Enumere las rotaciones y los materiales clave - AWS Key Management Service
Enumere las rotaciones y los materiales clave (consola)Enumere las rotaciones y los materiales clave (API)AWS KMS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Enumere las rotaciones y los materiales clave

Las claves KMS que admiten la rotación de claves automática o bajo demanda pueden tener varios materiales clave asociados. Estas claves tienen un material clave inicial y un material clave adicional para cada rotación automática o bajo demanda.

Los usuarios autorizados con kms:ListKeyRotations permiso pueden usar la AWS KMS consola y la ListKeyRotationsAPI para enumerar todos los materiales clave asociados a una clave KMS, incluidos los de las rotaciones automáticas y bajo demanda completadas.

Enumere las rotaciones y los materiales clave (consola)

  1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) AWS Management Console y ábrala en https://console.aws.amazon.com/kms.

  2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Elija el alias o el ID de clave de una clave KMS.

  5. Seleccione la pestaña Material clave y rotaciones.

    • La pestaña Material y rotaciones de las claves solo aparece en la página de detalles de las claves KMS de cifrado simétrico que admiten la rotación automática o bajo demanda. Esto incluye las claves KMS con el material clave que AWS KMS se generó (AWS_KMSorigen) y las claves KMS de una sola región con el material clave importado (EXTERNALorigen).

    • La tabla de materiales clave de la pestaña Material clave y rotaciones muestra todos los materiales clave asociados a la clave KMS. Para cada material clave, la entrada correspondiente muestra su identificador único asignado por AWS KMS, la fecha de rotación y el estado del material clave. La fecha de rotación identifica cuándo se actualizó el material clave tras una rotación de clave automática o bajo demanda. No hay ninguna fecha de rotación asociada al primer material ni al material Pending rotation clave. El estado del material clave determina cómo se AWS KMS usa el material clave. El material clave actual se utiliza tanto para el cifrado como para el descifrado. El material clave no actual solo se utiliza para el descifrado. Un estado del material clave de Pending rotation indica que el material clave está preparado para su rotación. Este material clave no se utiliza para ninguna operación criptográfica hasta que una rotación de claves bajo demanda lo convierte en el material clave actual. La información adicional que se muestra en el material clave depende del tipo de clave KMS.

    • En el caso de las claves KMS de cifrado simétrico con AWS_KMS origen, cada fila también muestra el tipo de rotación (On-demandoAutomatic.

    • Las claves KMS de cifrado simétrico de una sola región con material de clave importado (EXTERNALorigen) solo admiten la On-demand rotación, por lo que no hay ninguna columna de tipo de rotación. En su lugar, cada fila muestra un estado de importación, una descripción especificada por el usuario, información de caducidad y un menú de acciones. El estado de importación es Importado, lo que indica que el material clave está disponible en el interior AWS KMS o Pendiente de importación, lo que indica que el material clave no está disponible en el interior AWS KMS. El menú Acciones se puede utilizar para eliminar el material clave importado o volver a importar el material clave. La acción Eliminar material clave está desactivada si el estado de importación del material clave es Pendiente de importación. La acción Reimportar el material clave siempre está disponible. No es necesario esperar a que un material clave caduque o se elimine para volver a importarlo.

Enumere las rotaciones y los materiales clave (API)AWS KMS

Puedes usar la API AWS Key Management Service (AWS KMS) para iniciar la rotación de claves bajo demanda y ver el estado actual de rotación de cualquier clave gestionada por el cliente. En estos ejemplos se utiliza la AWS Command Line Interface (AWS CLI), pero puede usar cualquier lenguaje de programación admitido.

La ListKeyRotationsoperación muestra todas las rotaciones y los materiales clave de la clave KMS especificada. Para identificar la clave KMS en estas operaciones, utilice el ID de la clave o el ARN de la clave.

Esta operación admite un IncludeKeyMaterial parámetro opcional. El valor predeterminado de este parámetro es ROTATIONS_ONLY. Si omite este parámetro, AWS KMS devuelve información sobre los materiales clave creados mediante la rotación de claves automática o bajo demanda. Al especificar un valor deALL_KEY_MATERIAL, AWS KMS agrega a la respuesta el primer material clave y cualquier material clave importado que esté pendiente de rotación. Este parámetro solo se puede usar con claves KMS que admitan la rotación de claves automática o bajo demanda.

$ aws kms list-key-rotations --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --inlcude-key-material ALL_KEY_MATERIAL
{
    "Rotations": [
        {
            "KeyId": 1234abcd-12ab-34cd-56ef-1234567890ab,
            "KeyMaterialId": 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0,
            "KeyMaterialDescription": "KeyMaterialA",
            "ImportState": "PENDING_IMPORT",
            "KeyMaterialState": "NON_CURRENT"
        },
        {
            "KeyId": 1234abcd-12ab-34cd-56ef-1234567890ab,
            "KeyMaterialId": 96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068,
            "ImportState": "IMPORTED",
            "KeyMaterialState": "CURRENT",
            "ExpirationModel": "KEY_MATERIAL_DOES_NOT_EXPIRE",
            "RotationDate": "2025-05-01T15:50:51.045000-07:00",
            "RotationType": "ON_DEMAND"
        }
    ],
    "Truncated": false
}