Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Lakukan rotasi kunci sesuai permintaan
Anda dapat melakukan rotasi sesuai permintaan dari materi utama dalam kunci KMS yang dikelola pelanggan, terlepas dari apakah rotasi kunci otomatis diaktifkan atau tidak. Menonaktifkan rotasi otomatis (DisableKeyRotation) tidak memengaruhi kemampuan Anda untuk melakukan rotasi sesuai permintaan, juga tidak membatalkan rotasi sesuai permintaan yang sedang berlangsung. Rotasi sesuai permintaan tidak mengubah jadwal rotasi otomatis yang ada. Misalnya, pertimbangkan kunci KMS yang memiliki rotasi tombol otomatis diaktifkan dengan periode rotasi 730 hari. Jika kunci dijadwalkan untuk berputar secara otomatis pada 14 April 2024, dan Anda melakukan rotasi sesuai permintaan pada 10 April 2024, kunci akan berputar secara otomatis, sesuai jadwal, pada 14 April 2024 dan setiap 730 hari setelahnya.
Anda dapat melakukan rotasi kunci sesuai permintaan maksimal 10 kali per tombol KMS. Anda dapat menggunakan AWS KMS konsol untuk melihat jumlah rotasi sesuai permintaan yang tersisa yang tersedia untuk kunci KMS.
Rotasi kunci sesuai permintaan hanya didukung pada kunci KMS enkripsi simetris. Anda tidak dapat melakukan rotasi sesuai permintaan kunci KMS asimetris, kunci KMSHMAC, kunci KMS multi-wilayah dengan bahan kunci yang diimpor, atau kunci KMS di toko kunci khusus. Untuk melakukan rotasi sesuai permintaan dari satu set kunci Multi-wilayah terkait, panggil rotasi sesuai permintaan pada kunci utama.
Pengguna resmi dengan kms:RotateKeyOnDemand dan kms:GetKeyRotationStatus izin dapat menggunakan AWS KMS konsol dan AWS KMS API untuk memulai rotasi kunci sesuai permintaan dan melihat status rotasi kunci. Gunakan ListKeyRotationsuntuk melihat rotasi selesai untuk kunci KMS.
Topik
Memulai rotasi kunci sesuai permintaan (konsol)
-
Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms
. -
Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
-
Di panel navigasi, pilih Kunci yang dikelola pelanggan. (Anda tidak dapat melakukan rotasi sesuai permintaan. Kunci yang dikelola AWS Mereka secara otomatis diputar setiap tahun.)
-
Pilih alias atau ID kunci dari kunci KMS.
-
Pilih tab Bahan kunci dan rotasi.
Tab Materi kunci dan rotasi hanya muncul di halaman detail kunci KMS enkripsi simetris yang mendukung rotasi otomatis atau sesuai permintaan. Ini termasuk kunci KMS dengan bahan utama yang AWS KMS dihasilkan (AWS_KMSasal) dan kunci KMS wilayah tunggal dengan bahan kunci impor (asal EKSTERNAL).
Anda tidak dapat melakukan rotasi sesuai permintaan kunci KMS asimetris, kunci KMS HMAC, kunci KMS multi-wilayah dengan bahan kunci impor, atau kunci KMS di toko kunci khusus. Namun, Anda dapat memutarnya secara manual.
-
Pilih Rotate sekarang. Untuk kunci enkripsi simetris wilayah tunggal dengan bahan kunci yang diimpor, opsi Putar sekarang hanya tersedia jika Anda sebelumnya telah mengimpor materi kunci baru dan dalam status rotasi Tertunda.
-
Baca dan pertimbangkan peringatan dan informasi tentang jumlah rotasi sesuai permintaan yang tersisa untuk kunci tersebut. Anda juga akan melihat informasi seperti ID, deskripsi, dan waktu kedaluwarsa materi kunci yang akan menjadi terkini setelah rotasi. Jika Anda memutuskan bahwa Anda tidak ingin melanjutkan rotasi sesuai permintaan, pilih Batalkan.
-
Pilih tombol Putar untuk mengonfirmasi rotasi sesuai permintaan.
catatan
Rotasi on-demand tunduk pada efek konsistensi akhirnya yang sama seperti operasi AWS KMS manajemen lainnya. Mungkin ada sedikit penundaan sebelum materi kunci baru tersedia di seluruh AWS KMS. Spanduk di bagian atas konsol memberi tahu Anda saat rotasi sesuai permintaan selesai.
Memulai rotasi kunci sesuai permintaan (API)AWS KMS
Anda dapat menggunakan AWS Key Management Service (AWS KMS) API untuk memulai rotasi kunci sesuai permintaan, dan melihat status rotasi saat ini dari setiap kunci yang dikelola pelanggan. Contoh ini menggunakan AWS Command Line Interface
(AWS CLI)
RotateKeyOnDemandOperasi segera memulai rotasi kunci sesuai permintaan untuk kunci KMS yang ditentukan. Untuk mengidentifikasi kunci KMS dalam operasi ini, gunakan ID kunci atau kunci ARN.
Contoh berikut memulai rotasi kunci sesuai permintaan pada kunci KMS enkripsi simetris yang ditentukan dan menggunakan GetKeyRotationStatusoperasi untuk memverifikasi bahwa rotasi sesuai permintaan sedang berlangsung. The OnDemandRotationStartDate in the kms:GetKeyRotationStatus response mengidentifikasi tanggal dan waktu rotasi on-demand yang sedang berlangsung dimulai. Dalam contoh ini, kunci KMS juga memiliki rotasi otomatis yang diaktifkan dengan jangka waktu 365 hari.
$aws kms rotate-key-on-demand --key-id1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab" }$aws kms get-key-rotation-status --key-id1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyRotationEnabled": true, "NextRotationDate": "2024-03-14T18:14:33.587000+00:00", "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00" "RotationPeriodInDays": 365 }
Jika tombol KMS tidak mendukung rotasi otomatis atau tidak mengaktifkan rotasi otomatis, kms:GetKeyRotationStatus respons akan memiliki lebih sedikit bidang seperti yang ditunjukkan pada contoh berikut:
$aws kms rotate-key-on-demand --key-id1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab" }$aws kms get-key-rotation-status --key-id1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyRotationEnabled": false, "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00" }
