Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acerca de los alias
Obtenga información sobre cómo funcionan los alias en AWS KMS.
- Un alias es un recurso AWS independiente.
-
Un alias no es propiedad de una clave KMS. Las acciones que realice en el alias no afectan a su clave KMS asociada. Puede crear un alias para una clave KMS y, a continuación, actualizar el alias para que esté asociado a una clave KMS diferente. Incluso puede eliminar el alias sin ningún efecto en la clave KMS asociada. Sin embargo, si elimina una clave KMS, se eliminan todos los alias asociados a esa clave KMS.
Si especifica un alias como recurso en una política de IAM, la política hace referencia al alias, no a la clave KMS asociada.
- Cada alias tiene dos formatos
-
Cuando se crea un alias, hay que especificar el nombre del alias. AWS KMS crea el alias ARN por usted.
-
Un ARN de alias es un nombre de recurso de Amazon (ARN) que identifica de forma exclusiva el alias.
# Alias ARN arn:aws:kms:us-west-2:111122223333:alias/<alias-name> -
El nombre de alias debe ser único en la cuenta y la región. En API de AWS KMS, el nombre del alias siempre tiene el prefijo de
alias/. Ese prefijo se omite en la consola AWS KMS.# Alias name alias/<alias-name>
-
- Los alias no son secretos
Los alias pueden mostrarse en texto plano en CloudTrail los registros y otros resultados. No incluya información confidencial en el nombre del alias.
- Cada alias está asociado a una clave KMS a la vez
-
El alias y la clave KMS deben estar en la misma cuenta y región.
Puede asociar un alias con cualquier clave administrada por el cliente en la misma Cuenta de AWS y región. Sin embargo, no tiene permiso para asociar un alias con una Clave administrada de AWS.
Por ejemplo, este ListAliasesresultado muestra que el
test-keyalias está asociado exactamente a una clave KMS de destino, que se representa mediante laTargetKeyIdpropiedad.{ "AliasName": "alias/test-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1593622000.191, "LastUpdatedDate": 1593622000.191 } - Se pueden asociar varios alias con la misma clave KMS
-
Por ejemplo, puede asociar los alias
test-keyyproject-keycon la misma clave KMS.{ "AliasName": "alias/test-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1593622000.191, "LastUpdatedDate": 1593622000.191 }, { "AliasName": "alias/project-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/project-key", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1516435200.399, "LastUpdatedDate": 1516435200.399 } - El alias debe ser único en la cuenta y región.
-
Por ejemplo, solo puede tener un alias
test-keyen cada cuenta y región. Los alias distinguen entre mayúsculas y minúsculas, pero los alias que solo difieren en sus mayúsculas son muy propensos a errores. No puede cambiar un nombre de alias. Sin embargo, puede eliminar el alias y crear un nuevo alias con el nombre deseado. - Puede crear alias con el mismo nombre en diferentes regiones
-
Por ejemplo, puede tener un alias
finance-keyen EE. UU. Este (Norte de Virginia) y un aliasfinance-keyen Europa (Fráncfort). Cada alias se asociaría a una clave KMS en su región. Si su código se refiere a un nombre de alias comoalias/finance-key, puede ejecutarlo en varias regiones. En cada región, utiliza una clave KMS diferente. Para obtener más detalles, consulte Usar alias en las aplicaciones. - Puede cambiar la clave KMS asociada a un alias
-
Puede utilizar la UpdateAliasoperación para asociar un alias a una clave de KMS diferente. Por ejemplo, si el alias
finance-keyestá asociado con la clave KMS1234abcd-12ab-34cd-56ef-1234567890ab, puede actualizarla para que esté asociada con la clave KMS0987dcba-09fe-87dc-65ba-ab0987654321.Sin embargo, la clave de KMS actual y la nueva deben ser del mismo tipo (ambas simétricas o ambas asimétricas o ambas HMAC) y deben tener el mismo uso de clave (ENCRYPT_DECRYPT o SIGN_VERIFY o GENERATE_VERIFY_MAC). Esta restricción evita errores en el código que utiliza alias. Si debe asociar un alias a otro tipo de clave y ha mitigado los riesgos, puede eliminar el alias y volver a crearlo.
- Algunas claves KMS no tienen alias
-
Cuando crea una clave KMS en la consola AWS KMS, debe darle un alias nuevo. Sin embargo, no se requiere un alias cuando se utiliza la CreateKeyoperación para crear una clave de KMS. Además, puede utilizar la UpdateAliasoperación para cambiar la clave de KMS asociada a un alias y la DeleteAliasoperación para eliminar un alias. Como resultado, algunas claves KMS pueden tener varios alias, y algunas podrían tener ninguno.
- AWS crea alias en tu cuenta
-
AWS crea alias en tu cuenta para Claves administradas por AWS. Estos alias tienen nombres del formulario
alias/aws/, como, por ejemplo,<service-name>alias/aws/s3.Alguno alias de AWS no tienen clave KMS. Estos alias predefinidos generalmente se asocian con una Clave administrada de AWScuando empieza a utilizar el servicio.
- Usar alias para identificar claves KMS
-
Puede usar un nombre de alias o un ARN de alias para identificar una clave de KMS en las operaciones criptográficas, y DescribeKey. GetPublicKey (Si la clave KMS está en una Cuenta de AWS diferente, debe usar su ARN de clave o ARN de alias). Los alias no son identificadores válidos para las claves KMS en otras operaciones de AWS KMS. Para obtener información acerca de identificadores clave válidos para cada operación de la API de AWS KMS, consulte las descripciones de los parámetros
KeyIden la Referencia de la API de AWS Key Management Service.No puede utilizar un nombre de alias ni un ARN de alias para identificar una clave KMS en una política de IAM. Para controlar el acceso a una clave KMS en función de sus alias, utilice las claves condicionales kms: RequestAlias o kms: ResourceAliases. Para obtener más detalles, consulte ABAC para AWS KMS.
