Alternar a chave de ramificação ativa - AWS SDK de criptografia de banco de dados da

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Alternar a chave de ramificação ativa

Só pode haver uma versão ativa para cada chave de ramificação por vez. Normalmente, cada versão ativa da chave de ramificação é usada para atender a várias solicitações. Porém, você controla até que ponto as chaves de ramificação ativas são reutilizadas e determina com que frequência a chave de ramificação ativa é alternada.

As chaves de ramificação não são usadas para criptografar chaves de dados em texto simples. Eles são usados para derivar as chaves de empacotamento exclusivas que criptografam chaves de dados de texto simples. O processo de derivação da chave de empacotamento produz uma chave de empacotamento exclusiva de 32 bytes com 28 bytes de randomização. Isso significa que uma chave de ramificação pode derivar mais de 79 octilhões, ou 296, chaves de empacotamento exclusivas antes que ocorra o desgaste criptográfico. Apesar desse risco de exaustão muito baixo, talvez seja necessário alternar suas chaves de ramificações ativas devido a regras comerciais ou contratuais ou regulamentações governamentais.

A versão ativa da chave de ramificação permanece ativa até que você a alterne. As versões anteriores da chave de ramificação ativa não serão usadas para realizar operações de criptografia e não podem ser usadas para derivar novas chaves de empacotamento, mas ainda podem ser consultadas e fornecer chaves de empacotamento para descriptografar as chaves de dados que eles criptografaram enquanto estavam ativos.

Atenção

A exclusão de chaves de ramificação em ambientes de teste é irreversível. Você não pode recuperar chaves de ramificação excluídas. Quando você exclui e recria chaves de ramificação com a mesma ID em ambientes de teste, os seguintes problemas podem ocorrer:

  • Materiais de testes anteriores podem permanecer no cache

  • Alguns hosts ou threads de teste podem criptografar dados usando chaves de ramificação excluídas.

  • Os dados criptografados com ramificações excluídas não podem ser descriptografados

Para evitar falhas de criptografia nos testes de integração:

  • Redefina a referência hierárquica do chaveiro antes de criar novas chaves de ramificação OU

  • Use uma chave de ramificação exclusiva IDs para cada teste

Permissões obrigatórias

Para girar as chaves de ramificação, você precisa das ReEncrypt permissões kms: GenerateDataKeyWithoutPlaintext e kms: na chave KMS especificada nas ações do seu armazenamento de chaves.

Alternar uma chave de ramificação ativa

Use a VersionKey operação para alternar sua chave de ramificação ativa. Quando você alterna a chave de ramificação ativa, uma nova chave de ramificação é criada para substituir a versão anterior. O branch-key-id não muda quando você alterna a chave de ramificação ativa. Você deve especificar o branch-key-id que identificará a chave de ramificação ativa atual quando você chamar VersionKey.

Java
keystore.VersionKey(
    VersionKeyInput.builder()
        .branchKeyIdentifier("branch-key-id")
        .build()
);
C# / .NET
 keystore.VersionKey(new VersionKeyInput{BranchKeyIdentifier = branchKeyId});
Rust
keystore.version_key()
        .branch_key_identifier(branch_key_id)
        .send()
        .await?;