Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Scopri come utilizzare gli alias nelle tue applicazioni

Modalità Focus
Scopri come utilizzare gli alias nelle tue applicazioni - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Puoi utilizzare un alias per rappresentare una chiave KMS nel codice dell'applicazione. Il KeyId parametro nelle operazioni AWS KMS crittografiche e GetPublicKeyaccetta un nome alias o un alias ARN. DescribeKey

Ad esempio, il comando GenerateDataKey seguente utilizza un nome alias (alias/finance) per identificare una chiave KMS. Il nome alias è il valore del parametro KeyId.

$ aws kms generate-data-key --key-id alias/finance --key-spec AES_256

Se la chiave KMS si trova in un altro Account AWS, è necessario utilizzare una chiave ARN o un alias ARN in queste operazioni. Quando si utilizza un alias ARN, tenere presente che l'alias per una chiave KMS è definito nell'account proprietario della chiave KMS e potrebbe differire in ogni regione. Per informazioni sulla ricerca dell'ARN alias, consulta Trova il nome dell'alias e l'alias ARN per una chiave KMS.

Ad esempio, il seguente comando GenerateDataKey utilizza una chiave KMS che non è presente nell'account del chiamante. L’alias ExampleAlias è associato alla chiave KMS nell'account e nella regione specificati.

$ aws kms generate-data-key --key-id arn:aws:kms:us-west-2:444455556666:alias/ExampleAlias --key-spec AES_256

Uno degli usi più efficaci degli alias è nelle applicazioni eseguite in più Regioni AWS. Ad esempio, puoi avere un'applicazione globale che utilizza una chiave KMS asimmetrica RSA per la firma e la verifica.

  • Nella regione Stati Uniti occidentali (Oregon) (us-west-2) vuoi utilizzare arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  • In Europa (Francoforte) (eu-central-1), vuoi utilizzare arn:aws:kms:eu-central-1:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321

  • Nella regione Asia Pacifico (Singapore) (ap-southeast-1), vuoi utilizzare arn:aws:kms:ap-southeast-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d.

Puoi creare una versione diversa dell'applicazione in ogni regione o utilizzare un dizionario o un'istruzione switch per selezionare la chiave KMS corretta per ogni regione. Tuttavia è molto più semplice creare un alias con lo stesso nome alias in ogni regione. Tieni presente che il nome alias rispetta la distinzione tra maiuscole e minuscole.

aws --region us-west-2 kms create-alias \ --alias-name alias/new-app \ --key-id arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab aws --region eu-central-1 kms create-alias \ --alias-name alias/new-app \ --key-id arn:aws:kms:eu-central-1:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321 aws --region ap-southeast-1 kms create-alias \ --alias-name alias/new-app \ --key-id arn:aws:kms:ap-southeast-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d

Quindi, utilizza l'alias nel codice. Quando il codice viene eseguito in ogni regione, l'alias farà riferimento alla relativa chiave KMS associata in quella regione. Ad esempio, questo codice chiama l'operazione Sign con un nome alias.

aws kms sign --key-id alias/new-app \ --message $message \ --message-type RAW \ --signing-algorithm RSASSA_PSS_SHA_384

Tuttavia, esiste il rischio che l'alias possa essere eliminato o aggiornato per essere associato a un'altra chiave KMS. In tal caso, i tentativi dell'applicazione di verificare le firme utilizzando il nome alias avranno esito negativo e potrebbe essere necessario ricreare o aggiornare l'alias.

Per ridurre questo rischio, presta attenzione a concedere ai principali l'autorizzazione a gestire gli alias utilizzati nell'applicazione. Per informazioni dettagliate, consultare Controllo dell'accesso agli alias.

Esistono diverse altre soluzioni per le applicazioni che crittografano i dati in più regioni Regioni AWS, tra cui AWS Encryption SDK.

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.