Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Ruota i tasti manualmente
Potresti voler creare una nuova KMS chiave e usarla al posto di una KMS chiave corrente invece di abilitare la rotazione automatica dei tasti. Quando la nuova KMS chiave ha un materiale crittografico diverso rispetto alla KMS chiave corrente, l'utilizzo della nuova KMS chiave ha lo stesso effetto della modifica del materiale della chiave in una KMS chiave esistente. Il processo di sostituzione di una KMS chiave con un'altra è noto come rotazione manuale dei tasti.
Nota
Quando inizi a utilizzare la nuova KMS chiave, assicurati di mantenere attiva la KMS chiave originale in modo da AWS KMS poter decrittografare i dati crittografati dalla chiave originale. KMS
Quando ruotate KMS le chiavi manualmente, dovete aggiornare anche i riferimenti all'ID o alla KMS chiave ARN nelle applicazioni. Gli alias, che associano un nome descrittivo a una KMS chiave, possono semplificare questo processo. Utilizzate un alias per fare riferimento a una KMS chiave nelle vostre applicazioni. Quindi, se desideri modificare la KMS chiave utilizzata dall'applicazione, anziché modificare il codice dell'applicazione, modifica la KMS chiave di destinazione dell'alias. Per informazioni dettagliate, consultare Scopri come utilizzare gli alias nelle tue applicazioni.
Nota
Gli alias che rimandano alla versione più recente di una KMS chiave ruotata manualmente sono una buona soluzione per le operazioni DescribeKeyEncrypt, GenerateDataKeyGenerateDataKeyPairGenerateMac, e Sign. Gli alias non sono consentiti nelle operazioni che gestiscono le KMS chiavi, come o. DisableKeyScheduleKeyDeletion
Quando si richiama l'operazione Decrypt su KMS chiavi di crittografia simmetriche ruotate manualmente, omettete il parametro dal comando. KeyId AWS KMS utilizza automaticamente la chiave che ha crittografato il testo cifrato. KMS
Il KeyId parametro è obbligatorio quando si chiama Decrypt o si verifica con una chiave asimmetrica o si chiama con una KMS chiave. VerifyMacHMACKMS Queste richieste hanno esito negativo quando il valore del KeyId parametro è un alias che non punta più alla KMS chiave che ha eseguito l'operazione crittografica, ad esempio quando una chiave viene ruotata manualmente. Per evitare questo errore, è necessario tenere traccia e specificare la KMS chiave corretta per ogni operazione.
Per modificare la KMS chiave di destinazione di un alias, utilizzare l'UpdateAliasoperazione in. AWS KMS
API Ad esempio, questo comando aggiorna l'alias/TestKeyalias in modo che punti a una nuova KMS chiave. Poiché l'operazione non restituisce alcun output, l'esempio utilizza l'ListAliasesoperazione per mostrare che l'alias è ora associato a una KMS chiave diversa e il LastUpdatedDate campo viene aggiornato. I ListAliases comandi utilizzano il queryparametro in AWS CLI per ottenere solo l'alias/TestKeyalias.
$aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]'{ "Aliases": [ { "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey", "AliasName": "alias/TestKey", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1521097200.123, "LastUpdatedDate": 1521097200.123 }, ] }$aws kms update-alias --alias-name alias/TestKey --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321$aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]'{ "Aliases": [ { "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey", "AliasName": "alias/TestKey", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1521097200.123, "LastUpdatedDate": 1604958290.722 }, ] }
