Alias in AWS KMS - AWS Key Management Service
Come funzionano gli alias

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Alias in AWS KMS

Un alias è un nome descrittivo per una AWS KMS key. Ad esempio, un alias consente di fare riferimento a una KMS chiave come test-key anziché a. 1234abcd-12ab-34cd-56ef-1234567890ab

È possibile utilizzare un alias per identificare una KMS chiave nella AWS KMS console, nell'DescribeKeyoperazione e nelle operazioni crittografiche, ad esempio Encrypt e. GenerateDataKey Gli alias semplificano anche il riconoscimento delle Chiave gestita da AWS. Gli alias per queste KMS chiavi hanno sempre la stessa forma. aws/<service-name> Ad esempio, l'alias Chiave gestita da AWS per Amazon DynamoDB è. aws/dynamodb Puoi stabilire gli standard per alias simili dei progetti, ad esempio anteporre agli alias il nome di un progetto o di una categoria.

Puoi anche consentire e negare l'accesso alle KMS chiavi in base ai relativi alias senza modificare le politiche o gestire le concessioni. Questa funzionalità fa parte del AWS KMS supporto per il controllo degli accessi basato sugli attributi (). ABAC Per informazioni dettagliate, consultare Utilizzate gli alias per controllare l'accesso alle chiavi KMS.

Gran parte della potenza degli alias deriva dalla possibilità di modificare la KMS chiave associata a un alias in qualsiasi momento. Gli alias possono rendere il tuo codice più facile da scrivere e gestire. Ad esempio, supponiamo di utilizzare un alias per fare riferimento a una KMS chiave particolare e di voler modificare la chiave. KMS In tal caso, basta associare l'alias a una chiave diversa. KMS Non è necessario cambiare il codice.

Gli alias semplificano anche il riutilizzo dello stesso codice in diverse Regioni AWS. Crea alias con lo stesso nome in più regioni e associa ogni alias a una KMS chiave nella relativa regione. Quando il codice viene eseguito in ogni regione, l'alias fa riferimento alla KMS chiave associata in quella regione. Per vedere un esempio, consulta Scopri come utilizzare gli alias nelle tue applicazioni.

È possibile creare un alias per una KMS chiave nella AWS KMS console utilizzando o il CreateAliasAPImodello AWS::KMS: AWS CloudFormation :Alias.

AWS KMS APIFornisce il controllo completo degli alias in ogni account e regione. APIInclude operazioni per creare un alias (CreateAlias), visualizzare i nomi e gli alias ARNs (ListAliases) degli alias, modificare la KMS chiave associata a un alias (UpdateAlias) ed eliminare un alias (). DeleteAlias

Come funzionano gli alias

Scopri come gli alias funzionano in AWS KMS.

Un alias è una risorsa indipendente AWS

Un alias non è una proprietà di una KMS chiave. Le azioni che esegui sull'alias non influiscono sulla chiave associataKMS. Puoi creare un alias per una KMS chiave e quindi aggiornare l'alias in modo che sia associato a una chiave diversa. KMS Puoi anche eliminare l'alias senza alcun effetto sulla chiave associata. KMS Tuttavia, se si elimina una KMS chiave, vengono eliminati tutti gli alias associati a tale KMS chiave.

Se si specifica un alias come risorsa in una IAM politica, la politica si riferisce all'alias, non alla chiave associata. KMS

Ogni alias ha due formati

Quando si crea un alias, si specifica il nome dell'alias. AWS KMS crea l'alias ARN per te.

  • Un alias ARN è un Amazon Resource Name (ARN) che identifica in modo univoco l'alias. 

    # Alias ARN
arn:aws:kms:us-west-2:111122223333:alias/<alias-name>

  • Il nome alias è unico solo per un account e per una regione. In AWS KMS API, il nome dell'alias è sempre preceduto da. alias/ Tale prefisso viene omesso nella console. AWS KMS 

    # Alias name
alias/<alias-name>
Gli alias non sono segreti

Gli alias possono essere visualizzati in testo semplice nei log e in CloudTrail altri output. Non includere informazioni riservate o sensibili nel nome dell'alias.

Ogni alias è associato a una chiave alla volta KMS

L'alias e la relativa KMS chiave devono trovarsi nello stesso account e nella stessa regione.

È possibile associare un alias a qualsiasi chiave gestita dal cliente nella stessa regione Account AWS . Tuttavia, non hai l'autorizzazione per associare un alias a una Chiave gestita da AWS.

Ad esempio, questo ListAliasesoutput mostra che l'test-keyalias è associato esattamente a una KMS chiave di destinazione, rappresentata dalla TargetKeyId proprietà.

{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
}
È possibile associare più alias alla stessa chiave KMS

Ad esempio, è possibile associare gli project-key alias test-key and alla stessa KMS chiave.

{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
},
{
     "AliasName": "alias/project-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/project-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1516435200.399,
     "LastUpdatedDate": 1516435200.399
}
L'alias deve essere univoco nell'account e nella regione

Ad esempio, è possibile avere un solo alias test-key in ogni account e regione. Gli alias rispettano la distinzione tra maiuscole e minuscole, ma gli alias che differiscono solo nella la distinzione tra maiuscole e minuscole sono molto inclini all'errore. Non è possibile modificare un nome alias. Tuttavia, puoi eliminare l'alias e creare un nuovo alias con il nome desiderato.

Puoi creare un alias con lo stesso nome in diverse regioni

Ad esempio, puoi avere un alias finance-key negli Stati Uniti orientali (Virginia settentrionale) e un alias finance-key in Europa (Francoforte). Ogni alias verrebbe associato a una KMS chiave nella relativa regione. Se il tuo codice fa riferimento a un nome alias come alias/finance-key, puoi eseguirlo in più regioni. In ogni regione, utilizza una KMS chiave diversa. Per informazioni dettagliate, consultare Scopri come utilizzare gli alias nelle tue applicazioni.

È possibile modificare la KMS chiave associata a un alias

È possibile utilizzare l'UpdateAliasoperazione per associare un alias a una chiave diversaKMS. Ad esempio, se l'finance-keyalias è associato alla 1234abcd-12ab-34cd-56ef-1234567890ab KMS chiave, è possibile aggiornarlo in modo che sia associato alla 0987dcba-09fe-87dc-65ba-ab0987654321 KMS chiave.

Tuttavia, la KMS chiave corrente e quella nuova devono essere dello stesso tipo (entrambe simmetriche o entrambe asimmetriche o entrambeHMAC) e devono avere lo stesso utilizzo della chiave (ENCRYPT_ DECRYPT o _ o SIGN _ _). VERIFY GENERATE VERIFY MAC Questa restrizione impedisce errori nel codice che utilizza alias. Se è necessario associare un alias a un tipo di chiave diverso e sono stati attenuati i rischi, puoi eliminare e ricreare l'alias.

Alcune chiavi KMS non hanno alias

Quando crei una KMS chiave nella AWS KMS console, devi assegnarle un nuovo alias. Ma non è necessario un alias quando si utilizza l'CreateKeyoperazione per creare una KMS chiave. Inoltre, è possibile utilizzare l'UpdateAliasoperazione per modificare la KMS chiave associata a un alias e l'DeleteAliasoperazione per eliminare un alias. Di conseguenza, alcune KMS chiavi potrebbero avere diversi alias e altre potrebbero non averne nessuno.

AWS crea alias nel tuo account

AWS crea alias nel tuo account per. Chiavi gestite da AWS Questi alias hanno i nomi del modulo alias/aws/<service-name>, ad esempio alias/aws/s3.

Alcuni AWS alias non hanno una chiave. KMS Questi alias predefiniti sono generalmente associati a un messaggio Chiave gestita da AWS quando si inizia a utilizzare il servizio.

Utilizza gli alias per identificare le chiavi KMS

È possibile utilizzare un nome alias o un alias ARN per identificare una KMS chiave nelle operazioni crittografiche, e. DescribeKeyGetPublicKey (Se la KMSchiave si trova in un altro Account AWS, è necessario utilizzarne la chiave ARN o l'alias.) ARN Gli alias non sono identificatori validi per KMS le chiavi in altre operazioni. AWS KMS Per informazioni sugli identificatori di chiave validi per ogni AWS KMS API operazione, vedete le descrizioni dei KeyId parametri nel riferimento.AWS Key Management Service API

Non è possibile utilizzare un nome alias o un alias ARN per identificare una KMS chiave in una politica. IAM Per controllare l'accesso a una KMS chiave in base ai relativi alias, usa le chiavi di condizione kms: RequestAlias o kms:. ResourceAliases Per informazioni dettagliate, consultare ABACper AWS KMS.