本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
用於 Amazon EBS 加密的輪換 AWS KMS 金鑰
密碼編譯最佳實務不鼓勵大量重複使用加密金鑰。
若要建立新的密碼編譯材料以與 Amazon EBS 加密搭配使用,您可以建立新的客戶受管金鑰,然後變更您的應用程式以使用該新的 KMS 金鑰。或者,您可以為現有的客戶受管金鑰啟用自動金鑰輪換。
當您啟用客戶受管金鑰的自動金鑰輪換時, 會每年為 KMS 金鑰 AWS KMS 產生新的密碼編譯材料。 AWS KMS 會儲存所有先前版本的密碼編譯材料,以便您可以繼續解密並使用先前使用該 KMS 金鑰材料加密的磁碟區和快照。 AWS KMS 不會刪除任何輪換的金鑰材料,直到您刪除 KMS 金鑰為止。
當您使用輪換的客戶受管金鑰來加密新的磁碟區或快照時, AWS KMS 會使用目前的 (新的) 金鑰材料。當您使用輪換的客戶受管金鑰來解密磁碟區或快照時, AWS KMS 會使用用來加密磁碟區或快照的加密材料版本。如果磁碟區或快照是使用舊版密碼編譯材料加密, AWS KMS 會繼續使用該舊版來解密。 AWS KMS 不會在金鑰輪換後重新加密先前加密的磁碟區或快照,以使用新的密碼編譯材料。它們會保持使用原始加密的加密材料進行加密。您可以在應用程式 AWS 和服務中安全地使用輪換的客戶受管金鑰,無需變更程式碼。
注意
-
只有具有 AWS KMS 建立之金鑰資料的對稱客戶受管金鑰才支援自動金鑰輪換。
-
AWS KMS AWS 受管金鑰 每年自動輪換。您無法啟用或停用 AWS 受管金鑰的金鑰輪換。
如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的輪換 KMS 金鑰。
