Administración de alias

Los usuarios autorizados pueden crear, ver y eliminar alias. También puede actualizar un alias, es decir, asociar un alias existente con una clave KMS distinta.

Crear un alias

Puede crear alias en la consola AWS KMS o mediante operaciones de la API de AWS KMS.

El alias debe ser una cadena de 1-256 caracteres. Solo puede contener caracteres alfanuméricos, barras (/), guiones bajos (_) y guiones (-). El nombre de alias de un clave administrada por el cliente no puede comenzar con alias/aws/. El prefijo alias/aws/ se reserva para el uso de Clave administrada de AWS.

Puede crear un alias para una nueva clave KMS o para una clave KMS existente. Puede agregar un alias para que se utilice una clave KMS concreta en un proyecto o aplicación.

Creación de un alias (consola)

Cuando crea una clave KMS en la consola AWS KMS, debe crear un alias para la nueva clave KMS. Para crear un alias para una clave KMS existente, utilice la pestaña Aliases (Alias) en la página de detalles de la clave KMS.

1. Inicie sesión en la AWS Management Console y abra la consola de AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

3. En el panel de navegación, elija Claves administradas por el cliente. No puede administrar alias para Claves administradas por AWS ni para Claves propiedad de AWS.

4. En la tabla, elija el ID de clave o el alias de la clave KMS. A continuación, en la página de detalles de la clave KMS, elija la pestaña Aliases (Alias).

   Si una clave KMS tiene varios alias, la columna Aliases (Alias) de la tabla muestra un alias y un resumen de alias, como (+n más). Al elegir el resumen de alias, se le llevará directamente a la pestaña Aliases (Alias) en la página de detalles de la clave KMS.

5. En la pestaña Aliases (Alias), elija Create alias (Creación de alias). Introduzca un nombre de alias y elija Create alias (Creación de alias).

   importante

   No incluya información confidencial en este campo. Este campo puede mostrarse en texto plano en CloudTrail los registros y otros resultados.

   nota

   No agregue el prefijo alias/. La consola lo agrega automáticamente. Si ingresaalias/ExampleAlias, el nombre de alias real será alias/alias/ExampleAlias.

Creación de un alias (API de AWS KMS)

Para crear un alias, utilice la CreateAliasoperación. A diferencia del proceso de creación de claves de KMS en la consola, la CreateKeyoperación no crea un alias para una clave de KMS nueva.

importante

No incluya información confidencial en este campo. Este campo puede mostrarse en texto plano en CloudTrail los registros y otros resultados.

Puede utilizar la operación CreateAlias para crear un alias para una nueva clave KMS sin alias. También puede utilizar la operación CreateAlias para agregar un alias a cualquier clave KMS existente o para volver a crear un alias que se eliminó accidentalmente.

En las operaciones de la API de AWS KMS, cada nombre de alias debe comenzar por alias/ seguido de un nombre, como, por ejemplo alias/ExampleAlias. El alias debe ser único en la cuenta y en la región de . Para buscar los nombres de alias que ya están en uso, utilice la ListAliasesoperación. El nombre del alias distingue entre mayúsculas y minúsculas.

La TargetKeyId puede ser cualquier clave administrada por el cliente en la misma Región de AWS. Para identificar la clave KMS, utilice su ID de clave o su ARN de clave. No puede usar otro alias.

En el ejemplo siguiente, se crea el alias example-key y lo asocia con la clave KMS especificada. Estos ejemplos utilizan la AWS Command Line Interface (AWS CLI). Para ver ejemplos en varios lenguajes de programación, consulte Trabajar con alias.

$ aws kms create-alias \
    --alias-name alias/example-key \
    --target-key-id 1234abcd-12ab-34cd-56ef-1234567890ab

CreateAlias no devuelve ningún resultado. Para ver el nuevo alias, utilice la operación ListAliases. Para obtener más detalles, consulte Visualización de alias (API de AWS KMS).

Visualización de alias

Los alias facilitan el reconocimiento de claves KMS en la consola de AWS KMS. Puede ver los alias de una clave KMS en la AWS KMS consola o mediante la ListAliasesoperación. La DescribeKeyoperación, que devuelve las propiedades de una clave KMS, no incluye los alias.

Visualización de alias (consola)

Las claves administradas por el cliente y las páginas Claves administradas por AWS de la consola de AWS KMS muestran el alias asociado a cada clave KMS. También puede buscar, ordenar y filtrar claves KMS basadas en sus alias.

La siguiente imagen de la consola de AWS KMS muestra los alias en la página Customer managed keys (Claves administradas por el cliente) de una cuenta de ejemplo. Como se muestra en la imagen, algunas claves de KMS no tienen un alias.

Cuando una clave KMS tiene varios alias, la columna Aliases (Alias) muestra un alias y un alias summary (resumen de alias) (+n más). El resumen de alias muestra cuántos alias adicionales están asociados a la clave KMS y los vínculos a la visualización de todos los alias de la clave KMS en la pestaña Aliases (Alias).

La pestaña Aliases (Alias) de la página de detalles de cada clave KMS muestra el nombre de alias y el ARN de alias de todos los alias de la clave KMS en la Cuenta de AWSy región. También puede utilizar la pestaña Aliases (Alias) para crear alias y para eliminar alias.

Para buscar el nombre de alias y el ARN de alias de todos los alias de la clave KMS, utilice la pestaña Aliases (Alias).

• Para ir directamente a la pestaña Aliases (Alias), en la columna Aliases (Alias), elija el resumen de alias (+n más). Un resumen de alias sólo aparece si la clave KMS tiene más de un alias.

• O bien, elija el alias o el ID de clave de la clave KMS (que abre la página de detalles de la clave KMS) y, a continuación, elija la pestaña Aliases (Alias). Las pestañas se encuentran debajo de la sección General configuration (Configuración general).

En la siguiente imagen se muestra la pestaña Aliases (Alias) para obtener una clave KMS de ejemplo.

Puede usar el alias para reconocer una Clave administrada de AWS, como se muestra en esta página de Claves administradas por AWS de ejemplo. Los alias de Claves administradas por AWS siempre tienen el formato: aws/<service-name>. Por ejemplo, el alias para Clave administrada de AWS para Amazon DynamoDB es aws/dynamodb.

Visualización de alias (API de AWS KMS)

La ListAliasesoperación devuelve el nombre del alias y el ARN del alias de la cuenta y la región. La salida incluye alias para Claves administradas por AWS y para claves administradas por el cliente. Los alias de Claves administradas por AWS deben tener el formatoaws/<service-name>, como, por ejemplo,aws/dynamodb.

La respuesta también podría incluir los alias que no tienen el campo TargetKeyId. Estos son los alias predefinidos que AWS ha creado, pero aún no se han asociado con una clave KMS.

$ aws kms list-aliases
{
    "Aliases": [
        {
            "AliasName": "alias/access-key",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key",
            "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
            "CreationDate": 1516435200.399,
            "LastUpdatedDate": 1516435200.399
        },        
        {
            "AliasName": "alias/ECC-P521-Sign",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ECC-P521-Sign",
            "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
            "CreationDate": 1693622000.704,
            "LastUpdatedDate": 1693622000.704
        },
        {
            "AliasName": "alias/ImportedKey",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ImportedKey",
            "TargetKeyId": "1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d",
            "CreationDate": 1493622000.704,
            "LastUpdatedDate": 1521097200.235
        },
        {
            "AliasName": "alias/finance-project",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/finance-project",
            "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
            "CreationDate": 1604958290.014,
            "LastUpdatedDate": 1604958290.014
        },
        {
            "AliasName": "alias/aws/dynamodb",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/dynamodb",
            "TargetKeyId": "0987ab65-43cd-21ef-09ab-87654321cdef",
            "CreationDate": 1521097200.454,
            "LastUpdatedDate": 1521097200.454
        },
        {
            "AliasName": "alias/aws/ebs",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/ebs",
            "TargetKeyId": "abcd1234-09fe-ef90-09fe-ab0987654321",
            "CreationDate": 1466518990.200,
            "LastUpdatedDate": 1466518990.200
        }
    ]
}

Para obtener todos los alias que están asociados con una determinada clave KMS, utilice el parámetro KeyId de la operación ListAliases. El parámetro KeyId toma el ID de clave o el ARN de clave de la clave KMS.

En este ejemplo se obtienen todos los alias asociados con el0987dcba-09fe-87dc-65ba-ab0987654321 de la clave KMS.

$ aws kms list-aliases --key-id 0987dcba-09fe-87dc-65ba-ab0987654321
{
    "Aliases": [
        {
            "AliasName": "alias/access-key",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key",
            "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
            "CreationDate": "2018-01-20T15:23:10.194000-07:00",
            "LastUpdatedDate": "2018-01-20T15:23:10.194000-07:00"
        },
        {
            "AliasName": "alias/finance-project",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/finance-project",
            "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
            "CreationDate": 1604958290.014,
            "LastUpdatedDate": 1604958290.014
        }
    ]
}

El parámetro KeyId no toma caracteres comodín, pero puede usar las características de su lenguaje de programación para filtrar la respuesta.

Por ejemplo, el siguiente comando AWS CLI obtiene solo los alias de Claves administradas por AWS.

$ aws kms list-aliases --query 'Aliases[?starts_with(AliasName, `alias/aws/`)]'

El siguiente comando obtiene sólo el alias de access-key. El nombre del alias distingue entre mayúsculas y minúsculas.

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/access-key`]'
[
    {
        "AliasName": "alias/access-key",
        "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key",
        "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": "2018-01-20T15:23:10.194000-07:00",
        "LastUpdatedDate": "2018-01-20T15:23:10.194000-07:00"
    }
]

Actualización de alias

Dado que un alias es un recurso independiente, puede cambiar la clave KMS asociada a un alias. Por ejemplo, si el test-key alias está asociado a una clave de KMS, puede utilizar la UpdateAliasoperación para asociarlo a una clave de KMS diferente. Esta es una de las varias maneras de girar manualmente una clave KMS sin cambiar su material clave. También puede actualizar una clave KMS para que una aplicación que estaba utilizando una clave KMS para nuevos recursos utilice ahora una clave KMS diferente.

No puede actualizar un alias en la consola de AWS KMS. Además, no puede utilizar UpdateAlias (o cualquier otra operación) para cambiar un nombre de alias. Para cambiar un nombre de alias, elimine el alias actual y, a continuación, cree un alias nuevo para la clave KMS.

Al actualizar un alias, la clave de KMS actual y la nueva clave de KMS deben ser del mismo tipo (ambas simétricas o asimétricas o HMAC). También deben tener el mismo uso de claves (ENCRYPT_DECRYPT o SIGN_VERIFY o GENERATE_VERIFY_MAC). Esta restricción evita errores criptográficos en el código que utiliza alias.

El siguiente ejemplo comienza con la ListAliasesoperación para mostrar que el test-key alias está asociado actualmente a la clave de KMS1234abcd-12ab-34cd-56ef-1234567890ab.

$ aws kms list-aliases --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "Aliases": [
        {
            "AliasName": "alias/test-key",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
            "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
            "CreationDate": 1593622000.191,
            "LastUpdatedDate": 1593622000.191
        }
    ]
}

A continuación, utiliza la operación UpdateAlias para cambiar la clave KMS que está asociada con el alias test-key a la clave KMS 0987dcba-09fe-87dc-65ba-ab0987654321. No es necesario especificar la clave KMS asociada actualmente, solo la nueva («destino») clave KMS. El nombre del alias distingue entre mayúsculas y minúsculas.

$ aws kms update-alias --alias-name 'alias/test-key' --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321

Para comprobar que el alias se asocia ahora con la clave KMS de destino, utilice la operación ListAliases de nuevo. Este comando AWS CLI utiliza el parámetro --query para obtener solo el alias de test-key. Los campos TargetKeyId y LastUpdatedDate se actualizan.

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/test-key`]'
[
    {
        "AliasName": "alias/test-key",
        "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
        "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": 1593622000.191,
        "LastUpdatedDate": 1604958290.154
    }
]

Eliminar un alias

Puede eliminar un alias en la AWS KMS consola o mediante la DeleteAliasoperación. Antes de eliminar un alias, asegúrese de que no esté en uso. Aunque eliminar un alias no afecta a la clave KMS asociada, puede crear problemas para cualquier aplicación que utilice el alias. Si elimina un alias por error, puede crear un nuevo alias con el mismo nombre y asociarlo a la misma clave KMS o a otra.

Si elimina una clave KMS, se eliminan todos los alias asociados a esa clave KMS.

Eliminar alias (consola)

Para eliminar un alias en la consola de AWS KMS, utilice la pestaña Aliases (Alias) en la página de detalles de la clave KMS. Puede eliminar varios alias para una clave KMS a la vez.

1. Inicie sesión en la AWS Management Console y abra la consola de AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

3. En el panel de navegación, elija Claves administradas por el cliente. No puede administrar alias para Claves administradas por AWS ni para Claves propiedad de AWS.

4. En la tabla, elija el ID de clave o el alias de la clave KMS. A continuación, en la página de detalles de la clave KMS, elija la pestaña Aliases (Alias).

   Si una clave KMS tiene varios alias, la columna Aliases (Alias) de la tabla muestra un alias y un resumen de alias, como (+n más). Al elegir el resumen de alias, se le llevará directamente a la pestaña Aliases (Alias) en la página de detalles de la clave KMS.

5. En la pestaña Aliases (Alias), seleccione la casilla de verificación situada junto a los alias que desea eliminar. A continuación, elija Eliminar.

Eliminar un alias (API de AWS KMS)

Para eliminar un alias, utilice la DeleteAliasoperación. Esta operación elimina un alias a la vez. El nombre del alias distingue entre mayúsculas y minúsculas y debe estar precedido por el prefijo alias/.

Por ejemplo, el siguiente comando elimina el alias test-key. El comando no devuelve ningún resultado.

$ aws kms delete-alias --alias-name alias/test-key

Para comprobar que se ha eliminado el alias, utilice la ListAliasesoperación. El siguiente comando utiliza el parámetro --query en la AWS CLI para obtener solo el alias de test-key. Los corchetes vacíos en la respuesta indican que la respuesta ListAliases no incluyó un alias test-key. Para eliminar los corchetes, utilice el parámetro y valor --output text.

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/test-key`]'
[]