Führen Sie die Schlüsselrotation bei Bedarf durch - AWS Key Management Service
Initiierung der Tastenrotation bei Bedarf (Konsole)Die Tastenrotation bei Bedarf wird initiiert ()AWS KMS API

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Führen Sie die Schlüsselrotation bei Bedarf durch

Sie können das Schlüsselmaterial in vom Kunden verwalteten KMS Schlüsseln bei Bedarf rotieren, unabhängig davon, ob die automatische Schlüsselrotation aktiviert ist oder nicht. Die Deaktivierung der automatischen Rotation (DisableKeyRotation) hat keinen Einfluss auf Ihre Fähigkeit, Rotationen auf Anfrage durchzuführen, und es werden auch keine laufenden Drehungen auf Anfrage storniert. Rotationen auf Abruf haben keine Auswirkungen auf bestehende Zeitpläne für automatische Rotationen. Stellen Sie sich zum Beispiel einen KMS Schlüssel vor, für den die automatische Schlüsselrotation aktiviert ist, und für den eine Rotationsperiode von 730 Tagen gilt. Wenn für den Schlüssel eine automatische Rotation am 14. April 2024 geplant ist und Sie am 10. April 2024 eine On-Demand-Rotation durchführen, wird der Schlüssel wie geplant am 14. April 2024 und danach alle 730 Tage automatisch rotiert.

Sie können die Schlüsselrotation bei Bedarf maximal zehnmal pro KMS Schlüssel durchführen. Sie können die AWS KMS Konsole verwenden, um die Anzahl der verbleibenden On-Demand-Rotationen anzuzeigen, die für einen KMS Schlüssel verfügbar sind.

Die Schlüsselrotation nach Bedarf wird nur für symmetrische KMS Verschlüsselungsschlüssel unterstützt. Sie können keine On-Demand-Rotation von asymmetrischen KMS HMAC KMS Schlüsseln, KMS Schlüsseln mit importiertem Schlüsselmaterial oder KMS Schlüsseln in einem benutzerdefinierten Schlüsselspeicher durchführen. Rufen Sie die On-Demand-Rotation für einen Satz verwandter Schlüssel mit mehreren Regionen auf Anforderung für den Primärschlüssel auf.

Autorisierte Benutzer können die AWS KMS Konsole und die verwenden, AWS KMS API um eine On-Demand-Schlüsselrotation einzuleiten und den Status der Schlüsselrotation einzusehen.

Initiierung der Tastenrotation bei Bedarf (Konsole)

  1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms.

  2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel. (Sie können die Rotation von nicht bei Bedarf durchführen. Von AWS verwaltete Schlüssel Sie werden jedes Jahr automatisch rotiert.)

  4. Wählen Sie den Alias oder die Schlüssel-ID eines KMS Schlüssels.

  5. Wählen Sie die Registerkarte Key rotation (Schlüsselrotation).

    Die Registerkarte Schlüsselrotation wird nur auf der Detailseite symmetrischer KMS Verschlüsselungsschlüssel mit AWS KMS generiertem Schlüsselmaterial angezeigt (der Ursprung ist AWS_KMS), einschließlich symmetrischer Verschlüsselungsschlüssel für mehrere Regionen. KMS

    Sie können bei Bedarf keine Rotation von asymmetrischen KMS Schlüsseln, HMAC KMS KMS Schlüsseln mit importiertem Schlüsselmaterial oder KMS Schlüsseln in benutzerdefinierten Schlüsselspeichern durchführen. Sie können sie jedoch manuell rotieren.

  6. Wählen Sie im Bereich Schlüsselrotation bei Bedarf die Option Schlüssel drehen aus.

  7. Lesen und berücksichtigen Sie die Warnung und die Informationen über die Anzahl der verbleibenden Drehungen bei Bedarf für den Schlüssel. Wenn Sie entscheiden, dass Sie mit der Rotation auf Anforderung nicht fortfahren möchten, wählen Sie Abbrechen.

  8. Wählen Sie die Taste „Drehen“, um die Drehung bei Bedarf zu bestätigen.

    Anmerkung

    Die Rotation nach Bedarf unterliegt letztlich den gleichen Konsistenzeffekten wie andere AWS KMS Verwaltungsvorgänge. Es kann zu einer leichten Verzögerung kommen, bevor das neue Schlüsselmaterial in allen Bereichen von AWS KMS verfügbar ist. Das Banner oben in der Konsole informiert Sie, wenn die On-Demand-Rotation abgeschlossen ist.

Die Tastenrotation bei Bedarf wird initiiert ()AWS KMS API

Sie können die Taste AWS Key Management Service (AWS KMS) verwenden, API um eine On-Demand-Schlüsselrotation zu initiieren und den aktuellen Rotationsstatus aller vom Kunden verwalteten Schlüssel einzusehen. In diesem Beispiel wird AWS Command Line Interface (AWS CLI) verwendet, Sie können jedoch jede unterstützte Programmiersprache verwenden.

Der RotateKeyOnDemandVorgang initiiert sofort die Tastenrotation bei Bedarf für den angegebenen KMS Schlüssel. Um den KMS Schlüssel bei diesen Vorgängen zu identifizieren, verwenden Sie seine Schlüssel-ID oder seinen Schlüssel ARN.

Das folgende Beispiel initiiert eine On-Demand-Schlüsselrotation für den angegebenen symmetrischen KMS Verschlüsselungsschlüssel und verwendet den GetKeyRotationStatusVorgang, um zu überprüfen, ob die Rotation auf Anforderung ausgeführt wird. OnDemandRotationStartDateIn der kms:GetKeyRotationStatus Antwort werden Datum und Uhrzeit angegeben, zu denen eine laufende On-Demand-Rotation initiiert wurde.

$ aws kms rotate-key-on-demand --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"    
}

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": true,
    "NextRotationDate": "2024-03-14T18:14:33.587000+00:00",
    "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
    "RotationPeriodInDays": 365    
}