Répertorier les rotations et les principaux matériaux - AWS Key Management Service
Lister les rotations et les matériaux clés (console)Liste des rotations et des matériaux clés (AWS KMS API)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Répertorier les rotations et les principaux matériaux

Les clés KMS qui prennent en charge la rotation automatique ou à la demande peuvent être associées à plusieurs éléments clés. Ces clés ont un matériau clé initial et un matériau clé supplémentaire pour chaque rotation automatique ou à la demande.

Les utilisateurs autorisés kms:ListKeyRotations autorisés peuvent utiliser la AWS KMS console et l'ListKeyRotationsAPI pour répertorier tous les éléments clés associés à une clé KMS, y compris ceux issus de rotations automatiques et à la demande effectuées.

Lister les rotations et les matériaux clés (console)

  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le volet de navigation, sélectionnez Clés gérées par le client.

  4. Choisissez l'alias ou l'ID d'une clé KMS.

  5. Choisissez l'onglet Matériau clé et rotations.

    • L'onglet Matériau clé et rotations apparaît uniquement sur la page détaillée des clés KMS de chiffrement symétrique qui prennent en charge la rotation automatique ou à la demande. Cela inclut les clés KMS avec le matériel clé AWS KMS généré (AWS_KMSorigine) et les clés KMS à région unique avec le matériel clé importé (EXTERNALorigine).

    • Le tableau des matériaux clés de l'onglet Matériaux clés et rotations répertorie tous les matériaux clés associés à la clé KMS. Pour chaque matériau clé, l'entrée correspondante affiche son identifiant unique attribué par AWS KMS, la date de rotation et l'état du matériau clé. La date de rotation indique le moment où le contenu clé est devenu actuel après une rotation des clés automatique ou à la demande. Aucune date de rotation n'est associée au premier matériau ou au matériau Pending rotation clé. L'état du matériau clé détermine la manière dont le matériau clé est AWS KMS utilisé. Le matériel clé actuel est utilisé à la fois pour le chiffrement et le déchiffrement. Les éléments clés non courants ne sont utilisés que pour le déchiffrement. Un état du matériau clé de Pending rotation indique que le matériau clé est préparé pour la rotation. Ce matériel clé n'est utilisé pour aucune opération cryptographique jusqu'à ce qu'une rotation de clé à la demande en fasse le matériau clé actuel. Les informations supplémentaires affichées pour le matériel clé dépendent du type de clé KMS.

    • Pour les clés KMS de chiffrement symétriques avec AWS_KMS origine, chaque ligne affiche également le type de rotation, On-demand ouAutomatic.

    • Les clés KMS de chiffrement symétrique à région unique dont le contenu clé est importé (EXTERNALorigine) ne prennent en charge que la On-demand rotation, il n'y a donc pas de colonne de type de rotation. Au lieu de cela, chaque ligne affiche un état d'importation, une description spécifiée par l'utilisateur, des informations d'expiration et un menu Actions. L'état d'importation est soit Importé, ce qui indique que le matériau clé est disponible à l'intérieur, AWS KMS soit En attente d'importation, indiquant que le matériau clé n'est pas disponible à l'intérieur AWS KMS. Le menu Actions peut être utilisé pour supprimer le matériel clé importé ou pour réimporter le matériel clé. L'action Supprimer le matériau clé est désactivée si l'état d'importation du matériau clé est En attente d'importation. L'action Réimporter le matériel clé est toujours disponible. Il n'est pas nécessaire d'attendre qu'un élément clé expire ou soit supprimé avant de le réimporter.

Liste des rotations et des matériaux clés (AWS KMS API)

Vous pouvez utiliser l'API AWS Key Management Service (AWS KMS) pour lancer une rotation des clés à la demande et consulter l'état de rotation actuel de toute clé gérée par le client. Cet exemple utilise le AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

L'ListKeyRotationsopération répertorie toutes les rotations et les matériaux clés pour la clé KMS spécifiée. Pour identifier la clé KMS dans ces opérations, utilisez son ID de clé ou son ARN de clé.

Cette opération prend en charge un IncludeKeyMaterial paramètre facultatif. La valeur par défaut de ce paramètre est ROTATIONS_ONLY. Si vous omettez ce paramètre, AWS KMS renvoie des informations sur les éléments clés créés par rotation automatique ou à la demande des touches. Lorsque vous spécifiez une valeur deALL_KEY_MATERIAL, AWS KMS ajoute le premier élément clé et tout élément clé importé en attente de rotation dans la réponse. Ce paramètre ne peut être utilisé qu'avec les clés KMS qui prennent en charge la rotation automatique ou à la demande des clés.

$ aws kms list-key-rotations --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --inlcude-key-material ALL_KEY_MATERIAL
{
    "Rotations": [
        {
            "KeyId": 1234abcd-12ab-34cd-56ef-1234567890ab,
            "KeyMaterialId": 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0,
            "KeyMaterialDescription": "KeyMaterialA",
            "ImportState": "PENDING_IMPORT",
            "KeyMaterialState": "NON_CURRENT"
        },
        {
            "KeyId": 1234abcd-12ab-34cd-56ef-1234567890ab,
            "KeyMaterialId": 96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068,
            "ImportState": "IMPORTED",
            "KeyMaterialState": "CURRENT",
            "ExpirationModel": "KEY_MATERIAL_DOES_NOT_EXPIRE",
            "RotationDate": "2025-05-01T15:50:51.045000-07:00",
            "RotationType": "ON_DEMAND"
        }
    ],
    "Truncated": false
}