本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 執行隨需金鑰輪換
<a name="rotating-keys-on-demand"></a>

無論是否啟用自動金鑰輪換，您都可以在客戶受管 KMS 金鑰中執行金鑰資料的隨需輪換。停用自動輪換 ([DisableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKeyRotation.html)) 不會影響您執行隨需輪換的能力，也不會取消任何進行中的隨需輪換。隨需輪換不會變更現有的自動輪換排程。例如，假設 KMS 金鑰已啟用自動金鑰輪換，輪換期間為 730 天。如果金鑰排定在 2024 年 4 月 14 日自動輪換，且您在 2024 年 4 月 10 日執行隨需輪換，則金鑰將在 2024 年 4 月 14 日及其後每 730 天自動輪換。

您可以執行隨需金鑰輪換，每個 KMS 金鑰最多 25 次。您可以使用 AWS KMS 主控台來檢視 KMS 金鑰可用的剩餘隨需輪換次數。

僅[對稱加密 KMS](symm-asymm-choose-key-spec.md#symmetric-cmks) 金鑰支援隨需金鑰輪換。您無法在[自訂金鑰存放](key-store-overview.md#custom-key-store-overview)區中執行[非對稱 KMS](symmetric-asymmetric.md) 金鑰、[HMAC KMS 金鑰](hmac.md)或 KMS 金鑰的隨需輪換。若要執行一組相關[多區域金鑰](rotate-keys.md#multi-region-rotate)的隨需輪換，請在主金鑰上叫用隨需輪換。

具有 `kms:RotateKeyOnDemand`和 `kms:GetKeyRotationStatus`許可的授權使用者可以使用 AWS KMS 主控台和 AWS KMS API 啟動隨需金鑰輪換，並檢視金鑰輪換狀態。使用 [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html) 來檢視 KMS 金鑰已完成的輪換。

**Topics**
+ [啟動隨需金鑰輪換 （主控台）](#rotate-on-demand-console)
+ [啟動隨需金鑰輪換 (AWS KMS API)](#rotate-on-demand-api)

## 啟動隨需金鑰輪換 （主控台）
<a name="rotate-on-demand-console"></a>

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 的 AWS Key Management Service (AWS KMS) 主控台。

1. 若要變更 AWS 區域，請使用頁面右上角的區域選擇器。

1. 在導覽窗格中，選擇 **Customer managed keys** (客戶受管金鑰)。（您無法執行 的隨需輪換 AWS 受管金鑰。 它們每年會自動輪換。)

1. 選擇 KMS 金鑰的別名或金鑰 ID。

1. 選擇**金鑰材料和輪換**索引標籤。

   **金鑰材料和輪換**索引標籤只會顯示在支援自動或隨需輪換的對稱加密 KMS 金鑰的詳細資訊頁面上。這包括 KMS 金鑰與產生的金鑰材料 AWS KMS (**AWS\_KMS** 原始伺服器），以及 KMS 金鑰與匯入的金鑰材料 (**EXTERNAL** 原始伺服器） 

   您無法在[自訂金鑰存放](key-store-overview.md#custom-key-store-overview)區中執行非對稱 KMS 金鑰、HMAC KMS 金鑰或 KMS 金鑰的隨需輪換。但是，您可以[手動進行輪換](rotate-keys-manually.md)。

1. 選擇**立即輪換**。對於具有匯入金鑰材料的對稱加密金鑰，只有在您先前已[匯入新的金鑰材料](importing-keys-import-key-material.md#import-new-key-material)且處於**待輪換**狀態時，才能使用**立即輪換**選項。
**注意**  
對於多區域金鑰，只能輪換主要區域金鑰。

1. 閱讀並考慮警告和有關金鑰剩餘隨需輪換次數的資訊。您也會看到輪換後將成為最新版本之金鑰材料的 ID、描述和過期時間等資訊。如果您決定不想繼續隨需輪換，請選擇**取消**。

1. 選擇**輪換鍵**以確認隨需輪換。
**注意**  
隨需輪換會受到與其他 AWS KMS 管理操作相同的最終一致性影響。在新的金鑰材料可用於整個 AWS KMS之前，可能會稍微延遲。主控台頂端的橫幅會在隨需輪換完成時通知您。

## 啟動隨需金鑰輪換 (AWS KMS API)
<a name="rotate-on-demand-api"></a>

您可以使用 [AWS Key Management Service (AWS KMS) API](https://docs.aws.amazon.com/kms/latest/APIReference/) 來啟動隨需金鑰輪換，並檢視任何客戶受管金鑰的目前輪換狀態。此範例使用 [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/)，但您可以使用任何支援的程式設計語言。

[RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html) 操作會立即啟動指定 KMS 金鑰的隨需金鑰輪換。若要在這些操作中識別 KMS 金鑰，請使用其[金鑰 ID](concepts.md#key-id-key-id) 或[金鑰 ARN](concepts.md#key-id-key-ARN)。

下列範例會在指定的對稱加密 KMS 金鑰上啟動隨需金鑰輪換，並使用 [GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html) 操作來驗證隨需輪換正在進行中。`kms:GetKeyRotationStatus` 回應`OnDemandRotationStartDate`中的 會識別啟動進行中隨需輪換的日期和時間。在此範例中，KMS 金鑰也已啟用自動輪換，期間為 365 天。

```
$ aws kms rotate-key-on-demand --key-id {{1234abcd-12ab-34cd-56ef-1234567890ab}}
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"    
}

$ aws kms get-key-rotation-status --key-id {{1234abcd-12ab-34cd-56ef-1234567890ab}}
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": true,
    "NextRotationDate": "2024-03-14T18:14:33.587000+00:00",
    "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
    "RotationPeriodInDays": 365    
}
```

如果 KMS 金鑰不支援自動輪換或未啟用自動輪換，`kms:GetKeyRotationStatus`回應會有較少的欄位，如下列範例所示：

```
$ aws kms rotate-key-on-demand --key-id {{1234abcd-12ab-34cd-56ef-1234567890ab}}
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
}

$ aws kms get-key-rotation-status --key-id {{1234abcd-12ab-34cd-56ef-1234567890ab}}
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": false,
    "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
}
```