エイリアスの使用

エイリアスは のわかりやすい名前です。 AWS KMS key。 例えば、エイリアスを使用すると、KMSキーを test-keyではなく として参照できます1234abcd-12ab-34cd-56ef-1234567890ab。

エイリアスを使用して、 でKMSキーを識別できます。 AWS KMS コンソール、 DescribeKeyオペレーション、および Encrypt や などの暗号化オペレーションGenerateDataKey。エイリアスを使用すると、 を簡単に認識できます。 AWS マネージドキー。 これらのKMSキーのエイリアスには、常に という形式がありますaws/<service-name>。例えば、 のエイリアス AWS マネージドキー for Amazon DynamoDB は ですaws/dynamodb。プロジェクトやカテゴリの名前をエイリアスの前に付けるなど、プロジェクトに対して同様のエイリアス標準を設定できます。

ポリシーを編集したり、許可を管理したりすることなく、エイリアスに基づいてKMSキーへのアクセスを許可または拒否することもできます。この機能は の一部です。 AWS KMS 属性ベースのアクセスコントロール () のサポート。ABAC詳細については、「エイリアスを使用したKMSキーへのアクセスの制御」を参照してください。

エイリアスの能力の多くは、エイリアスに関連付けられたKMSキーをいつでも変更できることから得られます。エイリアスを使用すると、コードの記述と保守が容易になります。例えば、エイリアスを使用して特定のKMSキーを参照し、KMSそのキーを変更するとします。その場合は、エイリアスを別のKMSキーに関連付けるだけです。コードを変更する必要はありません。

エイリアスを使用すると、同じコードを異なる で簡単に再利用できます。 AWS リージョン。 複数のリージョンで同じ名前のエイリアスを作成し、各エイリアスをそのリージョンのKMSキーに関連付けます。コードが各リージョンで実行されると、エイリアスはそのリージョンの関連付けられたKMSキーを参照します。例については、アプリケーションでのエイリアスの使用を参照してください。

でKMSキーのエイリアスを作成できます。 AWS KMS コンソール、 を使用するAPI、または CreateAlias を使用する AWS CloudFormation テンプレート 。

- AWS KMS API では、各アカウントとリージョンのエイリアスを完全に制御できます。API には、エイリアスの作成 (CreateAlias）、エイリアス名とエイリアスの表示 ARNs (ListAliases）、エイリアスに関連付けられたKMSキーの変更 (UpdateAlias）、エイリアスの削除 () を行うオペレーションが含まれていますDeleteAlias。

詳細については、次のリソースを参照してください。

• エイリアスを含むKMSキー識別子の詳細については、「」を参照してくださいキー識別子 (KeyId）。

• の使用に関するヘルプ AWS CloudFormation KMS キーのエイリアスを作成するための テンプレート。「」のAWS「::KMS::Alias」を参照してください。 AWS CloudFormation ユーザーガイド 。

• KMS キーに関連付けられたエイリアスの検索については、「」を参照してください。 エイリアス名とエイリアスの検索 ARN

• エイリアスのリソースクォータと、エイリアスに関連するAPIオペレーションのレートクォータについては、「」を参照してくださいクォータ。

• 複数のプログラミング言語でのエイリアスの作成と管理の例については、「のコード例 AWS KMS を使用する AWS SDKs」を参照してください。

トピック

• エイリアスについて
• エイリアスを管理する
• アプリケーションでのエイリアスの使用
• エイリアスへのアクセスの制御
• エイリアスを使用したKMSキーへのアクセスの制御
• でのエイリアスの検索 AWS CloudTrail ログ