Effectuez une rotation des touches à la demande - AWS Key Management Service
Lancer la rotation des touches à la demande (console)Lancer la rotation des clés à la demande (AWS KMS API)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Effectuez une rotation des touches à la demande

Vous pouvez effectuer une rotation à la demande du contenu clé des clés KMS gérées par le client, que la rotation automatique des clés soit activée ou non. La désactivation de la rotation automatique (DisableKeyRotation) n'a aucune incidence sur votre capacité à effectuer des rotations à la demande et n'annule aucune rotation à la demande en cours. Les rotations à la demande ne modifient pas les programmes de rotation automatiques existants. Prenons l'exemple d'une clé KMS dont la rotation automatique des clés est activée avec une période de rotation de 730 jours. Si la rotation de la clé est prévue automatiquement le 14 avril 2024 et que vous effectuez une rotation à la demande le 10 avril 2024, la clé tournera automatiquement, comme prévu, le 14 avril 2024 et tous les 730 jours par la suite.

Vous pouvez effectuer une rotation de clé à la demande au maximum 10 fois par clé KMS. Vous pouvez utiliser la AWS KMS console pour afficher le nombre de rotations à la demande restantes disponibles pour une clé KMS.

La rotation des clés à la demande n'est prise en charge que sur les clés KMS de chiffrement symétriques. Vous ne pouvez pas effectuer de rotation à la demande de clés KMS asymétriques, de clés KMS HMAC, de clés KMS multirégionales avec des éléments clés importés ou de clés KMS dans un magasin de clés personnalisé. Pour effectuer la rotation à la demande d'un ensemble de clés multirégionales associées, appelez la rotation à la demande sur la clé primaire.

Les utilisateurs autorisés disposant d'kms:GetKeyRotationStatusautorisations kms:RotateKeyOnDemand et d'autorisations peuvent utiliser la AWS KMS console et l' AWS KMS API pour lancer la rotation des clés à la demande et consulter l'état de la rotation des clés. ListKeyRotationsÀ utiliser pour afficher les rotations terminées pour une clé KMS.

Lancer la rotation des touches à la demande (console)

  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le volet de navigation, sélectionnez Clés gérées par le client. (Vous ne pouvez pas effectuer de rotation à la demande de Clés gérées par AWS. Ils font l'objet d'une rotation automatique chaque année.)

  4. Choisissez l'alias ou l'ID d'une clé KMS.

  5. Choisissez l'onglet Matériau clé et rotations.

    L'onglet Matériau clé et rotations apparaît uniquement sur la page détaillée des clés KMS de chiffrement symétrique qui prennent en charge la rotation automatique ou à la demande. Cela inclut les clés KMS avec le matériel clé AWS KMS généré (AWS_KMSorigine) et les clés KMS à région unique avec le matériel clé importé (origine EXTERNE).

    Vous ne pouvez pas effectuer de rotation à la demande de clés KMS asymétriques, de clés KMS HMAC, de clés KMS multirégionales avec des éléments clés importés ou de clés KMS dans des magasins de clés personnalisés. Cependant, vous pouvez les faire pivoter manuellement.

  6. Choisissez Rotation maintenant. Pour les clés de chiffrement symétriques à région unique dont le contenu clé est importé, l'option Faire pivoter maintenant n'est disponible que si vous avez déjà importé un nouveau contenu clé et que celui-ci est dans l'état En attente de rotation.

  7. Lisez et prenez en compte l'avertissement et les informations concernant le nombre de rotations à la demande restantes pour la clé. Vous verrez également des informations telles que l'identifiant, la description et le délai d'expiration du matériel clé qui deviendra à jour après la rotation. Si vous décidez de ne pas procéder à la rotation à la demande, choisissez Annuler.

  8. Choisissez la touche Rotation pour confirmer la rotation à la demande.

    Note

    La rotation à la demande est soumise aux mêmes effets de cohérence éventuels que les autres opérations AWS KMS de gestion. Il peut y avoir un léger retard avant que les nouveaux éléments de clé ne soient disponibles dans AWS KMS. La bannière en haut de la console vous avertit lorsque la rotation à la demande est terminée.

Lancer la rotation des clés à la demande (AWS KMS API)

Vous pouvez utiliser l'API AWS Key Management Service (AWS KMS) pour lancer une rotation des clés à la demande et consulter l'état de rotation actuel de toute clé gérée par le client. Cet exemple utilise le AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

L'RotateKeyOnDemandopération lance immédiatement une rotation de clé à la demande pour la clé KMS spécifiée. Pour identifier la clé KMS dans ces opérations, utilisez son ID de clé ou son ARN de clé.

L'exemple suivant lance une rotation de clé à la demande sur la clé KMS de chiffrement symétrique spécifiée et utilise l'GetKeyRotationStatusopération pour vérifier que la rotation à la demande est en cours. Le contenu OnDemandRotationStartDate de la kms:GetKeyRotationStatus réponse indique la date et l'heure auxquelles une rotation à la demande en cours a été initiée. Dans cet exemple, la rotation automatique de la clé KMS est également activée sur une période de 365 jours.

$ aws kms rotate-key-on-demand --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"    
}

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": true,
    "NextRotationDate": "2024-03-14T18:14:33.587000+00:00",
    "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
    "RotationPeriodInDays": 365    
}

Si la clé KMS ne prend pas en charge la rotation automatique ou si la rotation automatique n'est pas activée, la kms:GetKeyRotationStatus réponse comportera moins de champs, comme indiqué dans l'exemple suivant :

$ aws kms rotate-key-on-demand --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
}

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": false,
    "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
}