Rotation AWS KMS des clés utilisées pour le chiffrement Amazon EBS

Les bonnes pratiques de chiffrement décourage la réutilisation étendue des clés de chiffrement.

Pour créer un nouveau matériel cryptographique à utiliser avec le chiffrement Amazon EBS, vous pouvez soit créer une nouvelle clé gérée par le client, puis modifier vos applications pour utiliser cette nouvelle clé KMS. Vous pouvez également activer la rotation automatique des clés pour une clé gérée par le client existante.

Lorsque vous activez la rotation automatique des clés pour une clé gérée par le client, de nouveaux éléments cryptographiques sont AWS KMS générés chaque année pour la clé KMS. AWS KMS enregistre toutes les versions précédentes du matériel cryptographique afin que vous puissiez continuer à déchiffrer et à utiliser les volumes et les instantanés précédemment chiffrés avec ce matériel clé KMS. AWS KMS ne supprime aucun élément clé pivoté tant que vous n'avez pas supprimé la clé KMS.

Lorsque vous utilisez une clé gérée par le client pivotée pour chiffrer un nouveau volume ou un nouvel instantané, elle AWS KMS utilise le (nouveau) contenu clé actuel. Lorsque vous utilisez une clé gérée par le client pivotée pour déchiffrer un volume ou un instantané, AWS KMS utilisez la version du matériel cryptographique utilisé pour le chiffrer. Si un volume ou un instantané est chiffré avec une version précédente du matériel cryptographique, continuez AWS KMS à utiliser cette version précédente pour le déchiffrer. AWS KMS ne rechiffre pas les volumes ou les instantanés précédemment chiffrés pour utiliser le nouveau matériel cryptographique après une rotation de clé. Ils restent chiffrés avec le matériel cryptographique avec lequel ils ont été initialement chiffrés. Vous pouvez utiliser en toute sécurité une clé gérée par le client avec rotation dans les applications et les AWS services sans modifier le code.

Pour plus d’informations, consultez Rotation de clé KMS dans le Guide du développeur AWS Key Management Service .