Deshabilitación de la rotación automática de claves - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Deshabilitación de la rotación automática de claves

Tras habilitar la rotación automática de claves en una clave administrada por el cliente, puede optar por deshabilitarla en cualquier momento.

Si deshabilita la rotación automática de claves, la clave KMS seguirá utilizando la versión del material de claves que utilizaba cuando la rotación estaba deshabilitada. Si vuelve a habilitar la rotación automática de claves, AWS KMS rotará el material de claves en función de la nueva fecha de habilitación de claves.

La deshabilitación de la rotación automática no afecta a su capacidad para realizar rotaciones bajo demanda ni cancela ninguna rotación bajo demanda en curso.

Puede deshabilitar la rotación automática de claves en la consola de AWS KMS o mediante la operación DisableKeyRotation. Para deshabilitar la rotación automática de claves, necesita permisos de kms:DisableKeyRotation. Para obtener más información acerca de los permisos de AWS KMS, consulte la Referencia de permisos.

  1. Inicie sesión en la AWS Management Console y abra la consola AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente. (No puede habilitar o desactivar la rotación de Claves administradas por AWS. Estas rotan cada año de forma automática).

  4. Elija el alias o el ID de clave de una clave KMS.

  5. Seleccione la pestaña Key Rotation (Rotación de claves).

    La pestaña Key rotation (Rotación de claves) solo aparece en la página de detalles de las claves KMS de cifrado simétricas con el material de claves que AWS KMS genera (el Origen es AWS_KMS), incluidas las claves KMS de cifrado simétricas de varias regiones.

    No puede rotar de forma automática las claves KMS asimétricas, las claves KMS HMAC, las claves KMS con material de claves importado o las claves KMS en los almacenes de claves personalizados. Sin embargo, puede rotarlas manualmente.

  6. En la sección Automatic key rotation (Rotación automática de claves), seleccione Edit (Editar).

  7. En Key rotation (rotación de claves), seleccione Disable (Deshabilitar).

    nota

    Si una clave KMS está deshabilitada o pendiente de eliminación, AWS KMS no rota el material de claves y no podrá actualizar el estado de rotación automática de claves ni el periodo de rotación. Para actualizar la configuración de la rotación automática de claves, habilite la clave KMS o cancele la eliminación. Para más detalles, consulte Cómo funciona la rotación de claves y Estados de clave de de las claves AWS KMS.

  8. Seleccione Guardar.

Puede utilizar la API de AWS Key Management Service (AWS KMS) para deshabilitar la rotación automática de claves y ver el estado de rotación actual de cualquier clave administrada por el cliente. En estos ejemplos se utiliza la AWS Command Line Interface (AWS CLI), pero puede usar cualquier lenguaje de programación admitido.

La operación DisableKeyRotation deshabilita la rotación automática de claves. Para identificar la clave KMS en esta operación, utilice el ID de la clave o el ARN de la clave. De forma predeterminada, la rotación de claves está desactivada para las claves KMS administradas por el cliente.

En el siguiente ejemplo, se deshabilita la rotación automática de claves en la clave KMS de cifrado simétrica especificada, y se utiliza la operación GetKeyRotationStatus para ver el resultado.

$ aws kms disable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": false
}