6
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

KMSキーのエイリアス名をAWS CloudFormationパラメータの値として使用する際の注意点

Posted at

はじめに

AWS CloudFormationを使用してリソースを作成する際に、AWS Key Management Service (KMS) キーのAWS managed keysのエイリアス名をパラメータの値として指定する時の注意点についてご紹介します。

AWS managed keysのエイリアス名を使用するメリット

エイリアスを使用すると、AWS マネージドキー の認識が容易になります。
プロジェクトやカテゴリの名前をエイリアスの前に付けるなど、プロジェクトに対して同様のエイリアス標準を設定できます。

AWS managed keysを使用する際、CloudFormationテンプレートを異なるアカウントで利用したい場合があります。その際、KMSキーのAmazon Resource Name (ARN) を指定すると、該当アカウントでのみ使用可能になってしまいます。そこで、AWS managed keysのエイリアス名を使用することで、アカウントに関係なく異なるアカウントでも値として使用できるようになります。

AWS managed keysのエイリアス名の指定方法

AWSのエイリアス名を指定する場合は、alias/<エイリアス名>の形式で指定する必要があります。AWS managed keysのエイリアス名も同様に、"aws/サービス名"の前に"alias/"を付ける必要があります。例えば、エイリアス名がaws/backupの場合は、alias/aws/backupと指定します。aws/backupのみ値として入力した場合、次のようなエラーが表示されます。

  BackupVault:
    Type: AWS::Backup::BackupVault
    Properties:
      EncryptionKeyArn: aws/backup

image.png

  BackupVault:
    Type: AWS::Backup::BackupVault
    Properties:
      EncryptionKeyArn: alias/aws/backup

KMSキーのAWS managed keysのエイリアス名をalias/aws/backupと指定して、BackupVaultリソースの暗号化に使用できます。

まとめ

AWSのエイリアス名を指定する場合は、alias/<エイリアス名>の形式で指定する必要があります。AWS managed keysのエイリアス名も同様に、"aws/サービス名"の前に"alias/"を付ける必要があります。

6
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
6
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?