Realización de la rotación de claves bajo demanda
Puede realizar la rotación bajo demanda del material de claves en las claves KMS administradas por el cliente, independientemente de si la rotación automática de claves está habilitada o no. La deshabilitación de la rotación automática (DisableKeyRotation) no afecta a su capacidad para realizar rotaciones bajo demanda ni cancela ninguna rotación bajo demanda en curso. Las rotaciones bajo demanda no cambian los programas de rotación automática existentes. Por ejemplo, pensemos en una clave KMS que tenga habilitada la rotación automática de claves con un período de rotación de 730 días. Si la clave está programada para rotar automáticamente el 14 de abril de 2024 y realiza una rotación bajo demanda el 10 de abril de 2024, la clave rotará automáticamente, según lo programado, el 14 de abril de 2024 y, a partir de entonces, cada 730 días.
Puede realizar la rotación de claves bajo demanda un máximo de 10 veces por clave KMS. Puede utilizar la consola de AWS KMS para ver el número de rotaciones bajo demanda restantes disponibles para una clave KMS.
La rotación de claves bajo demanda solo se admite en las claves KMS de cifrado simétrico. No puede realizar la rotación automática de las claves de KMS asimétricas, las claves de KMS HMAC, las claves de KMS con material de claves importado o las claves de KMS en almacenes de claves personalizados. Para realizar la rotación bajo demanda de un conjunto de claves de varias regiones relacionadas, invoque la rotación bajo demanda en la clave principal.
Los usuarios autorizados con permisos kms:RotateKeyOnDemand y kms:GetKeyRotationStatus pueden usar la consola de AWS KMS o la API de AWS KMS para inicia la rotación automática de claves y ver el estado de rotación de claves. Use ListKeyRotations para ver las rotaciones completadas de una clave de KMS.
Temas
Inicio de la rotación de claves bajo demanda (consola)
-
Inicie sesión en la Consola de administración de AWS y abra la consola AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms
. -
Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.
-
En el panel de navegación, elija Claves administradas por el cliente. (No puede realizar la rotación bajo demanda de Claves administradas por AWS. Estas rotan cada año de forma automática).
-
Elija el alias o el ID de clave de una clave KMS.
-
Seleccione la pestaña Material y rotaciones de las claves.
La pestaña Material y rotaciones de las claves solo aparece en la página de detalles de las claves KMS de cifrado simétrico que admiten la rotación automática o bajo demanda. Esto incluye las claves de KMS con el material de clave que AWS KMS generó (origen AWS_KMS) y las claves de KMS de una sola región con material de claves importado (origen EXTERNO).
No puede realizar la rotación bajo demanda de las claves KMS asimétricas, las claves KMS HMAC, las claves KMS con material de claves importado o las claves KMS en los almacenes de claves personalizados. Sin embargo, puede rotarlas manualmente.
-
Elija Rotar ahora. Para las claves de cifrado simétricas de una sola región con material de claves importado, la opción Rotar ahora solo está disponible si ha importado anteriormente un material de claves nuevo y se encuentra en estado de rotación pendiente.
-
Lea y tenga en cuenta la advertencia y la información sobre el número de rotaciones bajo demanda restantes de la clave. También verá información como el identificador, la descripción y la fecha de caducidad del material de claves que se actualizará tras la rotación. Si decide que no desea continuar con la rotación bajo demanda, seleccione Cancelar.
-
Seleccione Rotar clave para confirmar la rotación bajo demanda.
nota
La rotación bajo demanda está sujeta a los mismos efectos de consistencia final que otras operaciones de administración de AWS KMS. Es posible que haya un ligero retraso antes de que el nuevo material de claves esté disponible en AWS KMS. El banner en la parte superior de la consola le notifica cuando la rotación bajo demanda ha finalizado.
Inicio de la rotación de claves bajo demanda (API de AWS KMS)
Puede utilizar la API de AWS Key Management Service (AWS KMS) para iniciar la rotación de claves bajo demanda y ver el estado de rotación actual de cualquier clave administrada por el cliente. En estos ejemplos se utiliza la AWS Command Line Interface (AWS CLI)
La operación RotateKeyOnDemand inicia de forma inmediata la rotación de claves bajo demanda para la clave KMS especificada. Para identificar la clave KMS en estas operaciones, utilice el ID de la clave o el ARN de la clave.
En el siguiente ejemplo, se inicia la rotación de claves bajo demanda en la clave KMS de cifrado simétrico especificada, y se utiliza la operación GetKeyRotationStatus para verificar que la rotación bajo demanda está en curso. La OnDemandRotationStartDate en la respuesta de kms:GetKeyRotationStatus identifica la fecha y la hora en que se inició una rotación bajo demanda en curso. En este ejemplo, la clave de KMS también tiene habilitada la rotación automática con un período de 365 días.
$aws kms rotate-key-on-demand --key-id1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab" }$aws kms get-key-rotation-status --key-id1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyRotationEnabled": true, "NextRotationDate": "2024-03-14T18:14:33.587000+00:00", "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00" "RotationPeriodInDays": 365 }
Si la clave de KMS no admite la rotación automática o no tiene habilitada la rotación automática, la respuesta de kms:GetKeyRotationStatus tendría menos campos, como se muestra en el siguiente ejemplo:
$aws kms rotate-key-on-demand --key-id1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab" }$aws kms get-key-rotation-status --key-id1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyRotationEnabled": false, "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00" }
