Erfahren Sie, wie Sie Aliase in Ihren Anwendungen verwenden

Sie können einen Alias verwenden, um einen KMS Schlüssel in Ihrem Anwendungscode darzustellen. Der KeyId Parameter in AWS KMS kryptografischen Operationen DescribeKey, und GetPublicKeyakzeptiert einen Aliasnamen oder AliasARN.

Der folgende GenerateDataKey Befehl verwendet beispielsweise einen Aliasnamen (alias/finance), um einen KMS Schlüssel zu identifizieren. Der Aliasname ist der Wert des KeyId-Parameters.

$ aws kms generate-data-key --key-id alias/finance --key-spec AES_256

Wenn sich der KMS Schlüssel in einem anderen befindet AWS-Konto, müssen Sie bei diesen Vorgängen einen Schlüssel ARN oder Alias ARN verwenden. Denken Sie bei der Verwendung eines Alias daranARN, dass der Alias für einen KMS Schlüssel in dem Konto definiert ist, dem der KMS Schlüssel gehört, und dass er sich in jeder Region unterscheiden kann. Hilfe bei der Suche nach dem Alias ARN finden Sie unterSuchen Sie den Aliasnamen und den Alias ARN für einen KMS Schlüssel.

Der folgende GenerateDataKey Befehl verwendet beispielsweise einen KMS Schlüssel, der sich nicht im Konto des Anrufers befindet. Der ExampleAlias Alias ist dem KMS Schlüssel im angegebenen Konto und in der angegebenen Region zugeordnet.

$ aws kms generate-data-key --key-id arn:aws:kms:us-west-2:444455556666:alias/ExampleAlias --key-spec AES_256

Eine der mächtigsten Verwendungen von Aliasen ist in Anwendungen, die in mehreren AWS-Regionen ausgeführt werden. Angenommen, Sie haben eine globale Anwendung, die einen RSA asymmetrischen KMS Schlüssel zum Signieren und Überprüfen verwendet.

• In USA West (Oregon) (us-west-2) sollten Sie arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab verwenden.

• In Europa (Frankfurt) (eu-central-1) sollten Sie arn:aws:kms:eu-central-1:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321 verwenden.

• In Asien-Pazifik (Singapur) (ap-southeast-1) sollten Sie arn:aws:kms:ap-southeast-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d verwenden.

Sie könnten in jeder Region eine andere Version Ihrer Anwendung erstellen oder ein Wörterbuch oder eine Switch-Anweisung verwenden, um den richtigen KMS Schlüssel für jede Region auszuwählen. Es ist jedoch viel einfacher, in jeder Region einen Alias mit demselben Aliasnamen zu erstellen. Bei dem Aliasnamen wird zwischen Groß-/Kleinschreibung unterschieden.

aws --region us-west-2 kms create-alias \
    --alias-name alias/new-app \
    --key-id arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

aws --region eu-central-1 kms create-alias \
    --alias-name alias/new-app \
    --key-id arn:aws:kms:eu-central-1:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321

aws --region ap-southeast-1 kms create-alias \
    --alias-name alias/new-app \
    --key-id arn:aws:kms:ap-southeast-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d

Verwenden Sie dann den Alias in Ihrem Code. Wenn Ihr Code in jeder Region ausgeführt wird, verweist der Alias auf den zugehörigen KMS Schlüssel in dieser Region. Beispielsweise ruft dieser Code die Sign-Operation mit einem Aliasnamen auf.

aws kms sign --key-id alias/new-app \
    --message $message \
    --message-type RAW \
    --signing-algorithm RSASSA_PSS_SHA_384

Es besteht jedoch das Risiko, dass der Alias gelöscht oder aktualisiert wird, sodass er einem anderen KMS Schlüssel zugeordnet wird. In diesem Fall schlagen die Versuche der Anwendung, Signaturen mit dem Aliasnamen zu überprüfen, fehl, und Sie müssen den Alias möglicherweise neu erstellen oder aktualisieren.

Um dieses Risiko zu verringern, sollten Sie den Prinzipalen die Berechtigung geben, die Aliase zu verwalten, die Sie in Ihrer Anwendung verwenden. Details hierzu finden Sie unter Steuern des Zugriffs auf Aliasse.

Es gibt mehrere andere Lösungen für Anwendungen, die Daten in mehreren AWS-Regionen verschlüsseln, einschließlich des AWS Encryption SDK.