キーマテリアルのローテーション

承認済みユーザーは、カスタマー管理の KMS キーの自動年次ローテーションを有効にできます。 AWS マネージドキー は、毎年ローテーションされます。

KMS キーがローテーションされると、新しい HBK が作成され、すべての新しい暗号化リクエストのキーマテリアルの現在のバージョンとしてマークされます。HBK の以前のすべてのバージョンは、この HBK バージョンを使用して暗号化された暗号文を復号化するために引き続き永続的に使用できます。 AWS KMS は KMS キーで暗号化された暗号文を保存しないため、古いローテーションされた HBK で暗号化された暗号文では、HBK が復号化する必要があります。ReEncrypt API を使用して KMS キーの新しい HBK で暗号文を再度暗号化すること、またはプレーンテキストを公開することなく別の KMS キーで暗号文を再度暗号化することができます。

キーローテーションの有効化と無効化詳細については、AWS Key Management Service デベロッパーガイドの「AWS KMS キーのローテーション」を参照してください。