Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Alias in AWS KMS
<a name="kms-alias"></a>

Un *alias* è un nome descrittivo per una AWS KMS key. Ad esempio, un alias ti consente di fare riferimento a una chiave KMS come `test-key` invece di `1234abcd-12ab-34cd-56ef-1234567890ab`. 

[È possibile utilizzare un alias per identificare una chiave KMS nella AWS KMS console, nell'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operazione e nelle [operazioni crittografiche](kms-cryptography.md#cryptographic-operations), come Encrypt e. [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) Gli alias semplificano anche il riconoscimento delle [Chiave gestita da AWS](concepts.md#aws-managed-key). Gli alias per queste chiavi KMS hanno sempre il formato `aws/{{<service-name>}}`. Ad esempio, l'alias Chiave gestita da AWS per Amazon DynamoDB è. `aws/dynamodb` Puoi stabilire gli standard per alias simili dei progetti, ad esempio anteporre agli alias il nome di un progetto o di una categoria.

Puoi inoltre consentire e negare l'accesso alle chiavi KMS in base ai relativi alias senza modificare le policy o gestire le concessioni. Questa funzionalità fa parte del AWS KMS supporto per il controllo degli accessi [basato sugli attributi (ABAC)](abac.md). Per informazioni dettagliate, vedi [Usa gli alias per controllare l'accesso alle chiavi KMS](alias-authorization.md).

Gran parte del potere degli alias deriva dalla tua capacità di modificare la chiave KMS associata a un alias in qualsiasi momento. Gli alias possono rendere il tuo codice più facile da scrivere e gestire. Supponi, ad esempio, di utilizzare un alias per fare riferimento a una chiave KMS particolare e di voler modificare la chiave KMS. In tal caso, basta associare l'alias a un'altra chiave KMS. Non è necessario cambiare il codice. 

Gli alias semplificano anche il riutilizzo dello stesso codice in diverse Regioni AWS. Crea alias con lo stesso nome in più regioni e associa ogni alias a una chiave KMS nella sua regione. Quando il codice viene eseguito in ogni regione, l'alias fa riferimento alla relativa chiave KMS associata in quella regione. Per vedere un esempio, consulta [Scopri come utilizzare gli alias nelle tue applicazioni](alias-using.md).

[Puoi creare un alias per una chiave KMS nella AWS KMS console, utilizzando l'[CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)API o utilizzando il modello. AWS::KMS::Alias CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-alias.html)

L' AWS KMS API fornisce il controllo completo degli alias in ogni account e regione. L'API include operazioni per creare un alias ([CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)), visualizzare nomi di alias e alias ARNs ([ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)), modificare la chiave KMS associata a un alias () ed eliminare un alias ([UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html)). [DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html)

## Come funzionano gli alias
<a name="alias-about"></a>

Scopri come gli alias funzionano in AWS KMS.

**Un alias è una risorsa indipendente AWS **  
Un alias non è una proprietà di una chiave KMS. Le operazioni eseguite sull'alias non influiscono sulla relativa chiave KMS associata. Puoi creare un alias per una chiave KMS e quindi aggiornare l'alias in modo che venga associato a un'altra chiave KMS. È anche possibile eliminare l'alias senza alcun effetto sulla chiave KMS associata. Tuttavia, se si elimina una chiave KMS, vengono eliminati tutti gli alias associati a tale chiave KMS.  
Se si specifica un alias come risorsa in una policy IAM, la policy fa riferimento all'alias e non alla chiave KMS associata.

**Ogni alias ha due formati**  
Quando si crea un alias, si specifica il nome dell'alias. AWS KMS crea l'alias ARN per te.  
+ Un [ARN di alias](concepts.md#key-id-alias-ARN) è un Amazon Resource Name (ARN) che identifica in modo univoco l'alias. 

  ```
  # Alias ARN
  arn:aws:kms:us-west-2:111122223333:alias/{{<alias-name>}}
  ```
+ Il [nome alias](concepts.md#key-id-alias-name) è unico solo per un account e per una regione. Nell' AWS KMS API, il nome dell'alias è sempre preceduto da. `alias/` Tale prefisso viene omesso nella console. AWS KMS 

  ```
  # Alias name
  alias/{{<alias-name>}}
  ```

**Gli alias non sono segreti**  
Gli alias possono essere visualizzati in testo semplice nei log e in CloudTrail altri output. Non includere informazioni riservate o sensibili nel nome dell'alias.

**Ogni alias è associato a una chiave KMS alla volta**  
L'alias e la relativa chiave KMS devono trovarsi nello stesso account e nella stessa regione.   
È possibile associare un alias a qualsiasi [chiave gestita dal cliente](concepts.md#customer-mgn-key) nella stessa regione. Account AWS Tuttavia, non hai l'autorizzazione per associare un alias a una [Chiave gestita da AWS](concepts.md#aws-managed-key).  
Ad esempio, questo [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)output mostra che l'`test-key`alias è associato esattamente a una chiave KMS di destinazione, rappresentata dalla proprietà. `TargetKeyId`  

```
{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
}
```

**Puoi associare più alias alla stessa chiave KMS**  
Ad esempio, puoi associare gli alias `test-key` e `project-key` alla stessa chiave KMS.  

```
{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
},
{
     "AliasName": "alias/project-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/project-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1516435200.399,
     "LastUpdatedDate": 1516435200.399
}
```

**L'alias deve essere univoco nell'account e nella regione**  
Ad esempio, è possibile avere un solo alias `test-key` in ogni account e regione. Gli alias rispettano la distinzione tra maiuscole e minuscole, ma gli alias che differiscono solo nella la distinzione tra maiuscole e minuscole sono molto inclini all'errore. Non è possibile modificare un nome alias. Tuttavia, puoi eliminare l'alias e creare un nuovo alias con il nome desiderato.

**Puoi creare un alias con lo stesso nome in diverse regioni**  
Ad esempio, puoi avere un alias `finance-key` negli Stati Uniti orientali (Virginia settentrionale) e un alias `finance-key` in Europa (Francoforte). Ogni alias verrebbe associato a una chiave KMS nella rispettiva regione. Se il tuo codice fa riferimento a un nome alias come `alias/finance-key`, puoi eseguirlo in più regioni. In ogni regione utilizza una diversa chiave KMS. Per informazioni dettagliate, vedi [Scopri come utilizzare gli alias nelle tue applicazioni](alias-using.md).

**Puoi modificare la chiave KMS associata a un alias**  
È possibile utilizzare l'[UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html)operazione per associare un alias a una chiave KMS diversa. Ad esempio, se l'alias `finance-key` è associato alla chiave KMS `1234abcd-12ab-34cd-56ef-1234567890ab` puoi aggiornarlo in modo che sia associato alla chiave KMS `0987dcba-09fe-87dc-65ba-ab0987654321`.  
Tuttavia, le chiavi KMS correnti e nuove devono essere dello stesso tipo (entrambe simmetriche, asimmetriche o HMAC) e devono avere lo stesso [utilizzo della chiave ](create-keys.md#key-usage)(ENCRYPT\_DECRYPT, SIGN\_VERIFY o GENERATE\_VERIFY\_MAC). Questa restrizione impedisce errori nel codice che utilizza alias. Se è necessario associare un alias a un tipo di chiave diverso e sono stati attenuati i rischi, puoi eliminare e ricreare l'alias.

**Alcune chiavi KMS non hanno alias**  
Quando crei una chiave KMS nella AWS KMS console, devi assegnarle un nuovo alias. Ma non è necessario un alias quando si utilizza l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione per creare una chiave KMS. Inoltre, è possibile utilizzare l'[UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html)operazione per modificare la chiave KMS associata a un alias e l'[DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html)operazione per eliminare un alias. Di conseguenza, alcune chiavi KMS potrebbero avere diversi alias e altre potrebbero non averne alcuno.

**AWS crea alias nel tuo account**  
AWS crea alias nel tuo account per. [Chiavi gestite da AWS](concepts.md#aws-managed-key) Questi alias hanno i nomi del modulo `alias/aws/{{<service-name>}}`, ad esempio `alias/aws/s3`.   
Alcuni AWS alias non hanno una chiave KMS. Questi alias predefiniti sono generalmente associati a un messaggio Chiave gestita da AWS quando si inizia a utilizzare il servizio.

**Utilizzare gli alias per identificare le chiavi KMS**  
È possibile utilizzare un [nome alias](concepts.md#key-id-alias-name) o un [alias ARN](concepts.md#key-id-alias-ARN) per identificare una chiave KMS nelle operazioni [crittografiche](kms-cryptography.md#cryptographic-operations) e. [DescribeKey[GetPublicKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetPublicKey.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) (Se l'opzione [La chiave KMS è in un Account AWS diverso](key-policy-modifying-external-accounts.md), è necessario utilizzare il suo [ARN della chiave](concepts.md#key-id-key-ARN) o ARN dell'alias.) Gli alias non sono identificatori validi per le chiavi KMS in altre operazioni AWS KMS . *Per informazioni sugli [identificatori di chiave](concepts.md#key-id) validi per ogni operazione AWS KMS API, consulta le descrizioni dei parametri nell'API Reference. `KeyId`AWS Key Management Service *  
Non puoi utilizzare un nome alias o un ARN di alias per [identificare una chiave KMS in una policy IAM](cmks-in-iam-policies.md). Per controllare l'accesso a una chiave KMS in base ai relativi alias, usa le chiavi di condizione [kms: RequestAlias o [kms](conditions-kms.md#conditions-kms-resource-aliases):](conditions-kms.md#conditions-kms-request-alias). ResourceAliases Per informazioni dettagliate, vedi [ABAC per AWS KMS](abac.md).