Administración de alias - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración de alias

Los usuarios autorizados pueden crear, ver y eliminar alias. También puede actualizar un alias, es decir, asociar un alias existente a una KMS clave diferente.

Crear un alias

Puede crear alias en AWS KMS consola o mediante AWS KMS APIoperaciones.

El alias debe ser una cadena de 1-256 caracteres. Solo puede contener caracteres alfanuméricos, barras (/), guiones bajos (_) y guiones (-). El nombre de alias de un clave administrada por el cliente no puede comenzar con alias/aws/. El alias/aws/ prefijo está reservado para Claves administradas por AWS.

Puede crear un alias para una KMS clave nueva o para una KMS clave existente. Puede añadir un alias para que una KMS clave concreta se utilice en un proyecto o aplicación.

Creación de un alias (consola)

Al crear una KMS clave en el AWS KMS consola, debe crear un alias para la nueva KMS clave. Para crear un alias para una KMS clave existente, utilice la pestaña Alias de la página de detalles de la KMS clave.

  1. Inicie sesión en AWS Management Console y abre el AWS Key Management Service (AWS KMS) consola en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el selector de regiones situado en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente. No puede gestionar los alias de Claves administradas por AWS o Claves propiedad de AWS.

  4. En la tabla, elija el ID de clave o el alias de la KMS clave. A continuación, en la página de detalles KMS clave, selecciona la pestaña Alias.

    Si una KMS clave tiene varios alias, la columna Alias de la tabla muestra un alias y un resumen del alias, como (+ n más). Si selecciona el resumen de alias, accederá directamente a la pestaña Alias de la página de detalles KMS clave.

  5. En la pestaña Aliases (Alias), elija Create alias (Creación de alias). Introduzca un nombre de alias y elija Create alias (Creación de alias).

    importante

    No incluya información confidencial en este campo. Este campo puede mostrarse en texto plano en CloudTrail los registros y otros resultados.

    nota

    No agregue el prefijo alias/. La consola lo agrega automáticamente. Si ingresaalias/ExampleAlias, el nombre de alias real será alias/alias/ExampleAlias.

Cree un alias (AWS KMS API)

Para crear un alias, utilice la CreateAliasoperación. A diferencia del proceso de creación de KMS claves en la consola, la CreateKeyoperación no crea un alias para una KMS clave nueva.

importante

No incluya información confidencial en este campo. Este campo puede mostrarse en texto plano en CloudTrail los registros y otros resultados.

Puede utilizar la CreateAlias operación para crear un alias para una KMS clave nueva sin alias. También puede utilizar la CreateAlias operación para añadir un alias a cualquier KMS clave existente o para volver a crear un alias que se haya eliminado accidentalmente.

En el navegador AWS KMS APIEn cualquier operación, el nombre del alias debe empezar por alias/ seguido de un nombre, por ejemplo. alias/ExampleAlias El alias debe ser único en la cuenta y en la región de . Para buscar los nombres de alias que ya están en uso, utilice la ListAliasesoperación. El nombre del alias distingue entre mayúsculas y minúsculas.

TargetKeyIdPuede ser cualquier clave gestionada por el cliente en la misma Región de AWS. Para identificar la KMS clave, utilice su identificador o clave ARN. No puede usar otro alias.

El siguiente ejemplo crea el example-key alias y lo asocia a la KMS clave especificada. En estos ejemplos se utiliza la AWS Command Line Interface (AWS CLI). Para ver ejemplos en varios lenguajes de programación, consulteCreateAliasÚselo con un AWS SDKo CLI.

$ aws kms create-alias \ --alias-name alias/example-key \ --target-key-id 1234abcd-12ab-34cd-56ef-1234567890ab

CreateAlias no devuelve ningún resultado. Para ver el nuevo alias, utilice la operación ListAliases. Para obtener más información, consulte Visualización de alias (AWS KMS API).

Visualización de alias

Los alias facilitan el reconocimiento de KMS las claves del AWS KMS console. Puede ver los alias de una KMS clave en AWS KMS consola o mediante la ListAliasesoperación. La DescribeKeyoperación, que devuelve las propiedades de una KMS clave, no incluye alias.

Visualización de alias (consola)

Las claves administradas por el cliente y Claves administradas por AWSpáginas del AWS KMS la consola muestra el alias asociado a cada KMS tecla. También puede buscar, ordenar y filtrar KMS las claves en función de sus alias.

La siguiente imagen del AWS KMS la consola muestra los alias de la página de claves gestionadas por el cliente de una cuenta de ejemplo. Como se muestra en la imagen, algunas KMS claves no tienen un alias.

Cuando una KMS clave tiene varios alias, la columna Alias muestra un alias y un resumen del alias (+ n más). El resumen de alias muestra cuántos alias adicionales están asociados a la KMS clave y enlaza con la visualización de todos los alias de la KMS clave en la pestaña Alias.

Los alias aparecen en la página de claves gestionadas por el cliente del AWS KMS consola

La pestaña Alias de la página de detalles de cada KMS clave muestra el nombre del alias y los alias ARN de todos los alias de la clave del KMS Cuenta de AWS y región. También puede utilizar la pestaña Aliases (Alias) para crear alias y para eliminar alias.

Para buscar el nombre del alias y los alias ARN de todos los alias de la KMS clave, utilice la pestaña Alias.

  • Para ir directamente a la pestaña Aliases (Alias), en la columna Aliases (Alias), elija el resumen de alias (+n más). Solo aparece un resumen de alias si la KMS clave tiene más de un alias.

  • O bien, elija el alias o el identificador de clave de la KMS clave (que abre la página de detalles de la KMS clave) y, a continuación, elija la pestaña Alias. Las pestañas se encuentran debajo de la sección General configuration (Configuración general).

La siguiente imagen muestra la pestaña Alias como ejemplo KMS de clave.

Aliases tab showing two alias entries: access-key and project-alpha with their ARNs.

Puede utilizar el alias para reconocer un Clave administrada de AWS, como se muestra en este ejemplo Claves administradas por AWSpágina. Los alias de Claves administradas por AWS siempre tienen el formato:aws/<service-name>. Por ejemplo, el alias del Clave administrada de AWS para Amazon aws/dynamodb DynamoDB es.

Los alias en el Claves administradas por AWSpágina del AWS KMS consola

Visualización de alias (AWS KMS API)

La ListAliasesoperación devuelve el nombre del alias y el alias ARN de los alias de la cuenta y la región. El resultado incluye los alias de Claves administradas por AWS y para las claves gestionadas por el cliente. Los alias de Claves administradas por AWS tienen el formatoaws/<service-name>, por ejemplo. aws/dynamodb

La respuesta también podría incluir los alias que no tienen el campo TargetKeyId. Se trata de alias predefinidos que AWS ha creado una KMS clave, pero aún no la ha asociado.

$ aws kms list-aliases { "Aliases": [ { "AliasName": "alias/access-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1516435200.399, "LastUpdatedDate": 1516435200.399 }, { "AliasName": "alias/ECC-P521-Sign", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ECC-P521-Sign", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1693622000.704, "LastUpdatedDate": 1693622000.704 }, { "AliasName": "alias/ImportedKey", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ImportedKey", "TargetKeyId": "1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d", "CreationDate": 1493622000.704, "LastUpdatedDate": 1521097200.235 }, { "AliasName": "alias/finance-project", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/finance-project", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1604958290.014, "LastUpdatedDate": 1604958290.014 }, { "AliasName": "alias/aws/dynamodb", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/dynamodb", "TargetKeyId": "0987ab65-43cd-21ef-09ab-87654321cdef", "CreationDate": 1521097200.454, "LastUpdatedDate": 1521097200.454 }, { "AliasName": "alias/aws/ebs", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/ebs", "TargetKeyId": "abcd1234-09fe-ef90-09fe-ab0987654321", "CreationDate": 1466518990.200, "LastUpdatedDate": 1466518990.200 } ] }

Para obtener todos los alias asociados a una KMS clave concreta, utilice el KeyId parámetro opcional de la ListAliases operación. El KeyId parámetro toma el identificador de clave o la clave ARN de la KMS clave.

En este ejemplo se obtienen todos los alias asociados a la 0987dcba-09fe-87dc-65ba-ab0987654321 KMS clave.

$ aws kms list-aliases --key-id 0987dcba-09fe-87dc-65ba-ab0987654321 { "Aliases": [ { "AliasName": "alias/access-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": "2018-01-20T15:23:10.194000-07:00", "LastUpdatedDate": "2018-01-20T15:23:10.194000-07:00" }, { "AliasName": "alias/finance-project", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/finance-project", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1604958290.014, "LastUpdatedDate": 1604958290.014 } ] }

El parámetro KeyId no toma caracteres comodín, pero puede usar las características de su lenguaje de programación para filtrar la respuesta.

Por ejemplo, lo siguiente AWS CLI el comando obtiene únicamente los alias de Claves administradas por AWS.

$ aws kms list-aliases --query 'Aliases[?starts_with(AliasName, `alias/aws/`)]'

El siguiente comando obtiene sólo el alias de access-key. El nombre del alias distingue entre mayúsculas y minúsculas.

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/access-key`]' [ { "AliasName": "alias/access-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": "2018-01-20T15:23:10.194000-07:00", "LastUpdatedDate": "2018-01-20T15:23:10.194000-07:00" } ]

Actualización de alias

Como un alias es un recurso independiente, puede cambiar la KMS clave asociada a un alias. Por ejemplo, si el test-key alias está asociado a una KMS clave, puede utilizar la UpdateAliasoperación para asociarlo a una KMS clave diferente. Esta es una de las diversas formas de girar manualmente una KMS clave sin cambiar el material de la clave. También puede actualizar una KMS clave para que una aplicación que utilizaba una KMS clave para nuevos recursos utilice ahora una KMS clave diferente.

No puede actualizar un alias en AWS KMS console. Además, no puede utilizar UpdateAlias (o cualquier otra operación) para cambiar un nombre de alias. Para cambiar el nombre de un alias, elimine el alias actual y, a continuación, cree uno nuevo para la KMS clave.

Al actualizar un alias, la KMS clave actual y la nueva KMS deben ser del mismo tipo (simétricas o asimétricas oHMAC). También deben tener el mismo uso de clave (ENCRYPT_DECRYPTSIGN_VERIFYo GENERATE _ VERIFY _MAC). Esta restricción evita errores criptográficos en el código que utiliza alias.

El siguiente ejemplo comienza con la ListAliasesoperación para mostrar que el test-key alias está asociado actualmente a la KMS clave1234abcd-12ab-34cd-56ef-1234567890ab.

$ aws kms list-aliases --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "Aliases": [ { "AliasName": "alias/test-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1593622000.191, "LastUpdatedDate": 1593622000.191 } ] }

A continuación, utiliza la UpdateAlias operación para cambiar la KMS clave asociada al test-key alias por KMS clave0987dcba-09fe-87dc-65ba-ab0987654321. No es necesario especificar la clave actualmente asociada, solo la nueva KMS clave («de destino»)KMS. El nombre del alias distingue entre mayúsculas y minúsculas.

$ aws kms update-alias --alias-name 'alias/test-key' --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321

Para comprobar que el alias está ahora asociado a la KMS clave de destino, vuelva a utilizar la ListAliases operación. Este AWS CLI el comando usa el --query parámetro para obtener solo el test-key alias. Los campos TargetKeyId y LastUpdatedDate se actualizan.

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/test-key`]' [ { "AliasName": "alias/test-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1593622000.191, "LastUpdatedDate": 1604958290.154 } ]

Eliminar un alias

Puede eliminar un alias en AWS KMS consola o mediante la DeleteAliasoperación. Antes de eliminar un alias, asegúrese de que no esté en uso. Aunque la eliminación de un alias no afecta a la KMS clave asociada, puede crear problemas para cualquier aplicación que utilice el alias. Si eliminas un alias por error, puedes crear uno nuevo con el mismo nombre y asociarlo a la misma clave o a una KMS clave diferente.

Si elimina una KMS clave, se eliminan todos los alias asociados a esa KMS clave.

Eliminar alias (consola)

Para eliminar un alias de AWS KMS consola, utiliza la pestaña Alias de la página de detalles para la KMS clave. Puede eliminar varios alias de una KMS clave a la vez.

  1. Inicie sesión en AWS Management Console y abre el AWS Key Management Service (AWS KMS) consola en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el selector de regiones situado en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente. No puede gestionar los alias de Claves administradas por AWS o Claves propiedad de AWS.

  4. En la tabla, elija el ID de clave o el alias de la KMS clave. A continuación, en la página de detalles KMS clave, selecciona la pestaña Alias.

    Si una KMS clave tiene varios alias, la columna Alias de la tabla muestra un alias y un resumen del alias, como (+ n más). Si selecciona el resumen de alias, accederá directamente a la pestaña Alias de la página de detalles KMS clave.

  5. En la pestaña Aliases (Alias), seleccione la casilla de verificación situada junto a los alias que desea eliminar. A continuación, elija Eliminar.

Eliminar un alias (AWS KMS API)

Para eliminar un alias, utilice la DeleteAliasoperación. Esta operación elimina un alias a la vez. El nombre del alias distingue entre mayúsculas y minúsculas y debe estar precedido por el prefijo alias/.

Por ejemplo, el siguiente comando elimina el alias test-key. El comando no devuelve ningún resultado.

$ aws kms delete-alias --alias-name alias/test-key

Para comprobar que se ha eliminado el alias, utilice la ListAliasesoperación. El comando siguiente utiliza el --query parámetro de AWS CLI para obtener únicamente el test-key alias. Los corchetes vacíos en la respuesta indican que la respuesta ListAliases no incluyó un alias test-key. Para eliminar los corchetes, utilice el parámetro y valor --output text.

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/test-key`]' []