Gestion des alias - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des alias

Les utilisateurs autorisés peuvent créer, afficher et supprimer des alias. Vous pouvez également mettre à jour un alias, c'est-à-dire associer un alias existant avec une autre clé KMS.

Création d'un alias

Vous pouvez créer des alias dans la console AWS KMS ou en utilisant des opérations d'API AWS KMS.

L'alias doit être une chaîne de 1 à 256 caractères. Il peut contenir uniquement des caractères alphanumériques, des barres obliques (/), des traits de soulignement (_) et des tirets (-). Le nom d'alias d'une clé gérée par le client ne peut commencer par alias/aws/. Le préfixe alias/aws/ est réservé à une Clé gérée par AWS.

Vous pouvez créer un alias pour une nouvelle clé KMS ou pour une clé KMS existante. Vous pouvez ajouter un alias afin qu'une clé KMS particulière soit utilisée dans un projet ou une application.

Créer un alias (console)

Lorsque vous créez une clé KMS dans la console AWS KMS, vous devez créer un alias pour la nouvelle clé KMS. Pour créer un alias pour une clé KMS existante, utilisez l'option Aliases (Alias) sur la page de détails de la clé KMS.

  1. Connectez-vous à AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms.

  2. Pour changer le paramètre Région AWS, utilisez le sélecteur de région dans l'angle supérieur droit de la page.

  3. Dans le volet de navigation, choisissez Clés gérées par le client. Vous ne pouvez pas gérer des alias pour des Clés gérées par AWS ou des Clés détenues par AWS.

  4. Dans la table, choisissez l'alias ou l'ID d'une clé KMS. Ensuite, sur la page de détails de la clé KMS, choisissez l'onglet Aliases (Alias).

    Si une clé KMS possède plusieurs alias, la colonne Aliases (Alias) dans la table affiche un alias et un résumé d'alias, tel que (+n plus). Le choix du résumé d'alias vous mène directement à l'onglet Aliases (Alias) dans la page des détails de la clé KMS.

  5. Dans l'onglet Aliases (Alias), choisissez Create alias (Créer un alias). Saisissez un nom d'alias et choisissez Create alias (Créer un alias).

    Important

    N'incluez pas d'informations confidentielles ou sensibles dans ce champ. Ce champ peut être affiché en texte brut dans les CloudTrail journaux et autres sorties.

    Note

    N'ajoutez pas le préfixe alias/. La console l’ajoute pour vous automatiquement. Si vous saisissez alias/ExampleAlias, le nom d'alias réel sera alias/alias/ExampleAlias.

Créer un alias (API AWS KMS)

Pour créer un alias, utilisez l'CreateAliasopération. Contrairement au processus de création de clés KMS dans la console, l'CreateKeyopération ne crée pas d'alias pour une nouvelle clé KMS.

Important

N'incluez pas d'informations confidentielles ou sensibles dans ce champ. Ce champ peut être affiché en texte brut dans les CloudTrail journaux et autres sorties.

Vous pouvez utiliser l'opération CreateAlias pour créer un alias pour une nouvelle clé KMS sans alias. Vous pouvez également utiliser l'opération CreateAlias pour ajouter un alias à une clé KMS existante ou pour recréer un alias qui a été accidentellement supprimé.

Dans les opérations d'API AWS KMS, le nom d'alias doit commencer par alias/, suivi d'un nom, par exemple alias/ExampleAlias. L'alias doit être unique dans le compte et la région. Pour rechercher les noms d'alias déjà utilisés, utilisez l'ListAliasesopération. Le nom de l'alias est sensible à la casse.

Le TargetKeyId peut avoir n'importe quelle clé gérée par le client dans la même Région AWS. Pour identifier la clé KMS, utilisez son ID de clé ou son ARN de clé. Vous ne pouvez pas utiliser un autre alias.

L'exemple suivant crée l'alias example-key et l'associe à la clé KMS spécifiée. Ces exemples utilisent la AWS Command Line Interface (AWS CLI). Pour obtenir des exemples dans plusieurs langages de programmation, veuillez consulter Utilisation des alias.

$ aws kms create-alias \ --alias-name alias/example-key \ --target-key-id 1234abcd-12ab-34cd-56ef-1234567890ab

CreateAlias ne renvoie aucune sortie. Pour voir le nouvel alias, utilisez l'opération ListAliases. Pour plus de détails, consultez Affichage des alias (API AWS KMS).

Affichage des alias

Les alias facilitent la reconnaissance des clés KMS dans la console AWS KMS. Vous pouvez afficher les alias d'une clé KMS dans la AWS KMS console ou en utilisant l'ListAliasesopération. L'DescribeKeyopération, qui renvoie les propriétés d'une clé KMS, n'inclut pas les alias.

Affichage des alias (console)

Les pages Clés gérées par le client et Clés gérées par AWS dans la console AWS KMS affichent l'alias associé à chaque clé KMS. Vous pouvez également rechercher, trier et filtrer des clés KMS en fonction de leurs alias.

L'image suivante de la console AWS KMS affiche les alias sur la page Clés gérées par le client d'un exemple de compte. Comme le montre l'image, certaines clés KMS n'ont pas d'alias.

Si une clé KMS possède plusieurs alias, la colonne Aliases (Alias) affiche un alias et un résumé d'alias, tel que (+n plus). Le résumé d'alias indique le nombre d'alias supplémentaires associés à la clé KMS et les liens à l'affichage de tous les alias de la clé KMS sur l'onglet Aliases (Alias).

Alias dans la page Clés gérées par le client de la console AWS KMS

L'onglet Aliases (Alias) de la page de détails de chaque clé KMS affiche le nom d'alias et l'ARN d'alias de tous les alias de la clé KMS dans le Compte AWS et la région. Vous pouvez également utiliser l'onglet Aliases (Alias) pour créer des alias et supprimer des alias.

Pour trouver le nom d'alias et l'ARN d'alias de tous les alias de la clé KMS, utilisez l'onglet Aliases (Alias).

  • Pour accéder directement à l'onglet Aliases (Alias), dans la colonne Aliases (Alias), choisissez le résumé de l'alias (+n plus). Un résumé d'alias apparaît uniquement si la clé KMS comporte plusieurs alias.

  • Vous pouvez également choisir l'alias ou l'ID de clé de la clé KMS (qui ouvre la page des détails de la clé KMS), puis l'onglet Aliases (Alias). Les onglets se trouvent sous la section General configuration (Configuration générale).

L'image suivante illustre l'onglet Aliases (Alias) pour un exemple de clé KMS.

Vous pouvez utiliser l'alias pour reconnaître une Clé gérée par AWS, comme indiqué dans cet exemple de page de Clés gérées par AWS. Les alias de Clés gérées par AWS sont toujours au format aws/<service-name>. Par exemple, l'alias de la Clé gérée par AWS pour Amazon DynamoDB est aws/dynamodb.

Alias dans la page Clés gérées par AWS de la console AWS KMS

Affichage des alias (API AWS KMS)

L'ListAliasesopération renvoie le nom d'alias et l'ARN d'alias des alias du compte et de la région. La sortie inclut des alias pour Clés gérées par AWS et pour les clés gérées par le client. Les alias de Clés gérées par AWS sont toujours au format aws/<service-name>, comme aws/dynamodb.

La réponse peut également inclure des alias ne disposant pas de champ TargetKeyId. Ces alias prédéfinis ont été créés par AWS qui ne les a pas encore associés à une clé KMS.

$ aws kms list-aliases { "Aliases": [ { "AliasName": "alias/access-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1516435200.399, "LastUpdatedDate": 1516435200.399 }, { "AliasName": "alias/ECC-P521-Sign", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ECC-P521-Sign", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1693622000.704, "LastUpdatedDate": 1693622000.704 }, { "AliasName": "alias/ImportedKey", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ImportedKey", "TargetKeyId": "1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d", "CreationDate": 1493622000.704, "LastUpdatedDate": 1521097200.235 }, { "AliasName": "alias/finance-project", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/finance-project", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1604958290.014, "LastUpdatedDate": 1604958290.014 }, { "AliasName": "alias/aws/dynamodb", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/dynamodb", "TargetKeyId": "0987ab65-43cd-21ef-09ab-87654321cdef", "CreationDate": 1521097200.454, "LastUpdatedDate": 1521097200.454 }, { "AliasName": "alias/aws/ebs", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/ebs", "TargetKeyId": "abcd1234-09fe-ef90-09fe-ab0987654321", "CreationDate": 1466518990.200, "LastUpdatedDate": 1466518990.200 } ] }

Pour obtenir tous les alias associés à une clé KMS spécifique, utilisez le paramètre KeyId facultatif de l'opération ListAliases. Le paramètre KeyId prend l'ID de clé ou l'ARN de clé de la clé KMS.

Cet exemple récupère tous les alias associés à la clé KMS 0987dcba-09fe-87dc-65ba-ab0987654321.

$ aws kms list-aliases --key-id 0987dcba-09fe-87dc-65ba-ab0987654321 { "Aliases": [ { "AliasName": "alias/access-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": "2018-01-20T15:23:10.194000-07:00", "LastUpdatedDate": "2018-01-20T15:23:10.194000-07:00" }, { "AliasName": "alias/finance-project", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/finance-project", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1604958290.014, "LastUpdatedDate": 1604958290.014 } ] }

Le paramètre KeyId ne prend pas de caractères génériques, mais vous pouvez utiliser les fonctions de votre langage de programmation pour filtrer la réponse.

Par exemple, la commande AWS CLI suivante obtient uniquement les alias pour Clés gérées par AWS.

$ aws kms list-aliases --query 'Aliases[?starts_with(AliasName, `alias/aws/`)]'

Par exemple, la commande suivante obtient uniquement les alias access-key. Le nom de l'alias est sensible à la casse.

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/access-key`]' [ { "AliasName": "alias/access-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": "2018-01-20T15:23:10.194000-07:00", "LastUpdatedDate": "2018-01-20T15:23:10.194000-07:00" } ]

Mise à jour des alias

Étant donné qu'un alias est une ressource indépendante, vous pouvez modifier la clé KMS qui lui est associée. Par exemple, si l'test-keyalias est associé à une clé KMS, vous pouvez utiliser l'UpdateAliasopération pour l'associer à une autre clé KMS. C'est l'une des nombreuses façons de faire tourner manuellement une clé KMS sans modifier ses éléments de clé. Vous pouvez également mettre à jour une clé KMS de sorte qu'une application qui utilisait une clé KMS pour de nouvelles ressources utilise désormais une clé KMS différente.

Vous ne pouvez pas mettre à jour un alias dans la console AWS KMS. En outre, vous ne pouvez pas utiliser UpdateAlias (ou toute autre opération) pour modifier un nom d'alias. Pour modifier un nom d'alias, supprimez l'alias actuel, puis créez un alias pour la clé KMS.

Lorsque vous mettez à jour un alias, la clé KMS actuelle et la nouvelle clé KMS doivent être du même type (toutes deux soit symétriques, soit asymétriques, soit HMAC). Elles doivent également avoir la même utilisation de la clé (ENCRYPT_DECRYPT ou SIGN_VERIFY ou GENERATE_VERIFY_MAC). Cette restriction empêche les erreurs cryptographiques dans le code qui utilise des alias.

L'exemple suivant commence par utiliser l'ListAliasesopération pour montrer que l'test-keyalias est actuellement associé à la clé KMS1234abcd-12ab-34cd-56ef-1234567890ab.

$ aws kms list-aliases --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "Aliases": [ { "AliasName": "alias/test-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1593622000.191, "LastUpdatedDate": 1593622000.191 } ] }

Ensuite, il utilise l'opération UpdateAlias pour modifier la clé KMS associée à l'alias test-key avec la clé KMS 0987dcba-09fe-87dc-65ba-ab0987654321. Vous n'avez pas besoin de spécifier la clé KMS actuellement associée, uniquement la nouvelle clé KMS (« cible »). Le nom de l'alias est sensible à la casse.

$ aws kms update-alias --alias-name 'alias/test-key' --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321

Pour vérifier que l'alias est maintenant associé à la clé KMS cible, utilisez à nouveau l'opération ListAliases. Cette commande AWS CLI utilise le paramètre --query pour obtenir uniquement l'alias test-key. Les champs TargetKeyId et LastUpdatedDate sont mis à jour.

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/test-key`]' [ { "AliasName": "alias/test-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1593622000.191, "LastUpdatedDate": 1604958290.154 } ]

Suppression d'un alias

Vous pouvez supprimer un alias dans la AWS KMS console ou en utilisant l'DeleteAliasopération. Avant de supprimer un alias, vérifiez qu'il n'est pas en cours d'utilisation. Bien que la suppression d'un alias n'affecte pas la clé KMS associée, elle peut créer des problèmes pour toute application qui utilise l'alias. Si vous supprimez un alias par erreur, vous pouvez en créer un autre portant le même nom et l'associer à la même clé KMS ou à une clé KMS différente.

Si vous supprimez une clé KMS, tous les alias associés à cette clé KMS sont supprimés.

Supprimer les alias (console)

Pour supprimer un alias dans la console AWS KMS, utilisez l'onglet Aliases (Alias) sur la page de détails de la clé KMS. Vous pouvez supprimer plusieurs alias d'une clé KMS en même temps.

  1. Connectez-vous à AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms.

  2. Pour changer le paramètre Région AWS, utilisez le sélecteur de région dans l'angle supérieur droit de la page.

  3. Dans le volet de navigation, choisissez Clés gérées par le client. Vous ne pouvez pas gérer des alias pour des Clés gérées par AWS ou des Clés détenues par AWS.

  4. Dans la table, choisissez l'alias ou l'ID d'une clé KMS. Ensuite, sur la page de détails de la clé KMS, choisissez l'onglet Aliases (Alias).

    Si une clé KMS possède plusieurs alias, la colonne Aliases (Alias) dans la table affiche un alias et un résumé d'alias, tel que (+n plus). Le choix du résumé d'alias vous mène directement à l'onglet Aliases (Alias) dans la page des détails de la clé KMS.

  5. Dans l'onglet Aliases (Alias), cochez la case en regard des alias que vous souhaitez supprimer. Ensuite, choisissez Supprimer.

Supprimer un alias (API AWS KMS)

Pour supprimer un alias, utilisez l'DeleteAliasopération. Cette opération supprime un alias à la fois. Le nom de l'alias est sensible à la casse et doit être précédé du préfixe alias/.

Par exemple, la commande suivante supprime l'alias test-key. Cette commande ne renvoie aucune sortie.

$ aws kms delete-alias --alias-name alias/test-key

Pour vérifier que l'alias est supprimé, utilisez l'ListAliasesopération. La commande suivante utilise le paramètre --query dans la AWS CLI pour obtenir uniquement l'alias test-key. Les crochets vides dans la réponse indiquent que la réponse ListAliases n'incluait pas d'alias test-key. Pour éliminer les crochets, utilisez le paramètre et la valeur --output text.

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/test-key`]' []