Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Faites pivoter les touches manuellement Vous souhaiterez peut-être créer une nouvelle clé KMS et l'utiliser à la place d'une clé KMS actuelle au lieu d'utiliser la rotation automatique ou à la demande des clés. Lorsque la nouvelle clé KMS possède des éléments de chiffrement différents de ceux de la clé KMS actuelle, l'utilisation de la nouvelle clé KMS a le même effet que la modification des éléments de clé d'une clé KMS existante. Le processus de remplacement d'une cléKMS par une autre est connu sous le nom de *rotation manuelle de clés*. ![\[Diagram showing manual key rotation process with application, old key, and new key.\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/key-rotation-manual.png) La rotation manuelle est un bon choix lorsque vous souhaitez faire pivoter des clés KMS qui ne sont pas éligibles à la rotation automatique ou à la demande, telles que les clés KMS asymétriques, les clés HMAC KMS et les clés KMS dans les magasins de [clés personnalisés](key-store-overview.md#custom-key-store-overview). **Note** Lorsque vous commencez à utiliser la nouvelle clé KMS, veillez à ce que la clé KMS d'origine reste activée afin de AWS KMS pouvoir déchiffrer les données chiffrées par la clé KMS d'origine. Lorsque vous faites tourner les clés KMS manuellement, vous devez également mettre à jour les références à l'ID ou à l'ARN de la clé KMS dans vos applications. Les [alias](kms-alias.md), qui associent un nom convivial à une clé KMS, facilitent ce processus. Utilisez un alias pour faire référence à une clé KMS dans vos applications. Ensuite, lorsque vous souhaitez modifier la clé KMS que l'application utilise, au lieu de modifier le code de votre application, modifiez la clé KMS cible de l'alias. Pour en savoir plus, consultez [Apprenez à utiliser des alias dans vos applications](alias-using.md). **Note** [https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) Les alias ne sont pas autorisés dans les opérations qui gèrent les clés KMS, telles que [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)ou [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html). Lorsque vous appelez l'opération [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) sur des clés KMS de chiffrement symétriques pivotées manuellement, omettez le `KeyId` paramètre dans la commande. AWS KMS utilise automatiquement la clé KMS qui a chiffré le texte chiffré. Le `KeyId` paramètre est obligatoire lors d'un appel `Decrypt` ou d'une [vérification](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html) avec une clé KMS asymétrique, ou lors d'un appel [VerifyMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html)avec une clé KMS HMAC. Ces demandes échouent lorsque la valeur de`KeyId`est un alias qui ne pointe plus vers la clé KMS qui a effectué l'opération cryptographique, par exemple lorsqu'une clé fait l'objet d'une rotation manuelle. Pour éviter cette erreur, vous devez spécifier et suivre la clé bonne KMS pour chaque opération. Pour modifier la clé KMS cible d'un alias, utilisez [UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html)l'opération dans l' AWS KMS API. Par exemple, cette commande met à jour l'alias `alias/TestKey` pour pointer vers une nouvelle clé KMS. Comme l'opération ne renvoie aucune sortie, l'exemple utilise l'[ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)opération pour montrer que l'alias est désormais associé à une autre clé KMS et que le `LastUpdatedDate` champ est mis à jour. Les ListAliases commandes utilisent le [`query`paramètre](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-filter.html#cli-usage-filter-client-side-specific-values) du AWS CLI pour obtenir uniquement l'`alias/TestKey`alias. ``` $ aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]' { "Aliases": [ { "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey", "AliasName": "alias/TestKey", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1521097200.123, "LastUpdatedDate": 1521097200.123 }, ] } $ aws kms update-alias --alias-name alias/TestKey --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321 $ aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]' { "Aliases": [ { "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey", "AliasName": "alias/TestKey", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1521097200.123, "LastUpdatedDate": 1604958290.722 }, ] } ```