Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Ruotare AWS KMS keys
Per creare nuovo materiale crittografico per le chiavi gestite dal cliente, puoi creare nuove chiavi KMS e modificare le applicazioni o gli alias per utilizzarle. In alternativa, puoi ruotare il materiale chiave associato a una chiave KMS esistente abilitando la rotazione automatica delle chiavi o eseguendo la rotazione su richiesta.
Per impostazione predefinita, quando abiliti la rotazione automatica delle chiavi per una chiave KMS, AWS KMS genera nuovo materiale crittografico per la chiave KMS ogni anno. Puoi anche specificare un'impostazione personalizzata rotation-period per definire il numero di giorni dopo l'attivazione della rotazione automatica delle chiavi che AWS KMS ruoterà il materiale della chiave e il numero di giorni tra ogni rotazione automatica successiva. Se è necessario avviare immediatamente la rotazione del materiale chiave, è possibile eseguire la rotazione su richiesta, indipendentemente dal fatto che la rotazione automatica dei tasti sia abilitata o meno. Le rotazioni su richiesta non modificano i programmi di rotazione automatica esistenti.
AWS KMS salva tutte le versioni precedenti del materiale crittografico in modo perpetuo in modo da poter decrittografare tutti i dati crittografati con quella chiave KMS. AWS KMS non elimina alcun materiale a chiave ruotata finché non elimini la chiave KMS. Puoi tenere traccia della rotazione del materiale chiave per le tue chiavi KMS in Amazon CloudWatch e nella AWS Key Management Service console. AWS CloudTrail Puoi anche utilizzare l'GetKeyRotationStatusoperazione per verificare se la rotazione automatica è abilitata per una chiave KMS e identificare eventuali rotazioni su richiesta in corso. È possibile utilizzare l'ListKeyRotationsoperazione per visualizzare i dettagli delle rotazioni completate.
Quando si utilizza una chiave KMS ruotata per crittografare i dati, AWS KMS utilizza il materiale chiave corrente. Quando si utilizza la chiave KMS ruotata per decrittografare il testo cifrato, AWS KMS utilizza la versione del materiale chiave utilizzato per crittografarlo. Non è possibile selezionare una versione particolare del materiale chiave per le operazioni di decrittografia, sceglie automaticamente la versione corretta. AWS KMS Poiché esegue la decrittografia AWS KMS in modo trasparente con il materiale chiave appropriato, è possibile utilizzare in sicurezza una chiave KMS ruotata nelle applicazioni e senza modifiche al codice. Servizi AWS
Tuttavia, la rotazione automatica delle chiavi non ha effetto sui dati che la chiave KMS protegge. Non ruota le chiavi di dati che la chiave KMS ha generato né crittografa nuovamente i dati protetti dalla chiave KMS e non mitiga l'effetto di una chiave di dati compromessa.
AWS KMS supporta la rotazione automatica e su richiesta delle chiavi solo per le chiavi KMS di crittografia simmetrica con materiale chiave che crea. AWS KMS La rotazione automatica è opzionale per le chiavi KMS gestite dal cliente. AWS KMS ruota sempre ogni anno il materiale chiave per le chiavi KMS AWS gestite. La rotazione delle chiavi KMS di AWS proprietà è gestita dal AWS servizio proprietario della chiave.
Nota
Il periodo di rotazione Chiavi gestite da AWS è cambiato a maggio 2022. Per informazioni dettagliate, consultare Chiavi gestite da AWS.
La rotazione della chiave modifica solo il materiale della chiave, cioè il segreto crittografico utilizzato nelle operazioni di crittografia. La chiave KMS è la stessa risorsa logica, indipendentemente dal fatto o dal numero di volte che supporta le modifiche del materiale chiave. Le proprietà della chiave KMS non vengono modificate, come illustrato nella seguente immagine.
Potresti decidere di creare una nuova chiave KMS e di utilizzarla al posto della chiave KMS originale. Lo stesso risultato si ottiene ruotando il materiale della chiave in una chiave KMS esistente, quindi questa operazione viene spesso considerata come una rotazione manuale della chiave. La rotazione manuale è un'ottima scelta quando si desidera ruotare chiavi KMS che non sono idonee alla rotazione automatica delle chiavi, incluse le chiavi KMS asimmetriche, le chiavi KMS HMAC, le chiaviKMS negli archivi chiavipersonalizzati e le chiavi KMS con materiale chiave importato.
Rotazione delle chiave e prezzi
AWS KMS addebita una tariffa mensile per la prima e la seconda rotazione del materiale chiave gestito per la chiave KMS. Questo aumento di prezzo è limitato alla seconda rotazione e le eventuali rotazioni successive non verranno fatturate. Per informazioni dettagliate, consulta Prezzi di AWS Key Management Service
Nota
Puoi utilizzare il AWS Cost Explorer Service per visualizzare un dettaglio dei costi di archiviazione delle chiavi. Ad esempio, puoi filtrare la vista per visualizzare i costi totali per le chiavi fatturate come chiavi KMS correnti e ruotate specificando $REGION-KMS-Keys per Tipo di utilizzo e raggruppando i dati in base a Operazione API.
Potresti ancora visualizzare le istanze dell'operazione dell'API con legacy Unknown per le date nella cronologia.
Rotazione delle chiavi e quote
Quando si calcolano le quote di risorse chiave, ogni chiave KMS conta come una chiave indipendentemente dal numero di versioni del materiale chiave ruotato.
Per informazioni più dettagliate sul materiale chiave e sulla rotazione, consultare Dettagli di crittografia di AWS Key Management Service.
Argomenti
Perché ruotare le chiavi KMS?
Le migliori pratiche crittografiche scoraggiano il riutilizzo estensivo delle chiavi che crittografano direttamente i dati, come le chiavi di dati che generano. AWS KMS Quando eseguono la crittografia di milioni di messaggi, le chiavi dati a 256 bit possono esaurirsi e iniziare a produrre testo criptato con trame sottili che possono essere sfruttate da abili malintenzionati per individuare i bit delle chiavi. Per evitare questo esaurimento delle chiavi, è preferibile utilizzare le chiavi di dati solo una volta o poche volte, in modo da ruotare efficacemente il materiale delle chiavi.
Tuttavia, le chiavi KMS vengono spesso utilizzate per lo più come chiavi di wrapping, note anche come chiavi di crittografia delle chiavi. Invece di crittografare i dati, le chiavi di wrapping eseguono la crittografia delle chiavi di dati che eseguono a loro volta la crittografia dei tuoi dati. Per tale motivo, vengono utilizzate molto meno spesso delle chiavi di dati e non vengono quasi mai riutilizzate abbastanza da rischiare l'esaurimento delle chiavi.
Anche se questo rischio di esaurimento è bassissimo, potrebbe essere necessario ruotare le chiavi KMS a causa di regole aziendali/contrattuali o norme governative. Quando bisogna ruotare le chiavi KMS, è consigliabile utilizzare la rotazione automatica dei tasti, laddove è supportata, e la rotazione manuale delle chiavi, qualora la rotazione automatica delle chiavi non fosse supportata.
Potresti prendere in considerazione l'esecuzione di rotazioni su richiesta per dimostrare le funzionalità chiave di rotazione dei materiali o per convalidare gli script di automazione. Si consiglia di utilizzare le rotazioni su richiesta per le rotazioni non pianificate e di utilizzare la rotazione automatica dei tasti con un periodo di rotazione personalizzato, ove possibile.
Come funziona la rotazione dei tasti
La rotazione dei tasti AWS KMS è progettata per essere trasparente e facile da usare. AWS KMS supporta la rotazione opzionale automatica e su richiesta solo per le chiavi gestite dal cliente.
- rotazione automatica dei tasti
-
AWS KMS ruota automaticamente la chiave KMS alla data di rotazione successiva definita dal periodo di rotazione. Non devi ricordare o pianificare l'aggiornamento.
- Rotazione su richiesta
-
Avvia immediatamente la rotazione del materiale chiave associato alla tua chiave KMS, indipendentemente dal fatto che la rotazione automatica delle chiavi sia abilitata o meno.
- Gestione del materiale chiave
-
AWS KMS conserva tutto il materiale chiave per una chiave KMS, anche se la rotazione delle chiavi è disabilitata. AWS KMS elimina il materiale chiave solo quando elimini la chiave KMS.
- Utilizzo del materiale chiave
-
Quando si utilizza una chiave KMS ruotata per crittografare i dati, AWS KMS utilizza il materiale chiave corrente. Quando si utilizza la chiave KMS ruotata per decrittare il testo cifrato, AWS KMS usa la stessa versione del materiale chiave utilizzata per la crittografia. Non è possibile selezionare una versione particolare del materiale chiave per le operazioni di decrittografia, sceglie AWS KMS automaticamente la versione corretta.
- Periodo di rotazione
-
Il periodo di rotazione definisce il numero di giorni dopo l'attivazione della rotazione automatica dei tasti che AWS KMS farà ruotare il materiale chiave e il numero di giorni tra ogni rotazione automatica dei tasti successiva. Se non specificate un valore per
RotationPeriodInDaysquando abilitate la rotazione automatica dei tasti, il valore predefinito è 365 giorni.Puoi usare la chiave kms: RotationPeriodInDays condition per limitare ulteriormente i valori che i principals possono specificare nel parametro.
RotationPeriodInDays - Data di rotazione
-
AWS KMS ruota automaticamente la chiave KMS alla data di rotazione definita dal periodo di rotazione. Il periodo di rotazione predefinito è 365 giorni.
- Chiavi gestite dal cliente
-
Siccome la rotazione automatica delle chiavi è facoltativa nelle chiavi gestite dal cliente e può essere abilitata e disabilitata in qualunque momento, la data di rotazione dipende dalla data dell'ultima abilitazione. La data può cambiare se modifichi il periodo di rotazione per una chiave su cui in precedenza avevi abilitato la rotazione automatica dei tasti. La data di rotazione può cambiare molte volte nel corso della durata della chiave.
Ad esempio, se crei una chiave gestita dal cliente il 1° gennaio 2022 e abiliti la rotazione automatica delle chiavi con il periodo di rotazione predefinito di 365 giorni il 15 marzo 2022, AWS KMS ruota il materiale chiave il 15 marzo 2023, il 15 marzo 2024 e successivamente ogni 365 giorni.
Gli esempi seguenti presuppongono che la rotazione automatica dei tasti sia stata abilitata con il periodo di rotazione predefinito di 365 giorni. Questi esempi illustrano casi speciali che potrebbero influire sul periodo di rotazione di una chiave.
-
Disabilitazione della rotazione delle chiavi: se disabiliti la rotazione automatica delle chiavi in un determinato momento, la chiave KMS continua a utilizzare la versione del materiale della chiave che utilizzava quando la rotazione era disabilitata. Se abilitate nuovamente la rotazione automatica dei tasti, AWS KMS ruota il materiale chiave in base alla nuova data di attivazione della rotazione.
-
Chiavi KMS disabilitate: sebbene una chiave KMS sia disabilitata, non la ruota. AWS KMS Tuttavia, lo stato della rotazione della chiave non cambia e non è possibile modificarlo quando la chiave KMS è disattivata. Quando la chiave KMS viene riattivata, se il materiale chiave ha superato l'ultima data di rotazione programmata, lo ruota immediatamente. AWS KMS Se il materiale chiave non ha perso l'ultima data di rotazione programmata, AWS KMS riprende la pianificazione di rotazione della chiave originale.
-
Chiavi KMS in attesa di cancellazione: mentre una chiave KMS è in attesa di cancellazione, non la ruota. AWS KMS Lo stato di rotazione della chiave è impostato su
falsee non è possibile modificarlo quando l'eliminazione è in sospeso. Se l'eliminazione è stata annullata, viene ripristinato il precedente stato di rotazione della chiave. Se il materiale chiave ha superato l'ultima data di rotazione programmata, lo ruota immediatamente. AWS KMS Se il materiale chiave non ha perso l'ultima data di rotazione programmata, AWS KMS riprende il programma di rotazione della chiave originale.
-
- Chiavi gestite da AWS
-
AWS KMS ruota automaticamente Chiavi gestite da AWS ogni anno (circa 365 giorni). Non è possibile abilitare o disabilitare la rotazione delle chiavi per le Chiavi gestite da AWS.
Il materiale chiave di un Chiave gestita da AWS viene ruotato per la prima volta un anno dopo la data di creazione e successivamente ogni anno (circa 365 giorni dall'ultima rotazione).
Nota
A maggio 2022, AWS KMS ha modificato il programma di rotazione Chiavi gestite da AWS da ogni tre anni (circa 1.095 giorni) a ogni anno (circa 365 giorni).
Chiavi gestite da AWS I nuovi vengono ruotati automaticamente un anno dopo la creazione e successivamente all'incirca ogni anno.
Chiavi gestite da AWS Le versioni esistenti vengono ruotate automaticamente un anno dopo la rotazione più recente e successivamente ogni anno.
- Chiavi di proprietà di AWS
-
Non è possibile abilitare o disabilitare la rotazione delle chiavi per le Chiavi di proprietà di AWS. La strategia di rotazione delle chiavi per an Chiave di proprietà di AWS è determinata dal AWS servizio che crea e gestisce la chiave. Per informazioni dettagliate, consulta l'argomento Crittografia dei dati inattivi nella guida per l'utente o nella guida per gli sviluppatori del servizio.
- Tipi di chiavi KMS supportati
-
La rotazione automatica delle chiavi è supportata solo sulle chiavi KMS di crittografia simmetrica con materiale chiave AWS KMS generato (Origin =). AWS_KMS
La rotazione automatica delle chiavi non è supportata nei seguenti tipi di chiavi KMS, che tuttavia possono essere ruotate manualmente.
-
Chiavi KMS nell'archivio delle chiavi personalizzate
-
Chiavi KMS con materiale chiave importato
- Chiavi multiregionali rotanti
-
È possibile abilitare e disabilitare la rotazione automatica ed eseguire la rotazione su richiesta del materiale chiave nelle chiavi multiregionali con crittografia simmetrica. La rotazione delle chiavi è una proprietà condivisa delle chiavi multiregionali.
Puoi abilitare e disabilitare la rotazione automatica delle chiavi solo sulla chiave primaria. Si avvia la rotazione su richiesta solo sulla chiave primaria.
-
Quando AWS KMS sincronizza le chiavi multiregionali, copia l'impostazione della proprietà di rotazione dei tasti dalla chiave primaria a tutte le relative chiavi di replica.
-
Quando AWS KMS ruota il materiale chiave, crea nuovo materiale chiave per la chiave primaria e quindi copia il nuovo materiale chiave oltre i confini della regione su tutte le chiavi di replica correlate. Il materiale chiave non esce AWS KMS mai non crittografato. Questo passaggio viene controllato con attenzione per garantire che il materiale chiave sia completamente sincronizzato prima che qualsiasi chiave venga utilizzata in un'operazione di crittografia.
-
AWS KMS non cripta alcun dato con il nuovo materiale chiave finché tale materiale chiave non è disponibile nella chiave primaria e in tutte le relative chiavi di replica.
-
Quando si replica una chiave primaria che è stata ruotata, la nuova chiave di replica contiene il materiale chiave corrente e tutte le versioni precedenti del materiale chiave per le relative chiavi multiregione.
Questo modello assicura che le chiavi multiregione correlate siano completamente interoperabili. Qualsiasi chiave multiregione può decrittare qualsiasi testo cifrato crittografato da una chiave multiregione correlata, anche se il testo cifrato è stato crittografato prima della creazione della chiave.
-
- AWS servizi
-
Puoi abilitare la rotazione automatica delle chiavi per le chiavi gestite dal cliente utilizzate per la crittografia lato server nei servizi AWS . La rotazione annuale è trasparente e compatibile con i servizi AWS .
- Monitoraggio della rotazione delle chiavi
-
Quando AWS KMS ruota il materiale chiave per una chiave Chiave gestita da AWSo una chiave gestita dal cliente, scrive un
KMS CMK Rotationevento su Amazon EventBridge e un RotateKey evento nel tuo AWS CloudTrail registro. Puoi utilizzare questi record per verificare che la chiave KMS sia stata ruotata.Puoi utilizzare la AWS Key Management Service console per visualizzare il numero di rotazioni rimanenti su richiesta e un elenco di tutte le rotazioni dei materiali chiave completate per una chiave KMS.
È possibile utilizzare l'ListKeyRotationsoperazione per visualizzare i dettagli delle rotazioni completate.
- Consistenza finale
-
La rotazione delle chiavi è soggetta agli stessi eventuali effetti di coerenza AWS KMS delle altre operazioni di gestione. Potrebbe esserci un leggero ritardo prima che il nuovo materiale chiave sia disponibile in AWS KMS. Tuttavia, la rotazione del materiale chiave non causa alcuna interruzione o ritardo nelle operazioni di crittografia. Il materiale chiave corrente viene utilizzato nelle operazioni di crittografia fino a quando il nuovo materiale chiave non è disponibile in AWS KMS. Quando il materiale chiave per una chiave multiregionale viene ruotato automaticamente, AWS KMS utilizza il materiale chiave corrente finché il nuovo materiale chiave non è disponibile in tutte le regioni con una chiave multiregionale correlata.
