禁用自动密钥轮换 - AWS Key Management Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

禁用自动密钥轮换

对客户托管密钥启用自动密钥轮换后,您可以随时选择禁用自动轮换。

如果您禁用自动密钥轮换,KMS 密钥将继续使用禁用轮换时使用的密钥材料版本。如果再次启用自动密钥轮换,AWS KMS 会根据新的轮换启用日期进行轮换。

禁用自动轮换不会影响您执行按需轮换的能力,也不会取消任何正在进行的按需轮换。

您可以在 AWS KMS 控制台中或使用 DisableKeyRotation 操作禁用自动密钥轮换。要禁用自动密钥轮换,您需要 kms:DisableKeyRotation 权限。有关 AWS KMS 权限的更多信息,请参阅 权限参考

  1. 登录到 AWS Management Console,然后通过以下网址打开 AWS Key Management Service(AWS KMS)控制台:https://console.aws.amazon.com/kms

  2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择客户托管密钥。(您无法启用或禁用 AWS 托管式密钥 的轮换。它们每年自动轮换一次。)

  4. 选择 KMS 密钥的别名和密钥 ID。

  5. 选择 Key rotation (密钥轮换) 选项卡。

    Key rotation(密钥轮换)选项卡仅显示在具有 AWS KMS 生成的密钥材料(即 Origin(源)为 AWS_KMS)的对称加密 KMS 密钥(包括多区域对称加密 KMS 没有)的详细信息页面上。

    您不能自动轮换非对称 KMS 密钥、HMAC KMS 密钥、具有导入的密钥材料的 KMS 密钥或自定义密钥存储中的 KMS 密钥。但是,您可以手动轮换它们

  6. 自动密钥轮换部分,选择编辑

  7. 对于密钥轮换,请选择禁用

    注意

    如果 KMS 密钥被禁用或待删除,则 AWS KMS 不会轮换密钥材料,并且您无法更新自动密钥轮换状态和轮换周期。启用 KMS 密钥或取消删除以更新自动密钥轮换配置。有关详细信息,请参阅 密钥轮换的工作原理AWS KMS 密钥的密钥状态

  8. 选择保存

您可以使用 AWS Key Management Service(AWS KMS)API 禁用自动密钥轮换,并查看任何客户托管密钥的当前轮换状态。此示例使用 AWS Command Line Interface(AWS CLI),但您可以使用任何受支持的编程语言。

DisableKeyRotation 操作会禁用自动密钥轮换。要标识此操作中的 KMS 密钥,请使用其密钥 ID密钥 ARN。在默认情况下,客户托管密钥的密钥轮换处于禁用状态。

以下示例对指定的对称加密 KMS 密钥禁用自动密钥轮换,并使用 GetKeyRotationStatus 操作查看结果。

$ aws kms disable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": false
}