Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Rotieren AWS KMS keys
Um neue kryptografische Daten für Ihre [kundenverwalteten Schlüssel](concepts.md#customer-mgn-key) zu erstellen, können Sie neue KMS-Schlüssel erstellen und anschließend Ihre Anwendungen oder Aliasse so ändern, dass diese die neuen KMS-Schlüssel verwenden. Oder Sie können das Schlüsselmaterial, das einem vorhandenen KMS-Schlüssel zugeordnet ist, rotieren, indem Sie die automatische Schlüsselrotation aktivieren oder eine Rotation bei Bedarf durchführen.
Wenn Sie die *automatische Schlüsselrotation für einen KMS-Schlüssel* aktivieren, AWS KMS wird standardmäßig jedes Jahr neues kryptografisches Material für den KMS-Schlüssel generiert. Sie können auch einen benutzerdefinierten Wert angeben[rotation-period](#rotation-period), um die Anzahl der Tage nach der Aktivierung der automatischen Schlüsselrotation zu definieren, bei der das Schlüsselmaterial rotiert AWS KMS wird, sowie die Anzahl der Tage zwischen den einzelnen automatischen Rotationen danach. Wenn Sie die Schlüsselrotation sofort einleiten müssen, können Sie die *Rotation bei Bedarf* durchführen, unabhängig davon, ob die automatische Schlüsselrotation aktiviert ist oder nicht. Rotationen auf Anforderung ändern keine bestehenden Zeitpläne für die automatische Rotation.
Sie können [die Rotation des Schlüsselmaterials für Ihre KMS-Schlüssel in Amazon CloudWatch und in der AWS Key Management Service Konsole verfolgen](#monitor-key-rotation). AWS CloudTrail Mithilfe von [GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html)Operation können Sie auch überprüfen, ob die automatische Rotation für einen KMS-Schlüssel aktiviert ist, und alle laufenden On-Demand-Rotationen identifizieren. Mithilfe von [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)Operation können Sie sich die Details abgeschlossener Rotationen anzeigen lassen.
Bei der Schlüsselrotation wird nur das *aktuelle Schlüsselmaterial* geändert, d. h. das kryptografische Geheimnis, das bei Verschlüsselungsvorgängen verwendet wird. Wenn Sie den gedrehten KMS-Schlüssel zum Entschlüsseln von Chiffretext verwenden, AWS KMS verwendet er das Schlüsselmaterial, mit dem er verschlüsselt wurde. Sie können kein bestimmtes Schlüsselmaterial für Entschlüsselungsvorgänge auswählen, es AWS KMS wird automatisch das richtige Schlüsselmaterial ausgewählt. Da mit dem entsprechenden Schlüsselmaterial AWS KMS transparent entschlüsselt wird, können Sie einen rotierten KMS-Schlüssel problemlos in Anwendungen und AWS-Services ohne Codeänderungen verwenden.
Der KMS-Schlüssel ist dieselbe logische Ressource, unabhängig davon, ob oder wie oft das Schlüsselmaterial geändert wird. Die Eigenschaften des KMS-Schlüssels werden nicht geändert, wie in der folgenden Abbildung dargestellt.
![\[Key rotation process showing key material change while Key ID remains constant.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/key-rotation-auto.png)
Möglicherweise möchten Sie einen neuen KMS-Schlüssel erstellen und anstelle des ursprünglichen KMS-Schlüssels verwenden. Dies hat den gleichen Effekt wie das Drehen des Schlüsselmaterials in einem vorhandenen KMS-Schlüssel, sodass es häufig als [manuelle Drehung des Schlüssels](rotate-keys-manually.md) betrachtet wird. [Die manuelle Rotation ist eine gute Wahl, wenn Sie KMS-Schlüssel rotieren möchten, die nicht für eine automatische oder bedarfsgesteuerte Schlüsselrotation in Frage kommen, einschließlich [asymmetrischer KMS-Schlüssel](symmetric-asymmetric.md), [HMAC-KMS-Schlüssel und KMS-Schlüssel](hmac.md) in benutzerdefinierten Schlüsselspeichern.](key-store-overview.md#custom-key-store-overview)
**Anmerkung**
Die Schlüsselrotation hat keine Auswirkung auf die Daten, die der KMS-Schlüssel schützt. Die Datenschlüssel, die der KMS-Schlüssel generiert hat, werden nicht rotiert, und es werden keine durch den KMS-Schlüssel geschützten Daten erneut verschlüsselt. Durch die Schlüsselrotation werden die Auswirkungen eines kompromittierten Datenschlüssels nicht gemildert.
**Schlüsselrotation und Preise**
AWS KMS erhebt eine monatliche Gebühr für die erste und zweite Rotation des für Ihren KMS-Schlüssel verwalteten Schlüsselmaterials. Diese Preiserhöhung ist bei der zweiten Rotation begrenzt, und alle nachfolgenden Rotationen werden nicht in Rechnung gestellt. Für Einzelheiten vgl. [AWS Key Management Service -Preise](https://aws.amazon.com/kms/pricing/).
**Anmerkung**
Sie können den [AWS Cost Explorer Service](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-what-is.html) verwenden, um eine Aufschlüsselung Ihrer Gebühren für die Aufbewahrung Ihrer Schlüssel einzusehen. Sie können Ihre Ansicht beispielsweise so filtern, dass die Gesamtkosten für Schlüssel angezeigt werden, die als aktuelle und rotierte KMS-Schlüssel abgerechnet werden, indem Sie den `$REGION-KMS-Keys` als den **Nutzungstyp** angeben und die Daten nach **API-Vorgang** gruppieren.
Möglicherweise werden Ihnen immer noch Instances des älteren `Unknown`-API-Vorgangs für historische Daten angezeigt.
**Schlüsselrotation und Kontingente**
Jeder KMS-Schlüssel zählt als Schlüssel bei der Berechnung wichtiger Ressourcenkontingente, unabhängig von der Anzahl der gedrehten Schlüsselmaterialversionen.
Weitere Informationen zu Schlüsselmaterial und Drehung finden Sie unter [AWS Key Management Service Kryptografische Details](https://docs.aws.amazon.com/kms/latest/cryptographic-details/).
**Topics**
+ [Warum sollten KMS-Schlüssel rotiert werden?](#rotating-kms-keys)
+ [So funktioniert die Schlüsselrotation](#rotate-keys-how-it-works)
+ [Automatische Schlüsselrotation aktivieren](rotating-keys-enable.md)
+ [Deaktivieren Sie die automatische Schlüsselrotation](rotating-keys-disable.md)
+ [Führen Sie die Schlüsselrotation bei Bedarf durch](rotating-keys-on-demand.md)
+ [Rotationen und wichtige Materialien auflisten](list-rotations.md)
+ [Schlüssel manuell drehen](rotate-keys-manually.md)
+ [Ändern Sie den Primärschlüssel in einer Reihe von Schlüsseln für mehrere Regionen](multi-region-update.md)
## Warum sollten KMS-Schlüssel rotiert werden?
[Bewährte kryptografische Verfahren verhindern die umfassende Wiederverwendung von Schlüsseln, die Daten direkt verschlüsseln, wie z. B. generierte Datenschlüssel.](data-keys.md) AWS KMS Wenn 256-Bit-Datenschlüssel Millionen von Nachrichten verschlüsseln, können sie erschöpft sein und anfangen, Geheimtext mit subtilen Mustern zu erzeugen, den clevere Akteure ausnutzen können, um die Bits im Schlüssel zu entdecken. Es empfiehlt sich, Datenschlüssel einmal oder nur ein paar Mal zu verwenden, um diese Schlüsselerschöpfung zu verringern.
KMS-Schlüssel werden jedoch am häufigsten als *Mantelschlüssel* verwendet, die auch als *Schlüssel zur Schlüsselverschlüsselung* bezeichnet werden. Anstatt Daten zu verschlüsseln, verschlüsseln Mantelschlüssel die Datenschlüssel, die Ihre Daten verschlüsseln. Daher werden sie weitaus seltener verwendet als Datenschlüssel und werden fast nie so oft wiederverwendet, dass das Risiko besteht, dass die Schlüssel erschöpft werden.
Trotz dieses sehr geringen Erschöpfungsrisikos müssen Sie Ihre KMS-Schlüssel möglicherweise aufgrund von Geschäfts- oder Vertragsregeln oder behördlichen Vorschriften rotieren. Wenn Sie gezwungen sind, KMS-Schlüssel zu rotieren, empfehlen wir, die automatische Schlüsselrotation zu verwenden, sofern sie unterstützt wird, die Drehung auf Anforderung zu verwenden, wenn die automatische Rotation nicht unterstützt wird, und die manuelle Schlüsselrotation, wenn weder automatische noch On-Demand-Schlüsselrotation unterstützt wird.
Sie könnten erwägen, Rotationen auf Anfrage durchzuführen, um wichtige Funktionen der Materialrotation zu demonstrieren oder Automatisierungsskripte zu validieren. [Wir empfehlen, für ungeplante Rotationen On-Demand-Rotationen und, wann immer möglich, die automatische Schlüsselrotation mit einer benutzerdefinierten Rotationsperiode zu verwenden.](#rotation-period)
## So funktioniert die Schlüsselrotation
AWS KMS Die Schlüsselrotation ist so konzipiert, dass sie transparent und benutzerfreundlich ist. AWS KMS unterstützt die optionale automatische und bedarfsgesteuerte Schlüsselrotation nur für vom [Kunden verwaltete Schlüssel](concepts.md#customer-mgn-key).
**Automatische Schlüsselrotation**
AWS KMS rotiert den KMS-Schlüssel automatisch am nächsten Rotationsdatum, das durch Ihren Rotationsperiode definiert ist. Sie müssen das Update nicht selbst planen.
Die automatische Schlüsselrotation wird nur bei KMS-Schlüsseln mit symmetrischer Verschlüsselung unterstützt, deren Schlüsselmaterial AWS KMS generiert wird (`AWS_KMS`Herkunft).
Die automatische Rotation ist für vom Kunden verwaltete KMS-Schlüssel optional. AWS KMS wechselt das Schlüsselmaterial für AWS verwaltete KMS-Schlüssel jedes Jahr. Die Rotation der AWS eigenen KMS-Schlüssel wird von demjenigen verwaltet AWS-Service , dem der Schlüssel gehört.
**Rotation auf Anfrage**
Initiieren Sie sofort die Rotation des mit Ihrem KMS-Schlüssel verknüpften Schlüsselmaterials, unabhängig davon, ob die automatische Schlüsselrotation aktiviert ist oder nicht.
Die On-Demand-Schlüsselrotation wird für KMS-Schlüssel mit symmetrischer Verschlüsselung unterstützt, deren Schlüsselmaterial AWS KMS generiert wird (`AWS_KMS`Herkunft), und für KMS-Schlüssel mit symmetrischer Verschlüsselung mit importiertem Schlüsselmaterial (`EXTERNAL`Ursprung).
**Manuelle Rotation**
Für die folgenden Typen von KMS-Schlüsseln wird weder die automatische noch die On-Demand-Schlüsselrotation unterstützt. Sie können [diese KMS-Schlüssel jedoch manuell rotieren](rotate-keys-manually.md).
+ [Asymmetrische KMS-Schlüssel](symmetric-asymmetric.md)
+ [HMAC-KMS-Schlüssel](hmac.md)
+ KMS-Schlüssel in [benutzerdefinierten Schlüsselspeichern](key-store-overview.md#custom-key-store-overview)
**Verwalten von Schlüsselmaterial**
AWS KMS behält das gesamte Schlüsselmaterial für einen KMS-Schlüssel mit `AWS_KMS` Ursprung bei, auch wenn die Schlüsselrotation deaktiviert ist. AWS KMS löscht Schlüsselmaterial nur, wenn Sie den KMS-Schlüssel löschen.
Sie verwalten das Schlüsselmaterial für symmetrische Verschlüsselungsschlüssel mit `EXTERNAL` Herkunft. Sie können jedes Schlüsselmaterial mithilfe dieses [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)Vorgangs löschen oder beim Import des Materials eine Ablaufzeit festlegen. Der KMS-Schlüssel wird unbrauchbar, sobald eines seiner Materialien abläuft oder gelöscht wird.
**Verwenden von Schlüsselmaterial**
Wenn Sie einen rotierten KMS-Schlüssel zum Verschlüsseln von Daten verwenden, AWS KMS wird das aktuelle Schlüsselmaterial verwendet. Wenn Sie mit dem KMS-Schlüssel Daten entschlüsseln, verwendet AWS KMS das Schlüsselmaterial, das zum Verschlüsseln verwendet wurde. Sie können keine bestimmte Version des Schlüsselmaterials für Entschlüsselungsvorgänge auswählen. Es AWS KMS wird automatisch die richtige Version ausgewählt.
**Zeitraum der Rotation**
Der Rotationszeitraum definiert die Anzahl der Tage nach der Aktivierung der automatischen Schlüsselrotation, wodurch Ihr Schlüsselmaterial rotiert AWS KMS wird, und die Anzahl der Tage zwischen den einzelnen automatischen Schlüsselrotationen danach. Wenn Sie keinen Wert für `RotationPeriodInDays` die Aktivierung der automatischen Schlüsselrotation angeben, ist der Standardwert 365 Tage.
Sie können den RotationPeriodInDays Bedingungsschlüssel [kms:](conditions-kms.md#conditions-kms-rotation-period-in-days) verwenden, um die Werte, die Prinzipale im Parameter angeben können, weiter einzuschränken. `RotationPeriodInDays`
**Datum der Rotation**
Das Rotationsdatum gibt das Datum an, an dem das aktuelle Schlüsselmaterial für einen KMS-Schlüssel entweder als Ergebnis einer automatischen (geplanten) Rotation oder einer Schlüsselrotation auf Anfrage aktualisiert wurde.
**Rotationsdatum**
AWS KMS rotiert den KMS-Schlüssel automatisch an dem durch Ihre Rotationsperiode definierten Rotationsdatum. Der Standardrotationszeitraum beträgt 365 Tage.
**Kundenseitig verwaltete Schlüssel**
Da die automatische Schlüsselrotation bei vom [Kunden verwalteten Schlüsseln](concepts.md#customer-mgn-key) optional ist und jederzeit aktiviert und deaktiviert werden kann, hängt das Rotationsdatum von dem Datum ab, an dem die Rotation zuletzt aktiviert wurde. Das Datum kann sich ändern, wenn Sie den Rotationszeitraum für einen Schlüssel ändern, für den Sie zuvor die automatische Schlüsselrotation aktiviert haben. Das Rotationsdatum kann sich im Laufe der Lebensdauer des Schlüssels mehrfach ändern.
Wenn Sie beispielsweise am 1. Januar 2022 einen vom Kunden verwalteten Schlüssel erstellen und die automatische Schlüsselrotation mit dem AWS KMS Standardrotationszeitraum von 365 Tagen am 15. März 2022 aktivieren, wird das Schlüsselmaterial am 15. März 2023, 15. März 2024 und danach alle 365 Tage rotiert.
In den folgenden Beispielen wird davon ausgegangen, dass die automatische Schlüsselrotation mit dem Standardrotationszeitraum von 365 Tagen aktiviert wurde. Diese Beispiele zeigen Sonderfälle, die sich auf die Rotationsperiode eines Schlüssels auswirken können.
+ Schlüsselrotation deaktivieren – Wenn Sie zu einem beliebigen Zeitpunkt die [automatische Schlüsselrotation deaktivieren](rotating-keys-disable.md), verwendet der KMS-Schlüssel weiterhin die Version des Schlüsselmaterials, das er verwendet hat, als die Rotation deaktiviert wurde. Wenn Sie die automatische Schlüsselrotation wieder aktivieren, AWS KMS rotiert das Schlüsselmaterial auf der Grundlage des neuen Aktivierungsdatums für die Rotation.
+ Deaktivierte KMS-Schlüssel — Solange ein KMS-Schlüssel deaktiviert ist, wird AWS KMS er nicht rotiert. Der Status der Schlüsseldrehung ändert sich jedoch nicht, und Sie können ihn nicht ändern, solange der KMS-Schlüssel deaktiviert ist. Wenn der KMS-Schlüssel wieder aktiviert wird und das Schlüsselmaterial sein letztes geplantes Rotationsdatum überschritten hat, wird es AWS KMS sofort rotiert. Wenn das Schlüsselmaterial seinen letzten geplanten Rotationstermin nicht verpasst hat, AWS KMS wird der ursprüngliche Zeitplan für die Schlüsselrotation wieder aufgenommen.
+ KMS-Schlüssel, deren Löschung noch aussteht — Solange ein KMS-Schlüssel noch gelöscht werden AWS KMS muss, wird er nicht rotiert. Als Status der Schlüsselrotation wird `false` eingestellt und er kann von Ihnen nicht mehr geändert werden, während der Löschvorgang ansteht. Wenn der Löschvorgang abgebrochen wird, wird der vorherige Status der Schlüsselrotation wiederhergestellt. Wenn das Schlüsselmaterial seinen letzten geplanten Rotationstermin überschritten hat, wird es sofort AWS KMS rotiert. Wenn das Schlüsselmaterial seinen letzten geplanten Rotationstermin nicht verpasst hat, AWS KMS wird der ursprüngliche Zeitplan für die Schlüsselrotation wieder aufgenommen.
**Von AWS verwaltete Schlüssel**
AWS KMS wechselt automatisch Von AWS verwaltete Schlüssel jedes Jahr (ungefähr 365 Tage). Sie können die Schlüsseldrehung von [Von AWS verwaltete Schlüssel](concepts.md#aws-managed-key) nicht aktivieren oder deaktivieren.
Das Schlüsselmaterial für eine Von AWS verwalteter Schlüssel wird zunächst ein Jahr nach dem Erstellungsdatum rotiert und danach jedes Jahr (ungefähr 365 Tage nach der letzten Rotation).
Im Mai 2022 AWS KMS wurde der Rotationsplan Von AWS verwaltete Schlüssel von allen drei Jahren (etwa 1.095 Tage) auf jedes Jahr (ungefähr 365 Tage) geändert.
**AWS-eigene Schlüssel**
Sie können die Schlüsseldrehung von AWS-eigene Schlüssel nicht aktivieren oder deaktivieren. Die Strategie der [Schlüsselrotation](#rotate-keys) für eine AWS-eigener Schlüssel wird durch den AWS Dienst bestimmt, der den Schlüssel erstellt und verwaltet. Weitere Informationen finden Sie im Benutzerhandbuch oder Entwicklerhandbuch für den Service unter dem Thema *Verschlüsselung im Ruhezustand*.
**Rotierende Schlüssel für mehrere Regionen**
Das Drehverhalten unterscheidet sich je nachdem, ob das Schlüsselmaterial von AWS KMS (`AWS_KMS`Ursprung) erzeugt oder importiert (`EXTERNAL`Ursprung) wurde.
**Schlüssel mit `AWS_KMS` Ursprung in mehreren Regionen**
Sie können die automatische Rotation aktivieren und deaktivieren und bei Bedarf eine Rotation des Schlüsselmaterials bei symmetrischer Verschlüsselung durchführen. [Schlüssel aus mehreren Regionen mit Ursprung](multi-region-keys-overview.md). `AWS_KMS` Die Schlüsselrotation ist eine [gemeinsame Eigenschaft](multi-region-keys-overview.md#mrk-sync-properties) von Schlüsseln mit mehreren Regionen.
Sie können die automatische Schlüsseldrehung nur für einen Primärschlüssel aktivieren oder deaktivieren. Sie initiieren die Rotation bei Bedarf nur für den Primärschlüssel.
+ Bei der AWS KMS Synchronisierung der Schlüssel für mehrere Regionen wird die Eigenschaftseinstellung für die Schlüsselrotation vom Primärschlüssel auf alle zugehörigen Replikatschlüssel kopiert.
+ Bei der AWS KMS Rotation des Schlüsselmaterials wird neues Schlüsselmaterial für den Primärschlüssel erstellt. Anschließend wird das neue Schlüsselmaterial über Regionsgrenzen hinweg in alle zugehörigen Replikatschlüssel kopiert. Das Schlüsselmaterial wird niemals unverschlüsselt verlassen AWS KMS . Dieser Schritt wird sorgfältig überwacht, um sicherzustellen, dass das Schlüsselmaterial vollständig synchronisiert wird, bevor ein Schlüssel in einer kryptografischen Operation verwendet wird.
+ AWS KMS verschlüsselt keine Daten mit dem neuen Schlüsselmaterial, bis dieses Schlüsselmaterial im Primärschlüssel und in jedem seiner Replikatschlüssel verfügbar ist.
+ Wenn Sie einen gedrehten Primärschlüssel replizieren, enthält der neue Replikatschlüssel das aktuelle Schlüsselmaterial und alle früheren Versionen des Schlüsselmaterials für seine verwandten multiregionalen Schlüssel.
Dieses Muster stellt sicher, dass verwandte multiregionale Schlüssel vollständig interoperabel sind. Jeder multiregionale Schlüssel kann Chiffretext entschlüsseln, der mit einem verwandten multiregionalen Schlüssel verschlüsselt wurde, selbst wenn der Chiffretext vor dem Erstellen des Schlüssels verschlüsselt wurde.
**Schlüssel mit Ursprung in mehreren Regionen `EXTERNAL`**
Bei symmetrischer Verschlüsselung können Sie bei Bedarf eine Rotation des Schlüsselmaterials von [Schlüsseln aus mehreren Regionen mit Herkunft](multi-region-keys-overview.md) durchführen. `EXTERNAL` Die Schlüsselrotation ist eine [gemeinsame Eigenschaft](multi-region-keys-overview.md#mrk-sync-properties) von Schlüsseln mit mehreren Regionen.
Sie initiieren die On-Demand-Rotation nur für den Primärschlüssel, nachdem Sie das neue Schlüsselmaterial in den Primärschlüssel und jeden Replikatschlüssel importiert haben.
+ Wenn Sie neues Schlüsselmaterial in den Primärschlüssel importieren, werden die Schlüsselmaterial-ID und die Schlüsselmaterialbeschreibung vom Primärschlüssel in alle zugehörigen Replikatschlüssel AWS KMS kopiert. Das Schlüsselmaterial wird nicht kopiert.
+ Sie müssen dasselbe Schlüsselmaterial einzeln in jeden Replikatschlüssel importieren. Nachdem das Schlüsselmaterial in alle zugehörigen Schlüssel mit mehreren Regionen importiert wurde, können Sie bei Bedarf eine Rotation des Primärschlüssels einleiten. Dadurch wird sichergestellt, dass AWS KMS keine Daten mit dem neuen Schlüsselmaterial verschlüsselt werden, bis dieses Schlüsselmaterial im Primärschlüssel und allen zugehörigen Replikatschlüsseln verfügbar ist.
+ Jedes Schlüsselmaterial im Primärschlüssel oder in einem beliebigen Replikatschlüssel kann unabhängig von anderen Schlüsselmaterialien im selben Schlüssel oder einem anderen zugehörigen Schlüssel mit mehreren Regionen ablaufen oder gelöscht werden.
**AWS Dienste**
Sie können die automatische Schlüsselrotation für die vom [Kunden verwalteten Schlüssel](concepts.md#customer-mgn-key) aktivieren, die Sie für die serverseitige Verschlüsselung in AWS Diensten verwenden. Die jährliche Rotation ist transparent und mit AWS Diensten kompatibel.
**Überwachen der Schlüsselrotation.**
Wenn das Schlüsselmaterial für einen [Von AWS verwalteter Schlüssel](concepts.md#aws-managed-key)oder vom [Kunden verwalteten Schlüssel AWS KMS](concepts.md#customer-mgn-key) rotiert wird, schreibt es ein `KMS CMK Rotation` Ereignis an Amazon EventBridge und ein [RotateKey Ereignis](ct-rotatekey.md) in Ihr AWS CloudTrail Protokoll. Sie können die diese Datensätze verwenden, um zu überprüfen, ob der KMS-Schlüssel gedreht wurde.
In der AWS Key Management Service Konsole können Sie sich die Anzahl der verbleibenden On-Demand-Rotationen und eine Liste aller abgeschlossenen Schlüsselmaterialrotationen für einen KMS-Schlüssel anzeigen lassen.
Sie können den [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)Vorgang verwenden, um die Details der abgeschlossenen Rotationen einzusehen.
**Letztendliche Datenkonsistenz**
Die Schlüsselrotation unterliegt letztlich den gleichen Konsistenzeffekten wie andere AWS KMS Verwaltungsvorgänge. Es kann zu einer leichten Verzögerung kommen, bevor das neue Schlüsselmaterial in allen Bereichen von AWS KMS verfügbar ist. Das Drehen von Schlüsselmaterial verursacht jedoch keine Unterbrechung oder Verzögerung kryptografischer Operationen. Das aktuelle Schlüsselmaterial wird in kryptografischen Operationen verwendet, bis das neue Schlüsselmaterial überall in AWS KMS verfügbar ist. Wenn das Schlüsselmaterial für einen Schlüssel mit mehreren Regionen automatisch rotiert wird, wird das aktuelle Schlüsselmaterial AWS KMS verwendet, bis das neue Schlüsselmaterial in allen Regionen mit einem zugehörigen Schlüssel für mehrere Regionen verfügbar ist.
# Automatische Schlüsselrotation aktivieren
Wenn Sie die *automatische Schlüsselrotation für einen KMS-Schlüssel* aktivieren, AWS KMS wird standardmäßig jedes Jahr neues kryptografisches Material für den KMS-Schlüssel generiert. Sie können auch einen benutzerdefinierten Wert angeben[rotation-period](rotate-keys.md#rotation-period), um die Anzahl der Tage nach der Aktivierung der automatischen Schlüsselrotation zu definieren, bei der das Schlüsselmaterial rotiert AWS KMS wird, sowie die Anzahl der Tage zwischen den einzelnen automatischen Rotationen danach.
Die automatische Schlüsselrotation bietet folgende Vorteile:
+ Die Eigenschaften des KMS-Schlüssels, einschließlich [Schlüssel-ID](concepts.md#key-id-key-id), [Schlüssel-ARN](concepts.md#key-id-key-ARN), Region, Richtlinien und Berechtigungen, werden bei der Drehung des Schlüssels nicht geändert.
+ Sie müssen keine Anwendungen oder Aliasse ändern, die sich auf die KMS-Schlüssel-ID oder den ARN beziehen.
+ Drehendes Schlüsselmaterial beeinträchtigt die Verwendung des KMS-Schlüssels in keinem AWS-Service.
+ Nachdem Sie die Schlüsselrotation aktiviert haben, wird der KMS-Schlüssel automatisch am nächsten Rotationsdatum AWS KMS rotiert, das durch Ihre Rotationsperiode definiert wird. Sie müssen das Update nicht selbst planen.
Sie können die automatische Schlüsselrotation in der AWS KMS Konsole oder mithilfe des [EnableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html)Vorgangs aktivieren. Um die automatische Schlüsselrotation zu aktivieren, benötigen Sie `kms:EnableKeyRotation` Berechtigungen. Weitere Informationen zu AWS KMS Berechtigungen finden Sie unter[Berechtigungsreferenz](kms-api-permissions-reference.md).
## Verwenden der AWS KMS Konsole
1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Klicken Sie im Navigationsbereich auf **Kundenverwaltete Schlüssel**. (Sie können die Drehung von Von AWS verwaltete Schlüssel nicht aktiviern oder deaktivieren. Diese werden automatisch jedes Jahr gedreht.)
1. Wählen Sie den Alias oder die Schlüssel-ID eines KMS-Schlüssels.
1. Wählen Sie die Registerkarte **Key rotation (Schlüsselrotation)**.
Die Registerkarte **Schlüsselrotation** wird nur auf der Detailseite von KMS-Schlüsseln mit symmetrischer Verschlüsselung angezeigt, wobei das Schlüsselmaterial AWS KMS generiert wurde (der **Ursprung** ist **AWS\$1KMS**), einschließlich KMS-Schlüsseln mit symmetrischer Verschlüsselung für [mehrere Regionen](rotate-keys.md#multi-region-rotate).
Asymmetrische KMS-Schlüssel, HMAC-KMS-Schlüssel, KMS-Schlüssel mit [importiertem Schlüsselmaterial](importing-keys.md) oder KMS-Schlüssel in [benutzerdefinierten Schlüsselspeichern](key-store-overview.md#custom-key-store-overview) können nicht automatisch gedreht werden. Sie können [sie jedoch manuell rotieren](rotate-keys-manually.md).
1. **Wählen Sie im Abschnitt **Automatische Schlüsselrotation** die Option Bearbeiten aus.**
1. Wählen Sie für **Schlüsselrotation** die Option **Aktivieren** aus.
**Anmerkung**
Wenn ein KMS-Schlüssel deaktiviert ist oder noch gelöscht werden AWS KMS muss, wird das Schlüsselmaterial nicht rotiert, und Sie können den Status oder den Rotationszeitraum der automatischen Schlüsselrotation nicht aktualisieren. Aktivieren Sie den KMS-Schlüssel oder brechen Sie den Löschvorgang ab, um die Konfiguration der automatischen Schlüsselrotation zu aktualisieren. Details dazu finden Sie unter [So funktioniert die Schlüsselrotation](rotate-keys.md#rotate-keys-how-it-works) und [Wichtige Zustände von AWS KMS Schlüsseln](key-state.md).
1. (Optional) Geben Sie einen Rotationszeitraum zwischen 90 und 2560 Tagen ein. Der Standardwert ist 365 Tage. Wenn Sie keinen benutzerdefinierten Rotationszeitraum angeben, AWS KMS wird das Schlüsselmaterial jedes Jahr rotiert.
Sie können den RotationPeriodInDays Bedingungsschlüssel [kms:](conditions-kms.md#conditions-kms-rotation-period-in-days) verwenden, um die Werte einzuschränken, die Prinzipale für den Rotationsperiode angeben können.
1. Wählen Sie **Speichern**.
## Verwenden der API AWS KMS
Sie können die [API AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/APIReference/) verwenden, um die automatische Schlüsselrotation zu aktivieren und den aktuellen Rotationsstatus aller vom Kunden verwalteten Schlüssel einzusehen. Für diese Beispiele wird die [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.
Der [EnableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html)Vorgang ermöglicht die automatische Schlüsselrotation für den angegebenen KMS-Schlüssel. Um den KMS-Schlüssel bei diesem Vorgang zu identifizieren, verwenden Sie seine [Schlüssel-ID](concepts.md#key-id-key-id) oder seinen [Schlüssel-ARN](concepts.md#key-id-key-ARN). Standardmäßig ist die Schlüsseldrehung für kundenverwaltete KMS-Schlüssel deaktiviert.
Sie können den [ kms:RotationPeriodInDays](conditions-kms.md#conditions-kms-rotation-period-in-days)Bedingungsschlüssel verwenden, um die Werte einzuschränken, die Prinzipale für den `RotationPeriodInDays` Parameter einer `EnableKeyRotation` Anforderung angeben können.
Das folgende Beispiel aktiviert die Schlüsselrotation mit einer Rotationsperiode von 180 Tagen für den angegebenen KMS-Schlüssel mit symmetrischer Verschlüsselung und verwendet den [GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html)Vorgang, um das Ergebnis zu sehen.
```
$ aws kms enable-key-rotation \
--key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--rotation-period-in-days 180
$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyRotationEnabled": true,
"RotationPeriodInDays": 180,
"NextRotationDate": "2024-02-14T18:14:33.587000+00:00"
}
```
# Deaktivieren Sie die automatische Schlüsselrotation
Nachdem Sie die automatische Schlüsselrotation für einen vom Kunden verwalteten Schlüssel aktiviert haben, können Sie sie jederzeit deaktivieren.
Wenn Sie die automatische Schlüsselrotation deaktivieren, verwendet der KMS-Schlüssel weiterhin die Version des Schlüsselmaterials, die er bei der Deaktivierung der Schlüsselrotation verwendet hat. Wenn Sie die automatische Schlüsselrotation wieder aktivieren, wird das Schlüsselmaterial auf der Grundlage des neuen Aktivierungsdatums für die Rotation AWS KMS rotiert.
Die Deaktivierung der automatischen Rotation hat keinen Einfluss auf Ihre Fähigkeit, [Rotationen auf Anfrage durchzuführen, und es werden auch keine laufenden On-Demand-Rotationen](rotating-keys-on-demand.md) storniert.
Sie können die automatische Tastenrotation in der AWS KMS Konsole oder mithilfe des Vorgangs deaktivieren. [DisableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKeyRotation.html) Um die automatische Schlüsselrotation zu deaktivieren, benötigen Sie `kms:DisableKeyRotation` Berechtigungen. Weitere Informationen zu AWS KMS Berechtigungen finden Sie unter[Berechtigungsreferenz](kms-api-permissions-reference.md).
## Verwenden der AWS KMS Konsole
1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Klicken Sie im Navigationsbereich auf **Kundenverwaltete Schlüssel**. (Sie können die Drehung von Von AWS verwaltete Schlüssel nicht aktiviern oder deaktivieren. Diese werden automatisch jedes Jahr gedreht.)
1. Wählen Sie den Alias oder die Schlüssel-ID eines KMS-Schlüssels.
1. Wählen Sie die Registerkarte **Key rotation (Schlüsselrotation)**.
Die Registerkarte **Schlüsselrotation** wird nur auf der Detailseite von KMS-Schlüsseln mit symmetrischer Verschlüsselung angezeigt, wobei das Schlüsselmaterial AWS KMS generiert wurde (der **Ursprung** ist **AWS\$1KMS**), einschließlich KMS-Schlüsseln mit symmetrischer Verschlüsselung für [mehrere Regionen](rotate-keys.md#multi-region-rotate).
Asymmetrische KMS-Schlüssel, HMAC-KMS-Schlüssel, KMS-Schlüssel mit [importiertem Schlüsselmaterial](importing-keys.md) oder KMS-Schlüssel in [benutzerdefinierten Schlüsselspeichern](key-store-overview.md#custom-key-store-overview) können nicht automatisch gedreht werden. Sie können [sie jedoch manuell rotieren](rotate-keys-manually.md).
1. **Wählen Sie im Abschnitt **Automatische Schlüsselrotation** die Option Bearbeiten aus.**
1. Wählen Sie für **Schlüsselrotation** die Option **Deaktivieren** aus.
**Anmerkung**
Wenn ein KMS-Schlüssel deaktiviert ist oder noch gelöscht werden AWS KMS muss, wird das Schlüsselmaterial nicht rotiert, und Sie können den Status oder den Rotationszeitraum der automatischen Schlüsselrotation nicht aktualisieren. Aktivieren Sie den KMS-Schlüssel oder brechen Sie den Löschvorgang ab, um die Konfiguration der automatischen Schlüsselrotation zu aktualisieren. Details dazu finden Sie unter [So funktioniert die Schlüsselrotation](rotate-keys.md#rotate-keys-how-it-works) und [Wichtige Zustände von AWS KMS Schlüsseln](key-state.md).
1. Wählen Sie **Speichern**.
## Verwenden der AWS KMS API
Sie können die [API AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/APIReference/) verwenden, um die automatische Schlüsselrotation zu deaktivieren und den aktuellen Rotationsstatus aller vom Kunden verwalteten Schlüssel einzusehen. In diesem Beispiel wird die [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) verwendet, Sie können jedoch jede unterstützte Programmiersprache verwenden.
Der [DisableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKeyRotation.html)Vorgang deaktiviert die automatische Schlüsselrotation. Um den KMS-Schlüssel bei diesem Vorgang zu identifizieren, verwenden Sie seine [Schlüssel-ID](concepts.md#key-id-key-id) oder seinen [Schlüssel-ARN](concepts.md#key-id-key-ARN). Standardmäßig ist die Schlüsseldrehung für kundenverwaltete KMS-Schlüssel deaktiviert.
Im folgenden Beispiel wird die automatische Schlüsselrotation für den angegebenen KMS-Schlüssel mit symmetrischer Verschlüsselung deaktiviert und das Ergebnis anhand des [GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html)Vorgangs angezeigt.
```
$ aws kms disable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyRotationEnabled": false
}
```
# Führen Sie die Schlüsselrotation bei Bedarf durch
Sie können das Schlüsselmaterial in vom Kunden verwalteten KMS-Schlüsseln bei Bedarf rotieren, unabhängig davon, ob die automatische Schlüsselrotation aktiviert ist oder nicht. Die Deaktivierung der automatischen Rotation ([DisableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKeyRotation.html)) hat keinen Einfluss auf Ihre Fähigkeit, Rotationen auf Anfrage durchzuführen, und es werden auch keine laufenden On-Demand-Rotationen storniert. Rotationen auf Abruf haben keine Auswirkungen auf bestehende Zeitpläne für automatische Rotationen. Stellen Sie sich zum Beispiel einen KMS-Schlüssel vor, für den die automatische Schlüsselrotation aktiviert ist und für den eine Rotationsperiode von 730 Tagen gilt. Wenn für den Schlüssel eine automatische Rotation am 14. April 2024 geplant ist und Sie am 10. April 2024 eine On-Demand-Rotation durchführen, wird der Schlüssel wie geplant am 14. April 2024 und danach alle 730 Tage automatisch rotiert.
Sie können die Schlüsselrotation bei Bedarf maximal 25 Mal pro KMS-Schlüssel durchführen. Sie können die AWS KMS Konsole verwenden, um die Anzahl der verbleibenden On-Demand-Rotationen anzuzeigen, die für einen KMS-Schlüssel verfügbar sind.
Die On-Demand-Schlüsselrotation wird nur für [KMS-Schlüssel mit symmetrischer Verschlüsselung](symm-asymm-choose-key-spec.md#symmetric-cmks) unterstützt. Sie können keine On-Demand-Rotation von [asymmetrischen KMS-Schlüsseln](symmetric-asymmetric.md), [HMAC-KMS-Schlüsseln oder KMS-Schlüsseln](hmac.md) in einem [benutzerdefinierten](key-store-overview.md#custom-key-store-overview) Schlüsselspeicher durchführen. Rufen Sie die On-Demand-Rotation für einen Satz verwandter [Schlüssel mit mehreren Regionen](rotate-keys.md#multi-region-rotate) auf Anforderung für den Primärschlüssel auf.
Autorisierte Benutzer mit `kms:RotateKeyOnDemand` und `kms:GetKeyRotationStatus` Berechtigungen können die AWS KMS Konsole und die AWS KMS API verwenden, um eine On-Demand-Schlüsselrotation einzuleiten und den Status der Schlüsselrotation einzusehen. Wird verwendet [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html), um abgeschlossene Rotationen für einen KMS-Schlüssel anzuzeigen.
**Topics**
+ [Initiierung der Schlüsselrotation bei Bedarf (Konsole)](#rotate-on-demand-console)
+ [Initiierung der On-Demand-Schlüsselrotation (API)AWS KMS](#rotate-on-demand-api)
## Initiierung der Schlüsselrotation bei Bedarf (Konsole)
1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Klicken Sie im Navigationsbereich auf **Kundenverwaltete Schlüssel**. (Sie können die Rotation von nicht bei Bedarf durchführen. Von AWS verwaltete Schlüssel Sie werden jedes Jahr automatisch rotiert.)
1. Wählen Sie den Alias oder die Schlüssel-ID eines KMS-Schlüssels.
1. Wählen Sie die Registerkarte **Schlüsselmaterial und Rotationen**.
Die Registerkarte **Schlüsselmaterial und Rotationen** wird nur auf der Detailseite von KMS-Schlüsseln mit symmetrischer Verschlüsselung angezeigt, die automatische Rotation oder Rotation bei Bedarf unterstützen. Dazu gehören KMS-Schlüssel mit AWS KMS generiertem Schlüsselmaterial (**AWS\$1KMS**Ursprung) und KMS-Schlüssel mit importiertem Schlüsselmaterial (**EXTERNER** Ursprung)
Sie können keine On-Demand-Rotation von asymmetrischen KMS-Schlüsseln, HMAC-KMS-Schlüsseln oder KMS-Schlüsseln in [benutzerdefinierten Schlüsselspeichern](key-store-overview.md#custom-key-store-overview) durchführen. Sie können [sie jedoch manuell rotieren](rotate-keys-manually.md).
1. Wählen Sie Jetzt **drehen**. Bei symmetrischen Verschlüsselungsschlüsseln mit importiertem Schlüsselmaterial ist die Option **Jetzt drehen** nur verfügbar, wenn Sie zuvor [neues Schlüsselmaterial importiert](importing-keys-import-key-material.md#import-new-key-material) haben und es sich im **Rotationsstatus Ausstehend** befindet.
**Anmerkung**
Bei Schlüsseln mit mehreren Regionen kann nur der primäre Regionsschlüssel gedreht werden.
1. Lesen und berücksichtigen Sie die Warnung und die Informationen über die Anzahl der verbleibenden On-Demand-Rotationen für den Schlüssel. Außerdem werden Ihnen Informationen wie die ID, die Beschreibung und die Ablaufzeit des Schlüsselmaterials angezeigt, die nach der Rotation aktuell werden. Wenn Sie entscheiden, dass Sie mit der On-Demand-Rotation nicht fortfahren möchten, wählen Sie **Abbrechen**.
1. Wählen Sie die **Taste „Drehen**“, um die Drehung bei Bedarf zu bestätigen.
**Anmerkung**
Die Rotation nach Bedarf unterliegt letztlich den gleichen Konsistenzeffekten wie andere AWS KMS Verwaltungsvorgänge. Es kann zu einer leichten Verzögerung kommen, bevor das neue Schlüsselmaterial in allen Bereichen von AWS KMS verfügbar ist. Das Banner oben in der Konsole informiert Sie, wenn die On-Demand-Rotation abgeschlossen ist.
## Initiierung der On-Demand-Schlüsselrotation (API)AWS KMS
Sie können die [API AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/APIReference/) verwenden, um eine On-Demand-Schlüsselrotation zu initiieren und den aktuellen Rotationsstatus aller vom Kunden verwalteten Schlüssel einzusehen. In diesem Beispiel wird die [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) verwendet, Sie können jedoch jede unterstützte Programmiersprache verwenden.
Der [RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html)Vorgang initiiert sofort die On-Demand-Schlüsselrotation für den angegebenen KMS-Schlüssel. Um den KMS-Schlüssel bei diesen Operationen zu identifizieren, verwenden Sie seine [Schlüssel-ID](concepts.md#key-id-key-id) oder den [Schlüssel-ARN](concepts.md#key-id-key-ARN).
Im folgenden Beispiel wird eine On-Demand-Schlüsselrotation für den angegebenen KMS-Schlüssel mit symmetrischer Verschlüsselung initiiert und anhand des [GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html)Vorgangs überprüft, ob die On-Demand-Rotation ausgeführt wird. `OnDemandRotationStartDate`In der `kms:GetKeyRotationStatus` Antwort werden Datum und Uhrzeit angegeben, zu denen eine laufende On-Demand-Rotation initiiert wurde. In diesem Beispiel ist für den KMS-Schlüssel auch die automatische Rotation mit einem Zeitraum von 365 Tagen aktiviert.
```
$ aws kms rotate-key-on-demand --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
}
$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyRotationEnabled": true,
"NextRotationDate": "2024-03-14T18:14:33.587000+00:00",
"OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
"RotationPeriodInDays": 365
}
```
Wenn der KMS-Schlüssel keine automatische Rotation unterstützt oder die automatische Rotation nicht aktiviert ist, würde die `kms:GetKeyRotationStatus` Antwort weniger Felder enthalten, wie im folgenden Beispiel gezeigt:
```
$ aws kms rotate-key-on-demand --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
}
$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyRotationEnabled": false,
"OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
}
```
# Rotationen und wichtige Materialien auflisten
KMS-Schlüsseln, die die automatische oder bedarfsgesteuerte Schlüsselrotation unterstützen, können mehrere Schlüsselmaterialien zugeordnet sein. Diese Schlüssel haben ein anfängliches Schlüsselmaterial und ein zusätzliches Schlüsselmaterial für jede automatische oder bedarfsgesteuerte Rotation.
Autorisierte Benutzer mit entsprechender `kms:ListKeyRotations` Genehmigung können die AWS KMS Konsole und die [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)API verwenden, um alle wichtigen Materialien aufzulisten, die mit einem KMS-Schlüssel verknüpft sind, einschließlich der Materialien aus abgeschlossenen automatischen und On-Demand-Rotationen.
**Topics**
+ [Rotationen und wichtige Materialien auflisten (Konsole)](#list-rotations-console)
+ [Rotationen und Schlüsselmaterialien auflisten (API)AWS KMS](#list-rotations-api)
## Rotationen und wichtige Materialien auflisten (Konsole)
1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Klicken Sie im Navigationsbereich auf **Kundenverwaltete Schlüssel**.
1. Wählen Sie den Alias oder die Schlüssel-ID eines KMS-Schlüssels.
1. Wählen Sie die Registerkarte **Schlüsselmaterial und Rotationen**.
+ Die Registerkarte **Schlüsselmaterial und Rotationen** wird nur auf der Detailseite von KMS-Schlüsseln mit symmetrischer Verschlüsselung angezeigt, die automatische Rotation oder Rotation bei Bedarf unterstützen. Dazu gehören KMS-Schlüssel mit AWS KMS generiertem Schlüsselmaterial (`AWS_KMS`Ursprung) und KMS-Schlüssel mit importiertem Schlüsselmaterial (`EXTERNAL`Ursprung).
+ In der Tabelle **Schlüsselmaterialien** auf der Registerkarte **Schlüsselmaterial und Rotationen** sind alle Schlüsselmaterialien aufgeführt, die dem KMS-Schlüssel zugeordnet sind. Für jedes Schlüsselmaterial zeigt der entsprechende Eintrag die zugewiesene eindeutige Kennung AWS KMS, das Rotationsdatum und den Status des Schlüsselmaterials an. Das Rotationsdatum gibt an, wann das Schlüsselmaterial nach einer automatischen oder bedarfsgesteuerten Schlüsselrotation aktuell wurde. Dem ersten Material oder dem `Pending rotation` Schlüsselmaterial ist kein Rotationsdatum zugeordnet. Der Zustand des Schlüsselmaterials bestimmt, wie das Schlüsselmaterial AWS KMS verwendet wird. Das aktuelle Schlüsselmaterial wird sowohl für die Verschlüsselung als auch für die Entschlüsselung verwendet. Nicht aktuelles Schlüsselmaterial wird nur zur Entschlüsselung verwendet. Ein Schlüsselmaterialstatus von `Pending rotation` gibt an, dass das Schlüsselmaterial für die Rotation bereitgestellt wurde. Dieses Schlüsselmaterial wird erst dann für kryptografische Operationen verwendet, wenn es durch eine On-Demand-Schlüsselrotation zum aktuellen Schlüsselmaterial wird. Zusätzliche Informationen, die für das Schlüsselmaterial angezeigt werden, hängen vom Typ des KMS-Schlüssels ab.
+ Bei KMS-Schlüsseln mit symmetrischer Verschlüsselung mit `AWS_KMS` Ursprung wird in jeder Zeile auch der Rotationstyp angezeigt — `On-demand` oder`Automatic`.
+ KMS-Schlüssel mit symmetrischer Verschlüsselung mit importiertem Schlüsselmaterial (`EXTERNAL`Ursprung) unterstützen nur die `On-demand` Rotation, sodass es keine Spalte mit dem Rotationstyp gibt. Stattdessen werden in jeder Zeile ein Importstatus, eine benutzerdefinierte Beschreibung, Ablaufinformationen und ein **Aktionsmenü** angezeigt. Der Importstatus ist entweder **Importiert**, was bedeutet, dass das Schlüsselmaterial innerhalb verfügbar ist, AWS KMS oder **Ausstehender Import**, was bedeutet, dass das Schlüsselmaterial nicht verfügbar ist. AWS KMS Das **Aktionsmenü** kann verwendet werden, um importiertes Schlüsselmaterial zu löschen oder Schlüsselmaterial erneut zu importieren. Die Aktion **Schlüsselmaterial löschen** ist deaktiviert, wenn der Importstatus des Schlüsselmaterials auf **Ausstehender Import** eingestellt ist. Die Aktion **Schlüsselmaterial erneut importieren** ist immer verfügbar. Sie müssen nicht warten, bis ein Schlüsselmaterial abläuft oder gelöscht wurde, bevor Sie es erneut importieren.
## Rotationen und Schlüsselmaterialien auflisten (API)AWS KMS
Sie können die [API AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/APIReference/) verwenden, um eine On-Demand-Schlüsselrotation zu initiieren und den aktuellen Rotationsstatus aller vom Kunden verwalteten Schlüssel einzusehen. In diesem Beispiel wird die [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) verwendet, Sie können jedoch jede unterstützte Programmiersprache verwenden.
Der [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)Vorgang listet alle Rotationen und Schlüsselmaterialien für den angegebenen KMS-Schlüssel auf. Um den KMS-Schlüssel bei diesen Operationen zu identifizieren, verwenden Sie seine [Schlüssel-ID](concepts.md#key-id-key-id) oder den [Schlüssel-ARN](concepts.md#key-id-key-ARN).
Dieser Vorgang unterstützt einen optionalen `IncludeKeyMaterial` Parameter. Der Standardwert für diesen Parameter ist `ROTATIONS_ONLY`. Wenn Sie diesen Parameter weglassen, werden Informationen zu den wichtigsten Materialien AWS KMS zurückgegeben, die durch automatische oder bedarfsgesteuerte Schlüsselrotation erzeugt wurden. Wenn Sie einen Wert von angeben`ALL_KEY_MATERIAL`, werden das erste Schlüsselmaterial und alle importierten Schlüsselmaterialien, deren Rotation noch aussteht, zur Antwort AWS KMS hinzugefügt. Dieser Parameter kann nur mit KMS-Schlüsseln verwendet werden, die die automatische oder bedarfsgesteuerte Schlüsselrotation unterstützen.
```
$ aws kms list-key-rotations --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--inlcude-key-material ALL_KEY_MATERIAL
{
"Rotations": [
{
"KeyId": 1234abcd-12ab-34cd-56ef-1234567890ab,
"KeyMaterialId": 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0,
"KeyMaterialDescription": "KeyMaterialA",
"ImportState": "PENDING_IMPORT",
"KeyMaterialState": "NON_CURRENT"
},
{
"KeyId": 1234abcd-12ab-34cd-56ef-1234567890ab,
"KeyMaterialId": 96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068,
"ImportState": "IMPORTED",
"KeyMaterialState": "CURRENT",
"ExpirationModel": "KEY_MATERIAL_DOES_NOT_EXPIRE",
"RotationDate": "2025-05-01T15:50:51.045000-07:00",
"RotationType": "ON_DEMAND"
}
],
"Truncated": false
}
```
# Schlüssel manuell drehen
Möglicherweise möchten Sie einen neuen KMS-Schlüssel erstellen und ihn anstelle eines aktuellen KMS-Schlüssels verwenden, anstatt die automatische oder bedarfsgesteuerte Schlüsselrotation zu verwenden. Wenn der neue KMS-Schlüssel andere kryptografische Daten aufweist als der aktuelle KMS-Schlüssel, hat die Verwendung des neuen KMS-Schlüssels den gleichen Effekt wie die Änderung des Schlüsselmaterials in einem vorhandenen KMS-Schlüssel. Das Ersetzen eines KMS-Schlüssels durch einen anderen wird als *manuelle Schlüsseldrehung* bezeichnet.
![\[Diagram showing manual key rotation process with application, old key, and new key.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/key-rotation-manual.png)
Die manuelle Rotation ist eine gute Wahl, wenn Sie KMS-Schlüssel rotieren möchten, die nicht für eine automatische oder On-Demand-Schlüsselrotation in Frage kommen, wie z. B. asymmetrische KMS-Schlüssel, HMAC-KMS-Schlüssel und KMS-Schlüssel in [benutzerdefinierten Schlüsselspeichern](key-store-overview.md#custom-key-store-overview).
**Anmerkung**
Wenn Sie mit der Verwendung des neuen KMS-Schlüssels beginnen, achten Sie darauf, dass der ursprüngliche KMS-Schlüssel aktiviert bleibt, damit Daten, die mit dem ursprünglichen KMS-Schlüssel verschlüsselt wurden, entschlüsselt werden AWS KMS können.
Wenn Sie KMS-Schlüssel manuell rotieren, müssen Sie auch die Verweise auf die ID oder den ARN des KMS-Schlüssels in Ihren Anwendungen aktualisieren. Dieses Verfahren lässt sich durch [Aliasse](kms-alias.md), die einen Anzeigenamen mit einem KMS-Schlüssel verknüpfen, vereinfachen. Verwenden Sie einen Alias, um auf einen KMS-Schlüssel in Ihren Anwendungen zu verweisen. Wenn Sie dann den von der Anwendung verwendeten KMS-Schlüssel ändern möchten, anstatt den Anwendungscode zu bearbeiten, ändern Sie den Ziel-KMS-Schlüssel des Alias. Details hierzu finden Sie unter [Erfahren Sie, wie Sie Aliase in Ihren Anwendungen verwenden](alias-using.md).
**Anmerkung**
[https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) Aliase sind bei Vorgängen, die KMS-Schlüssel verwalten, nicht zulässig, wie z. B. oder. [DisableKey[ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)
Wenn Sie den Vorgang [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) für manuell rotierte symmetrische KMS-Schlüssel aufrufen, lassen Sie den `KeyId` Parameter im Befehl weg. AWS KMS verwendet automatisch den KMS-Schlüssel, mit dem der Chiffretext verschlüsselt wurde.
Der `KeyId` Parameter ist erforderlich, wenn [Sie mit einem asymmetrischen KMS-Schlüssel `Decrypt` oder Verify](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html) oder [VerifyMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html)mit einem HMAC-KMS-Schlüssel anrufen. Diese Anfragen schlagen fehl, wenn der Wert vom `KeyId`-Parameter ein Alias ist, der nicht mehr auf den KMS-Schlüssel verweist, der die kryptografische Operation ausgeführt hat, z. B. wenn ein Schlüssel manuell gedreht wird. Um diesen Fehler zu vermeiden, müssen Sie den richtigen KMS-Schlüssel für jeden Vorgang verfolgen und angeben.
Um den KMS-Zielschlüssel eines Alias zu ändern, verwenden Sie [UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html)Operation in der AWS KMS API. Beispielsweise aktualisiert dieser Befehl den `alias/TestKey`-Alias, so dass er auf einen neuen KMS-Schlüssel verweist. Da der Vorgang keine Ausgabe zurückgibt, zeigt das Beispiel anhand des [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)Vorgangs, dass der Alias jetzt einem anderen KMS-Schlüssel zugeordnet ist und das `LastUpdatedDate` Feld aktualisiert wird. Die ListAliases Befehle verwenden den [`query`Parameter](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-filter.html#cli-usage-filter-client-side-specific-values) in AWS CLI , um nur den `alias/TestKey` Alias abzurufen.
```
$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]'
{
"Aliases": [
{
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey",
"AliasName": "alias/TestKey",
"TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"CreationDate": 1521097200.123,
"LastUpdatedDate": 1521097200.123
},
]
}
$ aws kms update-alias --alias-name alias/TestKey --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]'
{
"Aliases": [
{
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey",
"AliasName": "alias/TestKey",
"TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"CreationDate": 1521097200.123,
"LastUpdatedDate": 1604958290.722
},
]
}
```
# Ändern Sie den Primärschlüssel in einer Reihe von Schlüsseln für mehrere Regionen
Jeder Satz verwandter multiregionaler Schlüssel muss über einen Primärschlüssel verfügen. Sie können jedoch den Primärschlüssel ändern. Diese Aktion, bekannt als *Aktualisieren der primären Region*, konvertiert den aktuellen Primärschlüssel in einen Replikatschlüssel und konvertiert einen der verwandten Replikatschlüssel in den Primärschlüssel. Sie können dies tun, wenn Sie den aktuellen Primärschlüssel löschen müssen, während die Replikatschlüssel beibehalten werden, oder um den Primärschlüssel in derselben Region wie die Schlüsseladministratoren zu platzieren.
Sie können einen beliebigen verwandten Replikatschlüssel als neuen Primärschlüssel auswählen. Sowohl der Primärschlüssel als auch der Replikatschlüssel müssen sich im [Schlüsselstatus](key-state.md) `Enabled` befinden, wenn die Operation gestartet wird.
**Der `Updating` Schlüsselstatus**
Auch nach Abschluss des `UpdatePrimaryRegion` Vorgangs dauert die Aktualisierung der primären Region möglicherweise noch einige Sekunden. Während dieser Zeit haben der alte und der neue Primärschlüssel den vorübergehenden Schlüsselstatus [Updating](#update-primary-keystate). Während der Schlüsselstatus lautet `Updating` ist, können Sie die Schlüssel in kryptografischen Vorgängen verwenden, aber Sie können den neuen Primärschlüssel nicht replizieren oder bestimmte Verwaltungsvorgänge ausführen, wie z. B. das Aktivieren oder Deaktivieren dieser Schlüssel. Bei Vorgängen werden [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)möglicherweise sowohl der alte als auch der neue Primärschlüssel als Replikate angezeigt. Die `Enabled`-Schlüsselstatus wird wiederhergestellt, wenn die Aktualisierung abgeschlossen ist.
Informationen zu den Auswirkungen des `Updating`-Schlüsselstatus finden Sie unter [Wichtige Zustände von AWS KMS Schlüsseln](key-state.md).
**Funktionsweise**
Angenommen, Sie haben einen Primärschlüssel in USA Ost (Nord-Virginia) (us-east-1) und einen Replikatschlüssel in Europa (Irland) (eu-west-1). Sie können die Aktualisierungsfunktion verwenden, um den Primärschlüssel in USA Ost (Nord-Virginia) (us-east-1) in einen Replikatschlüssel zu ändern und den Replikatschlüssel in Europa (Irland) (eu-west-1) in den Primärschlüssel zu ändern.
![\[Aktualisieren des Primärschlüssels\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/multi-region-keys-update-sm.png)
Wenn der Aktualisierungsvorgang abgeschlossen ist, ist der multiregionaler Schlüssel in der Region Europa (Irland) (eu-west-1) ein multiregionaler Primärschlüssel und der Schlüssel in der Region USA Ost (Nord-Virginia) (us-east-1) ist sein Replikatschlüssel. Wenn andere verwandte Replikatschlüssel vorhanden sind, werden sie zu Replikaten des neuen Primärschlüssels. Beim nächsten AWS KMS Synchronisieren der gemeinsamen Eigenschaften der Schlüssel mit mehreren Regionen werden die [gemeinsamen Eigenschaften](multi-region-keys-overview.md#mrk-sync-properties) aus dem neuen Primärschlüssel abgerufen und in die zugehörigen Replikatschlüssel kopiert, einschließlich des vorherigen Primärschlüssels.
Der Aktualisierungsvorgang hat keine Auswirkungen auf den [Schüssel-ARN](concepts.md#key-id-key-ARN) eines beliebigen multiregionalen Schlüssels. Es hat auch keine Auswirkungen auf gemeinsame Eigenschaften, wie das Schlüsselmaterial, oder auf unabhängige Eigenschaften, wie die Schlüsselrichtlinie. Sie können ggf. die Schlüsselrichtlinie des neuen Primärschlüssels [aktualisieren](key-policy-modifying.md). Sie könnten zum Beispiel dem neuen Primärschlüssel [kms: ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) Permission for Trusted Principals hinzufügen und ihn aus dem neuen Replikatschlüssel entfernen.
## Aktualisieren Sie die primäre Region
Sie können einen Replikatschlüssel in einen Primärschlüssel konvertieren, wodurch der frühere Primärschlüssel in ein Replikat umgewandelt wird. Um die primäre Region zu aktualisieren, benötigen Sie in beiden Regionen die UpdatePrimaryRegion Berechtigung [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html).
Sie können die primäre Region in der AWS KMS Konsole oder mithilfe des [UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html)Vorgangs aktualisieren.
### Mithilfe der AWS KMS Konsole
Sie können den Primärschlüssel in der AWS KMS Konsole aktualisieren. Starten Sie auf der Seite mit den Schlüsseldetails des aktuellen Primärschlüssels.
1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Klicken Sie im Navigationsbereich auf **Kundenverwaltete Schlüssel**.
1. Wählen Sie die Schlüssel-ID oder den Alias des [multiregionalen Primärschlüssels](multi-region-keys-overview.md#mrk-primary-key) aus. Dadurch wird die Seite mit den Schlüsseldetails des Primärschlüssels geöffnet.
Um einen multiregionalen Primärschlüssel zu identifizieren, verwenden Sie das Werkzeugsymbol in der oberen rechten Ecke, um die Spalte **Regionality (Regionalität)** zur Tabelle hinzuzufügen.
1. Wählen Sie die Registerkarte **Regionality (Regionalität)** aus.
1. In dem Abschnitt **Primary key (Primärschlüssel)** wählen Sie **Change primary Region (primäre Region ändern)** aus.
1. Wählen Sie die Region des neuen Primärschlüssels aus. Sie können nur eine Region aus dem Menü auswählen.
Das Menü **Change primary Regions (primären Regionen ändern)** enthält nur Regionen, die über einen verwandten multiregionalen Schlüssel verfügen. Möglicherweise haben Sie nicht die [Berechtigung zum Aktualisieren der primären Region](multi-region-keys-auth.md#mrk-auth-update) in allen Regionen auf dem Menü.
1. Wählen Sie **Change primary region (Primäre Region ändern)** aus.
### Verwenden der API AWS KMS
Verwenden Sie den [UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html)Vorgang, um den Primärschlüssel in einer Reihe verwandter Schlüssel für mehrere Regionen zu ändern.
Verwenden Sie den `KeyId`-Parameter, um den aktuellen Primärschlüssel zu identifizieren. Verwenden Sie den `PrimaryRegion` Parameter, um den AWS-Region des neuen Primärschlüssels anzugeben. Wenn der Primärschlüssel noch kein Replikat in der neuen primären Region hat, schlägt die Operation fehl.
Im folgenden Beispiel wird der Primärschlüssel aus dem multiregionalen Schlüssel in der `us-west-2`-Region zu seinem Replikat im `eu-west-1`-Region geändert. Der `KeyId`-Parameter identifiziert den aktuellen Primärschlüssel in der Region `us-west-2`. Der `PrimaryRegion` Parameter gibt den AWS-Region des neuen Primärschlüssels an,`eu-west-1`.
```
$ aws kms update-primary-region \
--key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
--primary-region eu-west-1
```
Wenn diese Operation erfolgreich ist, gibt sie keine Ausgabe zurück, sondern nur den HTTP-Statuscode. Um den Effekt zu sehen, rufen Sie den [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Vorgang für einen der Multi-Region-Schlüssel auf. Möglicherweise möchten Sie warten, bis der Schlüsselstatus zu `Enabled` zurückkehrt. Während der Schlüsselstatus [Updating](#update-primary-keystate) ist, befinden sich die Werte für den Schlüssel möglicherweise noch im Fluss.
Beispielsweise erhält der folgenden `DescribeKey`-Aufruf die Details über den multiregionalen Schlüssel in der `eu-west-1`-Region. Die Ausgabe zeigt, dass der multiregionale Schlüssel in der Region `eu-west-1` ist jetzt der Primärschlüssel. Der verwandte multiregionale Schlüssel (gleiche Schlüssel-ID) in der Region `us-west-2` ist jetzt ein Replikatschlüssel.
```
$ aws kms describe-key \
--key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
{
"KeyMetadata": {
"AWSAccountId": "111122223333",
"KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
"Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"CreationDate": 1609193147.831,
"Enabled": true,
"Description": "multi-region-key",
"KeySpec": "SYMMETRIC_DEFAULT",
"KeyState": "Enabled",
"KeyUsage": "ENCRYPT_DECRYPT",
"Origin": "AWS_KMS",
"KeyManager": "CUSTOMER",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"MultiRegion": true,
"MultiRegionConfiguration": {
"MultiRegionKeyType": "PRIMARY",
"PrimaryKey": {
"Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "eu-west-1"
},
"ReplicaKeys": [
{
"Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "us-west-2"
}
]
}
}
}
```