エイリアスは、カスタマーマスターキー (CMK) のオプション識別子です。
エイリアスは、Alibaba クラウドのアカウントとリージョンで一意である必要があります。 異なるリージョンの同じアカウントに対して同じエイリアスを使用できます。 各エイリアスは同じリージョン内では 1 つの CMK のみを指しますが、各 CMK は複数のエイリアスを持つことができます。
エイリアスは CMK を示す必要がありますが、エイリアスは CMK とは独立して存在するリソースです。 エイリアスには次の機能があります。
- UpdateAliasCMK に影響を与えることなく、使っている CMK に関連付けられたエイリアスを変更できます。
- エイリアスを削除しても、関連付けられた CMK は削除されません。
- エイリアス操作にサブアカウントを使用するには、エイリアスリソースに対する関連の権限が必要です。 詳細については右記をご参照ください。 RAMを使用したKMSリソースへのアクセス制御
- エイリアスは変更できません。 エイリアスを変更する場合は、CMK に対し新しいエイリアスを作成し、古いエイリアスを削除します。
エイリアスが CMK に関連付けられている場合、次の操作で、アクセスパラメーターのキー ID をエイリアスに置き換えることができます。
- DescribeKey
- Encrypt
- GenerateDataKey
サブアカウントがキー ID の代わりにエイリアスを使用する場合、サブアカウントは対応するキーの権限を必要とします。 対応するエイリアス権限は必要ありません。
エイリアスに対して以下の操作を実行できます。
常に、接頭辞 "alias/" の後にエイリアス名自体を含む完全なエイリアスを使用する必要があります。
// a complete alias containing the prefix "alias/"
alias/example
エイリアスの作成
- エイリアスには "alias/" という接頭辞を付ける必要があります。 接頭辞に加えて、エイリアスには、文字、数字、アンダースコア (_)、ハイフン (-)、スラッシュ (/) などの文字を含めることができます。 接頭辞を含めないで、エイリアスの最小長は 1、最大長は 255 です。
- サブアカウントがエイリアスを作成するには、エイリアスとそれに関連するキーの両方に対する権限が必要です。
- 同じ CMK に対して新しいエイリアスを作成しても、既存のエイリアスには影響しません。
- エイリアスを作成する API は下記です。 CreateAlias
//RAM Policy example for creating an alias: user 123456 can create the alias "alias/example" for the key "08ec3bb9-034f-485b-b1cd-3459baa889c7".
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:CreateAlias"
],
"Resource": [
"acs:kms:cn-hangzhou:123456:key/08ec3bb9-034f-485b-b1cd-3459baa889c7",
"acs:kms:cn-hangzhou:123456:alias/example"
]
}
]
}
// Create an alias
aliyuncli kms CreateAlias --KeyId 08ec3bb9-034f-485b-b1cd-3459baa889c7 --AliasName alias/example
エイリアスの更新
- エイリアスを更新するには、エイリアスを他の CMK と関連付ける必要があります。 API は右記です。 UpdateAlias
- サブアカウントがエイリアスを更新するには、ローキー、ターゲットキー、およびエイリアスにアクセスする必要があり、3 つすべてに対する権限が必要です。
//RAM Policy example for updating an alias: user 123456 can manage the alias "alias/example", associating the key "08ec3bb9-034f-485b-b1cd-3459baa889c7" with the new key "127d2f84-ee5f-4f4d-9d41-dbc1aca28788".
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:UpdateAlias"
],
"Resource": [
"acs:kms:cn-hangzhou:123456:key/08ec3bb9-034f-485b-b1cd-3459baa889c7",
"acs:kms:cn-hangzhou:123456:key/127d2f84-ee5f-4f4d-9d41-dbc1aca28788",
"acs:kms:cn-hangzhou:123456:alias/example"
]
}
]
}
// Update an alias
aliyuncli kms UpdateAlias --AliasName alias/example --KeyId 127d2f84-ee5f-4f4d-9d41-dbc1aca28788
エイリアスの削除
- エイリアスを削除しても、エイリアスに関連付けられているキーには影響しません。 API はDeleteAliasです。
- サブアカウントがエイリアスを削除するには、エイリアスとエイリアスに関連するキーの両方にアクセスする必要があり、両方に対する権限が必要です。
//RAM Policy example for deleting an alias: user 123456 can delete the alias "alias/example". Its associated key is 127d2f84-ee5f-4f4d-9d41-dbc1aca28788.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:DeleteAlias"
],
"Resource": [
"acs:kms:cn-hangzhou:123456:key/127d2f84-ee5f-4f4d-9d41-dbc1aca28788",
"acs:kms:cn-hangzhou:123456:alias/example"
]
}
]
}
// Delete an alias
aliyuncli kms DeleteAlias --AliasName alias/example
エイリアスの一覧表示
- エイリアスを一覧表示すると、エイリアスに関する情報が表示されます。 API はListAliasです。
- サブアカウントでエイリアスを一覧表示するには、エイリアスリソースタイプに対するアクセス権限が必要です。
//RAM Policy examples for listing aliases
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:ListeAliases"
],
"Resource": [
"acs:kms:cn-hangzhou:123456:alias"
]
}
]
}
// List aliases
aliyuncli kms ListAliases
特定のキーに関連付けられたエイリアスの一覧表示
- ListAliases とは異なり、この操作では特定のキーに関連付けられたエイリアスに関する情報のみが表示されます。 API はListAliasesByKeyIdです。
- サブアカウントが特定のキーに関連付けられたエイリアスを一覧表示するには、特定のキーに対するアクセス権限が必要です。
//RAM Policy example for listing aliases associated with a specific key: list all the associated aliases of the key "127d2f84-ee5f-4f4d-9d41-dbc1aca28788".
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:DeleteAlias"
],
"Resource": [
"acs:kms:cn-hangzhou:123456:key/127d2f84-ee5f-4f4d-9d41-dbc1aca28788"
]
}
]
}
//List aliases associated with a specific key
aliyuncli kms ListAliasesByKeyId --KeyId 127d2f84-ee5f-4f4d-9d41-dbc1aca28788