Desabilitar a alternância automática de chave - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Desabilitar a alternância automática de chave

Após habilitar a alternância automática de chaves em uma chave gerenciada pelo cliente, você poderá optar por desabilitá-la a qualquer momento.

Se você desabilitar a alternância automática de chaves, a chave do KMS continuará usando a versão do material de chave que estava usando quando a alternância foi desabilitada. Se você habilitar a alternância automática de chaves, o AWS KMS alternará automaticamente o material de chave com base na data de habilitação.

Desabilitar a alternância automática não afeta sua capacidade de realizar alternâncias sob demanda, nem cancela nenhuma alternância sob demanda que esteja em andamento.

Você pode desabilitar a alternância automática de chaves no console do AWS KMS ou usando a operação DisableKeyRotation. Para desabilitar a alternância automática de chave, você precisará de permissões kms:DisableKeyRotation. Para obter mais informações sobre as permissões do AWS KMS, consulte Referência de permissões.

  1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.

  3. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente). (Não é possível habilitar ou desabilitar a alternância de Chaves gerenciadas pela AWS. Elas são alternadas automaticamente a cada ano.)

  4. Escolha o alias ou ID de chave de uma chave do KMS.

  5. Selecione a guia Key rotation (Rotação de chaves).

    A guia Key rotation (Alternância de chaves) só é exibida na página de detalhes de chaves do KMS de criptografia simétrica com material de chave gerado pelo AWS KMS (cuja Origin (Origem) é AWS_KMS), incluindo chaves do KMS de criptografia simétrica de várias regiões.

    Não é possível alternar automaticamente chaves do KMS assimétricas, chaves do KMS de HMAC, chaves do KMS com material de chave importado nem chaves do KMS em armazenamentos personalizados de chave. No entanto, é possível alterná-las manualmente.

  6. Na seção Alternância automática de chaves, escolha Editar.

  7. Em Alternância de chaves, selecione Desabilitar.

    nota

    Se houver uma chave do KMS desabilitada ou com exclusão pendente, o AWS KMS não alternará o material de chave e você não poderá atualizar o status ou o período de alternância automática de chaves. Para atualizar a configuração de alternância automática de chaves, habilite a chave do KMS ou cancele a exclusão. Para obter mais detalhes, consulte Funcionamento da alternância e Estados das chaves do AWS KMS.

  8. Escolha Salvar.

É possível usar a API do AWS Key Management Service (AWS KMS) para desabilitar a alternância automática de chaves e visualizar o status atual da alternância de qualquer chave gerenciada pelo cliente. Este exemplo usa a AWS Command Line Interface (AWS CLI), mas você pode usar qualquer linguagem de programação compatível.

A operação DisableKeyRotation desabilita a alternância automática de chaves. Para identificar a chave do KMS nessa operação, use seu ID de chave ou ARN de chave. Por padrão, a mudança de chaves está desabilitada nas chaves gerenciadas de cliente.

O exemplo a seguir desabilita a alternância automática de chaves na chave do KMS de criptografia simétrica especificada e usa a operação GetKeyRotationStatus para ver o resultado.

$ aws kms disable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": false
}