Listar rodízios e materiais de chave (console)Listar rodízios e materiais de chave (API do AWS KMS)

Listar rodízios e materiais de chave

As chaves do KMS que são compatíveis com o rodízio automático ou sob demanda podem ter vários materiais de chave associados a elas. Essas chaves têm um material de chave inicial e um material de chave adicional para cada rodízio automático ou sob demanda.

Usuários autorizados com a permissão de kms:ListKeyRotations podem usar o console do AWS KMS e a API ListKeyRotations para listar todos os materiais de chave associados a uma chave do KMS, incluindo os de rodízios automáticos e sob demanda concluídos.

Tópicos

Listar rodízios e materiais de chave (console)
Listar rodízios e materiais de chave (API do AWS KMS)

Listar rodízios e materiais de chave (console)

Faça login no Console de gerenciamento da AWS e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.
Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.
No painel de navegação, escolha Chaves gerenciadas pelo cliente.
Escolha o alias ou ID de chave de uma chave do KMS.
Escolha a guia Material de chave e rodízios.
- A guia Material de chave e rodízios aparece somente na página de detalhes das chaves do KMS de criptografia simétrica compatíveis com rodízio automático ou sob demanda. Isso inclui chaves do KMS com material de chave AWS KMS gerado (origem AWS_KMS) e chaves do KMS de região única com material de chave importado (origem EXTERNAL).
- A tabela Materiais de chave na guia Material de chave e rodízios lista todos os materiais de chave associados à chave do KMS. Para cada material de chave, a entrada correspondente exibe seu identificador exclusivo atribuído pelo AWS KMS, a data de rodízio e o estado do material de chave. A data de rodízio identifica quando o material de chave se tornou atual após um rodízio de chaves automático ou sob demanda. Não há data de rodízio associada ao primeiro material de chave ou ao material de chave com Pending rotation. O estado do material de chave determina como o AWS KMS usa o material de chave. Material de chave atual é usado tanto para criptografia quanto para descriptografia. Material de chave não atual é usado somente para descriptografia. Um estado Pending rotation do material de chave indica que o material de chave está preparado para rodízio. Esse material de chave não é usado para nenhuma operação criptográfica até que um rodízio de chaves sob demanda o torne o material de chave atual. As informações adicionais exibidas para o material de chave dependem do tipo de chave do KMS.
- Para chaves do KMS de criptografia simétrica com a origem AWS_KMS, cada linha também exibe o tipo de rodízio: On-demand ou Automatic.
- As chaves do KMS de criptografia simétrica de região única com material de chave importado (origem EXTERNAL) são compatíveis somente com rodízio On-demand, portanto, não há uma coluna de tipo de rodízio. Em vez disso, cada linha exibe um estado de importação, uma descrição especificada pelo usuário, informações de expiração e um menu Ações. O estado de importação é Importado, indicando que o material de chave está disponível no AWS KMS, ou Importação pendente, indicando que o material de chave não está disponível no AWS KMS. O menu Ações pode ser usado para excluir material de chave importado ou reimportar material de chave. A ação Excluir material de chave estará desabilitada se o estado de importação do material de chave for Importação pendente. A ação Reimportar material de chave está sempre disponível. Você não precisa esperar a expiração ou exclusão de um material de chave para importá-lo novamente.

Listar rodízios e materiais de chave (API do AWS KMS)

É possível usar a API do AWS Key Management Service (AWS KMS) para iniciar o rodízio de chaves sob demanda e visualizar o status atual do rodízio de qualquer chave gerenciada pelo cliente. Este exemplo usa a AWS Command Line Interface (AWS CLI), mas você pode usar qualquer linguagem de programação compatível.

A operação ListKeyRotations lista todos os rodízios e materiais de chave para a chave do KMS especificada. Para identificar a chave do KMS nessas operações, use seu ID de chave ou ARN de chave.

Essa operação é compatível com um parâmetro opcional IncludeKeyMaterial. O valor padrão desse parâmetro é ROTATIONS_ONLY. Se você omitir esse parâmetro, o AWS KMS retornará informações sobre os materiais de chave criados pelo rodízio de chaves automático ou sob demanda. Quando você especifica um valor de ALL_KEY_MATERIAL, o AWS KMS adiciona à resposta o primeiro material de chave e qualquer material de chave importado com rodízio pendente. Esse parâmetro pode ser usado somente com chaves do KMS compatíveis com rodízio de chaves automático ou sob demanda.


$ aws kms list-key-rotations --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --inlcude-key-material ALL_KEY_MATERIAL
{
    "Rotations": [
        {
            "KeyId": 1234abcd-12ab-34cd-56ef-1234567890ab,
            "KeyMaterialId": 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0,
            "KeyMaterialDescription": "KeyMaterialA",
            "ImportState": "PENDING_IMPORT",
            "KeyMaterialState": "NON_CURRENT"
        },
        {
            "KeyId": 1234abcd-12ab-34cd-56ef-1234567890ab,
            "KeyMaterialId": 96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068,
            "ImportState": "IMPORTED",
            "KeyMaterialState": "CURRENT",
            "ExpirationModel": "KEY_MATERIAL_DOES_NOT_EXPIRE",
            "RotationDate": "2025-05-01T15:50:51.045000-07:00",
            "RotationType": "ON_DEMAND"
        }
    ],
    "Truncated": false
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Executar alternância de chaves sob demanda

Alternar chaves manualmente