Rote AWS KMS las claves utilizadas para el cifrado de Amazon EBS

Las prácticas criptográficas recomendadas desaconsejan la reutilización generalizada de claves de cifrado.

Para crear nuevo material de cifrado y usarlo con el cifrado de Amazon EBS, puede crear nuevas claves gestionadas de cliente y, a continuación, cambiar sus aplicaciones para que utilicen dichas claves. También puede habilitar la rotación automática de claves para una clave gestionada por el cliente existente.

Cuando habilita la rotación automática de claves para una clave administrada por el cliente, AWS KMS genera nuevo material criptográfico para la clave de KMS cada año. AWS KMS guarda todas las versiones anteriores del material criptográfico para que pueda seguir descifrando y utilizando volúmenes e instantáneas previamente cifrados con ese material de clave de KMS. AWS KMS no elimina ningún material de clave girada hasta que elimine la clave KMS.

Cuando utiliza una clave girada gestionada por el cliente para cifrar un volumen o una instantánea nuevos, AWS KMS utiliza el material de clave actual (nuevo). Cuando utiliza una clave gestionada de cliente rotada para descifrar un volumen o instantánea, AWS KMS utiliza la misma versión del material de cifrado que ha usado para cifrarlo. Si un volumen o una instantánea están cifrados con una versión anterior del material criptográfico, AWS KMS seguirá utilizando esa versión anterior para descifrarlos. AWS KMS no vuelve a cifrar los volúmenes o instantáneas previamente cifrados para utilizar el nuevo material criptográfico tras una rotación de claves. Permanecen cifrados con el material de cifrado con el que se cifraron originalmente. Puede utilizar de forma segura una clave girada gestionada por el cliente en aplicaciones y AWS servicios sin necesidad de cambiar el código.

Para obtener más información, consulte Rotación de clave de KMS en la Guía para desarrolladores de AWS Key Management Service .