Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acerca de los alias
Obtenga información sobre cómo funcionan los alias en AWS KMS.
- Un alias es independiente AWS recurso
-
Un alias no es propiedad de una KMS clave. Las acciones que realices con el alias no afectan a su KMS clave asociada. Puedes crear un alias para una KMS clave y, a continuación, actualizarlo para que se asocie a una KMS clave diferente. Incluso puedes eliminar el alias sin que ello afecte a la KMS clave asociada. Sin embargo, si elimina una KMS clave, se eliminan todos los alias asociados a esa KMS clave.
Si especifica un alias como recurso en una IAM política, la política se refiere al alias, no a la KMS clave asociada.
- Cada alias tiene dos formatos
-
Al crear un alias, se especifica el nombre del alias. AWS KMS crea el alias ARN automáticamente.
-
Un alias ARN es un nombre de recurso de Amazon (ARN) que lo identifica de forma exclusiva.
# Alias ARN arn:aws:kms:us-west-2:111122223333:alias/
<alias-name>
-
El nombre de alias debe ser único en la cuenta y la región. En el navegador AWS KMS API, el nombre del alias siempre lleva el prefijo.
alias/
Este prefijo se omite en el AWS KMS console.# Alias name alias/
<alias-name>
-
- Los alias no son secretos
Los alias pueden mostrarse en texto plano en los CloudTrail registros y otros resultados. No incluya información confidencial en el nombre del alias.
- Cada alias está asociado a una KMS clave a la vez
-
El alias y su KMS clave deben estar en la misma cuenta y región.
Puedes asociar un alias a cualquier clave gestionada por el cliente de la misma Cuenta de AWS y región. Sin embargo, no tiene permiso para asociar un alias a un Clave administrada de AWS.
Por ejemplo, este ListAliasesresultado muestra que el
test-key
alias está asociado exactamente a una KMS clave de destino, que se representa mediante laTargetKeyId
propiedad.{ "AliasName": "alias/test-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1593622000.191, "LastUpdatedDate": 1593622000.191 }
- Se pueden asociar varios alias a la misma clave KMS
-
Por ejemplo, puede asociar los
project-key
aliastest-key
y a la misma KMS clave.{ "AliasName": "alias/test-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1593622000.191, "LastUpdatedDate": 1593622000.191 }, { "AliasName": "alias/project-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/project-key", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1516435200.399, "LastUpdatedDate": 1516435200.399 }
- El alias debe ser único en la cuenta y región.
-
Por ejemplo, solo puede tener un alias
test-key
en cada cuenta y región. Los alias distinguen entre mayúsculas y minúsculas, pero los alias que solo difieren en sus mayúsculas son muy propensos a errores. No puede cambiar un nombre de alias. Sin embargo, puede eliminar el alias y crear un nuevo alias con el nombre deseado. - Puede crear alias con el mismo nombre en diferentes regiones
-
Por ejemplo, puede tener un alias
finance-key
en EE. UU. Este (Norte de Virginia) y un aliasfinance-key
en Europa (Fráncfort). Cada alias estaría asociado a una KMS clave de su región. Si su código se refiere a un nombre de alias comoalias/finance-key
, puede ejecutarlo en varias regiones. En cada región, utiliza una KMS clave diferente. Para obtener más información, consulte Usar alias en las aplicaciones. - Puede cambiar la KMS clave asociada a un alias
-
Puede utilizar la UpdateAliasoperación para asociar un alias a una KMS clave diferente. Por ejemplo, si el
finance-key
alias está asociado a la1234abcd-12ab-34cd-56ef-1234567890ab
KMS clave, puede actualizarlo para que esté asociado a la0987dcba-09fe-87dc-65ba-ab0987654321
KMS clave.Sin embargo, la KMS clave actual y la nueva deben ser del mismo tipo (ambas simétricas, asimétricas o ambasHMAC) y deben tener el mismo uso de clave (ENCRYPT_ DECRYPT o _ VERIFY o SIGN _ GENERATE VERIFY _MAC). Esta restricción evita errores en el código que utiliza alias. Si debe asociar un alias a otro tipo de clave y ha mitigado los riesgos, puede eliminar el alias y volver a crearlo.
- Algunas KMS claves no tienen alias
-
Al crear una KMS clave en el AWS KMS consola, debes asignarle un nuevo alias. Sin embargo, no se requiere un alias cuando se utiliza la CreateKeyoperación para crear una KMS clave. Además, puede utilizar la UpdateAliasoperación para cambiar la KMS clave asociada a un alias y la DeleteAliasoperación para eliminar un alias. Como resultado, es posible que algunas KMS claves tengan varios alias y que otras no tengan ninguno.
- AWS crea alias en tu cuenta
-
AWS crea alias en tu cuenta para Claves administradas por AWS. Estos alias tienen nombres del formulario
alias/aws/
, como<service-name>
alias/aws/s3
.Alguno AWS los alias no KMS tienen clave. Estos alias predefinidos suelen estar asociados a un Clave administrada de AWS cuando empiece a utilizar el servicio.
- Utilice alias para identificar las claves KMS
-
Puede utilizar un alias o un alias ARN para identificar una KMS clave en las operaciones criptográficas DescribeKey, y. GetPublicKey (Si la KMS clave está en otro Cuenta de AWS, debe usar su clave ARN o aliasARN.) Los alias no son identificadores válidos para KMS las claves de otros AWS KMS operaciones. Para obtener información sobre los identificadores clave válidos para cada AWS KMS APIconsulte las descripciones de los
KeyId
parámetros en la AWS Key Management Service APIReferencia.No puede utilizar un alias o un alias ARN para identificar una KMS clave en una IAM política. Para controlar el acceso a una KMS clave en función de sus alias, utilice las claves ResourceAliasescondicionales kms: RequestAlias o kms:. Para obtener más información, consulte ABAC para AWS KMS.