Utilisation des alias

Un alias est un nom convivial pour une AWS KMS key. Par exemple, un alias vous permet de faire référence à une clé KMS en tant que test-key au lieu de 1234abcd-12ab-34cd-56ef-1234567890ab.

Vous pouvez utiliser un alias pour identifier une clé KMS dans la AWS KMS console, dans l'DescribeKeyopération et dans les opérations cryptographiques, telles que Encrypt et. GenerateDataKey Les alias facilitent également la reconnaissance d'une Clé gérée par AWS. Les alias de ces clés KMS sont toujours au format aws/<service-name>. Par exemple, l'alias de la Clé gérée par AWS pour Amazon DynamoDB est aws/dynamodb. Vous pouvez établir des normes d'alias similaires pour vos projets, par exemple préfacer vos alias avec le nom d'un projet ou d'une catégorie.

Vous pouvez également autoriser et refuser l'accès aux clés KMS en fonction de leurs alias sans modifier les politiques ni gérer les octrois. Cette fonction fait partie de la prise en charge AWS KMS du contrôle d'accès basé sur les attributs (ABAC). Pour plus de détails, consultez Utilisation d'alias pour contrôler l'accès aux clés KMS.

Une grande partie des performances des alias provient de votre capacité à modifier la clé KMS associée à un alias à tout moment. Les alias peuvent faciliter l'écriture et la maintenance de votre code. Par exemple, supposons que vous utilisiez un alias pour faire référence à une clé KMS particulière et que vous souhaitiez modifier la clé KMS. Dans ce cas, il suffit d'associer l'alias à une autre clé KMS. Vous n'avez pas besoin d'apporter de modifications à votre code.

Les alias facilitent également la réutilisation du même code dans différentes Régions AWS. Créez des alias portant le même nom dans plusieurs régions et associez chaque alias à une clé KMS dans sa région. Lorsque le code s'exécute dans chaque région, l'alias fait référence à la clé KMS associée dans cette région. Pour obtenir un exemple, consultez Utilisation d'alias dans vos applications.

Vous pouvez créer un alias pour une clé KMS dans la AWS KMS console, à l'aide de l'CreateAliasAPI ou à l'aide d'un AWS CloudFormationmodèle.

L'API AWS KMS fournit un contrôle total des alias dans chaque compte et région. L'API inclut des opérations permettant de créer un alias (CreateAlias), d'afficher les noms d'alias et les ARN des alias (ListAliases), de modifier la clé KMS associée à un alias (UpdateAlias) et de supprimer un alias (DeleteAlias). Pour obtenir des exemples de gestion des alias dans plusieurs langages de programmation, veuillez consulter Utilisation des alias.

Les ressources suivantes peuvent vous aider à en savoir plus :

Pour plus d'informations sur les identificateurs de clé KMS, y compris les alias, veuillez consulter Identifiants clés () KeyId.
Pour obtenir de l'aide sur l'utilisation d'un AWS CloudFormation modèle afin de créer un alias pour une clé KMS, consultez AWS::KMS::Aliasle guide de AWS CloudFormation l'utilisateur.
Pour obtenir de l'aide sur la recherche des alias associés à une clé KMS, veuillez consulter Recherche du nom d'alias et de l'ARN d'alias
Pour plus d'informations sur les quotas de ressources pour les alias et les quotas de taux pour les opérations d'API liées aux alias, veuillez consulter Quotas.
Pour obtenir des exemples de création et de gestion des alias dans plusieurs langages de programmation, veuillez consulter Utilisation des alias.

Rubriques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Création de clés

À propos des alias