As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Executar alternância de chaves sob demanda
<a name="rotating-keys-on-demand"></a>

Você pode realizar a alternância sob demanda do material de chave nas chaves do KMS gerenciadas pelo cliente, independentemente de a alternância automática de chaves estar ou não habilitada. Desativar a rotação automática ([DisableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKeyRotation.html)) não afeta sua capacidade de realizar rotações sob demanda, nem cancela nenhuma rotação sob demanda em andamento. On-demand as rotações não alteram as programações de rotação automática existentes. Por exemplo, considere uma chave do KMS que tenha a alternância automática de chaves habilitada com um período de alternância de 730 dias. Se a chave estiver programada para alternar automaticamente em 14 de abril de 2024 e você realizar uma alternância sob demanda em 10 de abril de 2024, a chave será alternada automaticamente, conforme programado, em 14 de abril de 2024 e a cada 730 dias depois disso.

Você pode realizar a rotação de chaves sob demanda no máximo 25 vezes por chave KMS. Você pode usar o AWS KMS console para visualizar o número de rotações sob demanda restantes disponíveis para uma chave KMS.

On-demand a rotação de chaves é suportada somente em chaves [KMS de criptografia simétrica](symm-asymm-choose-key-spec.md#symmetric-cmks). [Você não pode realizar a rotação sob demanda de chaves [KMS assimétricas, chaves HMAC KMS](symmetric-asymmetric.md)[ou chaves KMS em um armazenamento de chaves](hmac.md) personalizado.](key-store-overview.md#custom-key-store-overview) Para realizar a alternância sob demanda de um conjunto de [chaves de várias regiões](rotate-keys.md#multi-region-rotate) relacionadas, invoque a alternância sob demanda na chave primária.

Usuários autorizados `kms:RotateKeyOnDemand` e com `kms:GetKeyRotationStatus` permissões podem usar o AWS KMS console e a AWS KMS API para iniciar a rotação de chaves sob demanda e visualizar o status da rotação de chaves. Use [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)para visualizar as rotações concluídas de uma chave KMS.

**Topics**
+ [Como iniciar a alternância de chaves sob demanda (console)](#rotate-on-demand-console)
+ [Iniciando a rotação de chaves sob demanda (AWS KMS API)](#rotate-on-demand-api)

## Como iniciar a alternância de chaves sob demanda (console)
<a name="rotate-on-demand-console"></a>

1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

1. No painel de navegação, escolha **Chaves gerenciadas pelo cliente**. (Não é possível realizar a alternância sob demanda de Chaves gerenciadas pela AWS. Elas são alternadas automaticamente a cada ano.)

1. Escolha o alias ou ID de chave de uma chave do KMS.

1. Escolha a guia **Material de chave e rodízios**.

   A guia **Material de chave e rodízios** aparece somente na página de detalhes das chaves do KMS de criptografia simétrica compatíveis com rodízio automático ou sob demanda. **Isso inclui chaves KMS com material de chave AWS KMS gerado (origem **AWS\_KMS) e chaves KMS** com material de chave importado (origem EXTERNA)** 

   [Você não pode realizar a rotação sob demanda de chaves KMS assimétricas, chaves HMAC KMS ou chaves KMS em armazenamentos de chaves personalizadas.](key-store-overview.md#custom-key-store-overview) No entanto, é possível [alterná-las manualmente](rotate-keys-manually.md).

1. Escolha **Fazer rodízio agora**. Para chaves de criptografia simétricas com material de chave importado, a opção **Girar agora** está disponível somente se você tiver [importado um novo material de chave](importing-keys-import-key-material.md#import-new-key-material) anteriormente e estiver no estado de **rotação pendente**.
**nota**  
Para chaves multirregionais, somente a chave de região primária pode ser girada.

1. Leia e considere o aviso e as informações sobre o número restante de alternâncias sob demanda para a chave. Você também verá informações como ID, descrição e prazo de validade do material de chave que serão atualizadas após o rodízio. Se você decidir que não deseja continuar com a alternância sob demanda, escolha **Cancelar**.

1. Escolha **Alternar chave** para confirmar a alternância sob demanda.
**nota**  
On-demand a rotação está sujeita aos mesmos efeitos de consistência eventuais de outras operações AWS KMS de gerenciamento. Pode haver um pequeno atraso antes que o novo material de chave esteja disponível no AWS KMS. O banner na parte superior do console notificará você quando a alternância sob demanda estiver concluída.

## Iniciando a rotação de chaves sob demanda (AWS KMS API)
<a name="rotate-on-demand-api"></a>

É possível usar a [API do AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/APIReference/) para iniciar a alternância de chaves sob demanda e visualizar o status atual da alternância de qualquer chave gerenciada pelo cliente. Este exemplo usa a [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mas você pode usar qualquer linguagem de programação compatível. 

A [RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html)operação inicia imediatamente a rotação de chaves sob demanda para a chave KMS especificada. Para identificar a chave do KMS nessas operações, use seu [ID de chave](concepts.md#key-id-key-id) ou [ARN de chave](concepts.md#key-id-key-ARN). 

O exemplo a seguir inicia a rotação de chaves sob demanda na chave KMS de criptografia simétrica especificada e usa a [GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html)operação para verificar se a rotação sob demanda está em andamento. O `OnDemandRotationStartDate` na resposta `kms:GetKeyRotationStatus` identifica a data e a hora em que uma alternância sob demanda em andamento foi iniciada. Neste exemplo, a chave do KMS também tem rodízio automático habilitado com um período de 365 dias.

```
$ aws kms rotate-key-on-demand --key-id {{1234abcd-12ab-34cd-56ef-1234567890ab}}
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"    
}

$ aws kms get-key-rotation-status --key-id {{1234abcd-12ab-34cd-56ef-1234567890ab}}
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": true,
    "NextRotationDate": "2024-03-14T18:14:33.587000+00:00",
    "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
    "RotationPeriodInDays": 365    
}
```

Se a chave do KMS não for compatível com rodízio automático ou não tiver rodízio automático habilitado, a resposta `kms:GetKeyRotationStatus` terá menos campos, como mostrado no seguinte exemplo:

```
$ aws kms rotate-key-on-demand --key-id {{1234abcd-12ab-34cd-56ef-1234567890ab}}
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
}

$ aws kms get-key-rotation-status --key-id {{1234abcd-12ab-34cd-56ef-1234567890ab}}
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": false,
    "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
}
```