Habilitar a alternância automática de chave - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitar a alternância automática de chave

Por padrão, ao habilitar a alternância automática de chaves para uma chave do KMS, o AWS KMS gera um novo material criptográfico para a chave do KMS anualmente. Você também pode especificar um rotation-period personalizado para definir após quantos dias depois da habilitação da alternância automática de chaves o AWS KMS vai alternar o material de chave e o número de dias entre cada alternância automática posteriormente.

A alternância de chaves automática tem os seguintes benefícios:

  • As propriedades da chave do KMS, incluindo seu ID de chave, ARN de chave, região, políticas e permissões, não são alteradas quando há alternância na chave.

  • Não é necessário alterar aplicações ou aliases que fazem referência ao ID de chave ou ARN de chave da chave do KMS.

  • A alternância do material de chave não afeta o uso da chave do KMS em nenhum AWS service (Serviço da AWS).

  • Depois que você habilita a alternância de chave, o AWS KMS alternará a chave do KMS automaticamente na próxima data de alternância definida por seu período de alternância. Você não precisa lembrar nem programar a atualização.

É possível habilitar a alternância automática de chaves no console do AWS KMS ou usando a operação EnableKeyRotation. Para habilitar a alternância automática de chave, você precisará de permissões kms:EnableKeyRotation. Para obter mais informações sobre as permissões do AWS KMS, consulte Referência de permissões.

  1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.

  3. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente). (Não é possível habilitar ou desabilitar a alternância de Chaves gerenciadas pela AWS. Elas são alternadas automaticamente a cada ano.)

  4. Escolha o alias ou ID de chave de uma chave do KMS.

  5. Selecione a guia Key rotation (Rotação de chaves).

    A guia Key rotation (Alternância de chaves) só é exibida na página de detalhes de chaves do KMS de criptografia simétrica com material de chave gerado pelo AWS KMS (cuja Origin (Origem) é AWS_KMS), incluindo chaves do KMS de criptografia simétrica de várias regiões.

    Não é possível alternar automaticamente chaves do KMS assimétricas, chaves do KMS de HMAC, chaves do KMS com material de chave importado nem chaves do KMS em armazenamentos personalizados de chave. No entanto, é possível alterná-las manualmente.

  6. Na seção Alternância automática de chaves, escolha Editar.

  7. Em Alternância de chaves, selecione Habilitar.

    nota

    Se houver uma chave do KMS desabilitada ou com exclusão pendente, o AWS KMS não alternará o material de chave e você não poderá atualizar o status ou o período de alternância automática de chaves. Para atualizar a configuração de alternância automática de chaves, habilite a chave do KMS ou cancele a exclusão. Para obter mais detalhes, consulte Funcionamento da alternância e Estados das chaves do AWS KMS.

  8. (Opcional) Digite um período de alternância entre 90 e 2.560 dias. O valor padrão é de 365 dias. Se você não especificar um período de alternância personalizado, o AWS KMS alternará o material de chave a cada ano.

    É possível usar a chave de condição kms:RotationPeriodInDays para limitar os valores que as entidades principais podem especificar para o período de alternância.

  9. Escolha Salvar.

É possível usar a API do AWS Key Management Service (AWS KMS) para habilitar a alternância automática de chaves e visualizar o status atual da alternância de qualquer chave gerenciada pelo cliente. Estes exemplos usam a AWS Command Line Interface (AWS CLI), mas você pode usar qualquer linguagem de programação compatível.

A operação EnableKeyRotation habilita a alternância de chaves automática para a chave do KMS especificada. Para identificar a chave do KMS nessa operação, use seu ID de chave ou ARN de chave. Por padrão, a mudança de chaves está desabilitada nas chaves gerenciadas de cliente.

É possível usar a chave de condição kms:RotationPeriodInDays para limitar os valores que as entidades principais podem especificar para o parâmetro RotationPeriodInDays de uma solicitação EnableKeyRotation.

O exemplo a seguir habilita a alternância de chaves com um período de alternância de 180 dias na chave do KMS de criptografia simétrica especificada e usa a operação GetKeyRotationStatus para ver o resultado.

$ aws kms enable-key-rotation \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --rotation-period-in-days 180 $ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyRotationEnabled": true, "RotationPeriodInDays": 180, "NextRotationDate": "2024-02-14T18:14:33.587000+00:00" }