はじめに
AWS CloudFormationを使用してリソースを作成する際に、AWS Key Management Service (KMS) キーのAWS managed keysのエイリアス名をパラメータの値として指定する時の注意点についてご紹介します。
AWS managed keysのエイリアス名を使用するメリット
エイリアスを使用すると、AWS マネージドキー の認識が容易になります。
プロジェクトやカテゴリの名前をエイリアスの前に付けるなど、プロジェクトに対して同様のエイリアス標準を設定できます。
AWS managed keysを使用する際、CloudFormationテンプレートを異なるアカウントで利用したい場合があります。その際、KMSキーのAmazon Resource Name (ARN) を指定すると、該当アカウントでのみ使用可能になってしまいます。そこで、AWS managed keysのエイリアス名を使用することで、アカウントに関係なく異なるアカウントでも値として使用できるようになります。
AWS managed keysのエイリアス名の指定方法
AWSのエイリアス名を指定する場合は、alias/<エイリアス名>の形式で指定する必要があります。AWS managed keysのエイリアス名も同様に、"aws/サービス名"の前に"alias/"を付ける必要があります。例えば、エイリアス名がaws/backupの場合は、alias/aws/backupと指定します。aws/backupのみ値として入力した場合、次のようなエラーが表示されます。
BackupVault:
Type: AWS::Backup::BackupVault
Properties:
EncryptionKeyArn: aws/backup
BackupVault:
Type: AWS::Backup::BackupVault
Properties:
EncryptionKeyArn: alias/aws/backup
KMSキーのAWS managed keysのエイリアス名をalias/aws/backupと指定して、BackupVaultリソースの暗号化に使用できます。
まとめ
AWSのエイリアス名を指定する場合は、alias/<エイリアス名>の形式で指定する必要があります。AWS managed keysのエイリアス名も同様に、"aws/サービス名"の前に"alias/"を付ける必要があります。