Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Rotation AWS KMS keys
Pour créer de nouveaux éléments de chiffrement pour vos [clés gérées par le client](concepts.md#customer-mgn-key), vous pouvez créer de nouvelles clés KMS, puis modifier vos applications ou alias pour utiliser les nouvelles clés KMS. Vous pouvez également faire pivoter le matériel clé associé à une clé KMS existante en activant la rotation automatique des touches ou en effectuant une rotation à la demande.
Par défaut, lorsque vous activez la *rotation automatique des clés* pour une clé KMS, de nouveaux éléments cryptographiques sont AWS KMS générés chaque année pour la clé KMS. Vous pouvez également définir une option personnalisée [rotation-period](#rotation-period) pour définir le nombre de jours après l'activation de la rotation automatique des clés qui AWS KMS fera pivoter votre matériel clé, ainsi que le nombre de jours entre chaque rotation automatique par la suite. Si vous devez lancer immédiatement la rotation des matériaux clés, vous pouvez effectuer une *rotation à la demande*, que la rotation automatique des clés soit activée ou non. Les rotations à la demande ne modifient pas les programmes de rotation automatiques existants.
Vous pouvez [suivre la rotation](#monitor-key-rotation) du contenu clé de vos clés KMS sur Amazon CloudWatch et sur la AWS Key Management Service console. AWS CloudTrail Vous pouvez également utiliser le [GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html)mode fonctionnement pour vérifier si la rotation automatique est activée pour une clé KMS et identifier les rotations à la demande en cours. Vous pouvez utiliser [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)l'opération pour afficher les détails des rotations terminées.
La rotation des clés modifie uniquement le *contenu de la clé actuelle*, à savoir le secret cryptographique utilisé dans les opérations de chiffrement. Lorsque vous utilisez la clé KMS pivotée pour déchiffrer du texte chiffré, elle AWS KMS utilise le matériel clé utilisé pour le chiffrer. Vous ne pouvez pas sélectionner un matériau clé particulier pour les opérations de déchiffrement, il choisit AWS KMS automatiquement le bon matériau clé. Comme le déchiffre de AWS KMS manière transparente avec le matériel clé approprié, vous pouvez utiliser une clé KMS pivotée en toute sécurité dans les applications et sans modifier le code. Services AWS
La clé KMS est la même ressource logique, indépendamment du fait que ses éléments de clé changent ou du nombre de fois où ils changent. Les propriétés de la clé KMS ne changent pas, comme illustré dans l'image suivante.
![\[Key rotation process showing key material change while Key ID remains constant.\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/key-rotation-auto.png)
Vous pouvez décider de créer une nouvelle clé KMS et de l'utiliser à la place de la clé KMS d'origine. L'effet est le même que celui obtenu par la rotation des éléments de clé dans une clé KMS existante. Ainsi, on parle souvent à ce sujet de [rotation manuelle de la clé](rotate-keys-manually.md). La rotation manuelle est un bon choix lorsque vous souhaitez faire pivoter des clés KMS qui ne sont pas éligibles à la rotation automatique ou à la demande, notamment les [clés KMS asymétriques, les clés](symmetric-asymmetric.md) [HMAC KMS et les clés KMS](hmac.md) dans les magasins de [clés personnalisés](key-store-overview.md#custom-key-store-overview).
**Note**
La rotation des clés n'a aucun effet sur les données protégées par la clé KMS. Il ne fait pas pivoter les clés de données générées par la clé KMS ni ne rechiffre les données protégées par la clé KMS. La rotation des clés n'atténuera pas l'effet d'une clé de données compromise.
**Rotation des clés et tarification**
AWS KMS facture des frais mensuels pour la première et la deuxième rotation du matériel clé conservé pour votre clé KMS. Cette augmentation de prix est plafonnée lors de la deuxième rotation, et les rotations suivantes ne seront pas facturées. Pour plus d’informations, consultez [Tarification AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
**Note**
Vous pouvez utiliser le [AWS Cost Explorer Service](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-what-is.html) pour consulter les détails de vos frais de stockage de clés. Par exemple, vous pouvez filtrer votre affichage pour voir le montant total des frais pour les clés facturées en tant que clés KMS actuelles ou ayant fait l'objet d'une rotation en spécifiant `$REGION-KMS-Keys` pour le **type d'utilisation** et en regroupant les données par **opération d’API**.
Vous pouvez toujours voir des instances de l'ancienne opération d’API `Unknown` pour les dates historiques.
**Rotation des clés et quotas**
Chaque clé KMS compte comme une clé lors du calcul des quotas de ressources de clés, quel que soit le nombre de versions d'éléments de clé qui ont fait l'objet d'une rotation.
Pour plus d'informations sur les éléments de clé et la rotation, veuillez consulter le livre blanc [Détails cryptographiques de AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/cryptographic-details/).
**Topics**
+ [Pourquoi faire pivoter les clés KMS ?](#rotating-kms-keys)
+ [Fonctionnement de la rotation des clés](#rotate-keys-how-it-works)
+ [Activer la rotation automatique des touches](rotating-keys-enable.md)
+ [Désactiver la rotation automatique des touches](rotating-keys-disable.md)
+ [Effectuez une rotation des touches à la demande](rotating-keys-on-demand.md)
+ [Répertorier les rotations et les principaux matériaux](list-rotations.md)
+ [Faites pivoter les touches manuellement](rotate-keys-manually.md)
+ [Modifier la clé primaire dans un ensemble de clés multirégionales](multi-region-update.md)
## Pourquoi faire pivoter les clés KMS ?
Les meilleures pratiques cryptographiques découragent la réutilisation intensive des clés qui chiffrent directement les données, telles que les [clés de données générées](data-keys.md). AWS KMS Lorsque des clés de données à 256 bits chiffrent des millions de messages, elles peuvent s'épuiser et commencer à produire du texte chiffré avec des motifs subtils que des acteurs intelligents peuvent exploiter pour découvrir les bits contenus dans la clé. Il est préférable d'utiliser les clés de données une seule fois, ou seulement quelques fois, pour éviter cet épuisement des clés.
Cependant, les clés KMS sont le plus souvent utilisées comme *clés d'encapsulage*, également appelées *clés de chiffrement*. Au lieu de chiffrer les données, les clés d'encapsulage chiffrent les clés de données qui chiffrent vos données. Elles sont donc beaucoup moins souvent utilisées que les clés de données et ne sont presque jamais suffisamment réutilisées pour risquer d'épuiser les clés.
Malgré ce très faible risque d'épuisement, vous devrez peut-être alterner vos clés KMS en raison de règles commerciales ou contractuelles ou de réglementations gouvernementales. Lorsque vous êtes obligé de faire pivoter les touches KMS, nous vous recommandons d'utiliser la rotation automatique des touches là où elle est prise en charge, d'utiliser la rotation à la demande si la rotation automatique n'est pas prise en charge, et la rotation manuelle des touches lorsque ni la rotation automatique ni la rotation à la demande ne sont prises en charge.
Vous pouvez envisager d'effectuer des rotations à la demande pour démontrer les principales fonctionnalités de rotation des matériaux ou pour valider des scripts d'automatisation. Nous recommandons d'utiliser des rotations à la demande pour les rotations imprévues et d'utiliser la rotation automatique des clés avec une [période de rotation](#rotation-period) personnalisée dans la mesure du possible.
## Fonctionnement de la rotation des clés
AWS KMS la rotation des touches est conçue pour être transparente et facile à utiliser. AWS KMS prend en charge la rotation automatique et à la demande optionnelle des clés uniquement pour les [clés gérées par le client](concepts.md#customer-mgn-key).
**Rotation automatique des touches**
AWS KMS fait automatiquement pivoter la clé KMS à la prochaine date de rotation définie par votre période de rotation. Vous n'avez pas besoin de vous souvenir de la mise à jour ou de la planifier.
La rotation automatique des clés n'est prise en charge que sur les clés KMS de chiffrement symétriques dont le contenu clé est AWS KMS généré (`AWS_KMS`origine).
La rotation automatique est facultative pour les clés KMS gérées par le client. AWS KMS fait toujours alterner le matériel clé pour les clés KMS AWS gérées chaque année. La rotation des clés KMS AWS détenues est gérée par Service AWS le propriétaire de la clé.
**Rotation à la demande**
Lancez immédiatement la rotation du matériel clé associé à votre clé KMS, que la rotation automatique des clés soit activée ou non.
La rotation des clés à la demande est prise en charge sur les clés KMS de chiffrement symétriques avec le matériel clé qui AWS KMS génère (`AWS_KMS`origine) et sur les clés KMS de chiffrement symétriques avec le matériel clé importé (`EXTERNAL`origine).
**Rotation manuelle**
Ni la rotation automatique ni la rotation des clés à la demande n'est prise en charge pour les types de clés KMS suivants, mais vous pouvez [faire pivoter ces clés KMS manuellement](rotate-keys-manually.md).
+ [Clés KMS asymétriques](symmetric-asymmetric.md)
+ [Clés KMS HMAC](hmac.md)
+ Clés KMS dans des [magasins de clés personnalisés](key-store-overview.md#custom-key-store-overview)
**Gestion des éléments de clé**
AWS KMS conserve tous les éléments clés d'une clé KMS avec `AWS_KMS` origine, même si la rotation des clés est désactivée. AWS KMS supprime le contenu clé uniquement lorsque vous supprimez la clé KMS.
Vous gérez les éléments clés des clés de chiffrement symétriques avec `EXTERNAL` origine. Vous pouvez supprimer n'importe quel matériau clé à l'aide de cette [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)opération ou définir une date d'expiration lors de l'importation du matériau. La clé KMS devient inutilisable dès que l'un de ses éléments expire ou est supprimé.
**Utilisation des éléments de clé**
Lorsque vous utilisez une clé KMS pivotée pour chiffrer des données, AWS KMS utilise le contenu de la clé actuelle. Lorsque vous utilisez la clé KMS qui a fait l'objet d'une rotation pour déchiffrer le texte chiffré, AWS KMS utilise la même version des éléments de clé qui a été utilisée pour les chiffrer. Vous ne pouvez pas sélectionner une version particulière du matériel clé pour les opérations de déchiffrement, vous choisissez AWS KMS automatiquement la bonne version.
**Période de rotation**
La période de rotation définit le nombre de jours après l'activation de la rotation automatique des clés qui AWS KMS fera pivoter votre matériel clé, ainsi que le nombre de jours entre chaque rotation automatique des clés par la suite. Si vous ne spécifiez aucune valeur pour `RotationPeriodInDays` activer la rotation automatique des touches, la valeur par défaut est de 365 jours.
Vous pouvez utiliser la clé de RotationPeriodInDays condition [kms :](conditions-kms.md#conditions-kms-rotation-period-in-days) pour restreindre davantage les valeurs que les principaux peuvent spécifier dans le `RotationPeriodInDays` paramètre.
**Date de rotation**
La date de rotation reflète la date à laquelle le contenu clé actuel d'une clé KMS a été mis à jour à la suite d'une rotation automatique (planifiée) ou d'une rotation de clé à la demande.
**Date de rotation**
AWS KMS fait automatiquement pivoter la clé KMS à la date de rotation définie par votre période de rotation. La période de rotation par défaut est de 365 jours.
**Clés gérées par le client**
La rotation automatique des clés étant facultative sur les [clés gérées par le client](concepts.md#customer-mgn-key) et pouvant être activée ou désactivée à tout moment, la date de rotation dépend de la date à laquelle la rotation a été activée pour la dernière fois. La date peut changer si vous modifiez la période de rotation d'une clé pour laquelle vous avez précédemment activé la rotation automatique des touches. La date de rotation peut changer plusieurs fois au cours de la durée de vie de la clé.
Par exemple, si vous créez une clé gérée par le client le 1er janvier 2022 et que vous activez la rotation automatique des clés avec une période de rotation par défaut de 365 jours le 15 mars 2022, vous faites AWS KMS pivoter le contenu clé le 15 mars 2023, le 15 mars 2024, puis tous les 365 jours par la suite.
Les exemples suivants supposent que la rotation automatique des clés a été activée avec une période de rotation par défaut de 365 jours. Ces exemples illustrent des cas particuliers susceptibles d'avoir un impact sur la période de rotation d'une clé.
+ Désactiver la rotation des clés : si vous [désactivez la rotation automatique des clés](rotating-keys-disable.md) à tout moment, la clé KMS continue d'utiliser la version de l’élément de clé qu'elle utilisait lorsque la rotation a été désactivée. Si vous réactivez la rotation automatique des touches, AWS KMS fait pivoter le matériau clé en fonction de la nouvelle date d'activation de la rotation.
+ Clés KMS désactivées : lorsqu'une clé KMS est désactivée, elle AWS KMS ne fait pas pivoter. Toutefois, l'état de rotation de la clé ne change pas et vous ne pouvez pas le modifier tant que la clé KMS est désactivée. Lorsque la clé KMS est réactivée, si le contenu clé a dépassé sa dernière date de rotation planifiée, il la AWS KMS fait immédiatement pivoter. Si le matériel clé n'a pas dépassé sa dernière date de rotation planifiée, AWS KMS reprend le calendrier de rotation des clés d'origine.
+ Clés KMS en attente de suppression — Lorsqu'une clé KMS est en attente de suppression, elle AWS KMS ne fait pas l'objet d'une rotation. L'état de rotation de la clé est défini sur `false` et vous ne pouvez pas le modifier tant que la suppression est en attente. Si la suppression est annulée, l'état précédent de rotation de la clé est restauré. Si le matériau clé a dépassé sa dernière date de rotation planifiée, il le AWS KMS fait immédiatement pivoter. Si le matériel clé n'a pas dépassé sa dernière date de rotation planifiée, AWS KMS reprend le calendrier de rotation des clés d'origine.
**Clés gérées par AWS**
AWS KMS effectue une rotation automatique Clés gérées par AWS chaque année (environ 365 jours). Vous ne pouvez pas activer ou désactiver la rotation des clés pour [Clés gérées par AWS](concepts.md#aws-managed-key).
Le matériau clé d'un Clé gérée par AWS est d'abord alterné un an après sa date de création, puis chaque année (environ 365 jours après la dernière rotation) par la suite.
En mai 2022, le calendrier de rotation AWS KMS a été modifié, Clés gérées par AWS passant de tous les trois ans (environ 1 095 jours) à chaque année (environ 365 jours).
**Clés détenues par AWS**
Vous ne pouvez pas activer ou désactiver la rotation des clés pour Clés détenues par AWS. La stratégie [de rotation des clés](#rotate-keys) pour un Clé détenue par AWS est déterminée par le AWS service qui crée et gère la clé. Pour plus de détails, reportez-vous à la rubrique *Chiffrement au repos* dans le Guide de l'utilisateur ou le guide du développeur du service.
**Touches multirégionales rotatives**
Le comportement de rotation varie selon que le matériau clé est généré par AWS KMS (`AWS_KMS`origine) ou importé (`EXTERNAL`origine).
**Clés multirégionales avec origine `AWS_KMS`**
Vous pouvez activer et désactiver la rotation automatique et effectuer une rotation à la demande du contenu clé dans le chiffrement symétrique. [Clés multirégionales avec `AWS_KMS` origine](multi-region-keys-overview.md). La rotation des clés est une [propriété partagée](multi-region-keys-overview.md#mrk-sync-properties) des clés multirégionales.
Vous activez et désactivez la rotation automatique des clés uniquement sur la clé principale. Vous initiez la rotation à la demande uniquement sur la clé primaire.
+ Lors de la AWS KMS synchronisation des clés multirégionales, il copie le paramètre de propriété de rotation des clés de la clé primaire vers toutes les clés répliques associées.
+ Lorsqu'il AWS KMS fait pivoter le matériau clé, il crée un nouveau matériau clé pour la clé primaire, puis copie le nouveau matériau clé au-delà des limites de la région vers toutes les répliques de clés associées. Le contenu clé ne sort jamais AWS KMS non chiffré. Cette étape est soigneusement contrôlée pour s'assurer que les éléments de clé sont entièrement synchronisés avant qu'une clé ne soit utilisée dans une opération cryptographique.
+ AWS KMS ne chiffre aucune donnée avec le nouveau matériel clé tant que celui-ci n'est pas disponible dans la clé primaire et dans chacune de ses clés répliques.
+ Lorsque vous répliquez une clé principale qui a fait l'objet d'une rotation, la nouvelle clé de réplica possède les éléments de clé actuels et toutes les versions précédentes des éléments de clé pour ses clés multi-région associées.
Ce modèle garantit que les clés multi-région associées sont entièrement interopérables. Toute clé multi-région peut déchiffrer tout texte chiffré par une clé multi-région associée, même si le texte chiffré a été chiffré avant la création de la clé.
**Clés multirégionales avec origine `EXTERNAL`**
Vous pouvez effectuer une rotation à la demande du contenu clé dans le chiffrement symétrique. [Clés multirégionales avec `EXTERNAL` origine](multi-region-keys-overview.md). La rotation des clés est une [propriété partagée](multi-region-keys-overview.md#mrk-sync-properties) des clés multirégionales.
Vous initiez une rotation à la demande uniquement sur la clé primaire après avoir importé le nouveau contenu clé dans la clé primaire et dans chaque clé répliquée.
+ Lorsque vous importez un nouveau matériel clé dans la clé primaire, AWS KMS copie l'identifiant du matériau clé et la description du matériau clé de la clé primaire vers toutes les clés répliques associées. Il ne copie pas le matériel clé.
+ Vous devez importer le même matériel clé dans chaque réplique de clé individuellement. Une fois que le contenu clé a été importé dans toutes les clés multirégionales associées, vous pouvez lancer une rotation à la demande sur la clé primaire. Cela garantit qu'aucune donnée AWS KMS n'est cryptée avec le nouveau matériel clé tant que ce matériel clé n'est pas disponible dans la clé primaire et chacune de ses clés répliques.
+ Chaque élément clé de la clé primaire ou de toute clé répliquée peut expirer ou être supprimé indépendamment des autres éléments clés de la même clé ou de toute autre clé multirégionale associée.
**AWS services**
Vous pouvez activer la rotation automatique des clés sur les [clés gérées par le client](concepts.md#customer-mgn-key) que vous utilisez pour le chiffrement côté serveur dans AWS les services. La rotation annuelle est transparente et compatible avec les AWS services.
**Surveillance de la rotation des clés**
Lorsqu'il AWS KMS fait pivoter le contenu clé d'une clé [Clé gérée par AWS](concepts.md#aws-managed-key)ou d'une [clé gérée par le client](concepts.md#customer-mgn-key), il écrit un `KMS CMK Rotation` événement sur Amazon EventBridge et un [RotateKey autre](ct-rotatekey.md) dans votre AWS CloudTrail journal. Vous pouvez utiliser ces registres pour vérifier que la clé KMS a fait l'objet d'une rotation.
Vous pouvez utiliser la AWS Key Management Service console pour afficher le nombre de rotations à la demande restantes et une liste de toutes les rotations de matériaux clés terminées pour une clé KMS.
Vous pouvez utiliser [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)l'opération pour afficher les détails des rotations terminées.
**Cohérence à terme**
La rotation des clés est soumise aux mêmes effets de cohérence éventuels que les autres opérations AWS KMS de gestion. Il peut y avoir un léger retard avant que les nouveaux éléments de clé ne soient disponibles dans AWS KMS. Toutefois, la rotation des éléments de clé n'entraîne aucune interruption ou aucun retard dans les opérations cryptographiques. Les éléments de clé actuels sont utilisés dans les opérations cryptographiques jusqu'à ce que les nouveaux éléments de clé soient disponibles dans AWS KMS. Lorsque le matériau clé d'une clé multirégionale est automatiquement pivoté, AWS KMS utilise le matériau clé actuel jusqu'à ce que le nouveau matériau clé soit disponible dans toutes les régions avec une clé multirégionale associée.
# Activer la rotation automatique des touches
Par défaut, lorsque vous activez la *rotation automatique des clés* pour une clé KMS, de nouveaux éléments cryptographiques sont AWS KMS générés chaque année pour la clé KMS. Vous pouvez également définir une option personnalisée [rotation-period](rotate-keys.md#rotation-period) pour définir le nombre de jours après l'activation de la rotation automatique des clés qui AWS KMS fera pivoter votre matériel clé, ainsi que le nombre de jours entre chaque rotation automatique par la suite.
La rotation automatique des clés offre les avantages suivants :
+ Les propriétés de la clé KMS, y compris son [ID de clé](concepts.md#key-id-key-id), son [ARN de clé](concepts.md#key-id-key-ARN), sa région, ses politiques et ses autorisations, ne changent pas lorsque la clé est l'objet d'une rotation.
+ Vous n'avez pas besoin de modifier les applications ou les alias qui font référence à l'ID ou à l'ARN de la clé KMS.
+ La rotation des éléments de clé n'affecte pas l'utilisation de la clé KMS dans Service AWS.
+ Après avoir activé la rotation des clés, AWS KMS fait automatiquement pivoter la clé KMS à la date de rotation suivante définie par votre période de rotation. Vous n'avez pas besoin de vous souvenir de la mise à jour ou de la planifier.
Vous pouvez activer la rotation automatique des touches dans la AWS KMS console ou en utilisant l'[EnableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html)opération. Pour activer la rotation automatique des touches, vous devez disposer d'`kms:EnableKeyRotation`autorisations. Pour plus d'informations sur AWS KMS les autorisations, consultez le[Référence des autorisations ](kms-api-permissions-reference.md).
## Utilisation de la AWS KMS console
1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
1. Dans le panneau de navigation, choisissez **Clés gérées par le client**. (Vous ne pouvez pas activer ou désactiver la rotation des Clés gérées par AWS. Elles sont automatiquement soumises à la rotation tous ans.)
1. Choisissez l'alias ou l'ID d'une clé KMS.
1. Choisissez l'onglet **Rotation des clés d'accès**.
L'onglet **Rotation des clés** apparaît uniquement sur la page détaillée des clés KMS de chiffrement symétriques dont le contenu a été AWS KMS généré (l'**origine** est **AWS\$1KMS**), y compris les clés KMS de chiffrement symétriques [multirégionales](rotate-keys.md#multi-region-rotate).
Vous ne pouvez pas soumettre automatiquement à la rotation les clés KMS asymétriques, les clés KMS HMAC, les clés KMS avec des [éléments de clé importés](importing-keys.md), ou les clés KMS dans les [magasins de clé personnalisés](key-store-overview.md#custom-key-store-overview). Cependant, vous pouvez les [faire pivoter manuellement](rotate-keys-manually.md).
1. Dans la section **Rotation automatique des touches**, choisissez **Modifier**.
1. Pour **Rotation des touches**, sélectionnez **Activer**.
**Note**
Si une clé KMS est désactivée ou en attente de suppression, AWS KMS cela ne fait pas pivoter le contenu clé et vous ne pouvez pas mettre à jour l'état de rotation automatique des clés ou la période de rotation. Activez la clé KMS ou annulez la suppression pour mettre à jour la configuration de rotation automatique des clés. Pour plus d’informations, consultez [Fonctionnement de la rotation des clés](rotate-keys.md#rotate-keys-how-it-works) et [États clés des AWS KMS clés](key-state.md).
1. (Facultatif) Entrez une période de rotation comprise entre 90 et 2560 jours. La valeur par défaut est de 365 jours. Si vous ne spécifiez pas de période de rotation personnalisée, le matériau clé AWS KMS sera alterné chaque année.
Vous pouvez utiliser la clé de RotationPeriodInDays condition [kms :](conditions-kms.md#conditions-kms-rotation-period-in-days) pour limiter les valeurs que les directeurs peuvent spécifier pour la période de rotation.
1. Choisissez **Enregistrer**.
## Utilisation de l' AWS KMS API
Vous pouvez utiliser l'[API AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/APIReference/) pour activer la rotation automatique des clés et consulter l'état de rotation actuel de toute clé gérée par le client. Ces exemples utilisent l'[AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.
L'[EnableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html)opération active la rotation automatique des touches pour la clé KMS spécifiée. Pour identifier la clé KMS dans cette opération, utilisez son [ID de clé](concepts.md#key-id-key-id) ou son [ARN de clé](concepts.md#key-id-key-ARN). Par défaut, la rotation des clés est désactivée pour les clés gérées par le client.
Vous pouvez utiliser la clé de [ kms:RotationPeriodInDays](conditions-kms.md#conditions-kms-rotation-period-in-days)condition pour limiter les valeurs que les principaux peuvent spécifier pour le `RotationPeriodInDays` paramètre d'une `EnableKeyRotation` demande.
L'exemple suivant active la rotation des clés avec une période de rotation de 180 jours sur la clé KMS de chiffrement symétrique spécifiée et utilise l'[GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html)opération pour voir le résultat.
```
$ aws kms enable-key-rotation \
--key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--rotation-period-in-days 180
$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyRotationEnabled": true,
"RotationPeriodInDays": 180,
"NextRotationDate": "2024-02-14T18:14:33.587000+00:00"
}
```
# Désactiver la rotation automatique des touches
Après avoir activé la rotation automatique des clés sur une clé gérée par le client, vous pouvez choisir de la désactiver à tout moment.
Si vous désactivez la rotation automatique des touches, la clé KMS continue d'utiliser la version du matériel clé qu'elle utilisait lorsque la rotation a été désactivée. Si vous réactivez la rotation automatique des touches, AWS KMS fait pivoter le matériau clé en fonction de la nouvelle date d'activation de la rotation.
La désactivation de la rotation automatique n'a aucune incidence sur votre capacité à [effectuer des rotations à la demande](rotating-keys-on-demand.md) et n'annule aucune rotation à la demande en cours.
Vous pouvez désactiver la rotation automatique des touches dans la AWS KMS console ou en utilisant l'[DisableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKeyRotation.html)opération. Pour désactiver la rotation automatique des touches, vous devez disposer d'`kms:DisableKeyRotation`autorisations. Pour plus d'informations sur AWS KMS les autorisations, consultez le[Référence des autorisations ](kms-api-permissions-reference.md).
## Utilisation de la AWS KMS console
1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
1. Dans le panneau de navigation, choisissez **Clés gérées par le client**. (Vous ne pouvez pas activer ou désactiver la rotation des Clés gérées par AWS. Elles sont automatiquement soumises à la rotation tous ans.)
1. Choisissez l'alias ou l'ID d'une clé KMS.
1. Choisissez l'onglet **Rotation des clés d'accès**.
L'onglet **Rotation des clés** apparaît uniquement sur la page détaillée des clés KMS de chiffrement symétriques dont le contenu a été AWS KMS généré (l'**origine** est **AWS\$1KMS**), y compris les clés KMS de chiffrement symétriques [multirégionales](rotate-keys.md#multi-region-rotate).
Vous ne pouvez pas soumettre automatiquement à la rotation les clés KMS asymétriques, les clés KMS HMAC, les clés KMS avec des [éléments de clé importés](importing-keys.md), ou les clés KMS dans les [magasins de clé personnalisés](key-store-overview.md#custom-key-store-overview). Cependant, vous pouvez les [faire pivoter manuellement](rotate-keys-manually.md).
1. Dans la section **Rotation automatique des touches**, choisissez **Modifier**.
1. Pour **Rotation des touches**, sélectionnez **Désactiver**.
**Note**
Si une clé KMS est désactivée ou en attente de suppression, AWS KMS cela ne fait pas pivoter le contenu clé et vous ne pouvez pas mettre à jour l'état de rotation automatique des clés ou la période de rotation. Activez la clé KMS ou annulez la suppression pour mettre à jour la configuration de rotation automatique des clés. Pour plus de détails, veuillez consulter [Fonctionnement de la rotation des clés](rotate-keys.md#rotate-keys-how-it-works) et [États clés des AWS KMS clés](key-state.md).
1. Choisissez **Enregistrer**.
## Utilisation de l' AWS KMS API
Vous pouvez utiliser l'[API AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/APIReference/) pour désactiver la rotation automatique des clés et consulter l'état de rotation actuel de toute clé gérée par le client. Cet exemple utilise le [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.
L'[DisableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKeyRotation.html)opération désactive la rotation automatique des touches. Pour identifier la clé KMS dans cette opération, utilisez son [ID de clé](concepts.md#key-id-key-id) ou son [ARN de clé](concepts.md#key-id-key-ARN). Par défaut, la rotation des clés est désactivée pour les clés gérées par le client.
L'exemple suivant désactive la rotation automatique des clés sur la clé KMS de chiffrement symétrique spécifiée et utilise l'[GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html)opération pour voir le résultat.
```
$ aws kms disable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyRotationEnabled": false
}
```
# Effectuez une rotation des touches à la demande
Vous pouvez effectuer une rotation à la demande du contenu clé des clés KMS gérées par le client, que la rotation automatique des clés soit activée ou non. La désactivation de la rotation automatique ([DisableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKeyRotation.html)) n'a aucune incidence sur votre capacité à effectuer des rotations à la demande et n'annule aucune rotation à la demande en cours. Les rotations à la demande ne modifient pas les programmes de rotation automatiques existants. Prenons l'exemple d'une clé KMS dont la rotation automatique des clés est activée avec une période de rotation de 730 jours. Si la rotation de la clé est prévue automatiquement le 14 avril 2024 et que vous effectuez une rotation à la demande le 10 avril 2024, la clé tournera automatiquement, comme prévu, le 14 avril 2024 et tous les 730 jours par la suite.
Vous pouvez effectuer une rotation de clé à la demande 25 fois au maximum par clé KMS. Vous pouvez utiliser la AWS KMS console pour afficher le nombre de rotations à la demande restantes disponibles pour une clé KMS.
La rotation des clés à la demande n'est prise en charge que sur les [clés KMS de chiffrement symétriques](symm-asymm-choose-key-spec.md#symmetric-cmks). Vous ne pouvez pas effectuer de rotation à la demande de [clés KMS asymétriques](symmetric-asymmetric.md), de clés [KMS HMAC](hmac.md) ou de clés KMS dans un magasin de [clés personnalisé](key-store-overview.md#custom-key-store-overview). Pour effectuer la rotation à la demande d'un ensemble de [clés multirégionales](rotate-keys.md#multi-region-rotate) associées, appelez la rotation à la demande sur la clé primaire.
Les utilisateurs autorisés disposant d'`kms:GetKeyRotationStatus`autorisations `kms:RotateKeyOnDemand` et d'autorisations peuvent utiliser la AWS KMS console et l' AWS KMS API pour lancer la rotation des clés à la demande et consulter l'état de la rotation des clés. [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)À utiliser pour afficher les rotations terminées pour une clé KMS.
**Topics**
+ [Lancer la rotation des touches à la demande (console)](#rotate-on-demand-console)
+ [Lancer la rotation des clés à la demande (AWS KMS API)](#rotate-on-demand-api)
## Lancer la rotation des touches à la demande (console)
1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
1. Dans le panneau de navigation, choisissez **Clés gérées par le client**. (Vous ne pouvez pas effectuer de rotation à la demande de Clés gérées par AWS. Ils font l'objet d'une rotation automatique chaque année.)
1. Choisissez l'alias ou l'ID d'une clé KMS.
1. Choisissez l'onglet **Matériau clé et rotations**.
L'onglet **Matériau clé et rotations** apparaît uniquement sur la page détaillée des clés KMS de chiffrement symétrique qui prennent en charge la rotation automatique ou à la demande. Cela inclut les clés KMS avec le matériel clé AWS KMS généré (**AWS\$1KMS**origine) et les clés KMS avec le matériel clé importé (origine **EXTERNE**)
Vous ne pouvez pas effectuer de rotation à la demande de clés KMS asymétriques, de clés KMS HMAC ou de clés KMS dans des magasins de [clés personnalisés](key-store-overview.md#custom-key-store-overview). Cependant, vous pouvez les [faire pivoter manuellement](rotate-keys-manually.md).
1. Choisissez **Rotation maintenant**. Pour les clés de chiffrement symétriques dont le contenu clé est importé, l'option **Faire pivoter maintenant** n'est disponible que si vous avez déjà [importé du nouveau contenu clé](importing-keys-import-key-material.md#import-new-key-material) et que celui-ci est dans l'état En **attente de rotation**.
**Note**
Pour les clés multirégionales, seule la clé de région principale peut être pivotée.
1. Lisez et prenez en compte l'avertissement et les informations concernant le nombre de rotations à la demande restantes pour la clé. Vous verrez également des informations telles que l'identifiant, la description et le délai d'expiration du matériel clé qui deviendra à jour après la rotation. Si vous décidez de ne pas procéder à la rotation à la demande, choisissez **Annuler**.
1. Choisissez la **touche Rotation** pour confirmer la rotation à la demande.
**Note**
La rotation à la demande est soumise aux mêmes effets de cohérence éventuels que les autres opérations AWS KMS de gestion. Il peut y avoir un léger retard avant que les nouveaux éléments de clé ne soient disponibles dans AWS KMS. La bannière en haut de la console vous avertit lorsque la rotation à la demande est terminée.
## Lancer la rotation des clés à la demande (AWS KMS API)
Vous pouvez utiliser l'[API AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/APIReference/) pour lancer une rotation des clés à la demande et consulter l'état de rotation actuel de toute clé gérée par le client. Cet exemple utilise le [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.
L'[RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html)opération lance immédiatement une rotation de clé à la demande pour la clé KMS spécifiée. Pour identifier la clé KMS dans ces opérations, utilisez son [ID de clé](concepts.md#key-id-key-id) ou son [ARN de clé](concepts.md#key-id-key-ARN).
L'exemple suivant lance une rotation de clé à la demande sur la clé KMS de chiffrement symétrique spécifiée et utilise l'[GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html)opération pour vérifier que la rotation à la demande est en cours. La `OnDemandRotationStartDate` `kms:GetKeyRotationStatus` réponse indique la date et l'heure auxquelles une rotation à la demande en cours a été initiée. Dans cet exemple, la rotation automatique de la clé KMS est également activée sur une période de 365 jours.
```
$ aws kms rotate-key-on-demand --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
}
$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyRotationEnabled": true,
"NextRotationDate": "2024-03-14T18:14:33.587000+00:00",
"OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
"RotationPeriodInDays": 365
}
```
Si la clé KMS ne prend pas en charge la rotation automatique ou si la rotation automatique n'est pas activée, la `kms:GetKeyRotationStatus` réponse comportera moins de champs, comme indiqué dans l'exemple suivant :
```
$ aws kms rotate-key-on-demand --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
}
$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyRotationEnabled": false,
"OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
}
```
# Répertorier les rotations et les principaux matériaux
Les clés KMS qui prennent en charge la rotation automatique ou à la demande peuvent être associées à plusieurs éléments clés. Ces clés ont un matériau clé initial et un matériau clé supplémentaire pour chaque rotation automatique ou à la demande.
Les utilisateurs autorisés `kms:ListKeyRotations` autorisés peuvent utiliser la AWS KMS console et l'[ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)API pour répertorier tous les éléments clés associés à une clé KMS, y compris ceux issus de rotations automatiques et à la demande effectuées.
**Topics**
+ [Lister les rotations et les matériaux clés (console)](#list-rotations-console)
+ [Liste des rotations et des matériaux clés (AWS KMS API)](#list-rotations-api)
## Lister les rotations et les matériaux clés (console)
1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
1. Dans le panneau de navigation, choisissez **Clés gérées par le client**.
1. Choisissez l'alias ou l'ID d'une clé KMS.
1. Choisissez l'onglet **Matériau clé et rotations**.
+ L'onglet **Matériau clé et rotations** apparaît uniquement sur la page détaillée des clés KMS de chiffrement symétrique qui prennent en charge la rotation automatique ou à la demande. Cela inclut les clés KMS avec le matériel clé AWS KMS généré (`AWS_KMS`origine) et les clés KMS avec le matériel clé importé (`EXTERNAL`origine).
+ Le tableau **des matériaux clés** de l'onglet **Matériaux clés et rotations** répertorie tous les matériaux clés associés à la clé KMS. Pour chaque matériau clé, l'entrée correspondante affiche son identifiant unique attribué par AWS KMS, la date de rotation et l'état du matériau clé. La date de rotation indique le moment où le contenu clé est devenu actuel après une rotation des clés automatique ou à la demande. Aucune date de rotation n'est associée au premier matériau ou au matériau `Pending rotation` clé. L'état du matériau clé détermine la manière dont le matériau clé est AWS KMS utilisé. Le matériel clé actuel est utilisé à la fois pour le chiffrement et le déchiffrement. Les éléments clés non courants ne sont utilisés que pour le déchiffrement. Un état du matériau clé de `Pending rotation` indique que le matériau clé est préparé pour la rotation. Ce matériel clé n'est utilisé pour aucune opération cryptographique jusqu'à ce qu'une rotation de clé à la demande en fasse le matériau clé actuel. Les informations supplémentaires affichées pour le matériel clé dépendent du type de clé KMS.
+ Pour les clés KMS de chiffrement symétriques avec `AWS_KMS` origine, chaque ligne affiche également le type de rotation, `On-demand` ou`Automatic`.
+ Les clés KMS de chiffrement symétrique dont le matériel clé est importé (`EXTERNAL`origine) ne prennent en charge que la `On-demand` rotation, il n'y a donc pas de colonne de type de rotation. Au lieu de cela, chaque ligne affiche un état d'importation, une description spécifiée par l'utilisateur, des informations d'expiration et un menu **Actions**. L'état d'importation est soit **Importé**, ce qui indique que le matériau clé est disponible à l'intérieur, AWS KMS soit **En attente d'importation**, indiquant que le matériau clé n'est pas disponible à l'intérieur AWS KMS. Le menu **Actions** peut être utilisé pour supprimer le matériel clé importé ou pour réimporter le matériel clé. L'action **Supprimer le matériau clé** est désactivée si l'état d'importation du matériau clé est **En attente d'importation**. L'action **Réimporter le matériel clé** est toujours disponible. Il n'est pas nécessaire d'attendre qu'un élément clé expire ou soit supprimé avant de le réimporter.
## Liste des rotations et des matériaux clés (AWS KMS API)
Vous pouvez utiliser l'[API AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/APIReference/) pour lancer une rotation des clés à la demande et consulter l'état de rotation actuel de toute clé gérée par le client. Cet exemple utilise le [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.
L'[ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)opération répertorie toutes les rotations et les matériaux clés pour la clé KMS spécifiée. Pour identifier la clé KMS dans ces opérations, utilisez son [ID de clé](concepts.md#key-id-key-id) ou son [ARN de clé](concepts.md#key-id-key-ARN).
Cette opération prend en charge un `IncludeKeyMaterial` paramètre facultatif. La valeur par défaut de ce paramètre est `ROTATIONS_ONLY`. Si vous omettez ce paramètre, AWS KMS renvoie des informations sur les éléments clés créés par rotation automatique ou à la demande des touches. Lorsque vous spécifiez une valeur de`ALL_KEY_MATERIAL`, AWS KMS ajoute le premier élément clé et tout élément clé importé en attente de rotation dans la réponse. Ce paramètre ne peut être utilisé qu'avec les clés KMS qui prennent en charge la rotation automatique ou à la demande des clés.
```
$ aws kms list-key-rotations --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--inlcude-key-material ALL_KEY_MATERIAL
{
"Rotations": [
{
"KeyId": 1234abcd-12ab-34cd-56ef-1234567890ab,
"KeyMaterialId": 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0,
"KeyMaterialDescription": "KeyMaterialA",
"ImportState": "PENDING_IMPORT",
"KeyMaterialState": "NON_CURRENT"
},
{
"KeyId": 1234abcd-12ab-34cd-56ef-1234567890ab,
"KeyMaterialId": 96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068,
"ImportState": "IMPORTED",
"KeyMaterialState": "CURRENT",
"ExpirationModel": "KEY_MATERIAL_DOES_NOT_EXPIRE",
"RotationDate": "2025-05-01T15:50:51.045000-07:00",
"RotationType": "ON_DEMAND"
}
],
"Truncated": false
}
```
# Faites pivoter les touches manuellement
Vous souhaiterez peut-être créer une nouvelle clé KMS et l'utiliser à la place d'une clé KMS actuelle au lieu d'utiliser la rotation automatique ou à la demande des clés. Lorsque la nouvelle clé KMS possède des éléments de chiffrement différents de ceux de la clé KMS actuelle, l'utilisation de la nouvelle clé KMS a le même effet que la modification des éléments de clé d'une clé KMS existante. Le processus de remplacement d'une cléKMS par une autre est connu sous le nom de *rotation manuelle de clés*.
![\[Diagram showing manual key rotation process with application, old key, and new key.\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/key-rotation-manual.png)
La rotation manuelle est un bon choix lorsque vous souhaitez faire pivoter des clés KMS qui ne sont pas éligibles à la rotation automatique ou à la demande, telles que les clés KMS asymétriques, les clés HMAC KMS et les clés KMS dans les magasins de [clés personnalisés](key-store-overview.md#custom-key-store-overview).
**Note**
Lorsque vous commencez à utiliser la nouvelle clé KMS, veillez à ce que la clé KMS d'origine reste activée afin de AWS KMS pouvoir déchiffrer les données chiffrées par la clé KMS d'origine.
Lorsque vous faites tourner les clés KMS manuellement, vous devez également mettre à jour les références à l'ID ou à l'ARN de la clé KMS dans vos applications. Les [alias](kms-alias.md), qui associent un nom convivial à une clé KMS, facilitent ce processus. Utilisez un alias pour faire référence à une clé KMS dans vos applications. Ensuite, lorsque vous souhaitez modifier la clé KMS que l'application utilise, au lieu de modifier le code de votre application, modifiez la clé KMS cible de l'alias. Pour en savoir plus, consultez [Apprenez à utiliser des alias dans vos applications](alias-using.md).
**Note**
[https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) Les alias ne sont pas autorisés dans les opérations qui gèrent les clés KMS, telles que [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)ou [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html).
Lorsque vous appelez l'opération [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) sur des clés KMS de chiffrement symétriques pivotées manuellement, omettez le `KeyId` paramètre dans la commande. AWS KMS utilise automatiquement la clé KMS qui a chiffré le texte chiffré.
Le `KeyId` paramètre est obligatoire lors d'un appel `Decrypt` ou d'une [vérification](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html) avec une clé KMS asymétrique, ou lors d'un appel [VerifyMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html)avec une clé KMS HMAC. Ces demandes échouent lorsque la valeur de`KeyId`est un alias qui ne pointe plus vers la clé KMS qui a effectué l'opération cryptographique, par exemple lorsqu'une clé fait l'objet d'une rotation manuelle. Pour éviter cette erreur, vous devez spécifier et suivre la clé bonne KMS pour chaque opération.
Pour modifier la clé KMS cible d'un alias, utilisez [UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html)l'opération dans l' AWS KMS API. Par exemple, cette commande met à jour l'alias `alias/TestKey` pour pointer vers une nouvelle clé KMS. Comme l'opération ne renvoie aucune sortie, l'exemple utilise l'[ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)opération pour montrer que l'alias est désormais associé à une autre clé KMS et que le `LastUpdatedDate` champ est mis à jour. Les ListAliases commandes utilisent le [`query`paramètre](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-filter.html#cli-usage-filter-client-side-specific-values) du AWS CLI pour obtenir uniquement l'`alias/TestKey`alias.
```
$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]'
{
"Aliases": [
{
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey",
"AliasName": "alias/TestKey",
"TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"CreationDate": 1521097200.123,
"LastUpdatedDate": 1521097200.123
},
]
}
$ aws kms update-alias --alias-name alias/TestKey --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]'
{
"Aliases": [
{
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey",
"AliasName": "alias/TestKey",
"TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"CreationDate": 1521097200.123,
"LastUpdatedDate": 1604958290.722
},
]
}
```
# Modifier la clé primaire dans un ensemble de clés multirégionales
Chaque ensemble de clés multi-région associées doit posséder une clé principale. Mais vous pouvez changer la clé principale. Cette action, connue sous le nom de *mise à jour de la région principale*, convertit la clé principale actuelle en clé de réplica et convertit l'une des clés de réplica associées en clé principale. Vous pouvez le faire si vous avez besoin de supprimer la clé principale actuelle tout en conservant les clés de réplica, ou si vous devez localiser la clé principale dans la même région que vos administrateurs de clé.
Vous pouvez sélectionner n'importe quelle clé de réplica associée comme nouvelle clé principale. La clé principale et la clé de réplica doivent être toutes les deux dans l'[état de clé](key-state.md) `Enabled` lorsque l'opération démarre.
**L'état `Updating` clé**
Même une fois l'`UpdatePrimaryRegion`opération terminée, le processus de mise à jour de la région principale peut encore être en cours pendant quelques secondes. Pendant ce temps, les anciennes et les nouvelles clés principales ont un état de clé transitoire [Updating (Mise à jour en cours)](#update-primary-keystate). Lorsque l'état de la clé est `Updating`, vous pouvez utiliser les clés dans les opérations cryptographiques, mais vous ne pouvez pas répliquer la nouvelle clé principale ou effectuer certaines opérations de gestion, telles que l'activation ou la désactivation de ces clés. Des opérations telles que celles [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)susceptibles d'afficher à la fois les anciennes et les nouvelles clés primaires sous forme de répliques. L'état de la clé `Enabled` est restauré lorsque la mise à jour est terminée.
Pour plus d'informations sur l'effet de l'état de clé `Updating`, veuillez consulter [États clés des AWS KMS clés](key-state.md).
**Comment ça marche**
Supposons que vous avez une clé principale dans la région USA Est (Virginie du Nord) (us-east-1) et une clé de réplica dans la région UE (Irlande) (eu-west-1). Vous pouvez utiliser la fonction de mise à jour pour remplacer la clé principale dans la région USA Est (Virginie du Nord) (us-east-1) par une clé de réplica et transformer la clé de réplica dans la région UE (Irlande) (eu-west-1) par la clé principale.
![\[Mise à jour de la clé principale\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/images/multi-region-keys-update-sm.png)
Une fois le processus de mise à jour terminé, la clé multi-région dans la région UE (Irlande) (eu-west-1) est une clé principale multi-région et la clé dans la région USA Est (Virginie du Nord) (us-east-1) est sa clé de réplica. S'il existe d'autres clés de réplica associées, elles deviennent des réplicas de la nouvelle clé principale. La prochaine fois qu'il AWS KMS synchronisera les propriétés partagées des clés multirégionales, il obtiendra les [propriétés partagées](multi-region-keys-overview.md#mrk-sync-properties) de la nouvelle clé primaire et les copiera dans ses clés répliques, y compris l'ancienne clé primaire.
L'opération de mise à jour n'a aucun effet sur l'[ARN de clé](concepts.md#key-id-key-ARN) de n'importe quelle clé multi-région. Elle n'a pas non plus d'effet sur les propriétés partagées, telles que les éléments de clé, ni sur les propriétés indépendantes, telles que la politique de clé. Toutefois, vous devrez peut-être [mettre à jour la politique de clé](key-policy-modifying.md) de la nouvelle clé principale. Par exemple, vous souhaiterez peut-être ajouter [kms : ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) permission for trusted principals à la nouvelle clé primaire et la supprimer de la nouvelle clé de réplique.
## Mettre à jour la région principale
Vous pouvez convertir une clé de réplique en clé primaire, ce qui transforme l'ancienne clé primaire en réplique. Pour mettre à jour la région principale, vous devez disposer de UpdatePrimaryRegion l'autorisation [kms :](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html) dans les deux régions.
Vous pouvez mettre à jour la région principale dans la AWS KMS console ou en utilisant l'[UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html)opération.
### Utilisation de la AWS KMS console
Vous pouvez mettre à jour la clé primaire dans la AWS KMS console. Commencez sur la page des détails de la clé principale actuelle.
1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
1. Dans le panneau de navigation, choisissez **Clés gérées par le client**.
1. Sélectionnez l'ID de clé ou l'alias de la [clé principale multi-région](multi-region-keys-overview.md#mrk-primary-key). La page des détails de la clé principale s'ouvre.
Pour identifier une clé principale multi-région, utilisez l'icône de l'outil dans le coin supérieur droit pour ajouter la colonne **Regionality (Régionalité)** dans la table.
1. Cliquez sur l'onglet **Regionality (Régionalité)**.
1. Dans la section **Primary key (Clé principale)**, choisissez **Change primary Region (Modifier la région principale)**.
1. Choisissez la région de la nouvelle clé principale. Vous ne pouvez choisir qu'une seule région dans le menu.
Le menu **Change primary Regions (Modifier les régions principales)** n'inclut que les régions associées à une clé multi-région. Vous n'êtes peut-être pas [autorisé à mettre à jour la région principale](multi-region-keys-auth.md#mrk-auth-update) dans toutes les régions du menu.
1. Choisissez **Change primary Region (Modifier la région principale)**.
### Utilisation de l' AWS KMS API
Pour modifier la clé primaire dans un ensemble de clés multirégionales associées, utilisez l'[UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html)opération.
Utilisez le paramètre `KeyId` pour identifier la clé principale actuelle. Utilisez le `PrimaryRegion` paramètre pour indiquer Région AWS la nouvelle clé primaire. Si la clé principale n'a pas déjà de réplica dans la nouvelle région principale, l'opération échoue.
L'exemple suivant transforme la clé principale de la clé multi-région dans la région `us-west-2` en son réplica dans la région `eu-west-1`. Le paramètre `KeyId` identifie la clé principale actuelle dans la région `us-west-2`. Le `PrimaryRegion` paramètre spécifie Région AWS la nouvelle clé primaire,`eu-west-1`.
```
$ aws kms update-primary-region \
--key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
--primary-region eu-west-1
```
En cas de succès, cette opération ne renvoie aucune sortie ; seulement le code d'état HTTP. Pour voir l'effet, appelez l'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)opération sur l'une des touches multirégions. Vous devrez peut-être attendre que l'état de la clé repasse à `Enabled`. Pendant que l'état de la clé est [Updating (Mise à jour en cours)](#update-primary-keystate), les valeurs de la clé peuvent toujours être en flux.
Par exemple, l'appel `DescribeKey` suivant obtient les détails sur la clé multi-région dans la région `eu-west-1`. La sortie indique que la clé multi-région dans la région `eu-west-1` est désormais la clé principale. La clé multi-région associée (même ID de clé) dans la région `us-west-2` est désormais une clé de réplica.
```
$ aws kms describe-key \
--key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
{
"KeyMetadata": {
"AWSAccountId": "111122223333",
"KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
"Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"CreationDate": 1609193147.831,
"Enabled": true,
"Description": "multi-region-key",
"KeySpec": "SYMMETRIC_DEFAULT",
"KeyState": "Enabled",
"KeyUsage": "ENCRYPT_DECRYPT",
"Origin": "AWS_KMS",
"KeyManager": "CUSTOMER",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"MultiRegion": true,
"MultiRegionConfiguration": {
"MultiRegionKeyType": "PRIMARY",
"PrimaryKey": {
"Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "eu-west-1"
},
"ReplicaKeys": [
{
"Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "us-west-2"
}
]
}
}
}
```