Executar alternância de chaves sob demanda
Você pode realizar a alternância sob demanda do material de chave nas chaves do KMS gerenciadas pelo cliente, independentemente de a alternância automática de chaves estar ou não habilitada. Desabilitar a alternância automática (DisableKeyRotation) não afeta sua capacidade de realizar alternâncias sob demanda, nem cancela nenhuma alternância sob demanda que esteja em andamento. As alternâncias sob demanda não alteram os cronogramas de alternância automática existentes. Por exemplo, considere uma chave do KMS que tenha a alternância automática de chaves habilitada com um período de alternância de 730 dias. Se a chave estiver programada para alternar automaticamente em 14 de abril de 2024 e você realizar uma alternância sob demanda em 10 de abril de 2024, a chave será alternada automaticamente, conforme programado, em 14 de abril de 2024 e a cada 730 dias depois disso.
Você poderá realizar a alternância de chaves sob demanda no máximo 10 vezes por chave do KMS. Você pode usar o console do AWS KMS para visualizar o número restante de alternâncias sob demanda disponíveis para uma chave do KMS.
A alternância de chaves sob demanda só é compatível com chaves do KMS de criptografia simétrica. Não é possível realizar o rodízio sob demanda de chaves do KMS assimétricas, chaves do KMS HMAC, chaves do KMS com material de chave importado ou chaves do KMS em um repositório de chaves personalizado. Para realizar a alternância sob demanda de um conjunto de chaves de várias regiões relacionadas, invoque a alternância sob demanda na chave primária.
Usuários autorizados com permissões de kms:RotateKeyOnDemand e kms:GetKeyRotationStatus podem usar o console do AWS KMS e a API do AWS KMS para iniciar o rodízio de chaves sob demanda e visualizar o status do rodízio de chaves. Use ListKeyRotations para visualizar os rodízios concluídos de uma chave do KMS.
Tópicos
Como iniciar a alternância de chaves sob demanda (console)
-
Faça login no Console de gerenciamento da AWS e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms
. -
Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.
-
No painel de navegação, escolha Chaves gerenciadas pelo cliente. (Não é possível realizar a alternância sob demanda de Chaves gerenciadas pela AWS. Elas são alternadas automaticamente a cada ano.)
-
Escolha o alias ou ID de chave de uma chave do KMS.
-
Escolha a guia Material de chave e rodízios.
A guia Material de chave e rodízios aparece somente na página de detalhes das chaves do KMS de criptografia simétrica compatíveis com rodízio automático ou sob demanda. Isso inclui chaves do KMS com material de chave gerado pelo AWS KMS (origem AWS_KMS) e chaves do KMS de região única com material de chave importado (origem EXTERNA).
Não é possível realizar o rodízio sob demanda de chaves do KMS assimétricas, chaves do KMS HMAC, chaves do KMS multirregionais com material de chave importado ou chaves do KMS em repositórios de chaves personalizados. No entanto, é possível alterná-las manualmente.
-
Escolha Fazer rodízio agora. Para chaves de criptografia simétrica de região única com material de chave importado, a opção Fazer rodízio agora está disponível somente se você importou material de chave novo anteriormente e ele estiver no estado de Rodízio pendente.
-
Leia e considere o aviso e as informações sobre o número restante de alternâncias sob demanda para a chave. Você também verá informações como ID, descrição e prazo de validade do material de chave que serão atualizadas após o rodízio. Se você decidir que não deseja continuar com a alternância sob demanda, escolha Cancelar.
-
Escolha Alternar chave para confirmar a alternância sob demanda.
nota
A alternância sob demanda está sujeita aos mesmos efeitos de consistência eventual de outras operações de gerenciamento do AWS KMS. Pode haver um pequeno atraso antes que o novo material de chave esteja disponível no AWS KMS. O banner na parte superior do console notificará você quando a alternância sob demanda estiver concluída.
Como iniciar a alternância de chaves sob demanda (API do AWS KMS)
É possível usar a API do AWS Key Management Service (AWS KMS) para iniciar a alternância de chaves sob demanda e visualizar o status atual da alternância de qualquer chave gerenciada pelo cliente. Este exemplo usa a AWS Command Line Interface (AWS CLI)
A operação RotateKeyOnDemand inicia imediatamente a alternância de chaves sob demanda para a chave do KMS especificada. Para identificar a chave do KMS nessas operações, use seu ID de chave ou ARN de chave.
O exemplo a seguir inicia a alternância de chaves sob demanda na chave do KMS de criptografia simétrica especificada e usa a operação GetKeyRotationStatus para verificar se a alternância sob demanda está em andamento. O OnDemandRotationStartDate na resposta kms:GetKeyRotationStatus identifica a data e a hora em que uma alternância sob demanda em andamento foi iniciada. Neste exemplo, a chave do KMS também tem rodízio automático habilitado com um período de 365 dias.
$aws kms rotate-key-on-demand --key-id1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab" }$aws kms get-key-rotation-status --key-id1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyRotationEnabled": true, "NextRotationDate": "2024-03-14T18:14:33.587000+00:00", "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00" "RotationPeriodInDays": 365 }
Se a chave do KMS não for compatível com rodízio automático ou não tiver rodízio automático habilitado, a resposta kms:GetKeyRotationStatus terá menos campos, como mostrado no seguinte exemplo:
$aws kms rotate-key-on-demand --key-id1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab" }$aws kms get-key-rotation-status --key-id1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyRotationEnabled": false, "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00" }
