Alias di AWS KMS

Alias adalah nama yang ramah untuk a AWS KMS key. Misalnya, alias memungkinkan Anda merujuk ke KMS kunci sebagai test-key ganti. 1234abcd-12ab-34cd-56ef-1234567890ab

Anda dapat menggunakan alias untuk mengidentifikasi KMS kunci di AWS KMS konsol, dalam DescribeKeyoperasi, dan dalam operasi kriptografi, seperti Enkripsi dan. GenerateDataKey Alias juga memudahkan untuk mengenali file Kunci yang dikelola AWS. Alias untuk KMS kunci ini selalu memiliki formuliraws/<service-name>. Misalnya, alias Kunci yang dikelola AWS untuk Amazon DynamoDB adalah. aws/dynamodb Anda dapat menetapkan standar alias yang serupa untuk proyek Anda, seperti mendahului nama alias Anda dengan nama proyek atau kategori.

Anda juga dapat mengizinkan dan menolak akses ke KMS kunci berdasarkan aliasnya tanpa mengedit kebijakan atau mengelola hibah. Fitur ini merupakan bagian dari AWS KMS dukungan untuk kontrol akses berbasis atribut ()ABAC. Untuk detailnya, lihat Gunakan alias untuk mengontrol akses ke kunci KMS.

Sebagian besar kekuatan alias berasal dari kemampuan Anda untuk mengubah KMS kunci yang terkait dengan alias kapan saja. Alias dapat membuat kode Anda lebih mudah ditulis dan dipelihara. Misalnya, Anda menggunakan alias untuk merujuk ke KMS kunci tertentu dan Anda ingin mengubah KMS kunci. Dalam hal ini, cukup kaitkan alias dengan KMS kunci yang berbeda. Anda tidak perlu mengubah kode.

Alias juga mempermudah menggunakan kembali kode yang sama di Wilayah AWS berbeda. Buat alias dengan nama yang sama di beberapa Wilayah dan kaitkan setiap alias dengan KMS kunci di Wilayahnya. Ketika kode berjalan di setiap Region, alias mengacu pada KMS kunci terkait di Region tersebut. Sebagai contoh, lihat Pelajari cara menggunakan alias dalam aplikasi.

Anda dapat membuat alias untuk KMS kunci di AWS KMS konsol, dengan menggunakan CreateAliasAPI, atau dengan menggunakan template AWS::KMS: :Alias AWS CloudFormation.

AWS KMS APIIni memberikan kontrol penuh atas alias di setiap akun dan Wilayah. APITermasuk operasi untuk membuat alias (CreateAlias), melihat nama alias dan alias ARNs (ListAliases), mengubah KMS kunci yang terkait dengan alias (UpdateAlias), dan menghapus alias (). DeleteAlias

Cara kerja alias

Pelajari cara kerja alias di AWS KMS.

Alias adalah sumber daya independen AWS

Alias bukan milik KMS kunci. Tindakan yang Anda lakukan pada alias tidak memengaruhi KMS kunci terkait. Anda dapat membuat alias untuk KMS kunci dan kemudian memperbarui alias sehingga dikaitkan dengan kunci yang berbedaKMS. Anda bahkan dapat menghapus alias tanpa efek apa pun pada KMS kunci terkait. Namun, jika Anda menghapus KMS kunci, semua alias yang terkait dengan KMS kunci tersebut akan dihapus.

Jika Anda menetapkan alias sebagai sumber daya dalam IAM kebijakan, kebijakan akan merujuk ke alias, bukan ke kunci terkaitKMS.

Setiap alias memiliki dua format

Saat Anda membuat alias, Anda menentukan nama alias. AWS KMS menciptakan alias ARN untuk Anda.

• Alias ARN adalah Amazon Resource Name (ARN) yang secara unik mengidentifikasi alias.

  # Alias ARN
  arn:aws:kms:us-west-2:111122223333:alias/<alias-name> 

• Nama alias yang unik di akun dan Wilayah. Dalam AWS KMS API, nama alias selalu diawali oleh. alias/ Awalan itu dihilangkan di konsol. AWS KMS

  # Alias name
  alias/<alias-name>

Alias bukan rahasia

Alias dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya. Jangan sertakan informasi rahasia atau sensitif dalam nama alias.

Setiap alias dikaitkan dengan satu KMS kunci pada satu waktu

Alias dan KMS kuncinya harus berada di akun dan Wilayah yang sama.

Anda dapat mengaitkan alias dengan kunci yang dikelola pelanggan apa pun di area yang sama Akun AWS dan Wilayah. Namun, Anda tidak memiliki izin untuk mengaitkan alias dengan Kunci yang dikelola AWS.

Misalnya, ListAliasesoutput ini menunjukkan bahwa test-key alias dikaitkan dengan tepat satu KMS kunci target, yang diwakili oleh TargetKeyId properti.

{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
}

Beberapa alias dapat dikaitkan dengan kunci yang sama KMS

Misalnya, Anda dapat mengaitkan test-key dan project-key alias dengan KMS kunci yang sama.

{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
},
{
     "AliasName": "alias/project-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/project-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1516435200.399,
     "LastUpdatedDate": 1516435200.399
}

Alias harus unik di akun dan Wilayah

Misalnya, Anda hanya dapat memiliki satu alias test-key di setiap akun dan Wilayah. Alias peka huruf besar/kecil, tetapi alias yang berbeda hanya dalam kapitalisasi mereka sangat rentan terhadap kesalahan. Anda tidak dapat mengubah nama alias. Namun, Anda dapat menghapus alias dan membuat alias baru dengan nama yang diinginkan.

Anda dapat membuat alias dengan nama yang sama di Wilayah yang berbeda

Misalnya, Anda dapat memiliki alias finance-key di AS Timur (Virginia U.) dan alias finance-key di Eropa (Frankfurt). Setiap alias akan dikaitkan dengan KMS kunci di Wilayahnya. Jika kode Anda merujuk pada nama alias seperti alias/finance-key, Anda dapat menjalankannya di beberapa Wilayah. Di setiap Wilayah, ia menggunakan KMS kunci yang berbeda. Untuk detailnya, lihat Pelajari cara menggunakan alias dalam aplikasi.

Anda dapat mengubah KMS kunci yang terkait dengan alias

Anda dapat menggunakan UpdateAliasoperasi untuk mengaitkan alias dengan KMS kunci yang berbeda. Misalnya, jika finance-key alias dikaitkan dengan 1234abcd-12ab-34cd-56ef-1234567890ab KMS kunci, Anda dapat memperbaruinya sehingga dikaitkan dengan 0987dcba-09fe-87dc-65ba-ab0987654321 KMS kunci.

Namun, KMS kunci saat ini dan baru harus memiliki tipe yang sama (simetris atau keduanya asimetris atau keduanyaHMAC), dan mereka harus memiliki penggunaan kunci yang sama (ENCRYPT_ DECRYPT atau _ VERIFY atau SIGN _ GENERATE VERIFY _MAC). Pembatasan ini mencegah kesalahan dalam kode yang menggunakan alias. Jika Anda harus mengaitkan alias dengan jenis kunci yang berbeda, dan Anda telah mengurangi risiko, Anda dapat menghapus dan membuat ulang alias.

Beberapa KMS kunci tidak memiliki alias

Saat Anda membuat KMS kunci di AWS KMS konsol, Anda harus memberinya alias baru. Tetapi alias tidak diperlukan saat Anda menggunakan CreateKeyoperasi untuk membuat KMS kunci. Selain itu, Anda dapat menggunakan UpdateAliasoperasi untuk mengubah KMS kunci yang terkait dengan alias dan DeleteAliasoperasi untuk menghapus alias. Akibatnya, beberapa KMS kunci mungkin memiliki beberapa alias, dan beberapa mungkin tidak memilikinya.

AWS membuat alias di akun Anda

AWS membuat alias di akun Anda untuk Kunci yang dikelola AWS. Alias ini memiliki nama formulir alias/aws/<service-name>, seperti alias/aws/s3.

Beberapa AWS alias tidak memiliki KMS kunci. Alias yang telah ditentukan ini biasanya dikaitkan dengan Kunci yang dikelola AWS ketika Anda mulai menggunakan layanan.

Gunakan alias untuk mengidentifikasi kunci KMS

Anda dapat menggunakan nama alias atau alias ARN untuk mengidentifikasi KMS kunci dalam operasi kriptografi,, DescribeKeydan. GetPublicKey (Jika KMSkuncinya berbeda Akun AWS, Anda harus menggunakan kunci ARN atau aliasnyaARN.) Alias bukan pengidentifikasi yang valid untuk KMS kunci dalam operasi lain AWS KMS . Untuk informasi tentang pengidentifikasi kunci yang valid untuk setiap AWS KMS API operasi, lihat deskripsi KeyId parameter dalam Referensi.AWS Key Management Service API

Anda tidak dapat menggunakan nama alias atau alias ARN untuk mengidentifikasi KMS kunci dalam kebijakan. IAM Untuk mengontrol akses ke KMS kunci berdasarkan aliasnya, gunakan kunci kondisi kms: RequestAlias atau kms: ResourceAliases. Untuk detailnya, lihat ABACuntuk AWS KMS.