停用自動金鑰輪換 - AWS Key Management Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

停用自動金鑰輪換

在客戶受管金鑰上啟用自動金鑰輪換後,您可以選擇隨時停用它。

如果您停用自動金鑰輪換,KMS金鑰會繼續使用停用輪換時所使用的金鑰材料版本。如果您再次啟用自動金鑰輪換, 會根據新的輪換啟用日期輪換 AWS KMS 金鑰材料。

停用自動輪換不會影響您執行隨需輪換的能力,也不會取消任何進行中的隨需輪換。

您可以在 AWS KMS 主控台中停用自動金鑰輪換,或使用 DisableKeyRotation操作來停用自動金鑰輪換。若要停用自動金鑰輪換,您需要kms:DisableKeyRotation許可。如需 AWS KMS 許可的詳細資訊,請參閱 許可參考

  1. 登入 AWS Management Console 並在 https://console.aws.amazon.com/kms 開啟 AWS Key Management Service (AWS KMS) 主控台。

  2. 若要變更 AWS 區域,請使用頁面右上角的區域選擇器。

  3. 在導覽窗格中,選擇 Customer managed keys (客戶受管金鑰)。(您不能啟用或停用 AWS 受管金鑰的輪換。它們會每年自動輪換一次。)

  4. 選擇金鑰的別名或KMS金鑰 ID。

  5. 選擇 Key rotation (金鑰輪換) 標籤。

    金鑰輪換索引標籤只會出現在對稱加密KMS金鑰的詳細資訊頁面上, AWS KMS 其中包含產生的金鑰材料 (原始伺服器為 AWS_KMS),包括多區域對稱加密KMS金鑰。

    您無法自動輪換非對稱KMS金鑰、HMACKMS金鑰、具有匯入金鑰材料的KMS金鑰,或在自訂金鑰存放區 中的KMS金鑰。但是,您可以手動進行輪換

  6. 自動金鑰輪換區段中,選擇編輯

  7. 針對金鑰輪換 ,選取停用

    注意

    如果KMS金鑰已停用或待刪除, AWS KMS 不會輪換金鑰材料,且您無法更新自動金鑰輪換狀態或輪換期間。啟用KMS金鑰或取消刪除,以更新自動金鑰輪換組態。如需詳細資訊,請參閱金鑰輪換的運作方式金鑰的 AWS KMS 金鑰狀態

  8. 選擇 Save (儲存)。

您可以使用 AWS Key Management Service (AWS KMS) API 停用自動金鑰輪換,並檢視任何客戶受管金鑰的目前輪換狀態。此範例使用 AWS Command Line Interface (AWS CLI),但您可以使用任何支援的程式設計語言。

DisableKeyRotation 操作會停用自動金鑰輪換。若要識別此操作中的KMS金鑰,請使用其金鑰 ID金鑰 ARN。依預設,客戶受管金鑰會停用金鑰輪換。

下列範例會停用指定對稱加密金鑰上的自動KMS金鑰輪換,並使用 GetKeyRotationStatus操作來查看結果。

$ aws kms disable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": false
}