Búsqueda del nombre del alias y el ARN de alias para una clave de KMS - AWS Key Management Service

Búsqueda del nombre del alias y el ARN de alias para una clave de KMS

Los alias facilitan el reconocimiento de claves KMS en la consola de AWS KMS. Puede ver los alias de una clave KMS en la consola de AWS KMS o mediante la operación ListAliases. La operación DescribeKey, que devuelve las propiedades de una clave de KMS, no incluye alias.

Los siguientes procedimientos muestran cómo ver e identificar los alias asociados a una clave de KMS mediante la consola de AWS KMS y la API de AWS KMS. En estos ejemplos de API de AWS KMS, se utiliza la AWS Command Line Interface (AWS CLI), pero puede usar cualquier lenguaje de programación admitido.

La consola AWS KMS muestra los alias asociados a la clave KMS.

  1. Abra la consola de AWS KMS en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. Si desea ver las claves de la cuenta que usted crea y administra, en el panel de navegación, elija Customer managed keys (Claves administradas por el cliente). Si desea ver las claves de su cuenta que AWS crea y administra, en el panel de navegación, elija claves administradas por AWS.

  4. La columna Aliases (Alias) muestra el alias de cada clave KMS. Si una clave KMS no tiene un alias, aparece un guion (-) en la columna Aliases (Alias).

    Si una clave KMS tiene varios alias, la columna Aliases (Alias) también tiene un resumen de alias, como (+n más). Por ejemplo, la siguiente clave KMS tiene dos alias, uno de los cuales es key-test.

    Para buscar el nombre del alias y el ARN de alias de la clave KMS, utilice la pestaña Aliases (Alias).

    • Para ir directamente a la pestaña Aliases (Alias), en la columna Aliases (Alias), elija el resumen de alias (+n más). Un resumen de alias sólo aparece si la clave KMS tiene más de un alias.

    • O bien, elija el alias o el ID de clave de la clave KMS (que abre la página de detalles de la clave KMS) y, a continuación, elija la pestaña Aliases (Alias). Las pestañas están debajo de la sección General configuration (Configuración general).

    Claves administradas por el cliente interface showing a list with one key and options to create or filter keys.

  5. La pestaña Aliases (Alias) muestra el nombre del alias y el ARN del alias de todos los alias de una clave KMS. También puede crear y eliminar alias para la clave KMS en esta pestaña.

    Aliases tab showing two key aliases with their names and ARNs listed in a table format.
Claves administradas por AWS

Puede usar el alias para reconocer una Clave administrada de AWS, como se muestra en esta página de Claves administradas por AWS de ejemplo. Los alias de Claves administradas por AWS siempre tienen el formato: aws/<service-name>. Por ejemplo, el alias para Clave administrada de AWS para Amazon DynamoDB es aws/dynamodb.

Alias de la página Claves administradas por AWS de la consola de AWS KMS.

La operación ListAliases devuelve el nombre de alias y el ARN de alias de los alias de la cuenta y región. La salida incluye alias para Claves administradas por AWS y para claves administradas por el cliente. Los alias de Claves administradas por AWS deben tener el formatoaws/<service-name>, como, por ejemplo,aws/dynamodb.

La respuesta también podría incluir los alias que no tienen el campo TargetKeyId. Estos son los alias predefinidos que AWS ha creado, pero aún no se han asociado con una clave KMS.

$ aws kms list-aliases
{
    "Aliases": [
        {
            "AliasName": "alias/access-key",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key",
            "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
            "CreationDate": 1516435200.399,
            "LastUpdatedDate": 1516435200.399
        },        
        {
            "AliasName": "alias/ECC-P521-Sign",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ECC-P521-Sign",
            "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
            "CreationDate": 1693622000.704,
            "LastUpdatedDate": 1693622000.704
        },
        {
            "AliasName": "alias/ImportedKey",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ImportedKey",
            "TargetKeyId": "1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d",
            "CreationDate": 1493622000.704,
            "LastUpdatedDate": 1521097200.235
        },
        {
            "AliasName": "alias/finance-project",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/finance-project",
            "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
            "CreationDate": 1604958290.014,
            "LastUpdatedDate": 1604958290.014
        },
        {
            "AliasName": "alias/aws/dynamodb",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/dynamodb",
            "TargetKeyId": "0987ab65-43cd-21ef-09ab-87654321cdef",
            "CreationDate": 1521097200.454,
            "LastUpdatedDate": 1521097200.454
        },
        {
            "AliasName": "alias/aws/ebs",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/ebs",
            "TargetKeyId": "abcd1234-09fe-ef90-09fe-ab0987654321",
            "CreationDate": 1466518990.200,
            "LastUpdatedDate": 1466518990.200
        }
    ]
}

Para obtener todos los alias que están asociados con una determinada clave KMS, utilice el parámetro KeyId de la operación ListAliases. El parámetro KeyId toma el ID de clave o el ARN de clave de la clave KMS.

En este ejemplo se obtienen todos los alias asociados con el0987dcba-09fe-87dc-65ba-ab0987654321 de la clave KMS.

$ aws kms list-aliases --key-id 0987dcba-09fe-87dc-65ba-ab0987654321
{
    "Aliases": [
        {
            "AliasName": "alias/access-key",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key",
            "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
            "CreationDate": "2018-01-20T15:23:10.194000-07:00",
            "LastUpdatedDate": "2018-01-20T15:23:10.194000-07:00"
        },
        {
            "AliasName": "alias/finance-project",
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/finance-project",
            "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
            "CreationDate": 1604958290.014,
            "LastUpdatedDate": 1604958290.014
        }
    ]
}

El parámetro KeyId no toma caracteres comodín, pero puede usar las características de su lenguaje de programación para filtrar la respuesta.

Por ejemplo, el siguiente comando AWS CLI obtiene solo los alias de Claves administradas por AWS.

$ aws kms list-aliases --query 'Aliases[?starts_with(AliasName, `alias/aws/`)]'

El siguiente comando obtiene sólo el alias de access-key. El nombre del alias distingue entre mayúsculas y minúsculas.

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/access-key`]'
[
    {
        "AliasName": "alias/access-key",
        "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key",
        "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": "2018-01-20T15:23:10.194000-07:00",
        "LastUpdatedDate": "2018-01-20T15:23:10.194000-07:00"
    }
]