As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Aliases em AWS KMS
<a name="kms-alias"></a>

Um *alias* é um nome amigável para uma AWS KMS key. Por exemplo, um alias permite fazer referência a uma chave do KMS como `test-key` em vez de `1234abcd-12ab-34cd-56ef-1234567890ab`. 

[Você pode usar um alias para identificar uma chave KMS no AWS KMS console, na [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operação e em [operações criptográficas](kms-cryptography.md#cryptographic-operations), como Criptografar e. [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) Aliases também facilitam o reconhecimento de uma [Chave gerenciada pela AWS](concepts.md#aws-managed-key). Aliases para estas chaves do KMS sempre têm o formato: `aws/{{<service-name>}}`. Por exemplo, o alias Chave gerenciada pela AWS para o Amazon DynamoDB é. `aws/dynamodb` É possível estabelecer padrões de alias semelhantes para seus projetos, como introduzir o nome de um projeto ou categoria em seus aliases.

Também é possível pode permitir e negar acesso a chaves do KMS com base em aliases sem precisar editar políticas ou gerenciar concessões. Esse recurso faz parte do AWS KMS suporte ao [controle de acesso baseado em atributos](abac.md) (ABAC). Para obter detalhes, consulte [Usar aliases para controlar o acesso a chaves do KMS](alias-authorization.md).

Grande parte do poder dos aliases vem da sua capacidade de alterar a chave do KMS associada a um alias a qualquer momento. Aliases podem tornar seu código mais fácil de escrever e manter. Por exemplo, suponha que você use um alias para fazer referência a uma determinada chave do KMS e queira alterar essa chave do KMS. Nesse caso, basta associar o alias a outra chave do KMS. Você não precisa mudar o código. 

Aliases também facilitam a reutilização do mesmo código em Regiões da AWS diferentes. Crie aliases com o mesmo nome em várias regiões e associe cada alias a uma chave do KMS em sua respectiva região. Quando o código é executado em cada região, o alias faz referência à chave do KMS associada nessa região. Para ver um exemplo, consulte [Saiba como usar aliases em suas aplicações](alias-using.md).

[Você pode criar um alias para uma chave KMS no AWS KMS console, usando a [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)API ou usando o AWS::KMS::Alias CloudFormation modelo.](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-alias.html)

A AWS KMS API fornece controle total dos aliases em cada conta e região. A API inclui operações para criar um alias ([CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)), visualizar nomes de alias e alias ARNs ([ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)), alterar a chave KMS associada a um alias () e excluir um alias ([UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html)). [DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html)

## Funcionamento dos aliases
<a name="alias-about"></a>

Saiba como os aliases funcionam no AWS KMS.

**Um alias é um recurso independente AWS **  
Um alias não é uma propriedade de uma chave do KMS. As ações executadas no alias não afetam a chave do KMS associada. É possível criar um alias para uma chave do KMS e depois atualizá-lo para associá-lo a outra chave do KMS. Você pode até mesmo excluir o alias sem nenhum efeito sobre a chave do KMS associada. No entanto, se você excluir uma chave do KMS, todos os aliases associados a ela serão excluídos.  
Se você especificar um alias como o recurso em uma política do IAM, esta fará referência ao alias, e não à chave do KMS associada.

**Cada alias tem dois formatos**  
Ao criar um alias, você especifica o nome do alias. AWS KMS cria o alias ARN para você.  
+ Um [ARN de alias](concepts.md#key-id-alias-ARN) é um Amazon Resource Name (ARN) que identifica exclusivamente o alias. 

  ```
  # Alias ARN
  arn:aws:kms:us-west-2:111122223333:alias/{{<alias-name>}}
  ```
+ Um [nome de alias](concepts.md#key-id-alias-name) que é único na conta e na região. Na AWS KMS API, o nome do alias é sempre prefixado por. `alias/` Esse prefixo é omitido no console. AWS KMS 

  ```
  # Alias name
  alias/{{<alias-name>}}
  ```

**Os aliases não são secretos**  
Os aliases podem ser exibidos em texto simples em CloudTrail registros e outras saídas. Não inclua informações confidenciais ou sigilosas nos nomes dos alias.

**Cada alias é associado a uma chave do KMS por vez**  
O alias e sua chave do KMS devem estar na mesma conta e região.   
Você pode associar um alias a qualquer [chave gerenciada pelo cliente](concepts.md#customer-mgn-key) na mesma Conta da AWS região. No entanto, você não tem permissão para associar um alias a uma [Chave gerenciada pela AWS](concepts.md#aws-managed-key).  
Por exemplo, essa [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)saída mostra que o `test-key` alias está associado a exatamente uma chave KMS de destino, que é representada pela `TargetKeyId` propriedade.  

```
{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
}
```

**Vários aliases podem ser associados à mesma chave do KMS**  
Por exemplo, você pode associar os aliases `test-key` e `project-key` à mesma chave do KMS.  

```
{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
},
{
     "AliasName": "alias/project-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/project-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1516435200.399,
     "LastUpdatedDate": 1516435200.399
}
```

**O alias deve ser exclusivo em uma conta e região.**  
Por exemplo, é possível ter apenas um alias `test-key` em cada conta e região. Os aliases diferenciam maiúsculas de minúsculas, mas os aliases que diferem apenas no tamanho das letras são muito propensos a erros. Não é possível alterar um nome de alias. No entanto, você pode excluir o alias e criar um novo com o nome desejado.

**É possível criar um alias com o mesmo nome em regiões diferentes**  
Por exemplo, é possível ter um alias `finance-key` na região Leste dos EUA (Norte da Virgínia) e um alias `finance-key` na região Europa (Frankfurt). Cada alias seria associado a uma chave do KMS em sua região. Se o seu código se referir a um nome de alias como `alias/finance-key`, você poderá executá-lo em várias regiões. Em cada região, ele usa uma chave do KMS diferente. Para obter detalhes, consulte [Saiba como usar aliases em suas aplicações](alias-using.md).

**É possível alterar a chave do KMS associada a um alias**  
Você pode usar a [UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html)operação para associar um alias a uma chave KMS diferente. Por exemplo, se o alias `finance-key` estiver associado à chave do KMS `1234abcd-12ab-34cd-56ef-1234567890ab`, você poderá atualizá-lo para associá-lo à chave do KMS `0987dcba-09fe-87dc-65ba-ab0987654321`.  
No entanto, a chave do KMS atual e nova devem ser do mesmo tipo (ambas devem ser simétricas, assimétricas ou HMAC) e devem ter o mesmo [uso de chave](create-keys.md#key-usage) (ENCRYPT\_DECRYPT ou SIGN\_VERIFY or GENERATE\_VERIFY\_MAC). Essa restrição impede erros no código que usa aliases. Se for necessário associar um alias a um tipo diferente de chave e você tiver atenuado os riscos, poderá excluir e recriar o alias.

**Algumas chaves do KMS não têm aliases**  
Ao criar uma chave KMS no AWS KMS console, você deve dar a ela um novo alias. Mas um alias não é necessário quando você usa a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação para criar uma chave KMS. Além disso, você pode usar a [UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html)operação para alterar a chave KMS associada a um alias e a [DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html)operação para excluir um alias. Como resultado, algumas chaves do KMS podem ter vários aliases, e outras podem não ter nenhum.

**AWS cria aliases em sua conta**  
AWS cria aliases em sua conta para [Chaves gerenciadas pela AWS](concepts.md#aws-managed-key). Esses aliases têm nomes no formato `alias/aws/{{<service-name>}}`, como `alias/aws/s3`.   
Alguns AWS aliases não têm chave KMS. Esses aliases predefinidos geralmente são associados a um Chave gerenciada pela AWS quando você começa a usar o serviço.

**Usar aliases para identificar chaves do KMS**  
Você pode usar um [nome de alias](concepts.md#key-id-alias-name) ou [ARN de alias](concepts.md#key-id-alias-ARN) para identificar uma chave KMS em operações [criptográficas](kms-cryptography.md#cryptographic-operations), e. [DescribeKey[GetPublicKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetPublicKey.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) (Se a [chave do KMS estiver em uma Conta da AWS diferente](key-policy-modifying-external-accounts.md), você deverá usar seu [ARN de chave](concepts.md#key-id-key-ARN) ou ARN de alias.) Aliases não são identificadores válidos para chaves do KMS em outras operações do AWS KMS . Para obter informações sobre os [identificadores de chave](concepts.md#key-id) válidos para cada operação de AWS KMS API, consulte as descrições dos `KeyId` parâmetros na *Referência da AWS Key Management Service API*.  
Não é possível usar um nome ou um ARN de alias para [identificar uma chave do KMS em uma política do IAM](cmks-in-iam-policies.md). Para controlar o acesso a uma chave KMS com base em seus aliases, use as chaves de condição [kms: RequestAlias](conditions-kms.md#conditions-kms-request-alias) ou [kms](conditions-kms.md#conditions-kms-resource-aliases):. ResourceAliases Para obter detalhes, consulte [ABAC para AWS KMS](abac.md).