翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# のエイリアス AWS KMS
<a name="kms-alias"></a>

「エイリアス」は、 AWS KMS keyのわかりやすい名前です。例えば、エイリアスを使用すると、`1234abcd-12ab-34cd-56ef-1234567890ab` の代わりに KMS キーを `test-key` として参照できます。

エイリアスを使用して、 AWS KMS コンソール、[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) オペレーション、および [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) や [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) などの[暗号化オペレーション](kms-cryptography.md#cryptographic-operations)で KMS キーを識別できます。エイリアスを使用すると、[AWS マネージドキー](concepts.md#aws-managed-key) の認識が容易になります。これらの KMS キーのエイリアスは、常に `aws/{{<service-name>}}` の形式になります。たとえば、Amazon DynamoDB AWS マネージドキー の のエイリアスは です`aws/dynamodb`。プロジェクトやカテゴリの名前をエイリアスの前に付けるなど、プロジェクトに対して同様のエイリアス標準を設定できます。

ポリシーを編集したり、権限を管理したりすることなく、エイリアスに基づいて KMS キーへのアクセスを許可および拒否することもできます。この機能は、[属性ベースのアクセスコントロール](abac.md) (ABAC) AWS KMS のサポートの一部です。詳細については、「[エイリアスを使用して KMS キーへのアクセスを制御する](alias-authorization.md)」を参照してください。

エイリアスの機能の強みは、エイリアスに関連付けられている KMS キーをいつでも変更できることです。エイリアスを使用すると、コードの記述と保守が容易になります。例えば、エイリアスを使用して特定の KMS キーを参照し、KMS キーを変更するとします。この場合は、単にエイリアスを別の KMS キーに関連付けます。コードを変更する必要はありません。

エイリアスを使用すると、別の AWS リージョンで同じコードを再利用することも容易になります。複数のリージョンで同じ名前のエイリアスを作成し、各エイリアスをそのリージョンの KMS キーに関連付けます。コードが各リージョンで実行されると、エイリアスは関連付けられた KMS キーをそのリージョンで参照します。例については、[アプリケーションでエイリアスを使用する方法について説明します。](alias-using.md)を参照してください。

KMS キーのエイリアスは、 AWS KMS コンソール、[CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html) API、または [AWS::KMS::Alias CloudFormation テンプレート](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-alias.html)を使用して作成できます。

 AWS KMS API は、各アカウントとリージョンのエイリアスを完全に制御します。API には、エイリアスの作成 ([CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html))、エイリアス名とエイリアス ARN の表示 ([ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html))、エイリアスに関連付けられている KMS キーの変更 ([UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html))、エイリアスの削除 ([DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html)) のオペレーションが含まれます。

## エイリアスの仕組み
<a name="alias-about"></a>

 AWS KMSにおけるエイリアスの仕組みについて説明します。

**エイリアスは独立した AWS リソースです**  
エイリアスは、KMS キーのプロパティではありません。エイリアスに対して実行するアクションは、エイリアスに関連付けられた KMS キーには影響しません。KMS キーのエイリアスを作成してエイリアスを更新し、別の KMS キーに関連付けることができます。関連付けられた KMS キーに影響を与えずに、エイリアスを削除することもできます。ただし、KMS キーを削除すると、その KMS キーに関連付けられているすべてのエイリアスが削除されます。  
IAM ポリシーでリソースとしてエイリアスを指定した場合、ポリシーは、関連付けられた KMS キーではなく、エイリアスを参照します。

**各エイリアスには 2 つの形式があります。**  
エイリアスを作成するときは、エイリアス名を指定します。 AWS KMS はエイリアス ARN を作成します。  
+ [エイリアス ARN](concepts.md#key-id-alias-ARN) は、エイリアスを一意に識別する Amazon リソースネーム（ARN）です。

  ```
  # Alias ARN
  arn:aws:kms:us-west-2:111122223333:alias/{{<alias-name>}}
  ```
+ [エイリアス名](concepts.md#key-id-alias-name)は、アカウントとリージョンで一意です。 AWS KMS API では、エイリアス名には常に というプレフィックスが付けられます`alias/`。このプレフィックスは AWS KMS コンソールでは省略されます。

  ```
  # Alias name
  alias/{{<alias-name>}}
  ```

**エイリアスはシークレットではありません**  
エイリアスは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。エイリアス名には、機密情報や重要情報を含めないでください。

**各エイリアスは、一度に 1 つの KMS キーに関連付けられる**  
エイリアスとその KMS キーは、同じアカウントとリージョンに存在する必要があります。  
エイリアスは、同じ AWS アカウント およびリージョン内の任意の[カスタマーマネージドキー](concepts.md#customer-mgn-key)に関連付けることができます。ただし、エイリアスを [AWS マネージドキー](concepts.md#aws-managed-key) に関連付ける許可はありません。  
例えば、この [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html) 出力では、`test-key` エイリアスが正確に 1 つのターゲット KMS キーに関連付けられていることが示されています。これは、`TargetKeyId` プロパティによって表されます。  

```
{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
}
```

**複数のエイリアスを同じ KMS キーに関連付けることができる**  
例えば、`test-key` と `project-key` のエイリアスを同じ KMS キーに関連付けることができます。  

```
{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
},
{
     "AliasName": "alias/project-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/project-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1516435200.399,
     "LastUpdatedDate": 1516435200.399
}
```

**エイリアスは、アカウントとリージョン内で一意である必要があります**  
例えば、各アカウントとリージョンに `test-key` エイリアスを 1 つだけ持つことができます。エイリアスでは大文字と小文字が区別されますが、大文字と小文字だけが異なるエイリアスは非常にエラーが発生しやすくなります。エイリアス名は変更できません。ただし、エイリアスを削除して、目的の名前で新しいエイリアスを作成することはできます。

**異なるリージョンに同じ名前のエイリアスを作成することができます**  
例えば、米国東部 (バージニア北部) に `finance-key` エイリアスを持つことができ、ヨーロッパ (フランクフルト) に `finance-key` エイリアスを持つことができます。各エイリアスは、そのリージョンの KMS キーに関連付けられます。コードが `alias/finance-key` のようなエイリアス名を参照している場合は、複数のリージョンで実行できます。各リージョンでは、異なる KMS キーが使用されます。詳細については、「[アプリケーションでエイリアスを使用する方法について説明します。](alias-using.md)」を参照してください。

**エイリアスに関連付けられている KMS キーを変更できる**  
[UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html) オペレーションを使用して、エイリアスを別の KMS キーに関連付けることができます。例えば、`finance-key` エイリアスが `1234abcd-12ab-34cd-56ef-1234567890ab` KMS キーに関連付けられている場合、`0987dcba-09fe-87dc-65ba-ab0987654321` KMS キーに関連付けられるようにエイリアスを更新できます。  
ただし、現在の KMS キーと新しい KMS キーが同じタイプ (両方とも対称または非対称、もしくは両方とも HMAC) であり、同じ[キー使用法](create-keys.md#key-usage) (ENCRYPT\_DECRYPT、SIGN\_VERIFY、GENERATE\_VERIFY\_MAC のいずれか) である必要があります。この制限により、エイリアスを使用するコードのエラーが防止されます。エイリアスを別のタイプのキーに関連付ける必要があり、リスクを軽減した場合は、エイリアスを削除して再作成できます。

**一部の KMS キーにはエイリアスがない**  
 AWS KMS コンソールで KMS キーを作成するときは、新しいエイリアスを指定する必要があります。ただし、[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) オペレーションを使用して KMS キーを作成する場合、エイリアスは必要ありません。また、[UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html) オペレーションを使用してエイリアスに関連付けられている KMS キーを変更し、[DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html) オペレーションを使用してエイリアスを削除することもできます。そのため、KMS キーには、複数のエイリアスを持つものもあれば、エイリアスを持たないものもあります。

**AWS がアカウントにエイリアスを作成する**  
AWS は、 のアカウントにエイリアスを作成します[AWS マネージドキー](concepts.md#aws-managed-key)。これらのエイリアスには `alias/aws/{{<service-name>}}`, 、のような形式の名前 `alias/aws/s3`があります。  
一部の AWS エイリアスには KMS キーがありません。これらの事前定義されたエイリアスは、通常、サービスの使用を開始する AWS マネージドキー ときに に関連付けられます。

**エイリアスを使用して KMS キーを識別する**  
[エイリアス名](concepts.md#key-id-alias-name)または[エイリアス ARN](concepts.md#key-id-alias-ARN) を使用して、[暗号化オペレーション](kms-cryptography.md#cryptographic-operations)、[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)、[GetPublicKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetPublicKey.html) で KMS キーを識別できます。([KMS キーが別の AWS アカウントにある場合は](key-policy-modifying-external-accounts.md)、その[キー ARN](concepts.md#key-id-key-ARN) またはエイリアス ARN を使用する必要があります)。エイリアスは、他の AWS KMS オペレーションでは、KMS キーの有効な識別子ではありません 各 AWS KMS API オペレーションの有効な[キー識別子](concepts.md#key-id)の詳細については、 *AWS Key Management Service API リファレンス*の`KeyId`パラメータの説明を参照してください。  
エイリアス名、またはエイリアス ARN を使用して、[IAM ポリシーの KMS キーを識別する](cmks-in-iam-policies.md)ことはできません。エイリアスに基づいて KMS キーへのアクセスを制御するには、[kms:RequestAlias](conditions-kms.md#conditions-kms-request-alias) または [kms:ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases) 条件キーを使用します。詳細については、「[の ABAC AWS KMS](abac.md)」を参照してください。