Menggunakan alias dalam aplikasi Anda - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan alias dalam aplikasi Anda

Anda dapat menggunakan alias untuk mewakili kunci KMS dalam kode aplikasi Anda. KeyIdParameter dalam operasi AWS KMS kriptografi, DescribeKey, dan GetPublicKeymenerima nama alias atau alias ARN.

Misalnya, GenerateDataKey perintah berikut menggunakan nama alias (alias/finance) untuk mengidentifikasi kunci KMS. Nama alias adalah nilai dari parameter KeyId. 

$ aws kms generate-data-key --key-id alias/finance --key-spec AES_256

Jika kunci KMS berbedaAkun AWS, Anda harus menggunakan kunci ARN atau alias ARN dalam operasi ini. Saat menggunakan alias ARN, ingatlah bahwa alias untuk kunci KMS didefinisikan dalam akun yang memiliki kunci KMS dan mungkin berbeda di setiap Wilayah. Untuk bantuan menemukan alias ARN, lihat Menemukan nama alias dan ARN alias.

Misalnya, GenerateDataKey perintah berikut menggunakan kunci KMS yang tidak ada di akun pemanggil. ExampleAliasAlias dikaitkan dengan kunci KMS di akun dan Wilayah yang ditentukan.

$ aws kms generate-data-key --key-id arn:aws:kms:us-west-2:444455556666:alias/ExampleAlias --key-spec AES_256

Salah satu penggunaan alias yang paling kuat adalah pada aplikasi yang berjalan dalam beberapa Wilayah AWS. Misalnya, Anda mungkin memiliki aplikasi global yang menggunakan kunci KMS asimetris RSA untuk penandatanganan dan verifikasi.

  • Di AS Barat (Oregon) (us-west-2), Anda dapat menggunakan arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  • Di Eropa (Frankfurt) (eu-central-1), Anda dapat menggunakan arn:aws:kms:eu-central-1:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321

  • Di Asia Pasifik (Singapura) (ap-southeast-1), Anda ingin menggunakan arn:aws:kms:ap-southeast-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d.

Anda dapat membuat versi aplikasi yang berbeda di setiap Wilayah atau menggunakan kamus atau pernyataan switch untuk memilih kunci KMS yang tepat untuk setiap Wilayah. Tetapi jauh lebih mudah untuk membuat alias dengan nama alias yang sama di setiap Wilayah. Ingat bahwa nama alias peka terhadap huruf besar-kecil.

aws --region us-west-2 kms create-alias \
    --alias-name alias/new-app \
    --key-id arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

aws --region eu-central-1 kms create-alias \
    --alias-name alias/new-app \
    --key-id arn:aws:kms:eu-central-1:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321

aws --region ap-southeast-1 kms create-alias \
    --alias-name alias/new-app \
    --key-id arn:aws:kms:ap-southeast-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d

Kemudian, gunakan alias dalam kode Anda. Ketika kode Anda berjalan di setiap Wilayah, alias akan merujuk ke kunci KMS terkait di Wilayah tersebut. Sebagai contoh, kode ini memanggil operasi Tanda tangan dengan nama alias.

aws kms sign --key-id alias/new-app \
    --message $message \
    --message-type RAW \
    --signing-algorithm RSASSA_PSS_SHA_384

Namun, ada risiko bahwa alias mungkin dihapus atau diperbarui untuk dikaitkan dengan kunci KMS yang berbeda. Dalam hal ini, upaya aplikasi untuk memverifikasi tanda tangan menggunakan nama alias akan gagal, dan Anda mungkin perlu membuat ulang atau memperbarui alias.

Untuk mengurangi risiko ini, berhati-hatilah dengan memberikan prinsipal izin untuk mengelola alias yang Anda gunakan dalam aplikasi Anda. Untuk rincian selengkapnya, lihat Mengontrol akses ke alias.

Ada beberapa solusi lain untuk aplikasi yang mengenkripsi data dalam beberapa Wilayah AWS, termasuk AWS Encryption SDK.