Executar alternância de chaves sob demanda - AWS Key Management Service
Como iniciar a alternância de chaves sob demanda (console)Como iniciar a alternância de chaves sob demanda (API do AWS KMS)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Executar alternância de chaves sob demanda

Você pode realizar a alternância sob demanda do material de chave nas chaves do KMS gerenciadas pelo cliente, independentemente de a alternância automática de chaves estar ou não habilitada. Desabilitar a alternância automática (DisableKeyRotation) não afeta sua capacidade de realizar alternâncias sob demanda, nem cancela nenhuma alternância sob demanda que esteja em andamento. As alternâncias sob demanda não alteram os cronogramas de alternância automática existentes. Por exemplo, considere uma chave do KMS que tenha a alternância automática de chaves habilitada com um período de alternância de 730 dias. Se a chave estiver programada para alternar automaticamente em 14 de abril de 2024 e você realizar uma alternância sob demanda em 10 de abril de 2024, a chave será alternada automaticamente, conforme programado, em 14 de abril de 2024 e a cada 730 dias depois disso.

Você poderá realizar a alternância de chaves sob demanda no máximo 10 vezes por chave do KMS. Você pode usar o console do AWS KMS para visualizar o número restante de alternâncias sob demanda disponíveis para uma chave do KMS.

A alternância de chaves sob demanda só é compatível com chaves do KMS de criptografia simétrica. Não é possível realizar a alternância sob demanda de chaves do KMS assimétricas, chaves do KMS de HMAC, chaves do KMS com material de chave importado nem chaves do KMS em um repositório personalizado de chave. Para realizar a alternância sob demanda de um conjunto de chaves de várias regiões relacionadas, invoque a alternância sob demanda na chave primária.

Usuários autorizados podem usar o console do AWS KMS e a API do AWS KMS para iniciar a alternância sob demanda de chaves e visualizar o status da alternância de chaves.

Como iniciar a alternância de chaves sob demanda (console)

  1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.

  3. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente). (Não é possível realizar a alternância sob demanda de Chaves gerenciadas pela AWS. Elas são alternadas automaticamente a cada ano.)

  4. Escolha o alias ou ID de chave de uma chave do KMS.

  5. Selecione a guia Key rotation (Rotação de chaves).

    A guia Key rotation (Alternância de chaves) só é exibida na página de detalhes de chaves do KMS de criptografia simétrica com material de chave gerado pelo AWS KMS (cuja Origin (Origem) é AWS_KMS), incluindo chaves do KMS de criptografia simétrica de várias regiões.

    Não é possível realizar a alternância sob demanda de chaves do KMS assimétricas, chaves do KMS de HMAC, chaves do KMS com material de chave importado nem chaves do KMS em repositórios personalizados de chave. No entanto, é possível alterná-las manualmente.

  6. Na seção Alternância de chaves sob demanda, escolha Girar chave.

  7. Leia e considere o aviso e as informações sobre o número restante de alternâncias sob demanda para a chave. Se você decidir que não deseja continuar com a alternância sob demanda, escolha Cancelar.

  8. Escolha Alternar chave para confirmar a alternância sob demanda.

    nota

    A alternância sob demanda está sujeita aos mesmos efeitos de consistência eventual de outras operações de gerenciamento do AWS KMS. Pode haver um pequeno atraso antes que o novo material de chave esteja disponível no AWS KMS. O banner na parte superior do console notificará você quando a alternância sob demanda estiver concluída.

Como iniciar a alternância de chaves sob demanda (API do AWS KMS)

É possível usar a API do AWS Key Management Service (AWS KMS) para iniciar a alternância de chaves sob demanda e visualizar o status atual da alternância de qualquer chave gerenciada pelo cliente. Este exemplo usa a AWS Command Line Interface (AWS CLI), mas você pode usar qualquer linguagem de programação compatível.

A operação RotateKeyOnDemand inicia imediatamente a alternância de chaves sob demanda para a chave do KMS especificada. Para identificar a chave do KMS nessas operações, use seu ID de chave ou ARN de chave.

O exemplo a seguir inicia a alternância de chaves sob demanda na chave do KMS de criptografia simétrica especificada e usa a operação GetKeyRotationStatus para verificar se a alternância sob demanda está em andamento. O OnDemandRotationStartDate na resposta kms:GetKeyRotationStatus identifica a data e a hora em que uma alternância sob demanda em andamento foi iniciada.

$ aws kms rotate-key-on-demand --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"    
}

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": true,
    "NextRotationDate": "2024-03-14T18:14:33.587000+00:00",
    "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
    "RotationPeriodInDays": 365    
}