Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Vous pouvez effectuer une rotation à la demande du contenu clé des clés KMS gérées par le client, que la rotation automatique des clés soit activée ou non. La désactivation de la rotation automatique (DisableKeyRotation) n'a aucune incidence sur votre capacité à effectuer des rotations à la demande et n'annule aucune rotation à la demande en cours. Les rotations à la demande ne modifient pas les programmes de rotation automatiques existants. Prenons l'exemple d'une clé KMS dont la rotation automatique des clés est activée avec une période de rotation de 730 jours. Si la rotation de la clé est prévue automatiquement le 14 avril 2024 et que vous effectuez une rotation à la demande le 10 avril 2024, la clé tournera automatiquement, comme prévu, le 14 avril 2024 et tous les 730 jours par la suite.
Vous pouvez effectuer une rotation de clé à la demande au maximum 10 fois par clé KMS. Vous pouvez utiliser la AWS KMS console pour afficher le nombre de rotations à la demande restantes disponibles pour une clé KMS.
La rotation des clés à la demande n'est prise en charge que sur les clés KMS de chiffrement symétriques. Vous ne pouvez pas effectuer de rotation à la demande de clés KMS asymétriques, de clés KMS HMAC, de clés KMS avec des éléments clés importés ou de clés KMS dans un magasin de clés personnalisé. Pour effectuer la rotation à la demande d'un ensemble de clés multirégionales associées, appelez la rotation à la demande sur la clé primaire.
Les utilisateurs autorisés peuvent utiliser la AWS KMS console et l' AWS KMS API pour lancer la rotation des clés à la demande et consulter l'état de la rotation des clés.
Rubriques
Lancer la rotation des touches à la demande (console)
-
Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.
-
Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
-
Dans le volet de navigation, sélectionnez Clés gérées par le client. (Vous ne pouvez pas effectuer de rotation à la demande de Clés gérées par AWS. Ils font l'objet d'une rotation automatique chaque année.)
-
Choisissez l'alias ou l'ID d'une clé KMS.
-
Choisissez l'onglet Rotation des clés d'accès.
L'onglet Rotation des clés apparaît uniquement sur la page détaillée des clés KMS de chiffrement symétriques dont le contenu a été AWS KMS généré (l'origine est AWS_KMS), y compris les clés KMS de chiffrement symétriques multirégionales.
Vous ne pouvez pas effectuer de rotation à la demande de clés KMS asymétriques, de clés KMS HMAC, de clés KMS avec des éléments clés importés ou de clés KMS dans des magasins de clés personnalisés. Cependant, vous pouvez les faire pivoter manuellement.
-
Dans la section Rotation des touches à la demande, choisissez Rotation de la clé.
-
Lisez et prenez en compte l'avertissement et les informations concernant le nombre de rotations à la demande restantes pour la clé. Si vous décidez de ne pas procéder à la rotation à la demande, choisissez Annuler.
-
Choisissez la touche Rotation pour confirmer la rotation à la demande.
Note
La rotation à la demande est soumise aux mêmes effets de cohérence éventuels que les autres opérations AWS KMS de gestion. Il peut y avoir un léger retard avant que les nouveaux éléments de clé ne soient disponibles dans AWS KMS. La bannière en haut de la console vous avertit lorsque la rotation à la demande est terminée.
Lancer la rotation des clés à la demande (AWS KMS API)
Vous pouvez utiliser l'API AWS Key Management Service (AWS KMS) pour lancer une rotation des clés à la demande et consulter l'état de rotation actuel de toute clé gérée par le client. Cet exemple utilise le AWS Command Line Interface
(AWS CLI)
L'RotateKeyOnDemandopération lance immédiatement une rotation de clé à la demande pour la clé KMS spécifiée. Pour identifier la clé KMS dans ces opérations, utilisez son ID de clé ou son ARN de clé.
L'exemple suivant lance une rotation de clé à la demande sur la clé KMS de chiffrement symétrique spécifiée et utilise l'GetKeyRotationStatusopération pour vérifier que la rotation à la demande est en cours. La OnDemandRotationStartDate kms:GetKeyRotationStatus réponse indique la date et l'heure auxquelles une rotation à la demande en cours a été initiée.
$ aws kms rotate-key-on-demand --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
}
$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyRotationEnabled": true,
"NextRotationDate": "2024-03-14T18:14:33.587000+00:00",
"OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
"RotationPeriodInDays": 365
}
