Scopri come utilizzare gli alias nelle tue applicazioni - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scopri come utilizzare gli alias nelle tue applicazioni

Puoi usare un alias per rappresentare una KMS chiave nel codice dell'applicazione. Il KeyId parametro è utilizzato nelle operazioni AWS KMS crittografiche e GetPublicKeyaccetta un nome alias o un alias. DescribeKeyARN

Ad esempio, il GenerateDataKey comando seguente utilizza un alias name (alias/finance) per identificare una chiave. KMS Il nome alias è il valore del parametro KeyId. 

$ aws kms generate-data-key --key-id alias/finance --key-spec AES_256

Se la KMS chiave si trova in un altro Account AWS, è necessario utilizzare una chiave ARN o un alias ARN in queste operazioni. Quando usi un aliasARN, ricorda che l'alias di una KMS chiave è definito nell'account che possiede la KMS chiave e potrebbe differire in ogni regione. Per informazioni su come trovare l'alias, consultaARN. Trova il nome dell'alias e l'alias ARN per una chiave KMS

Ad esempio, il GenerateDataKey comando seguente utilizza una KMS chiave non presente nell'account del chiamante. L'ExampleAliasalias è associato alla KMS chiave nell'account e nella regione specificati.

$ aws kms generate-data-key --key-id arn:aws:kms:us-west-2:444455556666:alias/ExampleAlias --key-spec AES_256

Uno degli usi più efficaci degli alias è nelle applicazioni eseguite in più Regioni AWS. Ad esempio, potresti avere un'applicazione globale che utilizza una KMSchiave RSA asimmetrica per la firma e la verifica.

  • Nella regione Stati Uniti occidentali (Oregon) (us-west-2) vuoi utilizzare arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  • In Europa (Francoforte) (eu-central-1), vuoi utilizzare arn:aws:kms:eu-central-1:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321

  • Nella regione Asia Pacifico (Singapore) (ap-southeast-1), vuoi utilizzare arn:aws:kms:ap-southeast-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d.

È possibile creare una versione diversa dell'applicazione in ogni regione o utilizzare un dizionario o un'istruzione switch per selezionare la KMS chiave giusta per ogni regione. Tuttavia è molto più semplice creare un alias con lo stesso nome alias in ogni regione. Tieni presente che il nome alias rispetta la distinzione tra maiuscole e minuscole.

aws --region us-west-2 kms create-alias \
    --alias-name alias/new-app \
    --key-id arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

aws --region eu-central-1 kms create-alias \
    --alias-name alias/new-app \
    --key-id arn:aws:kms:eu-central-1:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321

aws --region ap-southeast-1 kms create-alias \
    --alias-name alias/new-app \
    --key-id arn:aws:kms:ap-southeast-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d

Quindi, utilizza l'alias nel codice. Quando il codice viene eseguito in ogni regione, l'alias farà riferimento alla KMS chiave associata in quella regione. Ad esempio, questo codice chiama l'operazione Sign con un nome alias.

aws kms sign --key-id alias/new-app \
    --message $message \
    --message-type RAW \
    --signing-algorithm RSASSA_PSS_SHA_384

Tuttavia, esiste il rischio che l'alias venga eliminato o aggiornato per essere associato a una chiave diversaKMS. In tal caso, i tentativi dell'applicazione di verificare le firme utilizzando il nome alias avranno esito negativo e potrebbe essere necessario ricreare o aggiornare l'alias.

Per ridurre questo rischio, presta attenzione a concedere ai principali l'autorizzazione a gestire gli alias utilizzati nell'applicazione. Per informazioni dettagliate, consultare Controllo dell'accesso agli alias.

Esistono diverse altre soluzioni per le applicazioni che crittografano i dati in più regioni Regioni AWS, tra cui AWS Encryption SDK.