Alias dans AWS KMS - AWS Key Management Service
Comment fonctionnent les alias

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Alias dans AWS KMS

Un alias est un nom convivial pour une AWS KMS key. Par exemple, un alias vous permet de faire référence à une KMS clé comme test-key au lieu de1234abcd-12ab-34cd-56ef-1234567890ab.

Vous pouvez utiliser un alias pour identifier une KMS clé dans la AWS KMS console, dans l'DescribeKeyopération et dans les opérations cryptographiques, telles que Encrypt et. GenerateDataKey Les alias facilitent également la reconnaissance d'une Clé gérée par AWS. Les alias de ces KMS clés sont toujours de la formeaws/<service-name>. Par exemple, l'alias Clé gérée par AWS pour Amazon aws/dynamodb DynamoDB est. Vous pouvez établir des normes d'alias similaires pour vos projets, par exemple préfacer vos alias avec le nom d'un projet ou d'une catégorie.

Vous pouvez également autoriser ou refuser l'accès aux KMS clés en fonction de leurs alias sans modifier les politiques ni gérer les autorisations. Cette fonctionnalité fait partie de la AWS KMS prise en charge du contrôle d'accès basé sur les attributs ()ABAC. Pour plus de détails, consultez Utiliser des alias pour contrôler l'accès aux clés KMS.

La puissance des alias provient en grande partie de votre capacité à modifier la KMS clé associée à un alias à tout moment. Les alias peuvent faciliter l'écriture et la maintenance de votre code. Supposons, par exemple, que vous utilisiez un alias pour faire référence à une KMS clé particulière et que vous souhaitiez modifier cette KMS clé. Dans ce cas, associez simplement l'alias à une autre KMS clé. Vous n'avez pas besoin d'apporter de modifications à votre code.

Les alias facilitent également la réutilisation du même code dans différentes Régions AWS. Créez des alias portant le même nom dans plusieurs régions et associez chaque alias à une KMS clé dans sa région. Lorsque le code s'exécute dans chaque région, l'alias fait référence à la KMS clé associée dans cette région. Pour obtenir un exemple, consultez Apprenez à utiliser des alias dans vos applications.

Vous pouvez créer un alias pour une KMS clé dans la AWS KMS console en utilisant le CreateAliasAPImodèle : : : :Alias ou en utilisant le AWS CloudFormation modèle AWS : KMS : :Alias.

Permet AWS KMS API un contrôle total des alias dans chaque compte et région. APICela inclut les opérations permettant de créer un alias (CreateAlias), d'afficher les noms d'alias et d'alias ARNs (ListAliases), de modifier la KMS clé associée à un alias (UpdateAlias) et de supprimer un alias (DeleteAlias).

Comment fonctionnent les alias

Découvrez comment les alias fonctionnent dans AWS KMS.

Un alias est une AWS ressource indépendante

Un alias n'est pas une propriété d'une KMS clé. Les actions que vous effectuez sur l'alias n'affectent pas la KMS clé associée. Vous pouvez créer un alias pour une KMS clé, puis le mettre à jour afin qu'il soit associé à une autre KMS clé. Vous pouvez même supprimer l'alias sans aucun effet sur la KMS clé associée. Toutefois, si vous supprimez une KMS clé, tous les alias associés à cette KMS clé sont supprimés.

Si vous spécifiez un alias comme ressource dans une IAM politique, celle-ci fait référence à l'alias, et non à la KMS clé associée.

Chaque alias a deux formats.

Lorsque vous créez un alias, vous spécifiez son nom. AWS KMS crée l'alias ARN pour vous.

  • Un alias ARN est un Amazon Resource Name (ARN) qui identifie l'alias de manière unique. 

    # Alias ARN
arn:aws:kms:us-west-2:111122223333:alias/<alias-name>

  • Un nom d'alias qui est unique dans le compte et la région. Dans le AWS KMS API, le nom de l'alias est toujours préfixé paralias/. Ce préfixe est omis dans la AWS KMS console.

    # Alias name
alias/<alias-name>
Les alias ne sont pas secrets

Les alias peuvent être affichés en texte clair dans les CloudTrail journaux et autres sorties. N'incluez pas d'informations confidentielles ou sensibles dans le nom de l’alias.

Chaque alias est associé à une KMS clé à la fois

L'alias et sa KMS clé doivent se trouver dans le même compte et dans la même région.

Vous pouvez associer un alias à n'importe quelle clé gérée par le client dans Compte AWS la même région. Cependant, vous n'êtes pas autorisé à associer un alias à une Clé gérée par AWS.

Par exemple, cette ListAliasessortie indique que l'test-keyalias est associé à une seule KMS clé cible, qui est représentée par la TargetKeyId propriété.

{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
}
Plusieurs alias peuvent être associés à la même clé KMS

Par exemple, vous pouvez associer les project-key alias test-key et à la même KMS clé.

{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
},
{
     "AliasName": "alias/project-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/project-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1516435200.399,
     "LastUpdatedDate": 1516435200.399
}
Un alias doit être unique dans un compte et une région.

Par exemple, vous ne pouvez avoir qu'un seul alias test-key dans chaque compte et région. Les alias sont sensibles à la casse, mais les alias qui ne diffèrent que par leur majuscule sont très propices aux erreurs. Vous ne pouvez pas modifier un nom d'alias. Toutefois, vous pouvez supprimer l'alias et créer un alias avec le nom souhaité.

Vous pouvez créer des alias avec le même nom dans des régions différentes.

Par exemple, vous pouvez avoir un alias finance-key dans la région USA Est (Virginie du Nord) et un alias finance-key en Europe (Francfort). Chaque alias serait associé à une KMS clé dans sa région. Si votre code fait référence à un nom d'alias comme alias/finance-key, vous pouvez l'exécuter dans plusieurs régions. Dans chaque région, il utilise une KMS clé différente. Pour plus de détails, consultez Apprenez à utiliser des alias dans vos applications.

Vous pouvez modifier la KMS clé associée à un alias

Vous pouvez utiliser cette UpdateAliasopération pour associer un alias à une autre KMS clé. Par exemple, si l'finance-keyalias est associé à la 1234abcd-12ab-34cd-56ef-1234567890ab KMS clé, vous pouvez le mettre à jour afin qu'il soit associé à la 0987dcba-09fe-87dc-65ba-ab0987654321 KMS clé.

Cependant, la clé actuelle et la nouvelle KMS clé doivent être du même type (symétriques ou asymétriques ou les deuxHMAC), et elles doivent avoir la même utilisation de la clé (ENCRYPT_ DECRYPT ou _ VERIFY ou SIGN _ GENERATE VERIFY _MAC). Cette restriction empêche les erreurs dans le code qui utilise des alias. Si vous devez associer un alias à un autre type de clé et que vous avez atténué les risques, vous pouvez supprimer et recréer l'alias.

Certaines KMS clés n'ont pas d'alias

Lorsque vous créez une KMS clé dans la AWS KMS console, vous devez lui attribuer un nouvel alias. Toutefois, aucun alias n'est requis lorsque vous utilisez l'CreateKeyopération pour créer une KMS clé. Vous pouvez également utiliser l'UpdateAliasopération pour modifier la KMS clé associée à un alias et l'DeleteAliasopération pour supprimer un alias. Par conséquent, certaines KMS clés peuvent avoir plusieurs alias, tandis que d'autres n'en ont aucun.

AWS crée des alias dans votre compte

AWS crée des alias dans votre compte pour Clés gérées par AWS. Ces alias ont des noms au format alias/aws/<service-name>, comme alias/aws/s3.

Certains AWS alias n'ont pas de KMS clé. Ces alias prédéfinis sont généralement associés à un identifiant Clé gérée par AWS lorsque vous commencez à utiliser le service.

Utiliser des alias pour identifier les clés KMS

Vous pouvez utiliser un nom d'alias ou un alias ARN pour identifier une KMS clé dans les opérations cryptographiques DescribeKey, et GetPublicKey. (Si la KMSclé est dans une autre Compte AWS, vous devez utiliser sa clé ARN ou son aliasARN.) Les alias ne sont pas des identifiants valides pour les KMS clés utilisées dans d'autres AWS KMS opérations. Pour plus d'informations sur les identificateurs de clé valides pour chaque AWS KMS API opération, consultez les descriptions des KeyId paramètres dans la AWS Key Management Service APIréférence.

Vous ne pouvez pas utiliser un nom d'alias ou un alias ARN pour identifier une KMS clé dans une IAM politique. Pour contrôler l'accès à une KMS clé en fonction de ses alias, utilisez les clés de ResourceAliases condition kms : RequestAlias ou kms :. Pour plus de détails, consultez ABACpour AWS KMS.