Enumere las rotaciones y los materiales clave - AWS Key Management Service
Enumere las rotaciones y los materiales de claves (consola)Enumere las rotaciones y los materiales de claves (API AWS KMS)

Enumere las rotaciones y los materiales clave

Las claves de KMS que admiten la rotación de claves automática o bajo demanda pueden tener varios materiales clave asociados. Estas claves tienen un material clave inicial y un material clave adicional para cada rotación automática o bajo demanda.

Los usuarios autorizados con permiso de kms:ListKeyRotations pueden usar la consola de AWS KMS y la API ListKeyRotations para enumerar todos los materiales de claves asociados a una clave de KMS, incluidos los de las rotaciones automáticas y bajo demanda completadas.

Enumere las rotaciones y los materiales de claves (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Elija el alias o el ID de clave de una clave KMS.

  5. Seleccione la pestaña Material y rotaciones de las claves.

    • La pestaña Material y rotaciones de las claves solo aparece en la página de detalles de las claves KMS de cifrado simétrico que admiten la rotación automática o bajo demanda. Esto incluye las claves de KMS con el material de claves que AWS KMS generó (origen AWS_KMS) y las claves fr KMS de una sola región con el material clave importado (origen EXTERNAL).

    • La tabla de materiales de claved de la pestaña Material de claves y rotaciones muestra todos los materiales de claves asociados a la clave de KMS. Para cada material de claves, la entrada correspondiente muestra su identificador único asignado por AWS KMS, la fecha de rotación y el estado del material de claves. La fecha de rotación identifica cuándo se actualizó el material de claves tras una rotación de claves automática o bajo demanda. No hay ninguna fecha de rotación asociada al primer material ni al material de claves Pending rotation. El estado del material de claves determina cómo AWS KMS usa el material de claves. El material de claves actual se utiliza tanto para el cifrado como para el descifrado. El material de claves no actual solo se utiliza para el descifrado. Un estado del material de claves de Pending rotation indica que el material de claves está preparado para su rotación. Este material de claves no se utiliza para ninguna operación criptográfica hasta que una rotación de claves bajo demanda lo convierte en el material de claves actual. La información adicional que se muestra en el material de claves depende del tipo de clave de KMS.

    • En el caso de las claves de KMS de cifrado simétrico con origen AWS_KMS, cada fila también muestra el tipo de rotación, On-demand o Automatic.

    • Las claves de KMS de cifrado simétrico de una sola región con material de claves importado (origen EXTERNAL) solo admiten la rotación On-demand, por lo que no hay ninguna columna de tipo de rotación. En su lugar, cada fila muestra un estado de importación, una descripción especificada por el usuario, información de caducidad y un menú Acciones. El estado de importación es Importado, lo que indica que el material de claves está disponible en el interior de AWS KMS o Pendiente de importación, lo que indica que el material de claves no está disponible en el interior de AWS KMS. El menú Acciones se puede utilizar para eliminar el material de claves importado o volver a importar el material de claves. La acción Eliminar material de claves está desactivada si el estado de importación del material de claves es Pendiente de importación. La acción Reimportar el material de claves siempre está disponible. No es necesario esperar a que un material de claves caduque o se elimine antes de volver a importarlo.

Enumere las rotaciones y los materiales de claves (API AWS KMS)

Puede utilizar la API de AWS Key Management Service (AWS KMS) para iniciar la rotación de claves bajo demanda y ver el estado de rotación actual de cualquier clave administrada por el cliente. En estos ejemplos se utiliza la AWS Command Line Interface (AWS CLI), pero puede usar cualquier lenguaje de programación admitido.

La operación ListKeyRotations muestra todas las rotaciones y los materiales de claves de la clave de KMS especificada. Para identificar la clave KMS en estas operaciones, utilice el ID de la clave o el ARN de la clave.

Esta operación admite un parámetro IncludeKeyMaterial opcional. El valor predeterminado de este parámetro es ROTATIONS_ONLY. Si omite este parámetro, AWS KMS devuelve información sobre los materiales de claves creados mediante la rotación de claves automática o bajo demanda. Al especificar un valor de ALL_KEY_MATERIAL, AWS KMS agrega a la respuesta el primer material de claves y cualquier material de claves importado que esté pendiente de rotación. Este parámetro solo se puede usar con claves de KMS que admitan la rotación de claves automática o bajo demanda.

$ aws kms list-key-rotations --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --inlcude-key-material ALL_KEY_MATERIAL
{
    "Rotations": [
        {
            "KeyId": 1234abcd-12ab-34cd-56ef-1234567890ab,
            "KeyMaterialId": 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0,
            "KeyMaterialDescription": "KeyMaterialA",
            "ImportState": "PENDING_IMPORT",
            "KeyMaterialState": "NON_CURRENT"
        },
        {
            "KeyId": 1234abcd-12ab-34cd-56ef-1234567890ab,
            "KeyMaterialId": 96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068,
            "ImportState": "IMPORTED",
            "KeyMaterialState": "CURRENT",
            "ExpirationModel": "KEY_MATERIAL_DOES_NOT_EXPIRE",
            "RotationDate": "2025-05-01T15:50:51.045000-07:00",
            "RotationType": "ON_DEMAND"
        }
    ],
    "Truncated": false
}