Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Schlüssel manuell drehen Möglicherweise möchten Sie einen neuen KMS-Schlüssel erstellen und ihn anstelle eines aktuellen KMS-Schlüssels verwenden, anstatt die automatische oder bedarfsgesteuerte Schlüsselrotation zu verwenden. Wenn der neue KMS-Schlüssel andere kryptografische Daten aufweist als der aktuelle KMS-Schlüssel, hat die Verwendung des neuen KMS-Schlüssels den gleichen Effekt wie die Änderung des Schlüsselmaterials in einem vorhandenen KMS-Schlüssel. Das Ersetzen eines KMS-Schlüssels durch einen anderen wird als *manuelle Schlüsseldrehung* bezeichnet. ![\[Diagram showing manual key rotation process with application, old key, and new key.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/key-rotation-manual.png) Die manuelle Rotation ist eine gute Wahl, wenn Sie KMS-Schlüssel rotieren möchten, die nicht für eine automatische oder On-Demand-Schlüsselrotation in Frage kommen, wie z. B. asymmetrische KMS-Schlüssel, HMAC-KMS-Schlüssel und KMS-Schlüssel in [benutzerdefinierten Schlüsselspeichern](key-store-overview.md#custom-key-store-overview). **Anmerkung** Wenn Sie mit der Verwendung des neuen KMS-Schlüssels beginnen, achten Sie darauf, dass der ursprüngliche KMS-Schlüssel aktiviert bleibt, damit Daten, die mit dem ursprünglichen KMS-Schlüssel verschlüsselt wurden, entschlüsselt werden AWS KMS können. Wenn Sie KMS-Schlüssel manuell rotieren, müssen Sie auch die Verweise auf die ID oder den ARN des KMS-Schlüssels in Ihren Anwendungen aktualisieren. Dieses Verfahren lässt sich durch [Aliasse](kms-alias.md), die einen Anzeigenamen mit einem KMS-Schlüssel verknüpfen, vereinfachen. Verwenden Sie einen Alias, um auf einen KMS-Schlüssel in Ihren Anwendungen zu verweisen. Wenn Sie dann den von der Anwendung verwendeten KMS-Schlüssel ändern möchten, anstatt den Anwendungscode zu bearbeiten, ändern Sie den Ziel-KMS-Schlüssel des Alias. Details hierzu finden Sie unter [Erfahren Sie, wie Sie Aliase in Ihren Anwendungen verwenden](alias-using.md). **Anmerkung** [https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) Aliase sind bei Vorgängen, die KMS-Schlüssel verwalten, nicht zulässig, wie z. B. oder. [DisableKey[ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html) Wenn Sie den Vorgang [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) für manuell rotierte symmetrische KMS-Schlüssel aufrufen, lassen Sie den `KeyId` Parameter im Befehl weg. AWS KMS verwendet automatisch den KMS-Schlüssel, mit dem der Chiffretext verschlüsselt wurde. Der `KeyId` Parameter ist erforderlich, wenn [Sie mit einem asymmetrischen KMS-Schlüssel `Decrypt` oder Verify](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html) oder [VerifyMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html)mit einem HMAC-KMS-Schlüssel anrufen. Diese Anfragen schlagen fehl, wenn der Wert vom `KeyId`-Parameter ein Alias ist, der nicht mehr auf den KMS-Schlüssel verweist, der die kryptografische Operation ausgeführt hat, z. B. wenn ein Schlüssel manuell gedreht wird. Um diesen Fehler zu vermeiden, müssen Sie den richtigen KMS-Schlüssel für jeden Vorgang verfolgen und angeben. Um den KMS-Zielschlüssel eines Alias zu ändern, verwenden Sie [UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html)Operation in der AWS KMS API. Beispielsweise aktualisiert dieser Befehl den `alias/TestKey`-Alias, so dass er auf einen neuen KMS-Schlüssel verweist. Da der Vorgang keine Ausgabe zurückgibt, zeigt das Beispiel anhand des [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)Vorgangs, dass der Alias jetzt einem anderen KMS-Schlüssel zugeordnet ist und das `LastUpdatedDate` Feld aktualisiert wird. Die ListAliases Befehle verwenden den [`query`Parameter](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-filter.html#cli-usage-filter-client-side-specific-values) in AWS CLI , um nur den `alias/TestKey` Alias abzurufen. ``` $ aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]' { "Aliases": [ { "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey", "AliasName": "alias/TestKey", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1521097200.123, "LastUpdatedDate": 1521097200.123 }, ] } $ aws kms update-alias --alias-name alias/TestKey --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321 $ aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]' { "Aliases": [ { "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey", "AliasName": "alias/TestKey", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1521097200.123, "LastUpdatedDate": 1604958290.722 }, ] } ```