本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
启用自动密钥轮换
默认情况下,当您为 KMS 密钥启用自动密钥轮换时,每年会为 KMS 密钥 AWS KMS 生成新的加密材料。您还可以指定自定义,rotation-period以定义启用自动密钥轮换以轮换密钥材料后的天数,以及此后每次自动轮换之间的天数。 AWS KMS
自动密钥轮换具有以下优点:
您可以在 AWS KMS 控制台中或使用EnableKeyRotation操作启用自动密钥轮换。要启用自动密钥轮换,您需要 kms:EnableKeyRotation 权限。有关 AWS KMS 权限的更多信息,请参阅权限参考。
-
登录 AWS 管理控制台 并打开 AWS Key Management Service (AWS KMS) 控制台,网址为https://console.aws.amazon.com/kms
。 -
要更改 AWS 区域,请使用页面右上角的区域选择器。
-
在导航窗格中,选择客户托管密钥。(您无法启用或禁用 AWS 托管式密钥的轮换。它们每年自动轮换一次。)
-
选择 KMS 密钥的别名和密钥 ID。
-
选择 Key rotation (密钥轮换) 选项卡。
密钥轮换选项卡仅会在具有 AWS KMS 生成的密钥材料(来源为 AWS_KMS)的对称加密 KMS 密钥(包括多区域对称加密 KMS 密钥)的详细信息页面上显示。
您不能自动轮换非对称 KMS 密钥、HMAC KMS 密钥、具有导入的密钥材料的 KMS 密钥或自定义密钥存储中的 KMS 密钥。但是,您可以手动轮换它们。
-
在自动密钥轮换部分,选择编辑。
-
对于密钥轮换,请选择启用。
注意
如果 KMS 密钥已禁用或待删除,则 AWS KMS 不会轮换密钥材料,也无法更新自动密钥轮换状态或轮换周期。启用 KMS 密钥或取消删除以更新自动密钥轮换配置。有关详细信息,请参阅 密钥轮换的工作原理 和 的关键状态 AWS KMS 键。
-
(可选)键入介于 90 到 2560 天之间的轮换周期。默认值为 365 天。如果您未指定自定义轮换周期,则 AWS KMS 将每年轮换密钥材料。
您可以使用 k ms: RotationPeriodInDays 条件键来限制委托人可以为轮换周期指定的值。
-
选择保存。
您可以使用 AWS Key Management Service (AWS KMS)API 启用自动密钥轮换,并查看任何客户托管密钥的当前轮换状态。这些示例使用 AWS Command Line Interface
(AWS CLI)
该EnableKeyRotation操作为指定的 KMS 密钥启用自动密钥轮换。要标识此操作中的 KMS 密钥,请使用其密钥 ID 或密钥 ARN。在默认情况下,客户托管密钥的密钥轮换处于禁用状态。
您可以使用 k ms: RotationPeriodInDays 条件键来限制委托人可以为EnableKeyRotation请求的RotationPeriodInDays参数指定的值。
以下示例在指定的对称加密 KMS 密钥上启用密钥轮换,轮换周期为 180 天,并使用该GetKeyRotationStatus操作来查看结果。
$aws kms enable-key-rotation \ --key-id1234abcd-12ab-34cd-56ef-1234567890ab\ --rotation-period-in-days180$aws kms get-key-rotation-status --key-id1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyRotationEnabled": true, "RotationPeriodInDays": 180, "NextRotationDate": "2024-02-14T18:14:33.587000+00:00" }
