Rotieren Sie die für die Amazon EBS-Verschlüsselung verwendeten AWS KMS Schlüssel - Amazon EBS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Rotieren Sie die für die Amazon EBS-Verschlüsselung verwendeten AWS KMS Schlüssel

Die bewährten Methoden für die Kryptografie raten von einer extensiven Weiterverwendung von Verschlüsselungsschlüsseln ab.

Um neues kryptografisches Material für die Verwendung mit der Amazon EBS-Verschlüsselung zu erstellen, können Sie entweder einen neuen vom Kunden verwalteten Schlüssel erstellen und dann Ihre Anwendungen so ändern, dass sie diesen neuen KMS-Schlüssel verwenden. Oder Sie können die automatische Schlüsselrotation für einen vorhandenen, vom Kunden verwalteten Schlüssel aktivieren.

Wenn Sie die automatische Schlüsselrotation für einen vom Kunden verwalteten Schlüssel aktivieren, AWS KMS generiert jedes Jahr neues kryptografisches Material für den KMS-Schlüssel. AWS KMS speichert alle früheren Versionen des kryptografischen Materials, sodass Sie Volumes und Snapshots, die zuvor mit diesem KMS-Schlüsselmaterial verschlüsselt wurden, weiter entschlüsseln und verwenden können. AWS KMS löscht kein rotiertes Schlüsselmaterial, bis Sie den KMS-Schlüssel löschen.

Wenn Sie einen rotierten, vom Kunden verwalteten Schlüssel verwenden, um ein neues Volume oder einen neuen Snapshot zu verschlüsseln, AWS KMS verwendet das aktuelle (neue) Schlüsselmaterial. Wenn Sie einen rotierten, vom Kunden verwalteten Schlüssel verwenden, um ein Volume oder einen Snapshot zu entschlüsseln, AWS KMS verwendet die Version des kryptografischen Materials, das zur Verschlüsselung verwendet wurde. Wenn ein Volume oder ein Snapshot mit einer früheren Version des kryptografischen Materials verschlüsselt ist, verwendet Sie AWS KMS weiterhin diese vorherige Version, um es zu entschlüsseln. AWS KMS verschlüsselt zuvor verschlüsselte Volumes oder Snapshots nicht erneut, um das neue kryptografische Material nach einer Schlüsselrotation zu verwenden. Sie bleiben mit dem kryptografischen Material verschlüsselt, mit dem sie ursprünglich verschlüsselt wurden. Sie können einen rotierten, vom Kunden verwalteten Schlüssel bedenkenlos in Anwendungen und AWS Diensten verwenden, ohne dass der Code geändert werden muss.

Anmerkung

  • Die automatische Schlüsselrotation wird nur für symmetrische, vom Kunden verwaltete Schlüssel mit Schlüsselmaterial unterstützt, das AWS KMS erstellt.

  • AWS KMS wechselt automatisch Von AWS verwaltete Schlüssel jedes Jahr. Sie können die Schlüsselrotation von Von AWS verwaltete Schlüssel nicht aktivieren oder deaktivieren.

Weitere Informationen finden Sie unter Rotieren von KMS-Schlüsseln im Entwicklerhandbuch von AWS Key Management Service .