As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Executar alternância de chaves sob demanda
Você pode realizar a alternância sob demanda do material de chave nas chaves do KMS gerenciadas pelo cliente, independentemente de a alternância automática de chaves estar ou não habilitada. Desativar a rotação automática (DisableKeyRotation) não afeta sua capacidade de realizar rotações sob demanda, nem cancela nenhuma rotação sob demanda em andamento. As alternâncias sob demanda não alteram os cronogramas de alternância automática existentes. Por exemplo, considere uma chave do KMS que tenha a alternância automática de chaves habilitada com um período de alternância de 730 dias. Se a chave estiver programada para alternar automaticamente em 14 de abril de 2024 e você realizar uma alternância sob demanda em 10 de abril de 2024, a chave será alternada automaticamente, conforme programado, em 14 de abril de 2024 e a cada 730 dias depois disso.
Você poderá realizar a alternância de chaves sob demanda no máximo 10 vezes por chave do KMS. Você pode usar o AWS KMS console para visualizar o número de rotações sob demanda restantes disponíveis para uma chave KMS.
A alternância de chaves sob demanda só é compatível com chaves do KMS de criptografia simétrica. Você não pode realizar a rotação sob demanda de chaves KMS assimétricas, chaves HMAC KMS, chavesKMS multirregionais com material de chave importado ou chaves KMS em um armazenamento de chaves personalizado. Para realizar a alternância sob demanda de um conjunto de chaves de várias regiões relacionadas, invoque a alternância sob demanda na chave primária.
Usuários autorizados kms:RotateKeyOnDemand e com kms:GetKeyRotationStatus permissões podem usar o AWS KMS console e a AWS KMS API para iniciar a rotação de chaves sob demanda e visualizar o status da rotação de chaves. Use ListKeyRotationspara visualizar as rotações concluídas de uma chave KMS.
Tópicos
Como iniciar a alternância de chaves sob demanda (console)
-
Faça login no console AWS Management Console e abra o AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms
. -
Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.
-
No painel de navegação, escolha Chaves gerenciadas pelo cliente. (Não é possível realizar a alternância sob demanda de Chaves gerenciadas pela AWS. Elas são alternadas automaticamente a cada ano.)
-
Escolha o alias ou ID de chave de uma chave do KMS.
-
Escolha a guia Material chave e rotações.
A guia Material da chave e rotações aparece somente na página de detalhes das chaves KMS de criptografia simétrica que oferecem suporte à rotação automática ou sob demanda. Isso inclui chaves KMS com material de chave AWS KMS gerado (AWS_KMSorigem) e chaves KMS de região única com material de chave importado (origem EXTERNA).
Você não pode realizar a rotação sob demanda de chaves KMS assimétricas, chaves HMAC KMS, chaves KMS multirregionais com material de chave importado ou chaves KMS em armazenamentos de chaves personalizadas. No entanto, é possível alterná-las manualmente.
-
Escolha Girar agora. Para chaves de criptografia simétricas de região única com material de chave importado, a opção Girar agora está disponível somente se você tiver importado um novo material de chave anteriormente e estiver no estado de rotação pendente.
-
Leia e considere o aviso e as informações sobre o número restante de alternâncias sob demanda para a chave. Você também verá informações como ID, descrição e prazo de validade do material chave que se tornará atual após a rotação. Se você decidir que não deseja continuar com a alternância sob demanda, escolha Cancelar.
-
Escolha Alternar chave para confirmar a alternância sob demanda.
nota
A rotação sob demanda está sujeita aos mesmos efeitos de consistência eventuais de outras operações AWS KMS de gerenciamento. Pode haver um pequeno atraso antes que o novo material de chave esteja disponível no AWS KMS. O banner na parte superior do console notificará você quando a alternância sob demanda estiver concluída.
Iniciando a rotação de chaves sob demanda (API)AWS KMS
É possível usar a API do AWS Key Management Service (AWS KMS) para iniciar a alternância de chaves sob demanda e visualizar o status atual da alternância de qualquer chave gerenciada pelo cliente. Este exemplo usa a AWS Command Line Interface
(AWS CLI)
A RotateKeyOnDemandoperação inicia imediatamente a rotação de chaves sob demanda para a chave KMS especificada. Para identificar a chave do KMS nessas operações, use seu ID de chave ou ARN de chave.
O exemplo a seguir inicia a rotação de chaves sob demanda na chave KMS de criptografia simétrica especificada e usa a GetKeyRotationStatusoperação para verificar se a rotação sob demanda está em andamento. O OnDemandRotationStartDate na resposta kms:GetKeyRotationStatus identifica a data e a hora em que uma alternância sob demanda em andamento foi iniciada. Neste exemplo, a chave KMS também tem a rotação automática ativada com um período de 365 dias.
$aws kms rotate-key-on-demand --key-id1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab" }$aws kms get-key-rotation-status --key-id1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyRotationEnabled": true, "NextRotationDate": "2024-03-14T18:14:33.587000+00:00", "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00" "RotationPeriodInDays": 365 }
Se a chave KMS não oferecer suporte à rotação automática ou não tiver a rotação automática ativada, a kms:GetKeyRotationStatus resposta terá menos campos, conforme mostrado no exemplo a seguir:
$aws kms rotate-key-on-demand --key-id1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab" }$aws kms get-key-rotation-status --key-id1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyRotationEnabled": false, "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00" }
