執行隨需金鑰輪換 - AWS Key Management Service
啟動隨需金鑰輪換 (主控台)啟動隨需金鑰輪換 (AWS KMS API)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

執行隨需金鑰輪換

無論是否啟用自動金鑰輪換,您都可以在客戶受管 KMS 金鑰中執行金鑰資料的隨需輪換。停用自動輪換 (DisableKeyRotation) 不會影響您執行隨需輪換的能力,也不會取消任何進行中的隨需輪換。隨需輪換不會變更現有的自動輪換排程。例如,假設 KMS 金鑰已啟用自動金鑰輪換,輪換期間為 730 天。如果金鑰排定在 2024 年 4 月 14 日自動輪換,且您在 2024 年 4 月 10 日執行隨需輪換,則金鑰將在 2024 年 4 月 14 日及之後每 730 天自動輪換。

您可以執行隨需金鑰輪換,每個 KMS 金鑰最多 10 次。您可以使用 AWS KMS 主控台來檢視 KMS 金鑰可用的剩餘隨需輪換次數。

對稱加密 KMS 金鑰支援隨需金鑰輪換。您無法在自訂金鑰存放區中執行非對稱 KMS 金鑰、HMAC KMS 金鑰、具有匯入金鑰材料的多區域 KMS 金鑰或 KMS 金鑰的隨需輪換。若要執行一組相關多區域金鑰的隨需輪換,請在主金鑰上叫用隨需輪換。

具有 kms:RotateKeyOnDemandkms:GetKeyRotationStatus許可的授權使用者可以使用 AWS KMS 主控台和 AWS KMS API 啟動隨需金鑰輪換,並檢視金鑰輪換狀態。使用 ListKeyRotations 來檢視 KMS 金鑰已完成的輪換。

啟動隨需金鑰輪換 (主控台)

  1. 登入 AWS Management Console 並開啟位於 https://https://console.aws.amazon.com/kms 的 AWS Key Management Service (AWS KMS) 主控台。

  2. 若要變更 AWS 區域,請使用頁面右上角的區域選擇器。

  3. 在導覽窗格中,選擇 Customer managed keys (客戶受管金鑰)。(您無法執行 的隨需輪換 AWS 受管金鑰。 它們每年會自動輪換。)

  4. 選擇 KMS 金鑰的別名或金鑰 ID。

  5. 選擇金鑰材料和輪換索引標籤。

    金鑰材料和輪換索引標籤只會顯示在支援自動或隨需輪換的對稱加密 KMS 金鑰的詳細資訊頁面上。這包括 KMS 金鑰與 AWS KMS 產生的金鑰材料 (AWS_KMS 原始伺服器),以及單一區域 KMS 金鑰與匯入的金鑰材料 (EXTERNAL 原始伺服器)。

    您無法在自訂金鑰存放區中執行非對稱 KMS 金鑰、HMAC KMS 金鑰、具有匯入金鑰材料的多區域 KMS 金鑰或 KMS 金鑰的隨需輪換。但是,您可以手動進行輪換

  6. 選擇立即輪換。對於具有匯入金鑰材料的單一區域對稱加密金鑰,只有在您先前已匯入新的金鑰材料且處於待輪換狀態時,才能使用立即輪換選項。

  7. 閱讀並考慮警告和有關金鑰剩餘隨需輪換次數的資訊。您也會看到輪換後將成為最新版本之金鑰材料的 ID、描述和過期時間等資訊。如果您決定不想繼續隨需輪換,請選擇取消

  8. 選擇輪換鍵以確認隨需輪換。

    注意

    隨需輪換會受到與其他 AWS KMS 管理操作相同的最終一致性影響。在新的金鑰材料可用於整個 AWS KMS之前,可能會稍微延遲。主控台頂端的橫幅會在隨需輪換完成時通知您。

啟動隨需金鑰輪換 (AWS KMS API)

您可以使用 AWS Key Management Service (AWS KMS) API 啟動隨需金鑰輪換,並檢視任何客戶受管金鑰的目前輪換狀態。此範例使用 AWS Command Line Interface (AWS CLI),但您可以使用任何支援的程式設計語言。

RotateKeyOnDemand 操作會立即啟動指定 KMS 金鑰的隨需金鑰輪換。若要在這些操作中識別 KMS 金鑰,請使用其金鑰 ID金鑰 ARN

下列範例會在指定的對稱加密 KMS 金鑰上啟動隨需金鑰輪換,並使用 GetKeyRotationStatus 操作來驗證隨需輪換正在進行中。kms:GetKeyRotationStatus 回應OnDemandRotationStartDate中的 會識別啟動進行中隨需輪換的日期和時間。在此範例中,KMS 金鑰也已啟用自動輪換,期間為 365 天。

$ aws kms rotate-key-on-demand --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"    
}

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": true,
    "NextRotationDate": "2024-03-14T18:14:33.587000+00:00",
    "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
    "RotationPeriodInDays": 365    
}

如果 KMS 金鑰不支援自動輪換或未啟用自動輪換,kms:GetKeyRotationStatus回應會有較少的欄位,如下列範例所示:

$ aws kms rotate-key-on-demand --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
}

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": false,
    "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
}