View a markdown version of this page

禁用自动密钥轮换 - AWS Key Management Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

禁用自动密钥轮换

对客户托管密钥启用自动密钥轮换后,您可以随时选择禁用自动轮换。

如果您禁用自动密钥轮换,KMS 密钥将继续使用禁用轮换时使用的密钥材料版本。如果您再次启用自动密钥轮换,则 AWS KMS 会根据新的启用轮换的日期轮换密钥材料。

禁用自动轮换不会影响您执行按需轮换的能力,也不会取消任何正在进行的按需轮换。

您可以在 AWS KMS 控制台中或使用DisableKeyRotation操作来禁用自动密钥轮换。要禁用自动密钥轮换,您需要 kms:DisableKeyRotation 权限。有关 AWS KMS 权限的更多信息,请参阅权限参考

  1. 登录 AWS 管理控制台 并打开 AWS Key Management Service (AWS KMS) 控制台,网址为https://console.aws.amazon.com/kms

  2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择客户托管密钥。(您无法启用或禁用 AWS 托管式密钥的轮换。它们每年自动轮换一次。)

  4. 选择 KMS 密钥的别名和密钥 ID。

  5. 选择 Key rotation (密钥轮换) 选项卡。

    密钥轮换选项卡仅会在具有 AWS KMS 生成的密钥材料(来源AWS_KMS)的对称加密 KMS 密钥(包括多区域对称加密 KMS 密钥)的详细信息页面上显示。

    您不能自动轮换非对称 KMS 密钥、HMAC KMS 密钥、具有导入的密钥材料的 KMS 密钥或自定义密钥存储中的 KMS 密钥。但是,您可以手动轮换它们

  6. 自动密钥轮换部分,选择编辑

  7. 对于密钥轮换,请选择禁用

    注意

    如果 KMS 密钥已禁用或待删除,则 AWS KMS 不会轮换密钥材料,也无法更新自动密钥轮换状态或轮换周期。启用 KMS 密钥或取消删除以更新自动密钥轮换配置。有关详细信息,请参阅 密钥轮换的工作原理的关键状态 AWS KMS 键

  8. 选择保存

您可以使用 AWS Key Management Service (AWS KMS)API 禁用自动密钥轮换,并查看任何客户托管密钥的当前轮换状态。此示例使用 AWS Command Line Interface (AWS CLI),但您可以使用任何受支持的编程语言。

DisableKeyRotation操作禁用自动密钥轮换。要标识此操作中的 KMS 密钥,请使用其密钥 ID密钥 ARN。在默认情况下,客户托管密钥的密钥轮换处于禁用状态。

以下示例在指定的对称加密 KMS 密钥上禁用自动密钥轮换,并使用该GetKeyRotationStatus操作来查看结果。

$ aws kms disable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": false
}