Utilisation des alias
Un alias est un nom convivial pour une AWS KMS key. Par exemple, un alias vous permet de faire référence à une clé KMS en tant que test-key
au lieu de 1234abcd-12ab-34cd-56ef-1234567890ab
.
Vous pouvez utiliser un alias pour identifier une clé KMS dans la console AWS KMS, dans l'opération DescribeKey et dans les opérations de chiffrement, telles que Decrypt et GenerateDataKey. Les alias facilitent également la reconnaissance d'une Clé gérée par AWS. Les alias de ces clés KMS sont toujours au format aws/
. Par exemple, l'alias de la Clé gérée par AWS pour Amazon DynamoDB est <service-name>
aws/dynamodb
. Vous pouvez établir des normes d'alias similaires pour vos projets, par exemple préfacer vos alias avec le nom d'un projet ou d'une catégorie.
Vous pouvez également autoriser et refuser l'accès aux clés KMS en fonction de leurs alias sans modifier les politiques ni gérer les octrois. Cette fonction fait partie de la prise en charge AWS KMS du contrôle d'accès basé sur les attributs (ABAC). Pour plus de détails, veuillez consulter Utilisation d'alias pour contrôler l'accès aux clés KMS.
Une grande partie des performances des alias provient de votre capacité à modifier la clé KMS associée à un alias à tout moment. Les alias peuvent faciliter l'écriture et la maintenance de votre code. Par exemple, supposons que vous utilisiez un alias pour faire référence à une clé KMS particulière et que vous souhaitiez modifier la clé KMS. Dans ce cas, il suffit d'associer l'alias à une autre clé KMS. Vous n'avez pas besoin d'apporter de modifications à votre code.
Les alias facilitent également la réutilisation du même code dans différentes Régions AWS. Créez des alias portant le même nom dans plusieurs régions et associez chaque alias à une clé KMS dans sa région. Lorsque le code s'exécute dans chaque région, l'alias fait référence à la clé KMS associée dans cette région. Pour voir un exemple, consultez Utilisation d'alias dans vos applications.
Vous pouvez créer un alias pour une clé KMS dans la console AWS KMS, à l'aide de l'API CreateAlias ou en utilisant un modèle AWS CloudFormation.
L'API AWS KMS fournit un contrôle total des alias dans chaque compte et région. L'API inclut des opérations pour créer un alias (CreateAlias), afficher les noms d'alias et les ARN d'alias (ListAliases), modifier la clé KMS associée à un alias (UpdateAlias) et supprimer un alias (DeleteAlias). Pour obtenir des exemples de gestion des alias dans plusieurs langages de programmation, veuillez consulter Utilisation des alias.
Les ressources suivantes peuvent vous aider à en savoir plus :
-
Pour plus d'informations sur les identificateurs de clé KMS, y compris les alias, veuillez consulter Identificateurs de clé (KeyId).
-
Pour obtenir de l'aide sur un modèle AWS CloudFormation pour créer un alias pour une clé KMS, consultez AWS::KMS::Alias dans le Guide de l'utilisateur AWS CloudFormation.
-
Pour obtenir de l'aide sur la recherche des alias associés à une clé KMS, veuillez consulter Recherche du nom d'alias et de l'ARN d'alias
-
Pour plus d'informations sur les quotas de ressources pour les alias et les quotas de taux pour les opérations d'API liées aux alias, veuillez consulter Quotas.
-
Pour obtenir des exemples de création et de gestion des alias dans plusieurs langages de programmation, veuillez consulter Utilisation des alias.