As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Girar AWS KMS keys
Para criar um novo material criptográfico para suas [chaves gerenciadas pelo cliente](concepts.md#customer-mgn-key), você pode criar novas chaves do KMS e, em seguida, alterar suas aplicações ou seus aliases para usar essas novas chaves do KMS. Como alternativa, você pode alternar o material de chave associado a uma chave existente do KMS habilitando a alternância automática da chave ou executando a alternância sob demanda.
Por padrão, quando você ativa a *rotação automática de chaves* para uma chave KMS, AWS KMS gera novo material criptográfico para a chave KMS todos os anos. Você também pode especificar um personalizado [rotation-period](#rotation-period) para definir o número de dias após ativar a rotação automática de chaves que AWS KMS girará o material da chave e o número de dias entre cada rotação automática a partir de então. Se precisar iniciar imediatamente a alternância do material de chave, você poderá realizar a *alternância sob demanda*, independentemente de a alternância automática de chaves estar ou não habilitada. As alternâncias sob demanda não alteram os cronogramas de alternância automática existentes.
Você pode [acompanhar a rotação](#monitor-key-rotation) do material de chaves para suas chaves KMS na Amazon CloudWatch e no AWS Key Management Service console. AWS CloudTrail Você também pode usar a [GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html)operação para verificar se a rotação automática está habilitada para uma chave KMS e identificar quaisquer rotações sob demanda em andamento. Você pode usar a [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)operação para visualizar os detalhes das rotações concluídas.
O rodízio de chaves troca somente o *material de chave*, que é o segredo criptográfico usado em operações de criptografia. Quando você usa a chave KMS rotacionada para descriptografar texto cifrado, AWS KMS usa o material de chave que foi usado para criptografá-la. Não é possível selecionar um material de chave específico para operações de descriptografia. O AWS KMS escolhe automaticamente a versão correta do material de chave. Como a decodificação é AWS KMS transparente com o material de chave apropriado, você pode usar com segurança uma chave KMS girada em aplicativos e sem alterações no código. Serviços da AWS
A chave do KMS é o mesmo recurso lógico, independentemente da ocorrência de alterações ou do número de vezes que estas tenham sido feitas no material de chave. As propriedades da chave do KMS não são alteradas, conforme mostrado na imagem a seguir.
![\[Key rotation process showing key material change while Key ID remains constant.\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/images/key-rotation-auto.png)
Você pode optar por criar uma nova chave do KMS e usá-la em vez da chave do KMS original. Isso tem o mesmo efeito que alternar o material da chave em uma chave do KMS existente e, portanto, normalmente é considerado como [alternar manualmente a chave](rotate-keys-manually.md). [A rotação manual é uma boa opção quando você deseja girar chaves KMS que não estão qualificadas para rotação automática ou sob demanda, incluindo chaves KMS [assimétricas, chaves HMAC KMS e chaves](symmetric-asymmetric.md)[KMS em lojas de chaves personalizadas](hmac.md).](key-store-overview.md#custom-key-store-overview)
**nota**
O rodízio de chaves não afeta os dados protegidos pela chave do KMS. Ele não faz rodízio das chaves de dados geradas pela chave do KMS nem criptografa novamente nenhum dado protegido pela chave do KMS. O rodízio de chaves não mitiga o efeito de uma chave de dados comprometida.
**Alternância de chaves e definição de preço**
AWS KMS cobra uma taxa mensal pela primeira e segunda rotação do material de chave mantido para sua chave KMS. Esse aumento de preço é limitado à segunda alternância, e qualquer alternância subsequente não será cobrada. Para obter mais informações, consulte [Definição de preço do AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
**nota**
É possível usar o [AWS Cost Explorer Service](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-what-is.html) para ver um detalhamento das cobranças de armazenamento de chaves. Por exemplo, é possível filtrar a visualização para ver o total de cobranças de chaves cobradas como chaves KMS atuais e alternadas especificando `$REGION-KMS-Keys` para o **Tipo de Uso** e agrupando os dados por **Operação de API**.
Talvez você ainda veja instâncias da operação da API `Unknown` legada para datas históricas.
**Alternância de chaves e cotas**
Cada chave do KMS conta como uma chave ao calcular cotas de recursos de chaves, independentemente do número de versões de material de chave alternadas.
Para obter informações detalhadas sobre chaves de backup e alternância, consulte o [Detalhes criptográficos do AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/cryptographic-details/).
**Topics**
+ [Por que alternar as chaves do KMS?](#rotating-kms-keys)
+ [Funcionamento da alternância](#rotate-keys-how-it-works)
+ [Habilitar a alternância automática de chave](rotating-keys-enable.md)
+ [Desabilitar a alternância automática de chave](rotating-keys-disable.md)
+ [Executar alternância de chaves sob demanda](rotating-keys-on-demand.md)
+ [Listar rodízios e materiais de chave](list-rotations.md)
+ [Alternar chaves manualmente](rotate-keys-manually.md)
+ [Alterar a chave primária em um conjunto de chaves de várias regiões](multi-region-update.md)
## Por que alternar as chaves do KMS?
As melhores práticas criptográficas desencorajam a reutilização extensiva de chaves que criptografam dados diretamente, como as chaves de [dados](data-keys.md) geradas. AWS KMS Quando as chaves de dados de 256 bits criptografam milhões de mensagens, elas podem se esgotar e começar a produzir texto cifrado com padrões sutis que atores inteligentes podem explorar para descobrir os bits da chave. É melhor usar as chaves de dados uma vez ou somente algumas vezes para reduzir esse esgotamento de chaves.
No entanto, as chaves do KMS são mais frequentemente usadas como *chaves de empacotamento*, também conhecidas como *chaves de criptografia de chaves*. Em vez de criptografar dados, as chaves de empacotamento criptografam as chaves de dados que criptografam seus dados. Dessa forma, elas são usadas com muito menos frequência do que as chaves de dados e quase nunca são reutilizadas o suficiente para correr o risco de esgotamento das chaves.
Apesar desse risco de exaustão muito baixo, talvez seja necessário alternar suas chaves do KMS devido a regras comerciais ou contratuais, ou regulamentações governamentais. Quando for obrigado a fazer o rodízio de chaves do KMS, recomendamos que você use o rodízio de chaves automático, sempre que possível, use o rodízio de chaves manual quando o rodízio de chaves automático não for compatível e o rodízio de chaves manual quando nem o rodízio automático nem o rodízio sob demanda forem compatíveis.
Você poderá considerar realizar alternâncias sob demanda para demonstrar os principais recursos de alternância de material de chave ou para validar scripts de automação. Recomendamos usar rodízios sob demanda para rodízios não planejados e usar o rodízio de chaves automático com um [período de rodízio](#rotation-period) personalizado sempre que possível.
## Funcionamento da alternância
AWS KMS a rotação da chave foi projetada para ser transparente e fácil de usar. AWS KMS suporta rotação opcional de chaves automática e sob demanda somente para [chaves gerenciadas pelo cliente](concepts.md#customer-mgn-key).
**Alternância automática de chaves**
AWS KMS gira a chave KMS automaticamente na próxima data de rotação definida pelo seu período de rotação. Você não precisa lembrar nem programar a atualização.
A rotação automática de chaves é suportada somente em chaves KMS de criptografia simétrica com material de chave que AWS KMS gera (`AWS_KMS`origem).
A rotação automática é opcional para chaves KMS gerenciadas pelo cliente. AWS KMS sempre alterna o material da chave para as chaves AWS gerenciadas do KMS todos os anos. A rotação das chaves KMS de AWS propriedade é gerenciada pelo AWS service (Serviço da AWS) proprietário da chave.
**Alternância sob demanda**
Inicie imediatamente a alternância do material de chave associado à sua chave do KMS, independentemente de a alternância automática de chaves estar ou não habilitada.
A rotação de chaves sob demanda é suportada em chaves KMS de criptografia simétrica com material de chave que AWS KMS gera (`AWS_KMS`origem) e chaves KMS de criptografia simétrica com material de chave importado (origem). `EXTERNAL`
**Rodízio manual**
Nem o rodízio automático nem o rodízio sob demanda são compatíveis com os seguintes tipos de chave do KMS, mas você pode [fazer o rodízio dessas chaves do KMS manualmente](rotate-keys-manually.md).
+ [Chaves do KMS assimétricas](symmetric-asymmetric.md)
+ [Chaves do KMS de HMAC](hmac.md)
+ Chaves do KMS em [armazenamentos de chaves personalizados](key-store-overview.md#custom-key-store-overview)
**Gerenciamento do material de chave**
AWS KMS retém todo o material de chaves de uma chave KMS com `AWS_KMS` origem, mesmo se a rotação de chaves estiver desativada. AWS KMS exclui o material da chave somente quando você exclui a chave KMS.
Você gerencia os materiais de chave para chaves de criptografia simétrica com a origem `EXTERNAL`. Você pode excluir qualquer material chave usando a [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)operação ou definir um prazo de validade ao importar o material. A chave do KMS se torna inutilizável no momento que algum de seus materiais expira ou é excluído.
**Uso do material de chave**
Quando você usa uma chave KMS rotacionada para criptografar dados, AWS KMS usa o material de chave atual. Quando você usa a chave do KMS alternada para descriptografar texto cifrado, o AWS KMS usa a mesma versão do material de chave que foi usado para criptografá-lo. Você não pode selecionar uma versão específica do material chave para operações de descriptografia, escolhe AWS KMS automaticamente a versão correta.
**Período de alternância**
O período de rotação define o número de dias após você ativar a rotação automática de chaves que AWS KMS girará seu material de chaves e o número de dias entre cada rotação automática de chaves a partir de então. Se você não especificar um valor para `RotationPeriodInDays` ao habilitar a alternância automática de chaves, o valor padrão será de 365 dias.
Você pode usar a chave de RotationPeriodInDays condição [kms:](conditions-kms.md#conditions-kms-rotation-period-in-days) para restringir ainda mais os valores que os principais podem especificar no parâmetro. `RotationPeriodInDays`
**Data de rotação**
A data do rodízio corresponde a data em que o material de chave atual de uma chave do KMS foi atualizado como resultado do rodízio automático (programado) ou de um rodízio de chaves sob demanda.
**Data de alternância**
AWS KMS gira automaticamente a chave KMS na data de rotação definida pelo seu período de rotação. O período de alternância padrão é de 365 dias.
**Chaves gerenciadas pelo cliente**
Como a alternância automática de chaves é opcional nas [chaves gerenciadas pelo cliente](concepts.md#customer-mgn-key) e pode ser ativada e desativada a qualquer momento, a data de alternância dependerá da data em que a alternância foi ativada mais recentemente. A data pode mudar se você modificar o período de alternância para uma chave na qual você habilitou anteriormente a alternância automática de chaves. A data de alternância pode mudar várias vezes ao longo da vida útil da chave.
Por exemplo, se você criar uma chave gerenciada pelo cliente em 1.º de janeiro de 2022 e habilitar a alternância automática de chaves com o período padrão de alternância de 365 dias em 15 de março de 2022, o AWS KMS alternará o material da chave em 15 de março de 2023, 15 de março de 2024 e a cada 365 dias desse ponto em diante.
Os exemplos a seguir pressupõem que a alternância automática de chaves foi habilitada com o período de alternância padrão de 365 dias. Esses exemplos apresentam casos especiais que podem afetar o período de alternância de uma chave.
+ Desabilitar a alternância de chaves — Se você [desabilitar a alternância de chaves automática](rotating-keys-disable.md) a qualquer momento, a chave do KMS continuará usando a versão do material de chaves que estava usando quando a alternância foi desabilitada. Se você ativar a rotação automática da chave novamente, AWS KMS gira o material da chave com base na nova data de ativação da rotação.
+ Chaves KMS desativadas — Quando uma chave KMS está desativada, AWS KMS ela não é girada. No entanto, o status da alternância de chaves não muda, e você não pode alterá-lo enquanto a chave do KMS está desabilitada. Quando a chave KMS é reativada, se o material da chave tiver passado da última data de rotação programada, ele será AWS KMS rotacionado imediatamente. Se o material da chave não tiver perdido a última data de rotação programada, AWS KMS retoma a programação de rotação da chave original.
+ Chaves KMS com exclusão pendente — Enquanto uma chave KMS está pendente de exclusão, AWS KMS não a gira. O status da alternância de chaves é definido como `false` e você não pode alterá-lo enquanto a exclusão estiver pendente. Se a exclusão for cancelada, o status da alternância de chaves anterior será restaurado. Se o material principal tiver passado da última data de rotação programada, ele será AWS KMS rotacionado imediatamente. Se o material da chave não tiver perdido a última data de rotação programada, AWS KMS retoma a programação de rotação da chave original.
**Chaves gerenciadas pela AWS**
AWS KMS gira automaticamente a Chaves gerenciadas pela AWS cada ano (aproximadamente 365 dias). Não é possível habilitar ou desabilitar a alternância de chaves para [Chaves gerenciadas pela AWS](concepts.md#aws-managed-key).
O material principal de um Chave gerenciada pela AWS é rotacionado primeiro um ano após a data de criação e, a partir de então, todos os anos (aproximadamente 365 dias a partir da última rotação).
Em maio de 2022, AWS KMS alterou o cronograma de rotação Chaves gerenciadas pela AWS de três em três anos (aproximadamente 1.095 dias) para todos os anos (aproximadamente 365 dias).
**Chaves pertencentes à AWS**
Não é possível habilitar ou desabilitar a alternância de chaves para Chaves pertencentes à AWS. A estratégia de [rotação de chaves](#rotate-keys) para um Chave pertencente à AWS é determinada pelo AWS serviço que cria e gerencia a chave. Para obter detalhes, consulte o tópico *Criptografia em repouso*, no manual do usuário ou no guia do desenvolvedor do serviço.
**Alternância de chaves de várias regiões**
O comportamento de rotação difere dependendo se o material chave é gerado por AWS KMS (`AWS_KMS`origem) ou importado (`EXTERNAL`origem).
**Chaves multirregionais com origem `AWS_KMS`**
É possível habilitar e desabilitar o rodízio automático e realizar o rodízio sob demanda do material de chave em [chaves multirregionais](multi-region-keys-overview.md) de criptografia simétrica com a origem `AWS_KMS`. A alternância de chaves é uma [propriedade compartilhada](multi-region-keys-overview.md#mrk-sync-properties) de chaves de várias regiões.
Você habilita e desabilita a alternância automática de chaves somente na chave primária. Você inicia a alternância sob demanda apenas na chave primária.
+ Quando AWS KMS sincroniza as chaves multirregionais, ele copia a configuração da propriedade de rotação da chave primária para todas as chaves de réplica relacionadas.
+ Quando AWS KMS gira o material da chave, ele cria um novo material de chave para a chave primária e, em seguida, copia o novo material de chave além dos limites da região para todas as chaves de réplica relacionadas. O material da chave nunca sai AWS KMS sem criptografia. Essa etapa é cuidadosamente controlada para garantir que o material de chave seja totalmente sincronizado antes que qualquer chave seja usada em uma operação criptográfica.
+ AWS KMS não criptografa nenhum dado com o novo material de chave até que esse material esteja disponível na chave primária e em cada uma de suas chaves de réplica.
+ Quando você replica uma chave primária que foi alternada, a nova chave de réplica tem o material de chave atual e todas as versões anteriores do material de chave para suas chaves de várias regiões relacionadas.
Esse padrão garante que as chaves de várias regiões relacionadas sejam totalmente interoperáveis. Qualquer chave de várias regiões pode descriptografar qualquer texto cifrado por uma chave de várias regiões relacionada, mesmo que esse texto cifrado tenha sido criptografado antes de a chave ser criada.
**Chaves multirregionais com origem `EXTERNAL`**
Você pode realizar a rotação sob demanda do material da chave em [chaves multirregionais](multi-region-keys-overview.md) de criptografia simétrica com origem. `EXTERNAL` A alternância de chaves é uma [propriedade compartilhada](multi-region-keys-overview.md#mrk-sync-properties) de chaves de várias regiões.
Você inicia a rotação sob demanda somente na chave primária depois de importar o novo material de chave para a chave primária e cada chave de réplica.
+ Ao importar um novo material de chave para a chave primária, AWS KMS copia o identificador do material-chave e a descrição do material-chave da chave primária para todas as chaves de réplica relacionadas. Ele não copia o material chave.
+ Você deve importar o mesmo material de chave em cada chave de réplica individualmente. Depois que o material da chave for importado para todas as chaves multirregionais relacionadas, você poderá iniciar a rotação sob demanda na chave primária. Isso garante que AWS KMS não criptografe nenhum dado com o novo material de chave até que esse material esteja disponível na chave primária e em cada uma de suas chaves de réplica.
+ Cada material de chave na chave primária ou em qualquer chave de réplica pode expirar ou ser excluído independentemente de outro material de chave na mesma chave ou em qualquer outra chave multirregional relacionada.
**AWS serviços**
Você pode ativar a rotação automática de chaves nas [chaves gerenciadas pelo cliente](concepts.md#customer-mgn-key) que você usa para criptografia do lado do servidor nos serviços. AWS A rotação anual é transparente e compatível com AWS os serviços.
**Monitoramento da alternância de chaves**
Quando AWS KMS gira o material da chave para uma [chave gerenciada [Chave gerenciada pela AWS](concepts.md#aws-managed-key)ou gerenciada pelo cliente](concepts.md#customer-mgn-key), ele grava um `KMS CMK Rotation` evento na Amazon EventBridge e um [RotateKey evento](ct-rotatekey.md) em seu AWS CloudTrail registro. É possível usar esses registros para verificar se a chave do KMS foi alternada.
Você pode usar o AWS Key Management Service console para visualizar o número de rotações sob demanda restantes e uma lista de todas as rotações de material-chave concluídas para uma chave KMS.
Você pode usar a [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)operação para visualizar os detalhes das rotações concluídas.
**Consistência eventual**
A alternância de chaves está sujeita aos mesmos efeitos de consistência eventual de outras operações de gerenciamento do AWS KMS . Pode haver um pequeno atraso antes que o novo material de chave esteja disponível no AWS KMS. Porém, o material de chave alternante não causa interrupção ou atraso em operações de criptografia. O material de chave atual será usado em operações de criptografia até que o novo material de chave esteja disponível no AWS KMS. Quando o material-chave de uma chave multirregional é rotacionado automaticamente, AWS KMS usa o material de chave atual até que o novo material de chave esteja disponível em todas as regiões com uma chave multirregional relacionada.
# Habilitar a alternância automática de chave
Por padrão, quando você ativa a *rotação automática de chaves* para uma chave KMS, AWS KMS gera novo material criptográfico para a chave KMS todos os anos. Você também pode especificar um personalizado [rotation-period](rotate-keys.md#rotation-period) para definir o número de dias após ativar a rotação automática de chaves que AWS KMS girará o material da chave e o número de dias entre cada rotação automática a partir de então.
A alternância de chaves automática tem os seguintes benefícios:
+ As propriedades da chave do KMS, incluindo seu [ID de chave](concepts.md#key-id-key-id), [ARN de chave](concepts.md#key-id-key-ARN), região, políticas e permissões, não são alteradas quando há alternância na chave.
+ Não é necessário alterar aplicações ou aliases que fazem referência ao ID de chave ou ARN de chave da chave do KMS.
+ A alternância do material de chave não afeta o uso da chave do KMS em nenhum AWS service (Serviço da AWS).
+ Depois de ativar a rotação da chave, AWS KMS gira a chave KMS automaticamente na próxima data de rotação definida pelo seu período de rotação. Você não precisa lembrar nem programar a atualização.
Você pode ativar a rotação automática da chave no AWS KMS console ou usando a [EnableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html)operação. Para habilitar a alternância automática de chave, você precisará de permissões `kms:EnableKeyRotation`. Para obter mais informações sobre AWS KMS permissões, consulte [Referência de permissões](kms-api-permissions-reference.md) o.
## Usando o AWS KMS console
1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.
1. No painel de navegação, escolha **Chaves gerenciadas pelo cliente**. (Não é possível habilitar ou desabilitar a alternância de Chaves gerenciadas pela AWS. Elas são alternadas automaticamente a cada ano.)
1. Escolha o alias ou ID de chave de uma chave do KMS.
1. Selecione a guia **Key rotation (Rotação de chaves)**.
A guia **Rotação de chaves** aparece somente na página de detalhes das chaves KMS de criptografia simétrica com o material de chave AWS KMS gerado (a **origem** é **AWS\$1KMS**), incluindo chaves KMS de criptografia simétrica [multirregional](rotate-keys.md#multi-region-rotate).
Não é possível alternar automaticamente chaves do KMS assimétricas, chaves do KMS de HMAC, chaves do KMS com [material de chave importado](importing-keys.md) nem chaves do KMS em [armazenamentos personalizados de chave](key-store-overview.md#custom-key-store-overview). No entanto, é possível [alterná-las manualmente](rotate-keys-manually.md).
1. Na seção **Alternância automática de chaves**, escolha **Editar**.
1. Em **Alternância de chaves**, selecione **Habilitar**.
**nota**
Se uma chave KMS estiver desativada ou pendente de exclusão, AWS KMS ela não rotacionará o material da chave e você não poderá atualizar o status da rotação automática da chave ou o período de rotação. Para atualizar a configuração de alternância automática de chaves, habilite a chave do KMS ou cancele a exclusão. Para obter mais detalhes, consulte [Funcionamento da alternância](rotate-keys.md#rotate-keys-how-it-works) e [Principais estados das AWS KMS chaves](key-state.md).
1. (Opcional) Digite um período de alternância entre 90 e 2.560 dias. O valor padrão é de 365 dias. Se você não especificar um período de rotação personalizado, AWS KMS alternará o material da chave todos os anos.
Você pode usar a chave de RotationPeriodInDays condição [kms:](conditions-kms.md#conditions-kms-rotation-period-in-days) para limitar os valores que os diretores podem especificar para o período de rotação.
1. Escolha **Salvar**.
## Usando a AWS KMS API
É possível usar a [API do AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/APIReference/) para habilitar a alternância automática de chaves e visualizar o status atual da alternância de qualquer chave gerenciada pelo cliente. Estes exemplos usam a [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mas você pode usar qualquer linguagem de programação compatível.
A [EnableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html)operação permite a rotação automática de chaves para a chave KMS especificada. Para identificar a chave do KMS nessa operação, use seu [ID de chave](concepts.md#key-id-key-id) ou [ARN de chave](concepts.md#key-id-key-ARN). Por padrão, a mudança de chaves está desabilitada nas chaves gerenciadas de cliente.
Você pode usar a chave de [ kms:RotationPeriodInDays](conditions-kms.md#conditions-kms-rotation-period-in-days)condição para limitar os valores que os diretores podem especificar para o `RotationPeriodInDays` parâmetro de uma `EnableKeyRotation` solicitação.
O exemplo a seguir permite a rotação de chaves com um período de rotação de 180 dias na chave KMS de criptografia simétrica especificada e usa a [GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html)operação para ver o resultado.
```
$ aws kms enable-key-rotation \
--key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--rotation-period-in-days 180
$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyRotationEnabled": true,
"RotationPeriodInDays": 180,
"NextRotationDate": "2024-02-14T18:14:33.587000+00:00"
}
```
# Desabilitar a alternância automática de chave
Após habilitar a alternância automática de chaves em uma chave gerenciada pelo cliente, você poderá optar por desabilitá-la a qualquer momento.
Se você desabilitar a alternância automática de chaves, a chave do KMS continuará usando a versão do material de chave que estava usando quando a alternância foi desabilitada. Se você ativar a rotação automática da chave novamente, AWS KMS gira o material da chave com base na nova data de ativação da rotação.
Desabilitar a alternância automática não afeta sua capacidade de [realizar alternâncias sob demanda](rotating-keys-on-demand.md), nem cancela nenhuma alternância sob demanda que esteja em andamento.
Você pode desativar a rotação automática de chaves no AWS KMS console ou usando a [DisableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKeyRotation.html)operação. Para desabilitar a alternância automática de chave, você precisará de permissões `kms:DisableKeyRotation`. Para obter mais informações sobre AWS KMS permissões, consulte [Referência de permissões](kms-api-permissions-reference.md) o.
## Usando o AWS KMS console
1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.
1. No painel de navegação, escolha **Chaves gerenciadas pelo cliente**. (Não é possível habilitar ou desabilitar a alternância de Chaves gerenciadas pela AWS. Elas são alternadas automaticamente a cada ano.)
1. Escolha o alias ou ID de chave de uma chave do KMS.
1. Selecione a guia **Key rotation (Rotação de chaves)**.
A guia **Rotação de chaves** aparece somente na página de detalhes das chaves KMS de criptografia simétrica com o material de chave AWS KMS gerado (a **origem** é **AWS\$1KMS**), incluindo chaves KMS de criptografia simétrica [multirregional](rotate-keys.md#multi-region-rotate).
Não é possível alternar automaticamente chaves do KMS assimétricas, chaves do KMS de HMAC, chaves do KMS com [material de chave importado](importing-keys.md) nem chaves do KMS em [armazenamentos personalizados de chave](key-store-overview.md#custom-key-store-overview). No entanto, é possível [alterná-las manualmente](rotate-keys-manually.md).
1. Na seção **Alternância automática de chaves**, escolha **Editar**.
1. Em **Alternância de chaves**, selecione **Desabilitar**.
**nota**
Se uma chave KMS estiver desativada ou pendente de exclusão, AWS KMS ela não rotacionará o material da chave e você não poderá atualizar o status da rotação automática da chave ou o período de rotação. Para atualizar a configuração de alternância automática de chaves, habilite a chave do KMS ou cancele a exclusão. Para obter mais detalhes, consulte [Funcionamento da alternância](rotate-keys.md#rotate-keys-how-it-works) e [Principais estados das AWS KMS chaves](key-state.md).
1. Escolha **Salvar**.
## Usando a AWS KMS API
É possível usar a [API do AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/APIReference/) para desabilitar a alternância automática de chaves e visualizar o status atual da alternância de qualquer chave gerenciada pelo cliente. Este exemplo usa a [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mas você pode usar qualquer linguagem de programação compatível.
A [DisableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKeyRotation.html)operação desativa a rotação automática da chave. Para identificar a chave do KMS nessa operação, use seu [ID de chave](concepts.md#key-id-key-id) ou [ARN de chave](concepts.md#key-id-key-ARN). Por padrão, a mudança de chaves está desabilitada nas chaves gerenciadas de cliente.
O exemplo a seguir desativa a rotação automática de chaves na chave KMS de criptografia simétrica especificada e usa a [GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html)operação para ver o resultado.
```
$ aws kms disable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyRotationEnabled": false
}
```
# Executar alternância de chaves sob demanda
Você pode realizar a alternância sob demanda do material de chave nas chaves do KMS gerenciadas pelo cliente, independentemente de a alternância automática de chaves estar ou não habilitada. Desativar a rotação automática ([DisableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKeyRotation.html)) não afeta sua capacidade de realizar rotações sob demanda, nem cancela nenhuma rotação sob demanda em andamento. As alternâncias sob demanda não alteram os cronogramas de alternância automática existentes. Por exemplo, considere uma chave do KMS que tenha a alternância automática de chaves habilitada com um período de alternância de 730 dias. Se a chave estiver programada para alternar automaticamente em 14 de abril de 2024 e você realizar uma alternância sob demanda em 10 de abril de 2024, a chave será alternada automaticamente, conforme programado, em 14 de abril de 2024 e a cada 730 dias depois disso.
Você pode realizar a rotação de chaves sob demanda no máximo 25 vezes por chave KMS. Você pode usar o AWS KMS console para visualizar o número de rotações sob demanda restantes disponíveis para uma chave KMS.
A alternância de chaves sob demanda só é compatível com [chaves do KMS de criptografia simétrica](symm-asymm-choose-key-spec.md#symmetric-cmks). [Você não pode realizar a rotação sob demanda de chaves [KMS assimétricas, chaves HMAC KMS](symmetric-asymmetric.md)[ou chaves KMS em um armazenamento de chaves](hmac.md) personalizado.](key-store-overview.md#custom-key-store-overview) Para realizar a alternância sob demanda de um conjunto de [chaves de várias regiões](rotate-keys.md#multi-region-rotate) relacionadas, invoque a alternância sob demanda na chave primária.
Usuários autorizados `kms:RotateKeyOnDemand` e com `kms:GetKeyRotationStatus` permissões podem usar o AWS KMS console e a AWS KMS API para iniciar a rotação de chaves sob demanda e visualizar o status da rotação de chaves. Use [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)para visualizar as rotações concluídas de uma chave KMS.
**Topics**
+ [Como iniciar a alternância de chaves sob demanda (console)](#rotate-on-demand-console)
+ [Iniciando a rotação de chaves sob demanda (API)AWS KMS](#rotate-on-demand-api)
## Como iniciar a alternância de chaves sob demanda (console)
1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.
1. No painel de navegação, escolha **Chaves gerenciadas pelo cliente**. (Não é possível realizar a alternância sob demanda de Chaves gerenciadas pela AWS. Elas são alternadas automaticamente a cada ano.)
1. Escolha o alias ou ID de chave de uma chave do KMS.
1. Escolha a guia **Material de chave e rodízios**.
A guia **Material de chave e rodízios** aparece somente na página de detalhes das chaves do KMS de criptografia simétrica compatíveis com rodízio automático ou sob demanda. Isso inclui chaves KMS com material de chave AWS KMS gerado (**AWS\$1KMS**origem) e chaves KMS com material de chave importado (origem **EXTERNA**)
[Você não pode realizar a rotação sob demanda de chaves KMS assimétricas, chaves HMAC KMS ou chaves KMS em armazenamentos de chaves personalizadas.](key-store-overview.md#custom-key-store-overview) No entanto, é possível [alterná-las manualmente](rotate-keys-manually.md).
1. Escolha **Fazer rodízio agora**. Para chaves de criptografia simétricas com material de chave importado, a opção **Girar agora** está disponível somente se você tiver [importado um novo material de chave](importing-keys-import-key-material.md#import-new-key-material) anteriormente e estiver no estado de **rotação pendente**.
**nota**
Para chaves multirregionais, somente a chave de região primária pode ser girada.
1. Leia e considere o aviso e as informações sobre o número restante de alternâncias sob demanda para a chave. Você também verá informações como ID, descrição e prazo de validade do material de chave que serão atualizadas após o rodízio. Se você decidir que não deseja continuar com a alternância sob demanda, escolha **Cancelar**.
1. Escolha **Alternar chave** para confirmar a alternância sob demanda.
**nota**
A rotação sob demanda está sujeita aos mesmos efeitos de consistência eventuais de outras operações AWS KMS de gerenciamento. Pode haver um pequeno atraso antes que o novo material de chave esteja disponível no AWS KMS. O banner na parte superior do console notificará você quando a alternância sob demanda estiver concluída.
## Iniciando a rotação de chaves sob demanda (API)AWS KMS
É possível usar a [API do AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/APIReference/) para iniciar a alternância de chaves sob demanda e visualizar o status atual da alternância de qualquer chave gerenciada pelo cliente. Este exemplo usa a [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mas você pode usar qualquer linguagem de programação compatível.
A [RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html)operação inicia imediatamente a rotação de chaves sob demanda para a chave KMS especificada. Para identificar a chave do KMS nessas operações, use seu [ID de chave](concepts.md#key-id-key-id) ou [ARN de chave](concepts.md#key-id-key-ARN).
O exemplo a seguir inicia a rotação de chaves sob demanda na chave KMS de criptografia simétrica especificada e usa a [GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html)operação para verificar se a rotação sob demanda está em andamento. O `OnDemandRotationStartDate` na resposta `kms:GetKeyRotationStatus` identifica a data e a hora em que uma alternância sob demanda em andamento foi iniciada. Neste exemplo, a chave do KMS também tem rodízio automático habilitado com um período de 365 dias.
```
$ aws kms rotate-key-on-demand --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
}
$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyRotationEnabled": true,
"NextRotationDate": "2024-03-14T18:14:33.587000+00:00",
"OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
"RotationPeriodInDays": 365
}
```
Se a chave do KMS não for compatível com rodízio automático ou não tiver rodízio automático habilitado, a resposta `kms:GetKeyRotationStatus` terá menos campos, como mostrado no seguinte exemplo:
```
$ aws kms rotate-key-on-demand --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
}
$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyRotationEnabled": false,
"OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
}
```
# Listar rodízios e materiais de chave
As chaves do KMS compatíveis com o rodízio automático ou sob demanda podem ter vários materiais de chave associados a elas. Essas chaves têm um material de chave inicial e um material de chave adicional para cada rodízio automático ou sob demanda.
Usuários autorizados com `kms:ListKeyRotations` permissão podem usar o AWS KMS console e a [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)API para listar todos os principais materiais associados a uma chave KMS, incluindo aqueles de rotações automáticas e sob demanda concluídas.
**Topics**
+ [Listar rodízios e materiais de chave (console)](#list-rotations-console)
+ [Listar rotações e principais materiais (AWS KMS API)](#list-rotations-api)
## Listar rodízios e materiais de chave (console)
1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.
1. No painel de navegação, escolha **Chaves gerenciadas pelo cliente**.
1. Escolha o alias ou ID de chave de uma chave do KMS.
1. Escolha a guia **Material de chave e rodízios**.
+ A guia **Material de chave e rodízios** aparece somente na página de detalhes das chaves do KMS de criptografia simétrica compatíveis com rodízio automático ou sob demanda. Isso inclui chaves KMS com material de chave AWS KMS gerado (`AWS_KMS`origem) e chaves KMS com material de chave importado (`EXTERNAL`origem).
+ A tabela **Materiais de chave** na guia **Material de chave e rodízios** lista todos os materiais de chave associados à chave do KMS. Para cada material de chave, a entrada correspondente exibe seu identificador exclusivo atribuído pelo AWS KMS, a data de rodízio e o estado do material de chave. A data de rodízio identifica quando o material de chave se tornou atual após um rodízio de chaves automático ou sob demanda. Não há data de rodízio associada ao primeiro material de chave ou ao material de chave com `Pending rotation`. O estado do material chave determina como AWS KMS usa o material chave. Material de chave atual é usado tanto para criptografia quanto para descriptografia. Material de chave não atual é usado somente para descriptografia. Um estado `Pending rotation` do material de chave indica que o material de chave está preparado para rodízio. Esse material de chave não é usado para nenhuma operação criptográfica até que um rodízio de chaves sob demanda o torne o material de chave atual. As informações adicionais exibidas para o material de chave dependem do tipo de chave do KMS.
+ Para chaves do KMS de criptografia simétrica com a origem `AWS_KMS`, cada linha também exibe o tipo de rodízio: `On-demand` ou `Automatic`.
+ As chaves KMS de criptografia simétrica com material de chave importado (`EXTERNAL`origem) suportam apenas `On-demand` rotação, portanto, não há coluna do tipo rotação. Em vez disso, cada linha exibe um estado de importação, uma descrição especificada pelo usuário, informações de expiração e um menu **Ações**. O estado de importação é **Importado**, indicando que o material da chave está disponível no interior, AWS KMS ou **Importação pendente**, indicando que o material da chave não está disponível no interior AWS KMS. O menu **Ações** pode ser usado para excluir material de chave importado ou reimportar material de chave. A ação **Excluir material de chave** estará desabilitada se o estado de importação do material de chave for **Importação pendente**. A ação **Reimportar material de chave** está sempre disponível. Você não precisa esperar a expiração ou exclusão de um material de chave para importá-lo novamente.
## Listar rotações e principais materiais (AWS KMS API)
É possível usar a [API do AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/APIReference/) para iniciar o rodízio de chaves sob demanda e visualizar o status atual do rodízio de qualquer chave gerenciada pelo cliente. Este exemplo usa a [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mas você pode usar qualquer linguagem de programação compatível.
A [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)operação lista todas as rotações e os materiais principais da chave KMS especificada. Para identificar a chave do KMS nessas operações, use seu [ID de chave](concepts.md#key-id-key-id) ou [ARN de chave](concepts.md#key-id-key-ARN).
Essa operação é compatível com um parâmetro opcional `IncludeKeyMaterial`. O valor padrão desse parâmetro é `ROTATIONS_ONLY`. Se você omitir esse parâmetro, AWS KMS retornará informações sobre os materiais principais criados pela rotação automática ou sob demanda da chave. Quando você especifica um valor de `ALL_KEY_MATERIAL`, o AWS KMS adiciona à resposta o primeiro material de chave e qualquer material de chave importado com rodízio pendente. Esse parâmetro pode ser usado somente com chaves do KMS compatíveis com rodízio de chaves automático ou sob demanda.
```
$ aws kms list-key-rotations --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--inlcude-key-material ALL_KEY_MATERIAL
{
"Rotations": [
{
"KeyId": 1234abcd-12ab-34cd-56ef-1234567890ab,
"KeyMaterialId": 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0,
"KeyMaterialDescription": "KeyMaterialA",
"ImportState": "PENDING_IMPORT",
"KeyMaterialState": "NON_CURRENT"
},
{
"KeyId": 1234abcd-12ab-34cd-56ef-1234567890ab,
"KeyMaterialId": 96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068,
"ImportState": "IMPORTED",
"KeyMaterialState": "CURRENT",
"ExpirationModel": "KEY_MATERIAL_DOES_NOT_EXPIRE",
"RotationDate": "2025-05-01T15:50:51.045000-07:00",
"RotationType": "ON_DEMAND"
}
],
"Truncated": false
}
```
# Alternar chaves manualmente
Talvez você prefira criar e usar uma nova chave do KMS em vez da chave atual do KMS a habilitar o rodízio de chaves automático. Quando a nova chave do KMS tem material criptográfico diferente daquele da chave do KMS atual, usar a nova chave do KMS tem o mesmo efeito de alterar o material de chave em uma chave do KMS existente. O processo de substituir uma chave do KMS por outra é conhecido como *alternância manual de chaves*.
![\[Diagram showing manual key rotation process with application, old key, and new key.\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/images/key-rotation-manual.png)
[A rotação manual é uma boa opção quando você deseja girar chaves KMS que não estão qualificadas para rotação automática ou sob demanda, como chaves KMS assimétricas, chaves HMAC KMS e chaves KMS em lojas de chaves personalizadas.](key-store-overview.md#custom-key-store-overview)
**nota**
Ao começar a usar a nova chave KMS, certifique-se de manter a chave KMS original ativada para que ela AWS KMS possa descriptografar os dados criptografados pela chave KMS original.
Ao alternar as chaves do KMS manualmente, você precisa atualizar as referências ao ARN ou ao ID da chave do KMS nas suas aplicações. [Aliases](kms-alias.md), que associam um nome amigável a uma chave do KMS, tornam esse processo mais fácil. Use um alias para fazer referência a uma chave do KMS em suas aplicações. Quando quiser alterar a chave do KMS utilizada pela aplicação, em vez de editar o código da aplicação, altere a chave do KMS de destino do alias. Para obter detalhes, consulte [Saiba como usar aliases em suas aplicações](alias-using.md).
**nota**
[https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) Aliases não são permitidos em operações que gerenciam chaves KMS, como [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)ou. [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)
Ao chamar a operação [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) em chaves KMS de criptografia simétrica giradas manualmente, omita o parâmetro do comando. `KeyId` AWS KMS usa automaticamente a chave KMS que criptografou o texto cifrado.
O `KeyId` parâmetro é obrigatório ao chamar `Decrypt` ou [verificar](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html) com uma chave KMS assimétrica ou ao chamar [VerifyMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html)com uma chave HMAC KMS. Essas solicitações falham quando o valor do parâmetro `KeyId` é um alias que não aponta mais para a chave do KMS que executou a operação criptográfica, como quando uma chave é alternada manualmente. Para evitar esse erro, você deve rastrear e especificar a chave KMS correta para cada operação.
Para alterar a chave KMS de destino de um alias, use a [UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html)operação na AWS KMS API. Por exemplo, este comando atualiza o alias `alias/TestKey` para apontar para uma nova chave do KMS. Como a operação não retorna nenhuma saída, o exemplo usa a [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)operação para mostrar que o alias agora está associado a uma chave KMS diferente e o `LastUpdatedDate` campo está atualizado. Os ListAliases comandos usam o [`query`parâmetro](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-filter.html#cli-usage-filter-client-side-specific-values) no AWS CLI para obter somente o `alias/TestKey` alias.
```
$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]'
{
"Aliases": [
{
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey",
"AliasName": "alias/TestKey",
"TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"CreationDate": 1521097200.123,
"LastUpdatedDate": 1521097200.123
},
]
}
$ aws kms update-alias --alias-name alias/TestKey --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]'
{
"Aliases": [
{
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey",
"AliasName": "alias/TestKey",
"TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"CreationDate": 1521097200.123,
"LastUpdatedDate": 1604958290.722
},
]
}
```
# Alterar a chave primária em um conjunto de chaves de várias regiões
Todos os conjuntos de chaves de várias regiões relacionadas devem ter uma chave primária. Porém, você pode alterar a chave primária. Esta ação, conhecida como *atualizar a região primária*, converte a chave primária atual em uma chave de réplica e converte uma das chaves de réplica relacionadas na chave primária. Você pode fazer isso quando precisa excluir a chave primária atual enquanto mantém as chaves de réplica ou para localizar a chave primária na mesma região que seus administradores de chave.
Você pode selecionar qualquer chave de réplica relacionada para ser a nova chave primária. Tanto a chave primária quanto a chave de réplica devem estar no [estado de chave](key-state.md) `Enabled` quando a operação começar.
**O estado de chave `Updating`**
Mesmo após a conclusão da operação `UpdatePrimaryRegion`, o processo de atualização da região primária pode permanecer em andamento por mais alguns segundos. Durante esse tempo, as chaves primárias antigas e novas têm um estado de chave transitório [Updating](#update-primary-keystate) (Atualizando). Enquanto o estado de chave é `Updating`, você pode usar as chaves em operações de criptografia, mas não pode replicar a nova chave primária ou realizar certas operações de gerenciamento, como habilitar ou desabilitar essas chaves. Operações como a [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)podem exibir as chaves primárias antigas e novas como réplicas. O estado de chave `Enabled` será restaurado quando a atualização estiver concluída.
Para obter informações sobre o efeito do estado de chave `Updating`, consulte [Principais estados das AWS KMS chaves](key-state.md).
**Como funciona**
Suponha que você tenha uma chave primária no Leste dos EUA (Norte da Virgínia) (us-east-1) e uma chave de réplica na Europa (Irlanda) (eu-west-1). É possível usar o recurso de atualização para transformar a chave primária na região Leste dos EUA (Norte da Virgínia) (us-east-1) em uma chave de réplica e transformar a chave de réplica na Europa (Irlanda) (eu-west-1) na chave primária.
![\[Atualizar a chave primária\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/images/multi-region-keys-update-sm.png)
Quando o processo de atualização for concluído, a chave de várias regiões na região Europa (Irlanda) (eu-west-1) é uma chave primária de várias regiões, enquanto a chave na região Leste dos EUA (Norte da Virgínia) (us-east-1) é sua chave de réplica. Se houver outras chaves de réplica relacionadas, elas se tornarão réplicas da nova chave primária. Na próxima vez que AWS KMS sincronizar as propriedades compartilhadas das chaves multirregionais, ele obterá as [propriedades compartilhadas](multi-region-keys-overview.md#mrk-sync-properties) da nova chave primária e as copiará para suas chaves de réplica, incluindo a chave primária anterior.
A operação de atualização não surte efeito no [ARN de chave](concepts.md#key-id-key-ARN) de chaves de várias regiões. Ela também não surte efeito em propriedades compartilhadas, como material de chave, ou em propriedades independentes, como política de chaves. Porém, talvez você queira [Aatualizar a política de chaves](key-policy-modifying.md) da nova chave primária. Por exemplo, talvez você queira adicionar [kms: ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) permission for trust principals à nova chave primária e removê-la da nova chave de réplica.
## Atualizar a região primária
É possível converter uma chave de réplica em uma chave primária, o que transforma a chave primária anterior em uma réplica. Para atualizar a região principal, você precisa da UpdatePrimaryRegion permissão [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html) nas duas regiões.
Você pode atualizar a região primária no AWS KMS console ou usando a [UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html)operação.
### Usando o AWS KMS console
Você pode atualizar a chave primária no AWS KMS console. Comece na página de detalhes de chaves da chave primária atual.
1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.
1. No painel de navegação, escolha **Customer managed keys** (Chaves gerenciadas de cliente).
1. Selecione o ID de chave ou alias da [chave primária de várias regiões](multi-region-keys-overview.md#mrk-primary-key). Isso abre a página de detalhes da chave primária.
Para identificar uma chave primária de várias regiões, use o ícone de ferramenta no canto superior direito para adicionar a coluna **Regionality** (Regionalidade) à tabela.
1. Escolha a guia **Regionality** (Regionalidade).
1. Na seção **Primary key** (Chave primária), escolha **Change primary Region** (Alterar região primária).
1. Escolha a região da nova chave primária. Você só pode escolher uma região no menu.
O menu **Change primary Regions** (Alterar regiões primárias) inclui apenas regiões que têm uma chave de várias regiões relacionada. Você pode não ter [permissão para atualizar a região primária](multi-region-keys-auth.md#mrk-auth-update) em todas as regiões no menu.
1. Escolha **Alterar região primária**.
### Usando a AWS KMS API
Para alterar a chave primária em um conjunto de chaves multirregionais relacionadas, use a [UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html)operação.
Usar o parâmetro `KeyId` para identificar a chave primária atual. Use o `PrimaryRegion` parâmetro para indicar a Região da AWS da nova chave primária. Se a chave primária ainda não tiver uma réplica na nova região primária, a operação falhará.
O exemplo a seguir altera a chave primária da chave de várias regiões na região `us-west-2` para sua réplica na região `eu-west-1`. O parâmetro `KeyId` identifica a chave primária atual na região `us-west-2`. O `PrimaryRegion` parâmetro especifica a Região da AWS da nova chave primária,`eu-west-1`.
```
$ aws kms update-primary-region \
--key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
--primary-region eu-west-1
```
Quando bem-sucedida, essa operação não retorna saída; apenas o código de status HTTP. Para ver o efeito, chame a [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operação em qualquer uma das teclas multirregionais. Talvez você queira esperar até que o estado da chave volte a ser `Enabled`. Enquanto estado da chave é [Updating](#update-primary-keystate) (Atualizando), os valores da chave ainda podem estar em fluxo.
Por exemplo, a seguinte chamada `DescribeKey` obtém os detalhes sobre a chave de várias regiões na região `eu-west-1`. A saída mostra que a chave de várias regiões na região `eu-west-1` é agora a chave primária. A chave de várias regiões relacionada (mesma ID de chave) na região `us-west-2` agora é uma chave de réplica.
```
$ aws kms describe-key \
--key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
{
"KeyMetadata": {
"AWSAccountId": "111122223333",
"KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
"Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"CreationDate": 1609193147.831,
"Enabled": true,
"Description": "multi-region-key",
"KeySpec": "SYMMETRIC_DEFAULT",
"KeyState": "Enabled",
"KeyUsage": "ENCRYPT_DECRYPT",
"Origin": "AWS_KMS",
"KeyManager": "CUSTOMER",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"MultiRegion": true,
"MultiRegionConfiguration": {
"MultiRegionKeyType": "PRIMARY",
"PrimaryKey": {
"Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "eu-west-1"
},
"ReplicaKeys": [
{
"Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "us-west-2"
}
]
}
}
}
```