Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Alias di AWS KMS

PDF
RSS
Mode fokus
Alias di AWS KMS - AWS Key Management Service
Cara kerja alias

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Alias adalah nama yang ramah untuk a AWS KMS key. Misalnya, alias memungkinkan Anda merujuk ke kunci KMS sebagai test-key gantinya. 1234abcd-12ab-34cd-56ef-1234567890ab

Anda dapat menggunakan alias untuk mengidentifikasi kunci KMS di AWS KMS konsol, dalam operasi, dan dalam DescribeKeyoperasi kriptografi, seperti Enkripsi dan. GenerateDataKey Alias juga memudahkan untuk mengenali. Kunci yang dikelola AWS Alias untuk kunci KMS ini selalu memiliki formulir. aws/<service-name> Misalnya, alias Kunci yang dikelola AWS untuk Amazon DynamoDB adalah. aws/dynamodb Anda dapat menetapkan standar alias yang serupa untuk proyek Anda, seperti mendahului nama alias Anda dengan nama proyek atau kategori.

Anda juga dapat mengizinkan dan menolak akses ke kunci KMS berdasarkan aliasnya tanpa mengedit kebijakan atau mengelola hibah. Fitur ini merupakan bagian dari AWS KMS dukungan untuk Attribute-based Access Control (ABAC). Untuk detailnya, lihat Gunakan alias untuk mengontrol akses ke tombol KMS.

Sebagian besar kekuatan alias berasal dari kemampuan Anda untuk mengubah kunci KMS yang terkait dengan alias kapan saja. Alias dapat membuat kode Anda lebih mudah ditulis dan dipelihara. Misalnya, Anda menggunakan alias untuk merujuk ke kunci KMS tertentu dan Anda ingin mengubah kunci KMS. Dalam hal ini, cukup kaitkan alias dengan kunci KMS yang berbeda. Anda tidak perlu mengubah kode.

Alias juga mempermudah menggunakan kembali kode yang sama di Wilayah AWS berbeda. Buat alias dengan nama yang sama di beberapa Wilayah dan kaitkan setiap alias dengan kunci KMS di Wilayahnya. Ketika kode berjalan di setiap Wilayah, alias mengacu pada kunci KMS terkait di Wilayah tersebut. Sebagai contoh, lihat Pelajari cara menggunakan alias dalam aplikasi Anda.

Anda dapat membuat alias untuk kunci KMS di AWS KMS konsol, dengan menggunakan CreateAliasAPI, atau dengan menggunakan template. AWS::KMS::Alias AWS CloudFormation

AWS KMS API menyediakan kontrol penuh atas alias di setiap akun dan Wilayah. API mencakup operasi untuk membuat alias (CreateAlias), melihat nama alias dan alias ARNs (ListAliases), mengubah kunci KMS yang terkait dengan alias (UpdateAlias), dan menghapus alias (). DeleteAlias

Cara kerja alias

Pelajari cara kerja alias di AWS KMS.

Alias adalah sumber daya independen AWS

Alias bukan milik kunci KMS. Tindakan yang Anda lakukan pada alias tidak memengaruhi kunci KMS yang terkait. Anda dapat membuat alias untuk kunci KMS dan kemudian memperbarui alias sehingga dikaitkan dengan kunci KMS yang berbeda. Anda bahkan dapat menghapus alias tanpa efek apa pun pada kunci KMS terkait. Namun, jika Anda menghapus kunci KMS, semua alias yang terkait dengan kunci KMS tersebut akan dihapus.

Jika Anda menetapkan alias sebagai sumber daya dalam kebijakan IAM, kebijakan tersebut merujuk ke alias, bukan ke kunci KMS terkait.

Setiap alias memiliki dua format

Saat Anda membuat alias, Anda menentukan nama alias. AWS KMS membuat alias ARN untuk Anda.

  • ARN alias adalah Amazon Resource Name (ARN) yang secara unik mengidentifikasi alias. 

    # Alias ARN
arn:aws:kms:us-west-2:111122223333:alias/<alias-name>

  • Nama alias yang unik di akun dan Wilayah. Di AWS KMS API, nama alias selalu diawali oleh. alias/ Awalan itu dihilangkan di konsol. AWS KMS 

    # Alias name
alias/<alias-name>
Alias bukan rahasia

Alias dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya. Jangan sertakan informasi rahasia atau sensitif dalam nama alias.

Setiap alias dikaitkan dengan satu kunci KMS pada satu waktu

Alias dan kunci KMS-nya harus berada di akun dan Wilayah yang sama.

Anda dapat mengaitkan alias dengan kunci yang dikelola pelanggan apa pun di area yang sama Akun AWS dan Wilayah. Namun, Anda tidak memiliki izin untuk mengaitkan alias dengan Kunci yang dikelola AWS.

Misalnya, ListAliasesoutput ini menunjukkan bahwa test-key alias dikaitkan dengan tepat satu kunci KMS target, yang diwakili oleh properti. TargetKeyId

{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
}
Beberapa alias dapat dikaitkan dengan kunci KMS yang sama

Misalnya, Anda dapat mengaitkan test-key dan project-key alias dengan kunci KMS yang sama.

{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
},
{
     "AliasName": "alias/project-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/project-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1516435200.399,
     "LastUpdatedDate": 1516435200.399
}
Alias harus unik di akun dan Wilayah

Misalnya, Anda hanya dapat memiliki satu alias test-key di setiap akun dan Wilayah. Alias peka huruf besar/kecil, tetapi alias yang berbeda hanya dalam kapitalisasi mereka sangat rentan terhadap kesalahan. Anda tidak dapat mengubah nama alias. Namun, Anda dapat menghapus alias dan membuat alias baru dengan nama yang diinginkan.

Anda dapat membuat alias dengan nama yang sama di Wilayah yang berbeda

Misalnya, Anda dapat memiliki alias finance-key di AS Timur (Virginia U.) dan alias finance-key di Eropa (Frankfurt). Setiap alias akan dikaitkan dengan kunci KMS di Wilayahnya. Jika kode Anda merujuk pada nama alias seperti alias/finance-key, Anda dapat menjalankannya di beberapa Wilayah. Di setiap Wilayah, ia menggunakan kunci KMS yang berbeda. Untuk detailnya, lihat Pelajari cara menggunakan alias dalam aplikasi Anda.

Anda dapat mengubah kunci KMS yang terkait dengan alias

Anda dapat menggunakan UpdateAliasoperasi untuk mengaitkan alias dengan kunci KMS yang berbeda. Misalnya, jika finance-key alias dikaitkan dengan kunci 1234abcd-12ab-34cd-56ef-1234567890ab KMS, Anda dapat memperbaruinya sehingga dikaitkan dengan kunci 0987dcba-09fe-87dc-65ba-ab0987654321 KMS.

Namun, kunci KMS saat ini dan yang baru harus memiliki tipe yang sama (keduanya simetris atau keduanya asimetris atau keduanya HMAC), dan mereka harus memiliki penggunaan kunci yang sama (ENCRYPT_DECRYPT atau SIGN_VERIFY atau GENERATE_VERIFY_MAC). Pembatasan ini mencegah kesalahan dalam kode yang menggunakan alias. Jika Anda harus mengaitkan alias dengan jenis kunci yang berbeda, dan Anda telah mengurangi risiko, Anda dapat menghapus dan membuat ulang alias.

Beberapa kunci KMS tidak memiliki alias

Ketika Anda membuat kunci KMS di AWS KMS konsol, Anda harus memberikan alias baru. Tetapi alias tidak diperlukan saat Anda menggunakan CreateKeyoperasi untuk membuat kunci KMS. Selain itu, Anda dapat menggunakan UpdateAliasoperasi untuk mengubah kunci KMS yang terkait dengan alias dan DeleteAliasoperasi untuk menghapus alias. Akibatnya, beberapa kunci KMS mungkin memiliki beberapa alias, dan beberapa mungkin tidak memilikinya.

AWS membuat alias di akun Anda

AWS membuat alias di akun Anda untuk Kunci yang dikelola AWS. Alias ini memiliki nama formulir alias/aws/<service-name>, seperti alias/aws/s3.

Beberapa AWS alias tidak memiliki kunci KMS. Alias yang telah ditentukan ini biasanya dikaitkan dengan Kunci yang dikelola AWS ketika Anda mulai menggunakan layanan.

Gunakan alias untuk mengidentifikasi kunci KMS

Anda dapat menggunakan nama alias atau alias ARN untuk mengidentifikasi kunci KMS dalam operasi kriptografi,, dan. DescribeKeyGetPublicKey (Jika kunci KMS berbeda Akun AWS, Anda harus menggunakan kunci ARN atau alias ARN.) Alias bukan pengidentifikasi yang valid untuk kunci KMS dalam operasi lain. AWS KMS Untuk informasi tentang pengidentifikasi kunci yang valid untuk setiap operasi AWS KMS API, lihat deskripsi KeyId parameter dalam Referensi AWS Key Management Service API.

Anda tidak dapat menggunakan nama alias atau alias ARN untuk mengidentifikasi kunci KMS dalam kebijakan IAM. Untuk mengontrol akses ke kunci KMS berdasarkan aliasnya, gunakan kunci kondisi kms: RequestAlias atau kms:. ResourceAliases Untuk detailnya, lihat ABAC untuk AWS KMS.

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.