Rotatif AWS KMS keys - AWS Key Management Service
Pourquoi faire pivoter les clés KMS ?Comment fonctionne la rotation des clésActivation et désactivation de la rotation automatique des clésComment effectuer une rotation des touches à la demandeRotation manuelle des clés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rotatif AWS KMS keys

Pour créer de nouveaux éléments de chiffrement pour vos clés gérées par le client, vous pouvez créer de nouvelles clés KMS, puis modifier vos applications ou alias pour utiliser les nouvelles clés KMS. Vous pouvez également faire pivoter le matériel clé associé à une clé KMS existante en activant la rotation automatique des touches ou en effectuant une rotation à la demande.

Par défaut, lorsque vous activez la rotation automatique des clés pour une clé KMS, de nouveaux éléments cryptographiques sont AWS KMS générés chaque année pour la clé KMS. Vous pouvez également définir une option personnalisée rotation-period pour définir le nombre de jours après l'activation de la rotation automatique des clés qui AWS KMS fera pivoter votre matériel clé, ainsi que le nombre de jours entre chaque rotation automatique par la suite. Si vous devez lancer immédiatement la rotation des matériaux clés, vous pouvez effectuer une rotation à la demande, que la rotation automatique des clés soit activée ou non. Les rotations à la demande ne modifient pas les programmes de rotation automatiques existants.

AWS KMS enregistre toutes les versions précédentes du matériel cryptographique à perpétuité afin que vous puissiez déchiffrer toutes les données chiffrées avec cette clé KMS. AWS KMS ne supprime aucun élément clé pivoté tant que vous n'avez pas supprimé la clé KMS. Vous pouvez suivre la rotation du contenu clé de vos clés KMS sur Amazon CloudWatch et sur la AWS Key Management Service console. AWS CloudTrail Vous pouvez également utiliser le GetKeyRotationStatusmode fonctionnement pour vérifier si la rotation automatique est activée pour une clé KMS et identifier les rotations à la demande en cours. Vous pouvez utiliser ListKeyRotationsl'opération pour afficher les détails des rotations terminées.

Lorsque vous utilisez une clé KMS pivotée pour chiffrer des données, AWS KMS utilise le contenu de la clé actuelle. Lorsque vous utilisez la clé KMS pivotée pour déchiffrer du texte chiffré, elle AWS KMS utilise la version du contenu clé qui a été utilisée pour le chiffrer. Vous ne pouvez pas sélectionner une version particulière du matériel clé pour les opérations de déchiffrement, vous choisissez AWS KMS automatiquement la bonne version. Comme le déchiffre de AWS KMS manière transparente avec le matériel clé approprié, vous pouvez utiliser une clé KMS pivotée en toute sécurité dans les applications et sans modifier le code. Services AWS

Toutefois, la rotation automatique des clés n'a aucun effet sur les données protégées par la clé KMS. La rotation n'est pas appliquée aux clés de données générées par la clé KMS, les données protégées par la clé KMS ne sont pas rechiffrées et l'effet d'une clé de données compromise n'est pas atténué.

AWS KMS prend en charge la rotation automatique et à la demande des clés uniquement pour les clés KMS de chiffrement symétriques dont le contenu clé est AWS KMS créé. La rotation automatique est facultative pour les clés KMS gérées par le client. AWS KMS effectue toujours une rotation des éléments de clé pour les clés KMS gérées par AWS tous les ans. La rotation des clés KMS AWS détenues est gérée par le AWS service propriétaire de la clé.

Note

La période de rotation Clés gérées par AWS a été modifiée en mai 2022. Pour plus de détails, consultez Clés gérées par AWS.

La rotation des clés change uniquement les éléments de clé, qui correspondent au secret de chiffrement utilisé dans les opérations de chiffrement. La clé KMS est la même ressource logique, indépendamment du fait que ses éléments de clé changent ou du nombre de fois où ils changent. Les propriétés de la clé KMS ne changent pas, comme illustré dans l'image suivante.

Vous pouvez décider de créer une nouvelle clé KMS et de l'utiliser à la place de la clé KMS d'origine. L'effet est le même que celui obtenu par la rotation des éléments de clé dans une clé KMS existante. Ainsi, on parle souvent à ce sujet de rotation manuelle de la clé. La rotation manuelle est un bon choix lorsque vous souhaitez faire pivoter des clés KMS qui ne sont pas éligibles à la rotation automatique des clés, notamment les clés KMS asymétriques, les clés HMAC KMS, les clés KMS dans les magasins de clés personnalisés et les clés KMS dont le contenu clé est importé.

Rotation des clés et tarification

AWS KMS facture des frais mensuels pour la première et la deuxième rotation du matériel clé conservé pour votre clé KMS. Cette augmentation de prix est plafonnée lors de la deuxième rotation, et les rotations suivantes ne seront pas facturées. Pour plus d’informations, consultez Tarification AWS Key Management Service.

Note

Vous pouvez utiliser le AWS Cost Explorer Service pour consulter les détails de vos frais de stockage de clés. Par exemple, vous pouvez filtrer votre affichage pour voir le montant total des frais pour les clés facturées en tant que clés KMS actuelles ou ayant fait l'objet d'une rotation en spécifiant $REGION-KMS-Keys pour le type d'utilisation et en regroupant les données par opération d’API.

Vous pouvez toujours voir des instances de l'ancienne opération d’API Unknown pour les dates historiques.

Rotation des clés et quotas

Chaque clé KMS compte comme une clé lors du calcul des quotas de ressources de clés, quel que soit le nombre de versions d'éléments de clé qui ont fait l'objet d'une rotation.

Pour plus d'informations sur les éléments de clé et la rotation, veuillez consulter le livre blanc Détails cryptographiques de AWS Key Management Service.

Pourquoi faire pivoter les clés KMS ?

Les meilleures pratiques cryptographiques découragent la réutilisation intensive des clés qui chiffrent directement les données, telles que les clés de données générées. AWS KMS Lorsque des clés de données à 256 bits chiffrent des millions de messages, elles peuvent s'épuiser et commencer à produire du texte chiffré avec des motifs subtils que des acteurs intelligents peuvent exploiter pour découvrir les bits contenus dans la clé. Pour éviter cet épuisement des clés, il est préférable d'utiliser les clés de données une seule fois, ou seulement quelques fois, afin de faire pivoter efficacement le contenu clé.

Cependant, les clés KMS sont le plus souvent utilisées comme clés d'encapsulage, également appelées clés de chiffrement. Au lieu de chiffrer les données, les clés d'encapsulage chiffrent les clés de données qui chiffrent vos données. Elles sont donc beaucoup moins souvent utilisées que les clés de données et ne sont presque jamais suffisamment réutilisées pour risquer d'épuiser les clés.

Malgré ce très faible risque d'épuisement, vous devrez peut-être alterner vos clés KMS en raison de règles commerciales ou contractuelles ou de réglementations gouvernementales. Lorsque vous êtes obligé de faire pivoter les clés KMS, nous vous recommandons d'utiliser la rotation automatique des clés là où elle est prise en charge, et la rotation manuelle des clés lorsque la rotation automatique des clés n'est pas prise en charge.

Vous pouvez envisager d'effectuer des rotations à la demande pour démontrer les principales fonctionnalités de rotation des matériaux ou pour valider des scripts d'automatisation. Nous recommandons d'utiliser des rotations à la demande pour les rotations imprévues et d'utiliser la rotation automatique des clés avec une période de rotation personnalisée dans la mesure du possible.

Comment fonctionne la rotation des clés

La rotation des touches AWS KMS est conçue pour être transparente et facile à utiliser. AWS KMS prend en charge la rotation automatique et à la demande optionnelle des clés uniquement pour les clés gérées par le client.

Rotation automatique des touches

AWS KMS fait automatiquement pivoter la clé KMS à la prochaine date de rotation définie par votre période de rotation. Vous n'avez pas besoin de vous souvenir de la mise à jour ou de la planifier.

Rotation à la demande

Lancez immédiatement la rotation du matériel clé associé à votre clé KMS, que la rotation automatique des clés soit activée ou non.

Gestion des éléments de clé

AWS KMS conserve tous les éléments clés d'une clé KMS, même si la rotation des touches est désactivée. AWS KMS supprime le contenu clé uniquement lorsque vous supprimez la clé KMS.

Utilisation des éléments de clé

Lorsque vous utilisez une clé KMS pivotée pour chiffrer des données, AWS KMS utilise le contenu de la clé actuelle. Lorsque vous utilisez la clé KMS qui a fait l'objet d'une rotation pour déchiffrer le texte chiffré, AWS KMS utilise la même version des éléments de clé qui a été utilisée pour les chiffrer. Vous ne pouvez pas sélectionner une version particulière du matériel clé pour les opérations de déchiffrement, vous choisissez AWS KMS automatiquement la bonne version.

Période de rotation

La période de rotation définit le nombre de jours après l'activation de la rotation automatique des clés qui AWS KMS fera pivoter votre matériel clé, ainsi que le nombre de jours entre chaque rotation automatique des clés par la suite. Si vous ne spécifiez aucune valeur pour RotationPeriodInDays activer la rotation automatique des touches, la valeur par défaut est de 365 jours.

Vous pouvez utiliser la clé de RotationPeriodInDays condition kms : pour restreindre davantage les valeurs que les principaux peuvent spécifier dans le RotationPeriodInDays paramètre.

Date de rotation

AWS KMS fait automatiquement pivoter la clé KMS à la date de rotation définie par votre période de rotation. La période de rotation par défaut est de 365 jours.

Clés gérées par le client

La rotation automatique des clés étant facultative sur les clés gérées par le client et pouvant être activée ou désactivée à tout moment, la date de rotation dépend de la date à laquelle la rotation a été activée pour la dernière fois. La date peut changer si vous modifiez la période de rotation d'une clé pour laquelle vous avez précédemment activé la rotation automatique des touches. La date de rotation peut changer plusieurs fois au cours de la durée de vie de la clé.

Par exemple, si vous créez une clé gérée par le client le 1er janvier 2022 et que vous activez la rotation automatique des clés avec une période de rotation par défaut de 365 jours le 15 mars 2022, vous faites AWS KMS pivoter le contenu clé le 15 mars 2023, le 15 mars 2024, puis tous les 365 jours par la suite.

Les exemples suivants supposent que la rotation automatique des clés a été activée avec une période de rotation par défaut de 365 jours. Ces exemples illustrent des cas particuliers susceptibles d'avoir un impact sur la période de rotation d'une clé.

  • Désactiver la rotation des clés : si vous désactivez la rotation automatique des clés à tout moment, la clé KMS continue d'utiliser la version de l’élément de clé qu'elle utilisait lorsque la rotation a été désactivée. Si vous réactivez la rotation automatique des touches, AWS KMS fait pivoter le matériau clé en fonction de la nouvelle date d'activation de la rotation.

  • Clés KMS désactivées : lorsqu'une clé KMS est désactivée, elle AWS KMS ne fait pas pivoter. Toutefois, l'état de rotation de la clé ne change pas et vous ne pouvez pas le modifier tant que la clé KMS est désactivée. Lorsque la clé KMS est réactivée, si le contenu clé a dépassé sa dernière date de rotation planifiée, il la AWS KMS fait immédiatement pivoter. Si le matériel clé n'a pas dépassé sa dernière date de rotation planifiée, AWS KMS reprend le calendrier de rotation des clés d'origine.

  • Clés KMS en attente de suppression — Lorsqu'une clé KMS est en attente de suppression, elle AWS KMS ne fait pas l'objet d'une rotation. L'état de rotation de la clé est défini sur false et vous ne pouvez pas le modifier tant que la suppression est en attente. Si la suppression est annulée, l'état précédent de rotation de la clé est restauré. Si le matériau clé a dépassé sa dernière date de rotation planifiée, il le AWS KMS fait immédiatement pivoter. Si le matériel clé n'a pas dépassé sa dernière date de rotation planifiée, AWS KMS reprend le calendrier de rotation des clés d'origine.

Clés gérées par AWS

AWS KMS effectue une rotation automatique Clés gérées par AWS chaque année (environ 365 jours). Vous ne pouvez pas activer ou désactiver la rotation des clés pour Clés gérées par AWS.

Le matériau clé d'un Clé gérée par AWS est d'abord alterné un an après sa date de création, puis chaque année (environ 365 jours après la dernière rotation) par la suite.

Note

En mai 2022, le calendrier de rotation AWS KMS a été modifié, Clés gérées par AWS passant de tous les trois ans (environ 1 095 jours) à chaque année (environ 365 jours).

Clés gérées par AWS Les nouvelles versions font l'objet d'une rotation automatique un an après leur création, et environ chaque année par la suite.

Clés gérées par AWS Les versions existantes font automatiquement l'objet d'une rotation un an après leur dernière rotation, puis chaque année.

Clés détenues par AWS

Vous ne pouvez pas activer ou désactiver la rotation des clés pour Clés détenues par AWS. La stratégie de rotation des clés pour un Clé détenue par AWS est déterminée par le AWS service qui crée et gère la clé. Pour plus de détails, reportez-vous à la rubrique Chiffrement au repos dans le Guide de l'utilisateur ou le guide du développeur du service.

Types de clés KMS non pris en charge

La rotation automatique des clés est prise en charge uniquement sur les clés KMS de chiffrement symétriques avec les éléments de clé que AWS KMS génère (Origine = AWS_KMS).

La rotation automatique des clés n'est pas prise en charge sur les types de clés KMS suivants, mais vous pouvez soumettre ces clés KMS à la rotation manuellement.

Clés multi-région

Vous pouvez activer et désactiver la rotation automatique des clés pour les clés multi-région. Vous définissez la propriété uniquement sur la clé principale. Lors de la AWS KMS synchronisation des clés, il copie le paramètre de propriété de la clé primaire vers ses clés de réplique. Lorsque le matériau clé de la clé primaire est pivoté, il copie AWS KMS automatiquement ce matériau clé sur toutes ses répliques de clés. Pour plus de détails, consultez Rotation de clés multi-région.

AWS services

Vous pouvez activer la rotation automatique des clés sur les clés gérées par le client que vous utilisez pour le chiffrement côté serveur dans les services AWS . La rotation annuelle est transparente et compatible avec les services AWS .

Surveillance de la rotation des clés

Lorsqu'il AWS KMS fait pivoter le contenu clé d'une clé Clé gérée par AWSou d'une clé gérée par le client, il écrit un KMS CMK Rotation événement sur Amazon EventBridge et un RotateKey autre dans votre AWS CloudTrail journal. Vous pouvez utiliser ces registres pour vérifier que la clé KMS a fait l'objet d'une rotation.

Vous pouvez utiliser la AWS Key Management Service console pour afficher le nombre de rotations à la demande restantes et une liste de toutes les rotations de matériaux clés terminées pour une clé KMS.

Vous pouvez utiliser ListKeyRotationsl'opération pour afficher les détails des rotations terminées.

Cohérence à terme

La rotation des clés est soumise aux mêmes effets de cohérence éventuels que les autres opérations AWS KMS de gestion. Il peut y avoir un léger retard avant que les nouveaux éléments de clé ne soient disponibles dans AWS KMS. Toutefois, la rotation des éléments de clé n'entraîne aucune interruption ou aucun retard dans les opérations cryptographiques. Les éléments de clé actuels sont utilisés dans les opérations cryptographiques jusqu'à ce que les nouveaux éléments de clé soient disponibles dans AWS KMS. Lorsque le matériau clé d'une clé multirégionale est automatiquement pivoté, AWS KMS utilise le matériau clé actuel jusqu'à ce que le nouveau matériau clé soit disponible dans toutes les régions avec une clé multirégionale associée.

Activation et désactivation de la rotation automatique des clés

Par défaut, lorsque vous activez la rotation automatique des clés pour une clé KMS, de nouveaux éléments cryptographiques sont AWS KMS générés chaque année pour la clé KMS. Vous pouvez également définir une option personnalisée rotation-period pour définir le nombre de jours après l'activation de la rotation automatique des clés qui AWS KMS fera pivoter votre matériel clé, ainsi que le nombre de jours entre chaque rotation automatique par la suite.

La rotation automatique des clés offre les avantages suivants :

  • Les propriétés de la clé KMS, y compris son ID de clé, son ARN de clé, sa région, ses politiques et ses autorisations, ne changent pas lorsque la clé est l'objet d'une rotation.

  • Vous n'avez pas besoin de modifier les applications ou les alias qui font référence à l'ID ou à l'ARN de la clé KMS.

  • La rotation des éléments de clé n'affecte pas l'utilisation de la clé KMS dans Service AWS.

  • Après avoir activé la rotation des clés, AWS KMS fait automatiquement pivoter la clé KMS à la date de rotation suivante définie par votre période de rotation. Vous n'avez pas besoin de vous souvenir de la mise à jour ou de la planifier.

Les utilisateurs autorisés peuvent utiliser la AWS KMS console et l' AWS KMS API pour activer et désactiver la rotation automatique des touches et consulter l'état de rotation des clés.

Activation et désactivation de la rotation automatique des touches (console)

  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le volet de navigation, sélectionnez Clés gérées par le client. (Vous ne pouvez pas activer ou désactiver la rotation des Clés gérées par AWS. Elles sont automatiquement soumises à la rotation tous ans.)

  4. Choisissez l'alias ou l'ID d'une clé KMS.

  5. Choisissez l'onglet Rotation des clés d'accès.

    L'onglet Rotation des clés apparaît uniquement sur la page détaillée des clés KMS de chiffrement symétriques contenant le contenu clé AWS KMS généré (l'origine est AWS_KMS), y compris les clés KMS de chiffrement symétriques multirégionales.

    Vous ne pouvez pas soumettre automatiquement à la rotation les clés KMS asymétriques, les clés KMS HMAC, les clés KMS avec des éléments de clé importés, ou les clés KMS dans les magasins de clé personnalisés. Cependant, vous pouvez les faire pivoter manuellement.

  6. Dans la section Rotation automatique des touches, choisissez Modifier.

  7. Pour Rotation des touches, sélectionnez Activer.

    Note

    Si une clé KMS est désactivée ou en attente de suppression, AWS KMS cela ne fait pas pivoter le contenu clé et vous ne pouvez pas mettre à jour l'état de rotation automatique des clés ou la période de rotation. Activez la clé KMS ou annulez la suppression pour mettre à jour la configuration de rotation automatique des clés. Pour plus d'informations, consultez Comment fonctionne la rotation des clés et États clés des AWS KMS clés.

  8. (Facultatif) Entrez une période de rotation comprise entre 90 et 2560 jours. La valeur par défaut est de 365 jours. Si vous ne spécifiez pas de période de rotation personnalisée, le matériau clé AWS KMS sera alterné chaque année.

    Vous pouvez utiliser la clé de RotationPeriodInDays condition kms : pour limiter les valeurs que les directeurs peuvent spécifier pour la période de rotation.

  9. Choisissez Enregistrer.

Activation et désactivation de la rotation automatique des touches (AWS KMS API)

Vous pouvez utiliser l'API AWS Key Management Service (AWS KMS) pour activer et désactiver la rotation automatique des clés et consulter l'état de rotation actuel de toute clé gérée par le client. Ces exemples utilisent l'AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

L'EnableKeyRotationopération active la rotation automatique des touches pour la clé KMS spécifiée. L'DisableKeyRotationopération le désactive. Pour identifier la clé KMS dans ces opérations, utilisez son ID de clé ou son ARN de clé. Par défaut, la rotation des clés est désactivée pour les clés gérées par le client.

Vous pouvez utiliser la clé de RotationPeriodInDays condition kms : pour limiter les valeurs que les principaux peuvent spécifier pour le RotationPeriodInDays paramètre d'une EnableKeyRotation demande.

L'exemple suivant active la rotation des clés avec une période de rotation de 180 jours sur la clé KMS de chiffrement symétrique spécifiée et utilise l'GetKeyRotationStatusopération pour voir le résultat. Ensuite, il désactive la rotation des clés et, à nouveau, utilise GetKeyRotationStatus pour afficher la modification.

$ aws kms enable-key-rotation \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --rotation-period-in-days 180

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": true,
    "RotationPeriodInDays": 180,
    "NextRotationDate": "2024-02-14T18:14:33.587000+00:00"
}

$ aws kms disable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": false
}

Comment effectuer une rotation des touches à la demande

Vous pouvez effectuer une rotation à la demande du contenu clé des clés KMS gérées par le client, que la rotation automatique des clés soit activée ou non. La désactivation de la rotation automatique (DisableKeyRotation) n'a aucune incidence sur votre capacité à effectuer des rotations à la demande et n'annule aucune rotation à la demande en cours. Les rotations à la demande ne modifient pas les programmes de rotation automatiques existants. Prenons l'exemple d'une clé KMS dont la rotation automatique des clés est activée avec une période de rotation de 730 jours. Si la rotation de la clé est prévue automatiquement le 14 avril 2024 et que vous effectuez une rotation à la demande le 10 avril 2024, la clé tournera automatiquement, comme prévu, le 14 avril 2024 et tous les 730 jours par la suite.

Vous pouvez effectuer une rotation de clé à la demande au maximum 10 fois par clé KMS. Vous pouvez utiliser la AWS KMS console pour afficher le nombre de rotations à la demande restantes disponibles pour une clé KMS.

La rotation des clés à la demande n'est prise en charge que sur les clés KMS de chiffrement symétriques. Vous ne pouvez pas effectuer de rotation à la demande de clés KMS asymétriques, de clés KMS HMAC, de clés KMS avec des éléments clés importés ou de clés KMS dans un magasin de clés personnalisé. Pour effectuer la rotation à la demande d'un ensemble de clés multirégionales associées, appelez la rotation à la demande sur la clé primaire.

Les utilisateurs autorisés peuvent utiliser la AWS KMS console et l' AWS KMS API pour lancer la rotation des clés à la demande et consulter l'état de rotation des clés.

Lancer la rotation des touches à la demande (console)

  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le volet de navigation, sélectionnez Clés gérées par le client. (Vous ne pouvez pas effectuer de rotation à la demande de Clés gérées par AWS. Ils font l'objet d'une rotation automatique chaque année.)

  4. Choisissez l'alias ou l'ID d'une clé KMS.

  5. Choisissez l'onglet Rotation des clés d'accès.

    L'onglet Rotation des clés apparaît uniquement sur la page détaillée des clés KMS de chiffrement symétriques contenant le contenu clé AWS KMS généré (l'origine est AWS_KMS), y compris les clés KMS de chiffrement symétriques multirégionales.

    Vous ne pouvez pas effectuer de rotation à la demande de clés KMS asymétriques, de clés KMS HMAC, de clés KMS avec des éléments clés importés ou de clés KMS dans des magasins de clés personnalisés. Cependant, vous pouvez les faire pivoter manuellement.

  6. Dans la section Rotation des touches à la demande, choisissez Rotation de la clé.

  7. Lisez et prenez en compte l'avertissement et les informations concernant le nombre de rotations à la demande restantes pour la clé. Si vous décidez de ne pas procéder à la rotation à la demande, choisissez Annuler.

  8. Choisissez la touche Rotation pour confirmer la rotation à la demande.

    Note

    La rotation à la demande est soumise aux mêmes effets de cohérence éventuels que les autres opérations AWS KMS de gestion. Il peut y avoir un léger retard avant que les nouveaux éléments de clé ne soient disponibles dans AWS KMS. La bannière en haut de la console vous avertit lorsque la rotation à la demande est terminée.

Lancer la rotation des clés à la demande (AWS KMS API)

Vous pouvez utiliser l'API AWS Key Management Service (AWS KMS) pour lancer une rotation des clés à la demande et consulter l'état de rotation actuel de toute clé gérée par le client. Ces exemples utilisent l'AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

L'RotateKeyOnDemandopération lance immédiatement une rotation de clé à la demande pour la clé KMS spécifiée. Pour identifier la clé KMS dans ces opérations, utilisez son ID de clé ou son ARN de clé.

L'exemple suivant lance une rotation de clé à la demande sur la clé KMS de chiffrement symétrique spécifiée et utilise l'GetKeyRotationStatusopération pour vérifier que la rotation à la demande est en cours. La OnDemandRotationStartDate kms:GetKeyRotationStatus réponse indique la date et l'heure auxquelles une rotation à la demande en cours a été initiée.

$ aws kms rotate-key-on-demand --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"    
}

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": true,
    "NextRotationDate": "2024-03-14T18:14:33.587000+00:00",
    "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
    "RotationPeriodInDays": 365    
}

Rotation manuelle des clés

Vous pouvez vouloir créer une clé KMS et l'utiliser à la place d'une clé KMS actuelle au lieu d'activer la rotation automatique des clés. Lorsque la nouvelle clé KMS possède des éléments de chiffrement différents de ceux de la clé KMS actuelle, l'utilisation de la nouvelle clé KMS a le même effet que la modification des éléments de clé d'une clé KMS existante. Le processus de remplacement d'une cléKMS par une autre est connu sous le nom de rotation manuelle de clés.

La rotation manuelle est un bon choix lorsque vous souhaitez faire pivoter des clés KMS qui ne sont pas éligibles à la rotation automatique des clés, telles que les clés KMS asymétriques, les clés HMAC KMS, les clés KMS dans des magasins de clés personnalisés et les clés KMS dont le contenu clé est importé.

Note

Lorsque vous commencez à utiliser la nouvelle clé KMS, veillez à ce que la clé KMS d'origine reste activée afin de AWS KMS pouvoir déchiffrer les données chiffrées par la clé KMS d'origine.

Lorsque vous faites tourner les clés KMS manuellement, vous devez également mettre à jour les références à l'ID ou à l'ARN de la clé KMS dans vos applications. Les alias, qui associent un nom convivial à une clé KMS, facilitent ce processus. Utilisez un alias pour faire référence à une clé KMS dans vos applications. Ensuite, lorsque vous souhaitez modifier la clé KMS que l'application utilise, au lieu de modifier le code de votre application, modifiez la clé KMS cible de l'alias. Pour plus de détails, consultez Utilisation d'alias dans vos applications.

Note

Les alias qui pointent vers la dernière version d'une clé KMS pivotée manuellement constituent une bonne solution pour les DescribeKeyopérations Encrypt,, GenerateDataKeyGenerateDataKeyPairGenerateMac, et Sign. Les alias ne sont pas autorisés dans les opérations qui gèrent les clés KMS, telles que DisableKeyou ScheduleKeyDeletion.

Lorsque vous appelez l'opération Decrypt sur des clés KMS de chiffrement symétriques pivotées manuellement, omettez le KeyId paramètre dans la commande. AWS KMS utilise automatiquement la clé KMS qui a chiffré le texte chiffré.

Le KeyId paramètre est obligatoire lors d'un appel Decrypt ou d'une vérification avec une clé KMS asymétrique, ou lors d'un appel VerifyMacavec une clé KMS HMAC. Ces demandes échouent lorsque la valeur deKeyIdest un alias qui ne pointe plus vers la clé KMS qui a effectué l'opération cryptographique, par exemple lorsqu'une clé fait l'objet d'une rotation manuelle. Pour éviter cette erreur, vous devez spécifier et suivre la clé bonne KMS pour chaque opération.

Pour modifier la clé KMS cible d'un alias, utilisez UpdateAliasl'opération dans l' AWS KMS API. Par exemple, cette commande met à jour l'alias alias/TestKey pour pointer vers une nouvelle clé KMS. Comme l'opération ne renvoie aucune sortie, l'exemple utilise l'ListAliasesopération pour montrer que l'alias est désormais associé à une autre clé KMS et que le LastUpdatedDate champ est mis à jour. Les ListAliases commandes utilisent le queryparamètre du AWS CLI pour obtenir uniquement l'alias/TestKeyalias.

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]'
{
    "Aliases": [
        {
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey",
            "AliasName": "alias/TestKey",
            "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
            "CreationDate": 1521097200.123,
            "LastUpdatedDate": 1521097200.123
        },
    ]
}


$ aws kms update-alias --alias-name alias/TestKey --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
            
$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]'
{
    "Aliases": [
        {
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey",
            "AliasName": "alias/TestKey",
            "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
            "CreationDate": 1521097200.123,
            "LastUpdatedDate": 1604958290.722
        },
    ]
}