本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
轮换密钥材料
授权用户可以为其客户管理型 KMS 密钥启用年度自动轮换。 AWS 托管式密钥 始终会每年轮换一次。
KMS 密钥轮换时,系统将创建一个新的 HBK,并将其标记为所有新加密请求所用密钥材料的当前版本。所有之前版本的 HBK 仍然会永久可供使用,以用于解密使用相应 HBK 版本加密的任何加密文字。由于 AWS KMS 不存储任何在 KMS 密钥下加密的密文,因此在较旧的、轮换的 HBK 下加密的密文需要 HBK 进行解密。您可以通过 ReEncrypt API 以使用 KMS 密钥的新 HBK 或其他 KMS 密钥重新加密任何加密文字,而不暴露明文。
有关启用和禁用密钥轮换的信息,请参阅《AWS Key Management Service 开发人员指南》中的轮换 Amazon KMS 密钥。
