Rotación de claves de AWS KMS utilizadas para el cifrado de Amazon EBS

Las prácticas criptográficas recomendadas desaconsejan la reutilización generalizada de claves de cifrado.

Para crear nuevo material de cifrado y usarlo con el cifrado de Amazon EBS, puede crear nuevas claves gestionadas de cliente y, a continuación, cambiar sus aplicaciones para que utilicen dichas claves. También puede habilitar la rotación automática de claves para una clave gestionada por el cliente existente.

Al habilitar la rotación automática de claves para una clave gestionada de cliente, AWS KMS genera nuevo material criptográfico para la clave de KMS cada año. AWS KMS guarda todas las versiones anteriores del material criptográfico para que pueda seguir descifrando y utilizando volúmenes e instantáneas cifrados previamente con ese material de clave de KMS. AWS KMS no elimina ningún material de claves rotado hasta que se elimina la clave de KMS.

Cuando utiliza una clave gestionada de cliente rotada para cifrar un volumen o una instantánea nuevos, AWS KMS utiliza el material de clave actual (nuevo). Cuando utiliza una clave gestionada de cliente rotada para descifrar un volumen o instantánea, AWS KMS utiliza la misma versión del material de cifrado que ha usado para cifrarlo. Si un volumen o una instantánea están cifrados con una versión anterior del material de cifrado, AWS KMS seguirá utilizando esa versión anterior para descifrarlos. AWS KMS no vuelve a cifrar los volúmenes o instantáneas previamente cifrados para utilizar el nuevo material de cifrado tras una rotación de claves. Permanecen cifrados con el material de cifrado con el que se cifraron originalmente. Puede utilizar de forma segura una clave gestionada de cliente rotada en aplicaciones y servicios de AWS sin cambios de código.

Para obtener más información, consulte Rotación de clave de KMS en la Guía para desarrolladores de AWS Key Management Service.