Ruota la chiave branch attiva - AWS SDK per la crittografia del database

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ruota la chiave branch attiva

Può esserci una sola versione attiva per ogni chiave di ramo alla volta. In genere, ogni versione attiva della chiave di filiale viene utilizzata per soddisfare più richieste. Tuttavia, è possibile controllare la misura in cui le chiavi di ramo attive vengono riutilizzate e determinare la frequenza con cui la chiave di ramo attiva viene ruotata.

Le chiavi branch non vengono utilizzate per crittografare le chiavi di dati in testo semplice. Vengono utilizzate per derivare le chiavi di wrapping univoche che crittografano le chiavi di dati in testo non crittografato. Il processo di derivazione della chiave di wrapping produce una chiave di wrapping unica da 32 byte con 28 byte di casualità. Ciò significa che una chiave branch può derivare più di 79 ottilioni, o 2 96, chiavi di wrapping uniche prima che si verifichi l'usura crittografica. Nonostante questo rischio di esaurimento molto basso, potrebbe essere necessario ruotare le chiavi di filiale attive a causa di norme aziendali o contrattuali o normative governative.

La versione attiva della chiave di filiale rimane attiva finché non viene ruotata. Le versioni precedenti della chiave branch attiva non verranno utilizzate per eseguire operazioni di crittografia e non potranno essere utilizzate per derivare nuove chiavi di wrapping, ma possono comunque essere interrogate e fornire chiavi di wrapping per decrittografare le chiavi di dati che crittografavano mentre erano attive.

Autorizzazioni richieste

Per ruotare le chiavi branch, sono necessarie le autorizzazioni kms: GenerateDataKeyWithoutPlaintext e kms: sulla chiave KMS specificata nelle ReEncrypt azioni dell'archivio chiavi.

Ruota una chiave branch attiva

Usa l'VersionKeyoperazione per ruotare la chiave branch attiva. Quando si ruota la chiave di ramo attiva, viene creata una nuova chiave di ramo per sostituire la versione precedente. Non branch-key-id cambia quando si ruota la chiave di ramo attiva. È necessario specificare la chiave branch-key-id che identifica la chiave di ramo attiva corrente quando si chiama. VersionKey

Java
keystore.VersionKey(
    VersionKeyInput.builder()
        .branchKeyIdentifier("branch-key-id")
        .build()
);
C# / .NET
 keystore.VersionKey(new VersionKeyInput{BranchKeyIdentifier = branchKeyId});
Rust
keystore.version_key()
        .branch_key_identifier(branch_key_id)
        .send()
        .await?;