本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
执行按需密钥轮换
无论是否启用了自动密钥轮换,您都可以对客户托管 KMS 密钥中的密钥材料执行按需轮换。禁用自动轮换(DisableKeyRotation)不会影响您执行按需轮换的能力,也不会取消任何正在进行的按需轮换。按需轮换不会更改现有的自动轮换计划。例如,假设一个 KMS 密钥启用了自动密钥轮换,轮换周期为 730 天。如果密钥计划在 2024 年 4 月 14 日自动轮换,而您在 2024 年 4 月 10 日执行按需轮换,则密钥将按计划在 2024 年 4 月 14 日自动轮换,此后每 730 天自动轮换一次。
您最多可以对每个 KMS 密钥执行按需轮换 10 次。您可以使用 AWS KMS 控制台查看 KMS 密钥的剩余按需轮换次数。
只有对称加密 KMS 密钥支持按需密钥轮换。您不能按需轮换非对称 KMS 密钥、HMAC KMS 密钥、具有导入的密钥材料的 KMS 密钥或自定义密钥存储中的 KMS 密钥。要按需轮换一组相关的多区域密钥,请对主密钥调用按需轮换。
授权用户可以使用 AWS KMS 控制台或 AWS KMS API 启动按需密钥轮换,并查看密钥轮换状态。
启动按需密钥轮换(控制台)
-
登录到 AWS Management Console,然后通过以下网址打开 AWS Key Management Service(AWS KMS)控制台:https://console.aws.amazon.com/kms
。 -
要更改 AWS 区域,请使用页面右上角的区域选择器。
-
在导航窗格中,选择客户托管密钥。(您无法对 AWS 托管式密钥 执行按需轮换。其将每年自动轮换一次。)
-
选择 KMS 密钥的别名和密钥 ID。
-
选择 Key rotation (密钥轮换) 选项卡。
Key rotation(密钥轮换)选项卡仅显示在具有 AWS KMS 生成的密钥材料(即 Origin(源)为 AWS_KMS)的对称加密 KMS 密钥(包括多区域对称加密 KMS 没有)的详细信息页面上。
您不能按需轮换非对称 KMS 密钥、HMAC KMS 密钥、具有导入的密钥材料的 KMS 密钥或自定义密钥存储中的 KMS 密钥。但是,您可以手动轮换它们。
-
在按需密钥轮换部分,选择轮换密钥。
-
阅读并考虑有关密钥剩余按需轮换次数的警告和信息。如果您决定不继续按需轮换,请选择取消。
-
选择轮换密钥以确认按需轮换。
注意
按需密钥轮换会受到与其他 AWS KMS 管理操作相同的最终一致性影响。新的密钥材料在整个 AWS KMS 中可用之前可能会有一些延迟。控制台顶部的横幅会在按需轮换完成后通知您。
启动按需密钥轮换(AWS KMS API)
您可以使用 AWS Key Management Service(AWS KMS)API 启动按需密钥轮换,并查看任何客户托管密钥的当前轮换状态。此示例使用 AWS Command Line Interface(AWS CLI)
RotateKeyOnDemand 操作会立即为指定的 KMS 密钥启动按需密钥轮换。要在这些操作中标识 KMS 密钥,请使用其密钥 ID 或密钥 ARN。
以下示例对指定的对称加密 KMS 密钥启动按需密钥轮换,并使用 GetKeyRotationStatus 操作验证按需轮换是否正在进行。kms:GetKeyRotationStatus 响应中的 OnDemandRotationStartDate 标识了正在进行的按需轮换启动的日期和时间。
$aws kms rotate-key-on-demand --key-id1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab" }$aws kms get-key-rotation-status --key-id1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyRotationEnabled": true, "NextRotationDate": "2024-03-14T18:14:33.587000+00:00", "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00" "RotationPeriodInDays": 365 }
