Aliases em AWS KMS

Um alias é um nome amigável para uma AWS KMS key. Por exemplo, um alias permite que você se refira a uma KMS chave como test-key em vez de1234abcd-12ab-34cd-56ef-1234567890ab.

Você pode usar um alias para identificar uma KMS chave no AWS KMS console, na DescribeKeyoperação e em operações criptográficas, como Criptografar e. GenerateDataKey Aliases também facilitam o reconhecimento de uma Chave gerenciada pela AWS. Os aliases para essas KMS chaves sempre têm o formulárioaws/<service-name>. Por exemplo, o alias Chave gerenciada pela AWS para o Amazon DynamoDB é. aws/dynamodb É possível estabelecer padrões de alias semelhantes para seus projetos, como introduzir o nome de um projeto ou categoria em seus aliases.

Você também pode permitir e negar acesso às KMS chaves com base em seus aliases sem editar políticas ou gerenciar concessões. Esse recurso faz parte do AWS KMS suporte ao controle de acesso baseado em atributos ()ABAC. Para obter detalhes, consulte Use aliases para controlar o acesso às chaves KMS.

Grande parte do poder dos aliases vem da sua capacidade de alterar a KMS chave associada a um alias a qualquer momento. Aliases podem tornar seu código mais fácil de escrever e manter. Por exemplo, suponha que você use um alias para se referir a uma KMS chave específica e queira alterá-laKMS. Nesse caso, basta associar o alias a uma KMS chave diferente. Você não precisa mudar o código.

Aliases também facilitam a reutilização do mesmo código em Regiões da AWS diferentes. Crie aliases com o mesmo nome em várias regiões e associe cada alias a uma KMS chave em sua região. Quando o código é executado em cada região, o alias se refere à KMS chave associada nessa região. Para ver um exemplo, consulte Saiba como usar aliases em suas aplicações.

Você pode criar um alias para uma KMS chave no AWS KMS console usando o CreateAliasAPI, ou usando o modelo AWS::KMS: :Alias AWS CloudFormation.

Isso AWS KMS API fornece controle total dos aliases em cada conta e região. APIInclui operações para criar um alias (CreateAlias), visualizar nomes de alias e alias ARNs (ListAliases), alterar a KMS chave associada a um alias (UpdateAlias) e excluir um alias (). DeleteAlias

Funcionamento dos aliases

Saiba como os aliases funcionam no AWS KMS.

Um alias é um recurso independente AWS

Um alias não é propriedade de uma KMS chave. As ações que você executa no alias não afetam a KMS chave associada. Você pode criar um alias para uma KMS chave e depois atualizar o alias para que ele seja associado a uma chave diferenteKMS. Você pode até mesmo excluir o alias sem qualquer efeito na KMS chave associada. No entanto, se você excluir uma KMS chave, todos os aliases associados a essa KMS chave serão excluídos.

Se você especificar um alias como recurso em uma IAM política, a política se referirá ao alias, não à chave associadaKMS.

Cada alias tem dois formatos

Ao criar um alias, você especifica o nome do alias. AWS KMS cria o alias ARN para você.

• Um alias ARN é um Amazon Resource Name (ARN) que identifica exclusivamente o alias.

  # Alias ARN
  arn:aws:kms:us-west-2:111122223333:alias/<alias-name> 

• Um nome de alias que é único na conta e na região. No AWS KMS API, o nome do alias é sempre prefixado por. alias/ Esse prefixo é omitido no console. AWS KMS

  # Alias name
  alias/<alias-name>

Os aliases não são secretos

Os aliases podem ser exibidos em texto simples em CloudTrail registros e outras saídas. Não inclua informações confidenciais ou sigilosas nos nomes dos alias.

Cada alias é associado a uma KMS chave por vez

O alias e sua KMS chave devem estar na mesma conta e região.

Você pode associar um alias a qualquer chave gerenciada pelo cliente na mesma Conta da AWS região. No entanto, você não tem permissão para associar um alias a uma Chave gerenciada pela AWS.

Por exemplo, essa ListAliasessaída mostra que o test-key alias está associado a exatamente uma KMS chave de destino, que é representada pela TargetKeyId propriedade.

{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
}

Vários aliases podem ser associados à mesma chave KMS

Por exemplo, você pode associar os project-key aliases test-key e à mesma KMS chave.

{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
},
{
     "AliasName": "alias/project-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/project-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1516435200.399,
     "LastUpdatedDate": 1516435200.399
}

O alias deve ser exclusivo em uma conta e região.

Por exemplo, é possível ter apenas um alias test-key em cada conta e região. Os aliases diferenciam maiúsculas de minúsculas, mas os aliases que diferem apenas no tamanho das letras são muito propensos a erros. Não é possível alterar um nome de alias. No entanto, você pode excluir o alias e criar um novo com o nome desejado.

É possível criar um alias com o mesmo nome em regiões diferentes

Por exemplo, é possível ter um alias finance-key na região Leste dos EUA (Norte da Virgínia) e um alias finance-key na região Europa (Frankfurt). Cada alias seria associado a uma KMS chave em sua região. Se o seu código se referir a um nome de alias como alias/finance-key, você poderá executá-lo em várias regiões. Em cada região, ele usa uma KMS chave diferente. Para obter detalhes, consulte Saiba como usar aliases em suas aplicações.

Você pode alterar a KMS chave associada a um alias

Você pode usar a UpdateAliasoperação para associar um alias a uma KMS chave diferente. Por exemplo, se o finance-key alias estiver associado à 1234abcd-12ab-34cd-56ef-1234567890ab KMS chave, você poderá atualizá-lo para que fique associado à 0987dcba-09fe-87dc-65ba-ab0987654321 KMS chave.

No entanto, a KMS chave atual e a nova devem ser do mesmo tipo (simétrica, assimétrica ou ambasHMAC) e devem ter o mesmo uso de chave (ENCRYPT_ DECRYPT ou _ VERIFY ou SIGN GENERATE _ _). VERIFY MAC Essa restrição impede erros no código que usa aliases. Se for necessário associar um alias a um tipo diferente de chave e você tiver atenuado os riscos, poderá excluir e recriar o alias.

Algumas KMS chaves não têm aliases

Ao criar uma KMS chave no AWS KMS console, você deve atribuir a ela um novo alias. Mas um alias não é necessário quando você usa a CreateKeyoperação para criar uma KMS chave. Além disso, você pode usar a UpdateAliasoperação para alterar a KMS chave associada a um alias e a DeleteAliasoperação para excluir um alias. Como resultado, algumas KMS chaves podem ter vários aliases e outras podem não ter nenhum.

AWS cria aliases em sua conta

AWS cria aliases em sua conta para Chaves gerenciadas pela AWS. Esses aliases têm nomes no formato alias/aws/<service-name>, como alias/aws/s3.

Alguns AWS aliases não têm KMS chave. Esses aliases predefinidos geralmente são associados a um Chave gerenciada pela AWS quando você começa a usar o serviço.

Use aliases para identificar chaves KMS

Você pode usar um nome de alias ou alias ARN para identificar uma KMS chave em operações criptográficas, e. DescribeKeyGetPublicKey (Se a KMSchave estiver em um local diferente Conta da AWS, você deverá usar sua chave ARN ou aliasARN.) Os aliases não são identificadores válidos para KMS chaves em outras AWS KMS operações. Para obter informações sobre os identificadores de chave válidos para cada AWS KMS API operação, consulte as descrições dos KeyId parâmetros na AWS Key Management Service APIReferência.

Você não pode usar um nome de alias ou alias ARN para identificar uma KMS chave em uma IAM política. Para controlar o acesso a uma KMS chave com base em seus aliases, use as teclas de condição kms: RequestAlias ou kms: ResourceAliases. Para obter detalhes, consulte ABAC para AWS KMS.