Alternar a chave de ramificação ativa - AWS SDK de criptografia de banco de dados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Alternar a chave de ramificação ativa

Só pode haver uma versão ativa para cada chave de ramificação por vez. Normalmente, cada versão de chave de ramificação ativa é usada para atender a várias solicitações. Porém, você controla até que ponto as chaves de ramificação ativas são reutilizadas e determina com que frequência a chave de ramificação ativa é alternada.

As chaves de ramificação não são usadas para criptografar chaves de dados em texto simples. Eles são usados para derivar as chaves de empacotamento exclusivas que criptografam chaves de dados de texto simples. O processo de derivação da chave de empacotamento produz uma chave de empacotamento exclusiva de 32 bytes com 28 bytes de randomização. Isso significa que uma chave de ramificação pode derivar mais de 79 octilhões, ou 296, chaves de empacotamento exclusivas antes que ocorra o desgaste criptográfico. Apesar desse risco de exaustão muito baixo, talvez seja necessário alternar suas chaves de ramificações ativas devido a regras comerciais ou contratuais ou regulamentações governamentais.

A versão ativa da chave de ramificação permanece ativa até que você a alterne. As versões anteriores da chave de ramificação ativa não serão usadas para realizar operações de criptografia e não podem ser usadas para derivar novas chaves de agrupamento, mas ainda podem ser consultadas e fornecer chaves de agrupamento para descriptografar as chaves de dados que criptografaram enquanto estavam ativas.

Permissões obrigatórias

Para girar as chaves de ramificação, você precisa das ReEncrypt permissões kms: GenerateDataKeyWithoutPlaintext e kms: na chave KMS especificada nas ações do seu armazenamento de chaves.

Gire uma chave de ramificação ativa

Use a VersionKey operação para girar sua chave de ramificação ativa. Quando você alterna a chave de ramificação ativa, uma nova chave de ramificação é criada para substituir a versão anterior. O branch-key-id não muda quando você alterna a chave de ramificação ativa. Você deve especificar o branch-key-id que identificará a chave de ramificação ativa atual quando você chamar VersionKey.

Java
keystore.VersionKey(
    VersionKeyInput.builder()
        .branchKeyIdentifier("branch-key-id")
        .build()
);
C# / .NET
 keystore.VersionKey(new VersionKeyInput{BranchKeyIdentifier = branchKeyId});
Rust
keystore.version_key()
        .branch_key_identifier(branch_key_id)
        .send()
        .await?;