Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
À propos des alias
Découvrez comment les alias fonctionnent dans AWS KMS.
- Un alias est une ressource AWS indépendante.
-
Un alias n'est pas une propriété d'une clé KMS. Les actions que vous effectuez sur l'alias n'affectent pas sa clé KMS associée. Vous pouvez créer un alias pour une clé KMS, puis mettre à jour l'alias afin qu'il soit associé à une autre clé KMS. Vous pouvez même supprimer l'alias sans aucun effet sur la clé KMS associée. Toutefois, si vous supprimez une clé KMS, tous les alias associés à cette clé KMS sont supprimés.
Si vous spécifiez un alias comme ressource dans une politique IAM, la politique fait référence à l'alias et non à la clé KMS associée.
- Chaque alias a deux formats.
-
Lorsque vous créez un alias, vous spécifiez le nom de l'alias. AWS KMS crée l'ARN d'alias pour vous.
-
Un ARN d'alias est un Amazon Resource Name (ARN) qui identifie l'alias de façon unique.
# Alias ARN arn:aws:kms:us-west-2:111122223333:alias/<alias-name> -
Un nom d'alias qui est unique dans le compte et la région. Dans l'API AWS KMS, le nom d'alias est toujours préfixé par
alias/. Ce préfixe est omis dans la console AWS KMS.# Alias name alias/<alias-name>
-
- Les alias ne sont pas secrets
Les alias peuvent être affichés en texte clair dans les CloudTrail journaux et autres sorties. N'incluez pas d'informations confidentielles ou sensibles dans le nom de l’alias.
- Chaque alias est associé à une clé KMS à la fois.
-
L'alias et sa clé KMS doivent se trouver dans le même compte et la même région.
Vous pouvez associer un alias à n'importe quelle clé gérée par le client dans le même Compte AWS et la même région. Cependant, vous n'êtes pas autorisé à associer un alias à une Clé gérée par AWS.
Par exemple, cette ListAliasessortie indique que l'
test-keyalias est associé à une seule clé KMS cible, qui est représentée par laTargetKeyIdpropriété.{ "AliasName": "alias/test-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1593622000.191, "LastUpdatedDate": 1593622000.191 } - Plusieurs alias peuvent être associés à la même clé KMS.
-
Par exemple, vous pouvez associer les alias
test-keyetproject-keyà la même clé KMS.{ "AliasName": "alias/test-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1593622000.191, "LastUpdatedDate": 1593622000.191 }, { "AliasName": "alias/project-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/project-key", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1516435200.399, "LastUpdatedDate": 1516435200.399 } - Un alias doit être unique dans un compte et une région.
-
Par exemple, vous ne pouvez avoir qu'un seul alias
test-keydans chaque compte et région. Les alias sont sensibles à la casse, mais les alias qui ne diffèrent que par leur majuscule sont très propices aux erreurs. Vous ne pouvez pas modifier un nom d'alias. Toutefois, vous pouvez supprimer l'alias et créer un alias avec le nom souhaité. - Vous pouvez créer des alias avec le même nom dans des régions différentes.
-
Par exemple, vous pouvez avoir un alias
finance-keydans la région USA Est (Virginie du Nord) et un aliasfinance-keyen Europe (Francfort). Chaque alias serait associé à une clé KMS dans sa région. Si votre code fait référence à un nom d'alias commealias/finance-key, vous pouvez l'exécuter dans plusieurs régions. Dans chaque région, il utilise une clé KMS différente. Pour plus de détails, consultez Utilisation d'alias dans vos applications. - Vous pouvez modifier la clé KMS associée à un alias
-
Vous pouvez utiliser cette UpdateAliasopération pour associer un alias à une autre clé KMS. Par exemple, si l'alias
finance-keyest associé à la clé KMS1234abcd-12ab-34cd-56ef-1234567890ab, vous pouvez le mettre à jour afin qu'il soit associé à la clé KMS0987dcba-09fe-87dc-65ba-ab0987654321.Toutefois, la clé KMS actuelle et la nouvelle clé KMS doivent être du même type (toutes deux soit symétriques, soit asymétriques, soit HMAC) et avoir la même utilisation de clé (ENCRYPT_DECRYPT or SIGN_VERIFY ou GENERATE_VERIFY_MAC). Cette restriction empêche les erreurs dans le code qui utilise des alias. Si vous devez associer un alias à un autre type de clé et que vous avez atténué les risques, vous pouvez supprimer et recréer l'alias.
- Certaines clés KMS n'ont pas d'alias.
-
Lorsque vous créez une clé KMS dans la console AWS KMS, vous devez lui attribuer un nouvel alias. Toutefois, aucun alias n'est requis lorsque vous utilisez l'CreateKeyopération pour créer une clé KMS. Vous pouvez également utiliser l'UpdateAliasopération pour modifier la clé KMS associée à un alias et l'DeleteAliasopération pour supprimer un alias. Par conséquent, certaines clés KMS peuvent avoir plusieurs alias, tandis que d'autres peuvent n'en avoir aucun.
- AWS crée des alias dans votre compte.
-
AWS crée des alias dans votre compte pour Clés gérées par AWS. Ces alias ont des noms au format
alias/aws/, comme<service-name>alias/aws/s3.Certains alias AWS n'ont pas de clé KMS. Ces alias prédéfinis sont généralement associés à une Clé gérée par AWS lorsque vous commencez à utiliser le service.
- Utiliser des alias pour identifier les clés KMS
-
Vous pouvez utiliser un nom d'alias ou un ARN d'alias pour identifier une clé KMS dans le cadre d'opérations cryptographiques DescribeKey, et GetPublicKey. (Si la clé KMS est dans un autre Compte AWS, vous devez utiliser son ARN de clé ou ARN d'alias.) Les alias ne sont pas des identificateurs valides pour les clés KMS dans d'autres opérations AWS KMS. Pour de plus amples informations sur les identificateurs de clé pour chaque opération d'API AWS KMS, veuillez consulter les descriptions des paramètres
KeyIddans la Référence d'API AWS Key Management Service.Vous ne pouvez pas utiliser un nom d'alias ou un ARN d'alias pour identifier une clé KMS dans une politique IAM. Pour contrôler l'accès à une clé KMS en fonction de ses alias, utilisez les clés de ResourceAliases condition kms : RequestAlias ou kms :. Pour plus de détails, consultez ABAC pour AWS KMS.
