Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esegui la rotazione dei tasti su richiesta
È possibile eseguire la rotazione su richiesta del materiale chiave nelle chiavi KMS gestite dal cliente, indipendentemente dal fatto che la rotazione automatica delle chiavi sia abilitata o meno. La disabilitazione della rotazione automatica (DisableKeyRotation) non influisce sulla capacità di eseguire rotazioni su richiesta, né annulla le rotazioni su richiesta in corso. Le rotazioni su richiesta non modificano i programmi di rotazione automatici esistenti. Ad esempio, considera una chiave KMS con rotazione automatica abilitata con un periodo di rotazione di 730 giorni. Se la chiave è programmata per ruotare automaticamente il 14 aprile 2024 e tu esegui una rotazione su richiesta il 10 aprile 2024, la chiave ruoterà automaticamente, come previsto, il 14 aprile 2024 e successivamente ogni 730 giorni.
È possibile eseguire la rotazione dei tasti su richiesta un massimo di 10 volte per chiave KMS. Puoi utilizzare la AWS KMS console per visualizzare il numero di rotazioni su richiesta rimanenti disponibili per una chiave KMS.
La rotazione delle chiavi su richiesta è supportata solo sulle chiavi KMS con crittografia simmetrica. Non è possibile eseguire la rotazione su richiesta di chiavi KMS asimmetriche, chiavi KMS HMAC, chiaviKMS multiregione con materiale chiave importato o chiavi KMS in un archivio di chiavi personalizzato. Per eseguire la rotazione su richiesta di un set di chiavi multiregionali correlate, richiama la rotazione su richiesta sulla chiave primaria.
Gli utenti autorizzati con kms:RotateKeyOnDemand e kms:GetKeyRotationStatus autorizzazioni possono utilizzare la AWS KMS console e l' AWS KMS API per avviare la rotazione delle chiavi su richiesta e visualizzare lo stato di rotazione delle chiavi. ListKeyRotationsDa utilizzare per visualizzare le rotazioni completate per una chiave KMS.
Argomenti
Avvio della rotazione dei tasti su richiesta (console)
-
Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.
-
Nel riquadro di navigazione, scegli Chiavi gestite dal cliente. (Non è possibile eseguire la rotazione su richiesta di. Chiavi gestite da AWS Vengono ruotate automaticamente ogni anno.)
-
Scegli l'alias o l'ID chiave di una chiave KMS.
-
Scegliete la scheda Materiale chiave e rotazioni.
La scheda Materiale chiave e rotazioni viene visualizzata solo nella pagina di dettaglio delle chiavi KMS con crittografia simmetrica che supportano la rotazione automatica o su richiesta. Ciò include le chiavi KMS con materiale chiave AWS KMS generato (AWS_KMSorigine) e le chiavi KMS a regione singola con materiale chiave importato (origine ESTERNA).
Non è possibile eseguire la rotazione su richiesta di chiavi KMS asimmetriche, chiavi KMS HMAC, chiavi KMS multiregione con materiale chiave importato o chiavi KMS negli archivi di chiavi personalizzati. Tuttavia è possibile ruotare queste chiavi manualmente.
-
Scegli Ruota ora. Per le chiavi di crittografia simmetriche a regione singola con materiale chiave importato, l'opzione Ruota ora è disponibile solo se in precedenza hai importato nuovo materiale chiave e lo stato di rotazione è in sospeso.
-
Leggi e considera l'avviso e le informazioni sul numero di rotazioni su richiesta rimanenti per la chiave. Verranno inoltre visualizzate informazioni come l'ID, la descrizione e l'ora di scadenza del materiale chiave che diventeranno aggiornate dopo la rotazione. Se decidi di non voler procedere con la rotazione su richiesta, scegli Annulla.
-
Scegli il tasto Rotazione per confermare la rotazione su richiesta.
Nota
La rotazione su richiesta è soggetta agli stessi eventuali effetti di coerenza delle altre operazioni di gestione. AWS KMS Potrebbe esserci un leggero ritardo prima che il nuovo materiale chiave sia disponibile in AWS KMS. Il banner nella parte superiore della console ti avvisa quando la rotazione su richiesta è completa.
Avvio della rotazione delle chiavi su richiesta (API)AWS KMS
È possibile utilizzare l'API AWS Key Management Service (AWS KMS) per avviare la rotazione delle chiavi su richiesta e visualizzare lo stato di rotazione corrente di qualsiasi chiave gestita dal cliente. Questo esempio utilizza il AWS Command Line Interface
(AWS CLI)
L'RotateKeyOnDemandoperazione avvia immediatamente la rotazione delle chiavi su richiesta per la chiave KMS specificata. Per identificare la chiave KMS in queste operazioni, utilizza l'ID chiave o l'ARN di chiave.
L'esempio seguente avvia la rotazione delle chiavi su richiesta sulla chiave KMS di crittografia simmetrica specificata e utilizza l'GetKeyRotationStatusoperazione per verificare che la rotazione su richiesta sia in corso. OnDemandRotationStartDateNella kms:GetKeyRotationStatus risposta identifica la data e l'ora in cui è stata avviata una rotazione su richiesta in corso. In questo esempio, la chiave KMS ha anche la rotazione automatica abilitata con un periodo di 365 giorni.
$aws kms rotate-key-on-demand --key-id1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab" }$aws kms get-key-rotation-status --key-id1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyRotationEnabled": true, "NextRotationDate": "2024-03-14T18:14:33.587000+00:00", "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00" "RotationPeriodInDays": 365 }
Se la chiave KMS non supporta la rotazione automatica o non ha la rotazione automatica abilitata, la kms:GetKeyRotationStatus risposta avrebbe meno campi, come mostrato nell'esempio seguente:
$aws kms rotate-key-on-demand --key-id1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab" }$aws kms get-key-rotation-status --key-id1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyRotationEnabled": false, "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00" }
