Listar rodízios e materiais de chave (console)Listar rotações e principais materiais (AWS KMS API)

Listar rodízios e materiais de chave

As chaves do KMS compatíveis com o rodízio automático ou sob demanda podem ter vários materiais de chave associados a elas. Essas chaves têm um material de chave inicial e um material de chave adicional para cada rodízio automático ou sob demanda.

Usuários autorizados com kms:ListKeyRotations permissão podem usar o AWS KMS console e a ListKeyRotationsAPI para listar todos os principais materiais associados a uma chave KMS, incluindo aqueles de rotações automáticas e sob demanda concluídas.

Tópicos

Listar rodízios e materiais de chave (console)
Listar rotações e principais materiais (AWS KMS API)

Listar rodízios e materiais de chave (console)

Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.
Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.
No painel de navegação, escolha Chaves gerenciadas pelo cliente.
Escolha o alias ou ID de chave de uma chave do KMS.
Escolha a guia Material de chave e rodízios.
- A guia Material de chave e rodízios aparece somente na página de detalhes das chaves do KMS de criptografia simétrica compatíveis com rodízio automático ou sob demanda. Isso inclui chaves KMS com material de chave AWS KMS gerado (AWS_KMSorigem) e chaves KMS com material de chave importado (EXTERNALorigem).
- A tabela Materiais de chave na guia Material de chave e rodízios lista todos os materiais de chave associados à chave do KMS. Para cada material de chave, a entrada correspondente exibe seu identificador exclusivo atribuído pelo AWS KMS, a data de rodízio e o estado do material de chave. A data de rodízio identifica quando o material de chave se tornou atual após um rodízio de chaves automático ou sob demanda. Não há data de rodízio associada ao primeiro material de chave ou ao material de chave com Pending rotation. O estado do material chave determina como AWS KMS usa o material chave. Material de chave atual é usado tanto para criptografia quanto para descriptografia. Material de chave não atual é usado somente para descriptografia. Um estado Pending rotation do material de chave indica que o material de chave está preparado para rodízio. Esse material de chave não é usado para nenhuma operação criptográfica até que um rodízio de chaves sob demanda o torne o material de chave atual. As informações adicionais exibidas para o material de chave dependem do tipo de chave do KMS.
- Para chaves do KMS de criptografia simétrica com a origem AWS_KMS, cada linha também exibe o tipo de rodízio: On-demand ou Automatic.
- As chaves KMS de criptografia simétrica com material de chave importado (EXTERNALorigem) suportam apenas On-demand rotação, portanto, não há coluna do tipo rotação. Em vez disso, cada linha exibe um estado de importação, uma descrição especificada pelo usuário, informações de expiração e um menu Ações. O estado de importação é Importado, indicando que o material da chave está disponível no interior, AWS KMS ou Importação pendente, indicando que o material da chave não está disponível no interior AWS KMS. O menu Ações pode ser usado para excluir material de chave importado ou reimportar material de chave. A ação Excluir material de chave estará desabilitada se o estado de importação do material de chave for Importação pendente. A ação Reimportar material de chave está sempre disponível. Você não precisa esperar a expiração ou exclusão de um material de chave para importá-lo novamente.

Listar rotações e principais materiais (AWS KMS API)

É possível usar a API do AWS Key Management Service (AWS KMS) para iniciar o rodízio de chaves sob demanda e visualizar o status atual do rodízio de qualquer chave gerenciada pelo cliente. Este exemplo usa a AWS Command Line Interface (AWS CLI), mas você pode usar qualquer linguagem de programação compatível.

A ListKeyRotationsoperação lista todas as rotações e os materiais principais da chave KMS especificada. Para identificar a chave do KMS nessas operações, use seu ID de chave ou ARN de chave.

Essa operação é compatível com um parâmetro opcional IncludeKeyMaterial. O valor padrão desse parâmetro é ROTATIONS_ONLY. Se você omitir esse parâmetro, AWS KMS retornará informações sobre os materiais principais criados pela rotação automática ou sob demanda da chave. Quando você especifica um valor de ALL_KEY_MATERIAL, o AWS KMS adiciona à resposta o primeiro material de chave e qualquer material de chave importado com rodízio pendente. Esse parâmetro pode ser usado somente com chaves do KMS compatíveis com rodízio de chaves automático ou sob demanda.


$ aws kms list-key-rotations --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --inlcude-key-material ALL_KEY_MATERIAL
{
    "Rotations": [
        {
            "KeyId": 1234abcd-12ab-34cd-56ef-1234567890ab,
            "KeyMaterialId": 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0,
            "KeyMaterialDescription": "KeyMaterialA",
            "ImportState": "PENDING_IMPORT",
            "KeyMaterialState": "NON_CURRENT"
        },
        {
            "KeyId": 1234abcd-12ab-34cd-56ef-1234567890ab,
            "KeyMaterialId": 96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068,
            "ImportState": "IMPORTED",
            "KeyMaterialState": "CURRENT",
            "ExpirationModel": "KEY_MATERIAL_DOES_NOT_EXPIRE",
            "RotationDate": "2025-05-01T15:50:51.045000-07:00",
            "RotationType": "ON_DEMAND"
        }
    ],
    "Truncated": false
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Executar alternância de chaves sob demanda

Alternar chaves manualmente