscule sont très propices aux erreurs. Vous ne pouvez pas modifier un nom d'alias. Toutefois, vous pouvez supprimer l'alias et créer un alias avec le nom souhaité.

Vous pouvez créer des alias avec le même nom dans des régions différentes.

Par exemple, vous pouvez avoir un alias finance-key dans la région USA Est (Virginie du Nord) et un alias finance-key en Europe (Francfort). Chaque alias serait associé à une clé KMS dans sa région. Si votre code fait référence à un nom d'alias comme alias/finance-key, vous pouvez l'exécuter dans plusieurs régions. Dans chaque région, il utilise une clé KMS différente. Pour plus de détails, consultez Apprenez à utiliser des alias dans vos applications.

Vous pouvez modifier la clé KMS associée à un alias

Vous pouvez utiliser cette UpdateAliasopération pour associer un alias à une autre clé KMS. Par exemple, si l'alias finance-key est associé à la clé KMS 1234abcd-12ab-34cd-56ef-1234567890ab, vous pouvez le mettre à jour afin qu'il soit associé à la clé KMS 0987dcba-09fe-87dc-65ba-ab0987654321.

Toutefois, la clé KMS actuelle et la nouvelle clé KMS doivent être du même type (toutes deux soit symétriques, soit asymétriques, soit HMAC) et avoir la même utilisation de clé (ENCRYPT_DECRYPT or SIGN_VERIFY ou GENERATE_VERIFY_MAC). Cette restriction empêche les erreurs dans le code qui utilise des alias. Si vous devez associer un alias à un autre type de clé et que vous avez atténué les risques, vous pouvez supprimer et recréer l'alias.

Certaines clés KMS n'ont pas d'alias.

Lorsque vous créez une clé KMS dans la AWS KMS console, vous devez lui attribuer un nouvel alias. Toutefois, aucun alias n'est requis lorsque vous utilisez l'CreateKeyopération pour créer une clé KMS. Vous pouvez également utiliser l'UpdateAliasopération pour modifier la clé KMS associée à un alias et l'DeleteAliasopération pour supprimer un alias. Par conséquent, certaines clés KMS peuvent avoir plusieurs alias, tandis que d'autres peuvent n'en avoir aucun.

AWS crée des alias dans votre compte

AWS crée des alias dans votre compte pour Clés gérées par AWS. Ces alias ont des noms au format alias/aws/<service-name>, comme alias/aws/s3.

Certains AWS alias n'ont pas de clé KMS. Ces alias prédéfinis sont généralement associés à un identifiant Clé gérée par AWS lorsque vous commencez à utiliser le service.

Utiliser des alias pour identifier les clés KMS

Vous pouvez utiliser un nom d'alias ou un ARN d'alias pour identifier une clé KMS dans le cadre d'opérations cryptographiques DescribeKey, et GetPublicKey. (Si la clé KMS est dans un autre Compte AWS, vous devez utiliser son ARN de clé ou ARN d'alias.) Les alias ne sont pas des identificateurs valides pour les clés KMS dans d'autres opérations AWS KMS . Pour plus d'informations sur les identificateurs de clé valides pour chaque opération d' AWS KMS API, consultez les descriptions des KeyId paramètres dans la référence AWS Key Management Service d'API.

Vous ne pouvez pas utiliser un nom d'alias ou un ARN d'alias pour identifier une clé KMS dans une politique IAM. Pour contrôler l'accès à une clé KMS en fonction de ses alias, utilisez les clés de ResourceAliases condition kms : RequestAlias ou kms :. Pour plus de détails, consultez ABAC pour AWS KMS.

Sur cette page

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.