Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Puoi utilizzare un alias per rappresentare una chiave KMS nel codice dell'applicazione. Il KeyId parametro nelle operazioni AWS KMS crittografiche e GetPublicKeyaccetta un nome alias o un alias ARN. DescribeKey
Ad esempio, il comando GenerateDataKey seguente utilizza un nome alias (alias/finance) per identificare una chiave KMS. Il nome alias è il valore del parametro KeyId.
$aws kms generate-data-key --key-id alias/finance --key-spec AES_256
Se la chiave KMS si trova in un altro Account AWS, è necessario utilizzare una chiave ARN o un alias ARN in queste operazioni. Quando si utilizza un alias ARN, tenere presente che l'alias per una chiave KMS è definito nell'account proprietario della chiave KMS e potrebbe differire in ogni regione. Per informazioni sulla ricerca dell'ARN alias, consulta Trova il nome dell'alias e l'alias ARN per una chiave KMS.
Ad esempio, il seguente comando GenerateDataKey utilizza una chiave KMS che non è presente nell'account del chiamante. L’alias ExampleAlias è associato alla chiave KMS nell'account e nella regione specificati.
$aws kms generate-data-key --key-id arn:aws:kms:us-west-2:444455556666:alias/ExampleAlias --key-spec AES_256
Uno degli usi più efficaci degli alias è nelle applicazioni eseguite in più Regioni AWS. Ad esempio, puoi avere un'applicazione globale che utilizza una chiave KMS asimmetrica RSA per la firma e la verifica.
-
Nella regione Stati Uniti occidentali (Oregon) (us-west-2) vuoi utilizzare
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. -
In Europa (Francoforte) (eu-central-1), vuoi utilizzare
arn:aws:kms:eu-central-1:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321 -
Nella regione Asia Pacifico (Singapore) (ap-southeast-1), vuoi utilizzare
arn:aws:kms:ap-southeast-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d.
Puoi creare una versione diversa dell'applicazione in ogni regione o utilizzare un dizionario o un'istruzione switch per selezionare la chiave KMS corretta per ogni regione. Tuttavia è molto più semplice creare un alias con lo stesso nome alias in ogni regione. Tieni presente che il nome alias rispetta la distinzione tra maiuscole e minuscole.
aws --region us-west-2 kms create-alias \
--alias-name alias/new-app \
--key-id arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
aws --region eu-central-1 kms create-alias \
--alias-name alias/new-app \
--key-id arn:aws:kms:eu-central-1:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321
aws --region ap-southeast-1 kms create-alias \
--alias-name alias/new-app \
--key-id arn:aws:kms:ap-southeast-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4dQuindi, utilizza l'alias nel codice. Quando il codice viene eseguito in ogni regione, l'alias farà riferimento alla relativa chiave KMS associata in quella regione. Ad esempio, questo codice chiama l'operazione Sign con un nome alias.
aws kms sign --key-id alias/new-app \
--message $message \
--message-type RAW \
--signing-algorithm RSASSA_PSS_SHA_384Tuttavia, esiste il rischio che l'alias possa essere eliminato o aggiornato per essere associato a un'altra chiave KMS. In tal caso, i tentativi dell'applicazione di verificare le firme utilizzando il nome alias avranno esito negativo e potrebbe essere necessario ricreare o aggiornare l'alias.
Per ridurre questo rischio, presta attenzione a concedere ai principali l'autorizzazione a gestire gli alias utilizzati nell'applicazione. Per informazioni dettagliate, consultare Controllo dell'accesso agli alias.
Esistono diverse altre soluzioni per le applicazioni che crittografano i dati in più regioni Regioni AWS, tra cui AWS Encryption SDK.
