エイリアスの使用

エイリアスは、AWS KMS key のわかりやすい名前です。例えば、エイリアスを使用すると、1234abcd-12ab-34cd-56ef-1234567890ab の代わりに KMS キーを test-key として参照できます。

エイリアスを使用して、AWS KMSコンソール、 DescribeKeyオペレーション、および Encrypt や などの暗号化オペレーション で KMS キーを識別できますGenerateDataKey。エイリアスを使用すると、AWS マネージドキー の認識が容易になります。これらの KMS キーのエイリアスは、常に aws/<service-name> の形式になります。例えば、Amazon DynamoDB の AWS マネージドキー のエイリアスは aws/dynamodb です。プロジェクトやカテゴリの名前をエイリアスの前に付けるなど、プロジェクトに対して同様のエイリアス標準を設定できます。

ポリシーを編集したり、権限を管理したりすることなく、エイリアスに基づいて KMS キーへのアクセスを許可および拒否することもできます。この機能は、属性ベースのアクセスコントロール (ABAC) の AWS KMS サポートの一部です。詳細については、「エイリアスを使用して KMS キーへのアクセスを制御する」を参照してください。

エイリアスの機能の強みは、エイリアスに関連付けられている KMS キーをいつでも変更できることです。エイリアスを使用すると、コードの記述と保守が容易になります。例えば、エイリアスを使用して特定の KMS キーを参照し、KMS キーを変更するとします。この場合は、単にエイリアスを別の KMS キーに関連付けます。コードを変更する必要はありません。

エイリアスを使用すると、別の AWS リージョン で同じコードを再利用することも容易になります。複数のリージョンで同じ名前のエイリアスを作成し、各エイリアスをそのリージョンの KMS キーに関連付けます。コードが各リージョンで実行されると、エイリアスは関連付けられた KMS キーをそのリージョンで参照します。例については「アプリケーションでのエイリアスの使用」を参照してください。

KMS キーのエイリアスは、AWS KMSコンソール、 CreateAlias API、または AWS CloudFormation テンプレート を使用して作成できます。

AWS KMS API では、各アカウントとリージョンのエイリアスを完全に制御できます。API には、エイリアスの作成 (CreateAlias）、エイリアス名とエイリアス ARNs の表示 (ListAliases）、エイリアスに関連付けられた KMS キーの変更 (UpdateAlias）、エイリアスの削除 () を行うオペレーションが含まれていますDeleteAlias。複数のプログラミング言語のエイリアスの管理例については、を参照してください エイリアスの使用。

詳細については、次のリソースを参照してください。

• エイリアスを含む KMS キーの識別子については、キー識別子 (KeyId） を参照してください。

• AWS CloudFormation テンプレートを使用して KMS キーのエイリアスを作成する方法については、 AWS CloudFormation ユーザーガイドAWS::KMS::Aliasの「」を参照してください。

• KMS キーに関連付けられているエイリアスの検索については、エイリアス名とエイリアス ARN を見つける を参照してください。

• エイリアスのリソースクォータおよびエイリアスに関連する API オペレーションのレートクォータについては、「クォータ」を参照してください。

• 複数のプログラミング言語でのエイリアスの作成と管理の例については、「エイリアスの使用」を参照してください。

トピック

• エイリアスについて
• エイリアスを管理する
• アプリケーションでのエイリアスの使用
• エイリアスへのアクセスの制御
• エイリアスを使用して KMS キーへのアクセスを制御する
• AWS CloudTrail ログでのエイリアスの検索