エイリアスの使用

エイリアスは、AWS KMS key のわかりやすい名前です。例えば、エイリアスを使用すると、1234abcd-12ab-34cd-56ef-1234567890ab の代わりに KMS キーを test-key として参照できます。

エイリアスを使用して、AWS KMS コンソール、DescribeKey オペレーション、暗号化オペレーション (Encrypt および GenerateDataKey など) で KMS キーを識別できます。エイリアスを使用すると、AWS マネージドキー の認識が容易になります。これらの KMS キーのエイリアスは、常に aws/<service-name> の形式になります。例えば、Amazon DynamoDB の AWS マネージドキー のエイリアスは aws/dynamodb です。プロジェクトやカテゴリの名前をエイリアスの前に付けるなど、プロジェクトに対して同様のエイリアス標準を設定できます。

ポリシーを編集したり、権限を管理したりすることなく、エイリアスに基づいて KMS キーへのアクセスを許可および拒否することもできます。この機能は、属性ベースのアクセスコントロール (ABAC) の AWS KMS サポートの一部です。詳細については、「エイリアスを使用して KMS キーへのアクセスを制御する」を参照してください。

エイリアスの機能の強みは、エイリアスに関連付けられている KMS キーをいつでも変更できることです。エイリアスを使用すると、コードの記述と保守が容易になります。例えば、エイリアスを使用して特定の KMS キーを参照し、KMS キーを変更するとします。この場合は、単にエイリアスを別の KMS キーに関連付けます。コードを変更する必要はありません。

エイリアスを使用すると、別の AWS リージョン で同じコードを再利用することも容易になります。複数のリージョンで同じ名前のエイリアスを作成し、各エイリアスをそのリージョンの KMS キーに関連付けます。コードが各リージョンで実行されると、エイリアスは関連付けられた KMS キーをそのリージョンで参照します。例については、「アプリケーションでのエイリアスの使用」を参照してください。

AWS KMS コンソールで KMS キーのエイリアスを作成するには、CreateAlias API を使用するか、または AWS CloudFormation テンプレートを使用します。

AWS KMS API では、各アカウントとリージョンのエイリアスを完全に制御できます。API には、エイリアスの作成 (CreateAlias)、エイリアス名とエイリアス ARN の表示 (ListAliases)、エイリアスに関連付けられている KMS キーの変更 (UpdateAlias)、エイリアスの削除 (DeleteAlias) のオペレーションが含まれます。複数のプログラミング言語のエイリアスの管理例については、を参照してください エイリアスの使用。

詳細については、次のリソースを参照してください。

• エイリアスを含む KMS キーの識別子については、キー識別子 (KeyId) を参照してください。

• KMS キーのエイリアスの作成に AWS CloudFormation テンプレートを使用する方法については、AWS CloudFormation ユーザーガイドの「AWS::KMS::Alias」を参照してください。

• KMS キーに関連付けられているエイリアスの検索については、エイリアス名とエイリアス ARN を見つける を参照してください。

• エイリアスのリソースクォータおよびエイリアスに関連する API オペレーションのレートクォータについては、「クォータ」を参照してください。

• 複数のプログラミング言語でのエイリアスの作成と管理の例については、「エイリアスの使用」を参照してください。

トピック

• エイリアスについて
• エイリアスを管理する
• アプリケーションでのエイリアスの使用
• エイリアスへのアクセスの制御
• エイリアスを使用して KMS キーへのアクセスを制御する
• AWS CloudTrail ログでのエイリアスの検索