本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 啟用自動金鑰輪換
<a name="rotating-keys-enable"></a>

根據預設，當您啟用 KMS *金鑰的自動金鑰輪換*時， 每年都會產生 KMS 金鑰 AWS KMS 的新密碼編譯資料。您也可以指定自訂[rotation-period](rotate-keys.md#rotation-period)來定義啟用自動金鑰輪換後 AWS KMS 將輪換金鑰材料的天數，以及之後每次自動輪換之間的天數。

自動金鑰輪換有下列好處：
+ KMS 金鑰的屬性，包括其[金鑰 ID](concepts.md#key-id-key-id)、[金鑰 ARN](concepts.md#key-id-key-ARN)、區域、政策和許可，在金鑰輪換時不會變更。
+ 您不需要變更參考 KMS 金鑰之金鑰 ID 或金鑰 ARN 的應用程式或別名。
+ 輪換金鑰資料不會影響 KMS 金鑰在任何 AWS 服務之中的使用。
+ 啟用金鑰輪換之後， AWS KMS 會在輪換期間定義的下一個輪換日期自動輪換 KMS 金鑰。您不必記住或排程更新。

您可以在 AWS KMS 主控台或使用 [EnableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html) 操作來啟用自動金鑰輪換。若要啟用自動金鑰輪換，您需要 `kms:EnableKeyRotation` 許可。如需 AWS KMS 許可的詳細資訊，請參閱 [許可參考](kms-api-permissions-reference.md)。

## 使用 AWS KMS 主控台
<a name="rotate-keys-console"></a>

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 的 AWS Key Management Service (AWS KMS) 主控台。

1. 若要變更 AWS 區域，請使用頁面右上角的區域選擇器。

1. 在導覽窗格中，選擇 **Customer managed keys** (客戶受管金鑰)。(您不能啟用或停用 AWS 受管金鑰的輪換。它們會每年自動輪換一次。)

1. 選擇 KMS 金鑰的別名或金鑰 ID。

1. 選擇 **Key rotation (金鑰輪換)** 標籤。

   僅對稱加密 KMS 金鑰 (其含有 AWS KMS 產生的金鑰資料 (**Origin** (來源) 是 **AWS\$1KMS**)) (包括[多區域](rotate-keys.md#multi-region-rotate)對稱加密 KMS 金鑰) 的詳細資訊頁面會顯示 **Key rotation** (金鑰輪換) 索引標籤。

   您無法自動輪換非對稱 KMS 金鑰、HMAC KMS 金鑰、含有[匯入金鑰資料](importing-keys.md)的 KMS 金鑰，或是位於[自訂金鑰存放區](key-store-overview.md#custom-key-store-overview)中的 KMS 金鑰。但是，您可以[手動進行輪換](rotate-keys-manually.md)。

1. 在**自動金鑰輪換**區段中，選擇**編輯**。

1. 針對**金鑰輪換**，選取**啟用**。
**注意**  
如果 KMS 金鑰已停用或待刪除， AWS KMS 不會輪換金鑰材料，而且您無法更新自動金鑰輪換狀態或輪換期間。啟用 KMS 金鑰或取消刪除以更新自動金鑰輪換組態。如需詳細資訊，請參閱 [金鑰輪換的運作方式](rotate-keys.md#rotate-keys-how-it-works) 和 [金鑰的 AWS KMS 金鑰狀態](key-state.md)。

1. （選用） 輸入介於 90 到 2560 天的輪換期間。預設值為 365 天。如果您未指定自訂輪換期間， AWS KMS 會每年輪換金鑰材料。

   您可以使用 [kms:RotationPeriodInDays](conditions-kms.md#conditions-kms-rotation-period-in-days) 條件索引鍵來限制主體在輪換期間可以指定的值。

1. 選擇**儲存**。

## 使用 AWS KMS API
<a name="rotate-keys-api"></a>

您可以使用 [AWS Key Management Service (AWS KMS) API](https://docs.aws.amazon.com/kms/latest/APIReference/) 來啟用自動金鑰輪換，並檢視任何客戶受管金鑰的目前輪換狀態。以下範例使用 [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/)，但您可以使用任何支援的程式設計語言。

[EnableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html) 操作會啟用指定 KMS 金鑰的自動金鑰輪換。若要識別此操作中的 KMS 金鑰，請使用其[金鑰 ID](concepts.md#key-id-key-id) 或[金鑰 ARN](concepts.md#key-id-key-ARN)。依預設，客戶受管金鑰會停用金鑰輪換。

您可以使用 [ kms:RotationPeriodInDays](conditions-kms.md#conditions-kms-rotation-period-in-days) 條件索引鍵來限制委託人可為`EnableKeyRotation`請求的 `RotationPeriodInDays` 參數指定的值。

下列範例會在指定的對稱加密 KMS 金鑰上啟用輪換期間為 180 天的金鑰輪換，並使用 [GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html) 操作來查看結果。

```
$ aws kms enable-key-rotation \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --rotation-period-in-days 180

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": true,
    "RotationPeriodInDays": 180,
    "NextRotationDate": "2024-02-14T18:14:33.587000+00:00"
}
```