Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Alias in AWS KMS

PDF
RSS
Modalità Focus
Alias in AWS KMS - AWS Key Management Service
Come funzionano gli alias

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Un alias è un nome descrittivo per una AWS KMS key. Ad esempio, un alias ti consente di fare riferimento a una chiave KMS come test-key invece di 1234abcd-12ab-34cd-56ef-1234567890ab.

È possibile utilizzare un alias per identificare una chiave KMS nella AWS KMS console, nell'DescribeKeyoperazione e nelle operazioni crittografiche, come Encrypt e. GenerateDataKey Gli alias semplificano anche il riconoscimento delle Chiave gestita da AWS. Gli alias per queste chiavi KMS hanno sempre il formato aws/<service-name>. Ad esempio, l'alias Chiave gestita da AWS per Amazon DynamoDB è. aws/dynamodb Puoi stabilire gli standard per alias simili dei progetti, ad esempio anteporre agli alias il nome di un progetto o di una categoria.

Puoi inoltre consentire e negare l'accesso alle chiavi KMS in base ai relativi alias senza modificare le policy o gestire le concessioni. Questa funzionalità fa parte del AWS KMS supporto per il controllo degli accessi basato sugli attributi (ABAC). Per informazioni dettagliate, consultare Usa gli alias per controllare l'accesso alle chiavi KMS.

Gran parte del potere degli alias deriva dalla tua capacità di modificare la chiave KMS associata a un alias in qualsiasi momento. Gli alias possono rendere il tuo codice più facile da scrivere e gestire. Supponi, ad esempio, di utilizzare un alias per fare riferimento a una chiave KMS particolare e di voler modificare la chiave KMS. In tal caso, basta associare l'alias a un'altra chiave KMS. Non è necessario cambiare il codice.

Gli alias semplificano anche il riutilizzo dello stesso codice in diverse Regioni AWS. Crea alias con lo stesso nome in più regioni e associa ogni alias a una chiave KMS nella sua regione. Quando il codice viene eseguito in ogni regione, l'alias fa riferimento alla relativa chiave KMS associata in quella regione. Per vedere un esempio, consulta Scopri come utilizzare gli alias nelle tue applicazioni.

È possibile creare un alias per una chiave KMS nella AWS KMS console, utilizzando l'CreateAliasAPI o utilizzando il modello. AWS::KMS::Alias AWS CloudFormation

L' AWS KMS API fornisce il controllo completo degli alias in ogni account e regione. L'API include operazioni per creare un alias (CreateAlias), visualizzare nomi di alias e alias ARNs (ListAliases), modificare la chiave KMS associata a un alias () ed eliminare un alias (UpdateAlias). DeleteAlias

Come funzionano gli alias

Scopri come gli alias funzionano in AWS KMS.

Un alias è una risorsa indipendente AWS

Un alias non è una proprietà di una chiave KMS. Le operazioni eseguite sull'alias non influiscono sulla relativa chiave KMS associata. Puoi creare un alias per una chiave KMS e quindi aggiornare l'alias in modo che venga associato a un'altra chiave KMS. È anche possibile eliminare l'alias senza alcun effetto sulla chiave KMS associata. Tuttavia, se si elimina una chiave KMS, vengono eliminati tutti gli alias associati a tale chiave KMS.

Se si specifica un alias come risorsa in una policy IAM, la policy fa riferimento all'alias e non alla chiave KMS associata.

Ogni alias ha due formati

Quando si crea un alias, si specifica il nome dell'alias. AWS KMS crea l'alias ARN per te.

  • Un ARN di alias è un Amazon Resource Name (ARN) che identifica in modo univoco l'alias. 

    # Alias ARN
arn:aws:kms:us-west-2:111122223333:alias/<alias-name>

  • Il nome alias è unico solo per un account e per una regione. Nell' AWS KMS API, il nome dell'alias è sempre preceduto da. alias/ Tale prefisso viene omesso nella console. AWS KMS 

    # Alias name
alias/<alias-name>
Gli alias non sono segreti

Gli alias possono essere visualizzati in testo semplice nei log e in CloudTrail altri output. Non includere informazioni riservate o sensibili nel nome dell'alias.

Ogni alias è associato a una chiave KMS alla volta

L'alias e la relativa chiave KMS devono trovarsi nello stesso account e nella stessa regione.

È possibile associare un alias a qualsiasi chiave gestita dal cliente nella stessa regione. Account AWS Tuttavia, non hai l'autorizzazione per associare un alias a una Chiave gestita da AWS.

Ad esempio, questo ListAliasesoutput mostra che l'test-keyalias è associato esattamente a una chiave KMS di destinazione, rappresentata dalla proprietà. TargetKeyId

{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
}
Puoi associare più alias alla stessa chiave KMS

Ad esempio, puoi associare gli alias test-key e project-key alla stessa chiave KMS.

{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
},
{
     "AliasName": "alias/project-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/project-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1516435200.399,
     "LastUpdatedDate": 1516435200.399
}
L'alias deve essere univoco nell'account e nella regione

Ad esempio, è possibile avere un solo alias test-key in ogni account e regione. Gli alias rispettano la distinzione tra maiuscole e minuscole, ma gli alias che differiscono solo nella la distinzione tra maiuscole e minuscole sono molto inclini all'errore. Non è possibile modificare un nome alias. Tuttavia, puoi eliminare l'alias e creare un nuovo alias con il nome desiderato.

Puoi creare un alias con lo stesso nome in diverse regioni

Ad esempio, puoi avere un alias finance-key negli Stati Uniti orientali (Virginia settentrionale) e un alias finance-key in Europa (Francoforte). Ogni alias verrebbe associato a una chiave KMS nella rispettiva regione. Se il tuo codice fa riferimento a un nome alias come alias/finance-key, puoi eseguirlo in più regioni. In ogni regione utilizza una diversa chiave KMS. Per informazioni dettagliate, consultare Scopri come utilizzare gli alias nelle tue applicazioni.

Puoi modificare la chiave KMS associata a un alias

È possibile utilizzare l'UpdateAliasoperazione per associare un alias a una chiave KMS diversa. Ad esempio, se l'alias finance-key è associato alla chiave KMS 1234abcd-12ab-34cd-56ef-1234567890ab puoi aggiornarlo in modo che sia associato alla chiave KMS 0987dcba-09fe-87dc-65ba-ab0987654321.

Tuttavia, le chiavi KMS correnti e nuove devono essere dello stesso tipo (entrambe simmetriche, asimmetriche o HMAC) e devono avere lo stesso utilizzo della chiave (ENCRYPT_DECRYPT, SIGN_VERIFY o GENERATE_VERIFY_MAC). Questa restrizione impedisce errori nel codice che utilizza alias. Se è necessario associare un alias a un tipo di chiave diverso e sono stati attenuati i rischi, puoi eliminare e ricreare l'alias.

Alcune chiavi KMS non hanno alias

Quando crei una chiave KMS nella AWS KMS console, devi assegnarle un nuovo alias. Ma non è necessario un alias quando si utilizza l'CreateKeyoperazione per creare una chiave KMS. Inoltre, è possibile utilizzare l'UpdateAliasoperazione per modificare la chiave KMS associata a un alias e l'DeleteAliasoperazione per eliminare un alias. Di conseguenza, alcune chiavi KMS potrebbero avere diversi alias e altre potrebbero non averne alcuno.

AWS crea alias nel tuo account

AWS crea alias nel tuo account per. Chiavi gestite da AWS Questi alias hanno i nomi del modulo alias/aws/<service-name>, ad esempio alias/aws/s3.

Alcuni AWS alias non hanno una chiave KMS. Questi alias predefiniti sono generalmente associati a un messaggio Chiave gestita da AWS quando si inizia a utilizzare il servizio.

Utilizzare gli alias per identificare le chiavi KMS

È possibile utilizzare un nome alias o un alias ARN per identificare una chiave KMS nelle operazioni crittografiche e. DescribeKeyGetPublicKey (Se l'opzione La chiave KMS è in un Account AWS diverso, è necessario utilizzare il suo ARN della chiave o ARN dell'alias.) Gli alias non sono identificatori validi per le chiavi KMS in altre operazioni AWS KMS . Per informazioni sugli identificatori di chiave validi per ogni operazione AWS KMS API, consulta le descrizioni dei parametri nell'API Reference. KeyIdAWS Key Management Service

Non puoi utilizzare un nome alias o un ARN di alias per identificare una chiave KMS in una policy IAM. Per controllare l'accesso a una chiave KMS in base ai relativi alias, usa le chiavi di condizione kms: RequestAlias o kms:. ResourceAliases Per informazioni dettagliate, consultare ABAC per AWS KMS.

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.