Führen Sie die Schlüsselrotation bei Bedarf durch - AWS Key Management Service
Initiierung der Schlüsselrotation bei Bedarf (Konsole)Initiierung der On-Demand-Schlüsselrotation (API)AWS KMS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Führen Sie die Schlüsselrotation bei Bedarf durch

Sie können das Schlüsselmaterial in vom Kunden verwalteten KMS-Schlüsseln bei Bedarf rotieren, unabhängig davon, ob die automatische Schlüsselrotation aktiviert ist oder nicht. Die Deaktivierung der automatischen Rotation (DisableKeyRotation) hat keinen Einfluss auf Ihre Fähigkeit, Rotationen auf Anfrage durchzuführen, und es werden auch keine laufenden On-Demand-Rotationen storniert. Rotationen auf Abruf haben keine Auswirkungen auf bestehende Zeitpläne für automatische Rotationen. Stellen Sie sich zum Beispiel einen KMS-Schlüssel vor, für den die automatische Schlüsselrotation aktiviert ist und für den eine Rotationsperiode von 730 Tagen gilt. Wenn für den Schlüssel eine automatische Rotation am 14. April 2024 geplant ist und Sie am 10. April 2024 eine On-Demand-Rotation durchführen, wird der Schlüssel wie geplant am 14. April 2024 und danach alle 730 Tage automatisch rotiert.

Sie können die Schlüsselrotation bei Bedarf maximal zehnmal pro KMS-Schlüssel durchführen. Sie können die AWS KMS Konsole verwenden, um die Anzahl der verbleibenden On-Demand-Rotationen anzuzeigen, die für einen KMS-Schlüssel verfügbar sind.

Die On-Demand-Schlüsselrotation wird nur für KMS-Schlüssel mit symmetrischer Verschlüsselung unterstützt. Sie können keine On-Demand-Rotation von asymmetrischen KMS-Schlüsseln, HMAC-KMS-Schlüsseln, KMS-Schlüsseln mit mehreren Regionen mit importiertem Schlüsselmaterial oder KMS-Schlüsseln in einem benutzerdefinierten Schlüsselspeicher durchführen. Rufen Sie die On-Demand-Rotation für einen Satz verwandter Schlüssel mit mehreren Regionen auf Anforderung für den Primärschlüssel auf.

Autorisierte Benutzer mit kms:RotateKeyOnDemand und kms:GetKeyRotationStatus Berechtigungen können die AWS KMS Konsole und die AWS KMS API verwenden, um eine On-Demand-Schlüsselrotation einzuleiten und den Status der Schlüsselrotation einzusehen. Wird verwendet ListKeyRotations, um abgeschlossene Rotationen für einen KMS-Schlüssel anzuzeigen.

Initiierung der Schlüsselrotation bei Bedarf (Konsole)

  1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms.

  2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel. (Sie können die Rotation von nicht bei Bedarf durchführen. Von AWS verwaltete Schlüssel Sie werden jedes Jahr automatisch rotiert.)

  4. Wählen Sie den Alias oder die Schlüssel-ID eines KMS-Schlüssels.

  5. Wählen Sie die Registerkarte Schlüsselmaterial und Rotationen.

    Die Registerkarte Schlüsselmaterial und Rotationen wird nur auf der Detailseite von KMS-Schlüsseln mit symmetrischer Verschlüsselung angezeigt, die automatische Rotation oder Rotation bei Bedarf unterstützen. Dazu gehören KMS-Schlüssel mit AWS KMS generiertem Schlüsselmaterial (AWS_KMSUrsprung) und KMS-Schlüssel für einzelne Regionen mit importiertem Schlüsselmaterial (EXTERNER Ursprung).

    Sie können keine On-Demand-Rotation von asymmetrischen KMS-Schlüsseln, HMAC-KMS-Schlüsseln, KMS-Schlüsseln mit importiertem Schlüsselmaterial aus mehreren Regionen oder KMS-Schlüsseln in benutzerdefinierten Schlüsselspeichern durchführen. Sie können sie jedoch manuell rotieren.

  6. Wählen Sie Jetzt drehen. Bei symmetrischen Verschlüsselungsschlüsseln mit nur einer Region und importiertem Schlüsselmaterial ist die Option „Jetzt drehen“ nur verfügbar, wenn Sie zuvor neues Schlüsselmaterial importiert haben und es sich im Rotationsstatus Ausstehend befindet.

  7. Lesen und berücksichtigen Sie die Warnung und die Informationen über die Anzahl der verbleibenden On-Demand-Rotationen für den Schlüssel. Außerdem werden Ihnen Informationen wie die ID, die Beschreibung und die Ablaufzeit des Schlüsselmaterials angezeigt, die nach der Rotation aktuell werden. Wenn Sie entscheiden, dass Sie mit der On-Demand-Rotation nicht fortfahren möchten, wählen Sie Abbrechen.

  8. Wählen Sie die Taste „Drehen“, um die Drehung bei Bedarf zu bestätigen.

    Anmerkung

    Die Rotation nach Bedarf unterliegt letztlich den gleichen Konsistenzeffekten wie andere AWS KMS Verwaltungsvorgänge. Es kann zu einer leichten Verzögerung kommen, bevor das neue Schlüsselmaterial in allen Bereichen von AWS KMS verfügbar ist. Das Banner oben in der Konsole informiert Sie, wenn die On-Demand-Rotation abgeschlossen ist.

Initiierung der On-Demand-Schlüsselrotation (API)AWS KMS

Sie können die API AWS Key Management Service (AWS KMS) verwenden, um eine On-Demand-Schlüsselrotation zu initiieren und den aktuellen Rotationsstatus aller vom Kunden verwalteten Schlüssel einzusehen. In diesem Beispiel wird die AWS Command Line Interface (AWS CLI) verwendet, Sie können jedoch jede unterstützte Programmiersprache verwenden.

Der RotateKeyOnDemandVorgang initiiert sofort die On-Demand-Schlüsselrotation für den angegebenen KMS-Schlüssel. Um den KMS-Schlüssel bei diesen Operationen zu identifizieren, verwenden Sie seine Schlüssel-ID oder den Schlüssel-ARN.

Im folgenden Beispiel wird eine On-Demand-Schlüsselrotation für den angegebenen KMS-Schlüssel mit symmetrischer Verschlüsselung initiiert und anhand des GetKeyRotationStatusVorgangs überprüft, ob die On-Demand-Rotation ausgeführt wird. OnDemandRotationStartDateIn der kms:GetKeyRotationStatus Antwort werden Datum und Uhrzeit angegeben, zu denen eine laufende On-Demand-Rotation initiiert wurde. In diesem Beispiel ist für den KMS-Schlüssel auch die automatische Rotation mit einem Zeitraum von 365 Tagen aktiviert.

$ aws kms rotate-key-on-demand --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"    
}

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": true,
    "NextRotationDate": "2024-03-14T18:14:33.587000+00:00",
    "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
    "RotationPeriodInDays": 365    
}

Wenn der KMS-Schlüssel keine automatische Rotation unterstützt oder die automatische Rotation nicht aktiviert ist, würde die kms:GetKeyRotationStatus Antwort weniger Felder enthalten, wie im folgenden Beispiel gezeigt:

$ aws kms rotate-key-on-demand --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
}

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": false,
    "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
}