Automatische Schlüsselrotation aktivieren - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Automatische Schlüsselrotation aktivieren

Wenn Sie die automatische Schlüsselrotation für einen KMS Schlüssel aktivieren, AWS KMS wird standardmäßig jedes Jahr neues kryptografisches Material für den KMS Schlüssel generiert. Sie können auch einen benutzerdefinierten Wert angebenrotation-period, um die Anzahl der Tage nach der Aktivierung der automatischen Schlüsselrotation zu definieren, bei der das Schlüsselmaterial rotiert AWS KMS wird, sowie die Anzahl der Tage zwischen den einzelnen automatischen Rotationen danach.

Die automatische Schlüsselrotation bietet folgende Vorteile:

  • Die Eigenschaften des KMS Schlüssels, einschließlich Schlüssel-ID, Schlüssel ARN, Region, Richtlinien und Berechtigungen, ändern sich nicht, wenn der Schlüssel rotiert wird.

  • Sie müssen keine Anwendungen oder Aliase ändern, die auf die Schlüssel-ID oder den Schlüssel ARN des Schlüssels verweisen. KMS

  • Das rotierende Schlüsselmaterial hat in keinem Fall AWS-Service Auswirkungen auf die Verwendung des KMS Schlüssels.

  • Nachdem Sie die Schlüsselrotation aktiviert haben, wird der KMS Schlüssel automatisch am nächsten Rotationsdatum AWS KMS gedreht, das durch Ihre Rotationsperiode definiert ist. Sie müssen das Update nicht selbst planen.

Sie können die automatische Schlüsselrotation in der AWS KMS Konsole oder mithilfe der EnableKeyRotationOperation aktivieren. Um die automatische Schlüsselrotation zu aktivieren, benötigen Sie kms:EnableKeyRotation Berechtigungen. Weitere Informationen zu AWS KMS Berechtigungen finden Sie unterBerechtigungsreferenz.

  1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms.

  2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel. (Sie können die Drehung von Von AWS verwaltete Schlüssel nicht aktiviern oder deaktivieren. Diese werden automatisch jedes Jahr gedreht.)

  4. Wählen Sie den Alias oder die Schlüssel-ID eines Schlüssels. KMS

  5. Wählen Sie die Registerkarte Key rotation (Schlüsselrotation).

    Die Registerkarte Schlüsselrotation wird nur auf der Detailseite symmetrischer KMS Verschlüsselungsschlüssel mit AWS KMS generiertem Schlüsselmaterial angezeigt (der Ursprung ist AWS_KMS), einschließlich symmetrischer Verschlüsselungsschlüssel für mehrere Regionen. KMS

    Asymmetrische KMS Schlüssel, Schlüssel, HMAC KMS Schlüssel mit importiertem Schlüsselmaterial oder KMS KMS Schlüssel in benutzerdefinierten Schlüsselspeichern können nicht automatisch rotiert werden. Sie können sie jedoch manuell rotieren.

  6. Wählen Sie im Abschnitt Automatische Schlüsselrotation die Option Bearbeiten aus.

  7. Wählen Sie für Schlüsselrotation die Option Aktivieren aus.

    Anmerkung

    Wenn ein KMS Schlüssel deaktiviert ist oder noch gelöscht werden AWS KMS muss, wird das Schlüsselmaterial nicht rotiert, und Sie können den Status oder den Rotationszeitraum der automatischen Schlüsselrotation nicht aktualisieren. Aktivieren Sie den KMS Schlüssel oder brechen Sie den Löschvorgang ab, um die Konfiguration der automatischen Schlüsselrotation zu aktualisieren. Details dazu finden Sie unter So funktioniert die Schlüsselrotation und Wichtige Zustände von AWS KMS Schlüsseln.

  8. (Optional) Geben Sie einen Rotationszeitraum zwischen 90 und 2560 Tagen ein. Der Standardwert ist 365 Tage. Wenn Sie keinen benutzerdefinierten Rotationszeitraum angeben, AWS KMS wird das Schlüsselmaterial jedes Jahr rotiert.

    Sie können den RotationPeriodInDays Bedingungsschlüssel kms: verwenden, um die Werte einzuschränken, die Prinzipale für den Rotationsperiode angeben können.

  9. Wählen Sie Save (Speichern) aus.

Sie können das AWS Key Management Service (AWS KMS) verwendenAPI, um die automatische Schlüsselrotation zu aktivieren und den aktuellen Rotationsstatus aller vom Kunden verwalteten Schlüssel einzusehen. Für diese Beispiele wird die AWS Command Line Interface (AWS CLI) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.

Der EnableKeyRotationVorgang aktiviert die automatische Schlüsselrotation für den angegebenen KMS Schlüssel. Um den KMS Schlüssel bei diesem Vorgang zu identifizieren, verwenden Sie seine Schlüssel-ID oder seinen Schlüssel ARN. Standardmäßig ist die Schlüsseldrehung für kundenverwaltete KMS-Schlüssel deaktiviert.

Sie können den kms:RotationPeriodInDaysBedingungsschlüssel verwenden, um die Werte einzuschränken, die Prinzipale für den RotationPeriodInDays Parameter einer EnableKeyRotation Anforderung angeben können.

Das folgende Beispiel aktiviert die Schlüsselrotation mit einer Rotationsperiode von 180 Tagen für den angegebenen symmetrischen KMS Verschlüsselungsschlüssel und verwendet den GetKeyRotationStatusVorgang, um das Ergebnis zu sehen.

$ aws kms enable-key-rotation \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --rotation-period-in-days 180

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": true,
    "RotationPeriodInDays": 180,
    "NextRotationDate": "2024-02-14T18:14:33.587000+00:00"
}