すべてのプロダクト
Search

このプロダクト

    :キーエイリアスの管理

    ドキュメントセンター

    :キーエイリアスの管理

    最終更新日:Dec 19, 2024

    エイリアスは、キーのオプションの識別子です。 キー管理を容易にするために、操作を呼び出すときにキーIDの代わりにキーエイリアスを使用できます。 このトピックでは、キーエイリアスを作成および管理する方法について説明します。

    使用上の注意

    • エイリアスにはalias/ プレフィックスを含める必要があります。 プレフィックスを除くエイリアス名は1 ~ 255文字で、英数字、アンダースコア (_) 、ハイフン (-) 、およびスラッシュ (/) を使用できます。

      説明

      Key Management Service (KMS) は、サービスキーにalias/acs/<Cloud service> 形式を使用します。 例: alias/acs/oss. カスタムエイリアスを作成するときは、形式を使用しないでください。

    • エイリアスは、Alibaba Cloudアカウント内の1つのリージョンで一意である必要があります。 エイリアスは、異なる地域で同じにすることができます。

    • キーは複数のエイリアスに関連付けることができますが、エイリアスは1つのキーにのみ関連付けることができます。

    • エイリアスは変更できません。 キーのエイリアスを変更するには、キーに別のエイリアスを作成し、元のエイリアスを削除します。 エイリアスを削除した場合、エイリアスが関連付けられているキーは削除されません。

      警告

      エイリアスを削除する前に、エイリアスが使用されていないことを確認してください。 そうしないと、データの暗号化が失敗します。

    • RAM (Resource Access Management) ユーザーがキーのIDではなくキーのエイリアスを使用して操作を実行する場合、RAMユーザーはエイリアスではなくキーに対する権限を持つ必要があります。

    エイリアスの作成

    キーのエイリアスを作成して、キー管理を容易にすることができます。 キーのエイリアスを作成しても、キーの既存のエイリアスは影響を受けません。

    前提条件

    RAMユーザーを使用してキーのエイリアスを作成する場合は、RAMユーザーに必要な権限を付与するカスタムポリシーが作成されていることを確認してください。 詳細については、「RAMを使用したKMSリソースへのアクセスの管理」をご参照ください。

    次のサンプルポリシーでは、ユーザー123456がキー08ec3bb9-034f-485b-b1cd-3459baa8 **** のalias/exampleという名前のエイリアスを作成できます。

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:CreateAlias"
      ],
      "Resource": [
        "acs:kms:cn-hangzhou:123456:key/08ec3bb9-034f-485b-b1cd-3459baa8****",
        "acs:kms:cn-hangzhou:123456:alias/example"
      ]
    }
  ]
}

    手順

    次の表に、キーのエイリアスを作成するために使用できるメソッドを示します。 ビジネス要件に基づいて方法を設定できます。

    移動方法

    API 操作

    KMSコンソールの使用

    1. KMS コンソールにログインします。 上部のナビゲーションバーで、リージョンを選択します。 左側のナビゲーションウィンドウで、リソース > キー管理 を選択します。

    2. キー タブまたは デフォルトキー タブで、必要なキーを見つけ、操作 列の 詳細 をクリックします。

    3. 詳細ページの Alias タブで、Aliasを作成 をクリックします。

      説明

      エイリアスにはalias/ プレフィックスを含める必要があります。 プレフィックスを除くエイリアス名は1 ~ 255文字で、英数字、アンダースコア (_) 、ハイフン (-) 、およびスラッシュ (/) を使用できます。

    操作の呼び出し

    CreateAlias操作を呼び出して、エイリアスを作成します。

    Alibaba Cloud CLIの使用

    Alibaba Cloud CLIでaliyun kms CreateAliasコマンドを実行し、エイリアスを作成します。 

    aliyun kms CreateAlias --KeyId 08ec3bb9-034f-485b-b1cd-3459baa8**** --AliasName alias/example

    エイリアスの更新

    エイリアスを更新して、エイリアスを別のキーに関連付けることができます。

    前提条件

    RAMユーザーを使用してエイリアスを更新する場合は、RAMユーザーに元のキー、新しいキー、およびエイリアスに対する権限を付与するカスタムポリシーが作成されていることを確認します。 詳細については、「RAMを使用したKMSリソースへのアクセスの管理」をご参照ください。

    次のサンプルポリシーでは、ユーザー123456がalias/exampleという名前のエイリアスをKey 127d2f84-ee5f-4f4d-9d41-dbc1aca2**** に関連付けることができます。 このエイリアスが元々関連付けられているキーは08ec3bb9-034f-485b-b1cd-3459baa8**** です。

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:UpdateAlias"
      ],
      "Resource": [
        "acs:kms:cn-hangzhou:123456:key/08ec3bb9-034f-485b-b1cd-3459baa8****",
        "acs:kms:cn-hangzhou:123456:key/127d2f84-ee5f-4f4d-9d41-dbc1aca2****",
        "acs:kms:cn-hangzhou:123456:alias/example"
      ]
    }
  ]
}

    手順

    次の表に、キーのエイリアスを更新するために使用できるメソッドを示します。 ビジネス要件に基づいて方法を設定できます。

    移動方法

    API 操作

    操作の呼び出し

    UpdateAlias操作を呼び出して、エイリアスを更新します。

    Alibaba Cloud CLIの使用

    Alibaba Cloud CLIでaliyun kms UpdateAliasコマンドを実行し、エイリアスを更新します。 

    aliyun kms UpdateAlias --AliasName alias/example --KeyId 127d2f84-ee5f-4f4d-9d41-dbc1aca2****

    すべてのエイリアスの照会

    リージョン内のユーザーのすべてのエイリアスを照会できます。

    前提条件

    RAMユーザーを使用してエイリアスを照会する場合は、RAMユーザーにエイリアスに対する権限を付与するためのカスタムポリシーが作成されていることを確認してください。 詳細については、「RAMを使用したKMSリソースへのアクセスの管理」をご参照ください。

    次のサンプルポリシーでは、ユーザー123456がリージョン内のすべてのエイリアスを照会できます。

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases"
      ],
      "Resource": [
        "acs:kms:cn-hangzhou:123456:alias"
      ]
    }
  ]
}

    手順

    次の表に、エイリアスのクエリに使用できるメソッドを示します。 ビジネス要件に基づいて方法を設定できます。

    移動方法

    API 操作

    操作の呼び出し

    ListAliases操作を呼び出して、リージョン内のユーザーのすべてのエイリアスを照会します。

    Alibaba Cloud CLIの使用

    Alibaba Cloud CLIでaliyun kms ListAliasesコマンドを実行し、リージョン内のユーザーのすべてのエイリアスを照会します。 

    aliyun kms ListAliases

    特定のキーに関連付けられているエイリアスの照会

    特定のキーに関連付けられているすべてのエイリアスを照会できます。

    前提条件

    RAMユーザーを使用してキーに関連付けられているエイリアスを照会する場合は、RAMユーザーにキーに対する権限を付与するためのカスタムポリシーが作成されていることを確認してください。 詳細については、「RAMを使用したKMSリソースへのアクセスの管理」をご参照ください。

    次のサンプルポリシーでは、ユーザー123456がKey 127d2f84-ee5f-4f4d-9d41-dbc1aca2 **** に関連付けられているエイリアスを照会できます。

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliasesByKeyId"
      ],
      "Resource": [
        "acs:kms:cn-hangzhou:123456:key/127d2f84-ee5f-4f4d-9d41-dbc1aca2****"
      ]
    }
  ]
}

    手順

    次の表に、キーに関連付けられているエイリアスのクエリに使用できるメソッドを示します。 ビジネス要件に基づいて方法を設定できます。

    移動方法

    API 操作

    操作の呼び出し

    ListAliasesByKeyId操作を呼び出して、キーに関連付けられているエイリアスを照会します。

    Alibaba Cloud CLIの使用

    Alibaba Cloud CLIでaliyun kms ListAliasesByKeyIdコマンドを実行し、キーに関連付けられているエイリアスを照会します。 

    aliyun kms ListAliasesByKeyId --KeyId 127d2f84-ee5f-4f4d-9d41-dbc1aca2****

    エイリアスの削除

    使用されなくなったエイリアスを削除できます。 エイリアスを削除しても、エイリアスが関連付けられているキーは影響を受けません。

    前提条件

    RAMユーザーを使用してエイリアスを削除する場合は、RAMユーザーに必要な権限を付与するカスタムポリシーが作成されていることを確認してください。 詳細については、「RAMを使用したKMSリソースへのアクセスの管理」をご参照ください。

    次のサンプルポリシーでは、ユーザー123456がalias/exampleという名前のエイリアスをKey 127d2f84-ee5f-4f4d-9d41-dbc1aca2 **** から削除できます。

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:DeleteAlias"
      ],
      "Resource": [
        "acs:kms:cn-hangzhou:123456:key/127d2f84-ee5f-4f4d-9d41-dbc1aca2****",
        "acs:kms:cn-hangzhou:123456:alias/example"
      ]
    }
  ]
}

    手順

    次の表に、エイリアスの削除に使用できる方法を示します。 ビジネス要件に基づいて方法を設定できます。

    移動方法

    API 操作

    KMSコンソールの使用

    1. KMS コンソールにログインします。 上部のナビゲーションバーで、リージョンを選択します。 左側のナビゲーションウィンドウで、リソース > キー管理 を選択します。

    2. キー タブまたは デフォルトキー タブで、必要なキーを見つけ、操作 列の 詳細 をクリックします。

    3. 詳細ページの Alias タブで、削除するエイリアスを見つけ、操作 列の [削除] をクリックします。

    操作の呼び出し

    DeleteAlias操作を呼び出して、エイリアスを削除します。

    Alibaba Cloud CLIの使用

    Alibaba Cloud CLIでaliyun kms DeleteAliasコマンドを実行し、エイリアスを削除します。 

    aliyun kms DeleteAlias --AliasName alias/example