Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Aliases em AWS KMS

PDF
RSS
Modo de foco
Aliases em AWS KMS - AWS Key Management Service
Funcionamento dos aliases

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Um alias é um nome amigável para uma AWS KMS key. Por exemplo, um alias permite fazer referência a uma chave do KMS como test-key em vez de 1234abcd-12ab-34cd-56ef-1234567890ab.

Você pode usar um alias para identificar uma chave KMS no AWS KMS console, na DescribeKeyoperação e em operações criptográficas, como Criptografar e. GenerateDataKey Aliases também facilitam o reconhecimento de uma Chave gerenciada pela AWS. Aliases para estas chaves do KMS sempre têm o formato: aws/<service-name>. Por exemplo, o alias Chave gerenciada pela AWS para o Amazon DynamoDB é. aws/dynamodb É possível estabelecer padrões de alias semelhantes para seus projetos, como introduzir o nome de um projeto ou categoria em seus aliases.

Também é possível pode permitir e negar acesso a chaves do KMS com base em aliases sem precisar editar políticas ou gerenciar concessões. Esse recurso faz parte do AWS KMS suporte ao controle de acesso baseado em atributos (ABAC). Para obter detalhes, consulte Usar aliases para controlar o acesso a chaves do KMS.

Grande parte do poder dos aliases vem da sua capacidade de alterar a chave do KMS associada a um alias a qualquer momento. Aliases podem tornar seu código mais fácil de escrever e manter. Por exemplo, suponha que você use um alias para fazer referência a uma determinada chave do KMS e queira alterar essa chave do KMS. Nesse caso, basta associar o alias a outra chave do KMS. Você não precisa mudar o código.

Aliases também facilitam a reutilização do mesmo código em Regiões da AWS diferentes. Crie aliases com o mesmo nome em várias regiões e associe cada alias a uma chave do KMS em sua respectiva região. Quando o código é executado em cada região, o alias faz referência à chave do KMS associada nessa região. Para obter um exemplo, consulte Saiba como usar aliases em suas aplicações.

Você pode criar um alias para uma chave KMS no AWS KMS console, usando a CreateAliasAPI ou usando o AWS::KMS::Alias AWS CloudFormation modelo.

A AWS KMS API fornece controle total dos aliases em cada conta e região. A API inclui operações para criar um alias (CreateAlias), visualizar nomes de alias e alias ARNs (ListAliases), alterar a chave KMS associada a um alias () e excluir um alias (UpdateAlias). DeleteAlias

Funcionamento dos aliases

Saiba como os aliases funcionam no AWS KMS.

Um alias é um recurso independente AWS

Um alias não é uma propriedade de uma chave do KMS. As ações executadas no alias não afetam a chave do KMS associada. É possível criar um alias para uma chave do KMS e depois atualizá-lo para associá-lo a outra chave do KMS. Você pode até mesmo excluir o alias sem nenhum efeito sobre a chave do KMS associada. No entanto, se você excluir uma chave do KMS, todos os aliases associados a ela serão excluídos.

Se você especificar um alias como o recurso em uma política do IAM, esta fará referência ao alias, e não à chave do KMS associada.

Cada alias tem dois formatos

Ao criar um alias, você especifica o nome do alias. AWS KMS cria o alias ARN para você.

  • Um ARN de alias é um Amazon Resource Name (ARN) que identifica exclusivamente o alias. 

    # Alias ARN
arn:aws:kms:us-west-2:111122223333:alias/<alias-name>

  • Um nome de alias que é único na conta e na região. Na AWS KMS API, o nome do alias é sempre prefixado por. alias/ Esse prefixo é omitido no console. AWS KMS 

    # Alias name
alias/<alias-name>
Os aliases não são secretos

Os aliases podem ser exibidos em texto simples em CloudTrail registros e outras saídas. Não inclua informações confidenciais ou sigilosas nos nomes dos alias.

Cada alias é associado a uma chave do KMS por vez

O alias e sua chave do KMS devem estar na mesma conta e região.

Você pode associar um alias a qualquer chave gerenciada pelo cliente na mesma Conta da AWS região. No entanto, você não tem permissão para associar um alias a uma Chave gerenciada pela AWS.

Por exemplo, essa ListAliasessaída mostra que o test-key alias está associado a exatamente uma chave KMS de destino, que é representada pela TargetKeyId propriedade.

{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
}
Vários aliases podem ser associados à mesma chave do KMS

Por exemplo, você pode associar os aliases test-key e project-key à mesma chave do KMS.

{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
},
{
     "AliasName": "alias/project-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/project-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1516435200.399,
     "LastUpdatedDate": 1516435200.399
}
O alias deve ser exclusivo em uma conta e região.

Por exemplo, é possível ter apenas um alias test-key em cada conta e região. Os aliases diferenciam maiúsculas de minúsculas, mas os aliases que diferem apenas no tamanho das letras são muito propensos a erros. Não é possível alterar um nome de alias. No entanto, você pode excluir o alias e criar um novo com o nome desejado.

É possível criar um alias com o mesmo nome em regiões diferentes

Por exemplo, é possível ter um alias finance-key na região Leste dos EUA (Norte da Virgínia) e um alias finance-key na região Europa (Frankfurt). Cada alias seria associado a uma chave do KMS em sua região. Se o seu código se referir a um nome de alias como alias/finance-key, você poderá executá-lo em várias regiões. Em cada região, ele usa uma chave do KMS diferente. Para obter detalhes, consulte Saiba como usar aliases em suas aplicações.

É possível alterar a chave do KMS associada a um alias

Você pode usar a UpdateAliasoperação para associar um alias a uma chave KMS diferente. Por exemplo, se o alias finance-key estiver associado à chave do KMS 1234abcd-12ab-34cd-56ef-1234567890ab, você poderá atualizá-lo para associá-lo à chave do KMS 0987dcba-09fe-87dc-65ba-ab0987654321.

No entanto, a chave do KMS atual e nova devem ser do mesmo tipo (ambas devem ser simétricas, assimétricas ou HMAC) e devem ter o mesmo uso de chave (ENCRYPT_DECRYPT ou SIGN_VERIFY or GENERATE_VERIFY_MAC). Essa restrição impede erros no código que usa aliases. Se for necessário associar um alias a um tipo diferente de chave e você tiver atenuado os riscos, poderá excluir e recriar o alias.

Algumas chaves do KMS não têm aliases

Ao criar uma chave KMS no AWS KMS console, você deve dar a ela um novo alias. Mas um alias não é necessário quando você usa a CreateKeyoperação para criar uma chave KMS. Além disso, você pode usar a UpdateAliasoperação para alterar a chave KMS associada a um alias e a DeleteAliasoperação para excluir um alias. Como resultado, algumas chaves do KMS podem ter vários aliases, e outras podem não ter nenhum.

AWS cria aliases em sua conta

AWS cria aliases em sua conta para Chaves gerenciadas pela AWS. Esses aliases têm nomes no formato alias/aws/<service-name>, como alias/aws/s3.

Alguns AWS aliases não têm chave KMS. Esses aliases predefinidos geralmente são associados a um Chave gerenciada pela AWS quando você começa a usar o serviço.

Usar aliases para identificar chaves do KMS

Você pode usar um nome de alias ou ARN de alias para identificar uma chave KMS em operações criptográficas, e. DescribeKeyGetPublicKey (Se a chave do KMS estiver em uma Conta da AWS diferente, você deverá usar seu ARN de chave ou ARN de alias.) Aliases não são identificadores válidos para chaves do KMS em outras operações do AWS KMS . Para obter informações sobre os identificadores de chave válidos para cada operação de AWS KMS API, consulte as descrições dos KeyId parâmetros na Referência da AWS Key Management Service API.

Não é possível usar um nome ou um ARN de alias para identificar uma chave do KMS em uma política do IAM. Para controlar o acesso a uma chave KMS com base em seus aliases, use as chaves de condição kms: RequestAlias ou kms:. ResourceAliases Para obter detalhes, consulte ABAC para AWS KMS.

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.