Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Rotieren AWS KMS keys
Um neues kryptografisches Material für Ihre vom Kunden verwalteten Schlüssel zu erstellen, können Sie neue KMS Schlüssel erstellen und dann Ihre Anwendungen oder Aliase so ändern, dass sie die neuen KMS Schlüssel verwenden. Oder Sie können das Schlüsselmaterial, das einem vorhandenen Schlüssel zugeordnet ist, rotieren, indem Sie die automatische KMS Schlüsselrotation aktivieren oder eine Rotation bei Bedarf durchführen.
Wenn Sie die automatische Schlüsselrotation für einen KMS Schlüssel aktivieren, AWS KMS generiert standardmäßig jedes Jahr neues kryptografisches Material für den KMS Schlüssel. Sie können auch einen benutzerdefinierten Wert angebenrotation-period, um die Anzahl der Tage nach der Aktivierung der automatischen Schlüsselrotation zu definieren, bei der das Schlüsselmaterial rotiert AWS KMS wird, sowie die Anzahl der Tage zwischen den einzelnen automatischen Rotationen danach. Wenn Sie die Schlüsselrotation sofort einleiten müssen, können Sie die Rotation bei Bedarf durchführen, unabhängig davon, ob die automatische Schlüsselrotation aktiviert ist oder nicht. Rotationen auf Anforderung ändern keine bestehenden Zeitpläne für die automatische Rotation.
AWS KMS speichert alle früheren Versionen des kryptografischen Materials auf unbestimmte Zeit, sodass Sie alle mit diesem Schlüssel verschlüsselten Daten entschlüsseln können. KMS AWS KMS löscht kein rotiertes Schlüsselmaterial, bis Sie den Schlüssel löschen. KMS Sie können die Rotation des Schlüsselmaterials für Ihre KMS Schlüssel in Amazon CloudWatch und auf der AWS Key Management Service Konsole verfolgen. AWS CloudTrail Sie können den GetKeyRotationStatusVorgang auch verwenden, um zu überprüfen, ob die automatische Rotation für einen KMS Schlüssel aktiviert ist, und um festzustellen, ob Rotationen auf Abruf ausgeführt werden. Mithilfe der ListKeyRotationsOperation können Sie sich die Details abgeschlossener Rotationen anzeigen lassen.
Wenn Sie einen rotierten KMS Schlüssel zum Verschlüsseln von Daten verwenden, AWS KMS wird das aktuelle Schlüsselmaterial verwendet. Wenn Sie den gedrehten KMS Schlüssel zum Entschlüsseln von Chiffretext verwenden, AWS KMS verwendet die Version des Schlüsselmaterials, mit der er verschlüsselt wurde. Sie können keine bestimmte Version des Schlüsselmaterials für Entschlüsselungsvorgänge auswählen. Es AWS KMS wird automatisch die richtige Version ausgewählt. Da mit dem entsprechenden Schlüsselmaterial AWS KMS transparent entschlüsselt wird, können Sie einen rotierten KMS Schlüssel problemlos in Anwendungen und AWS-Services ohne Codeänderungen verwenden.
Die automatische Schlüsselrotation hat jedoch keine Auswirkung auf die Daten, die der KMS Schlüssel schützt. Die Datenschlüssel, die der KMS Schlüssel generiert hat, werden nicht rotiert, und es werden keine durch den KMS Schlüssel geschützten Daten erneut verschlüsselt, und die Auswirkungen eines kompromittierten Datenschlüssels werden dadurch nicht gemildert.
AWS KMS unterstützt die automatische und bedarfsgesteuerte Schlüsselrotation nur für symmetrische KMS Verschlüsselungsschlüssel mit selbst erzeugtem Schlüsselmaterial. AWS KMS Die automatische Rotation ist für vom Kunden verwaltete KMS Schlüssel optional. AWS KMS wechselt das Schlüsselmaterial für AWS verwaltete KMS Schlüssel jedes Jahr. Die Rotation der AWS eigenen KMS Schlüssel wird von dem AWS Dienst verwaltet, dem der Schlüssel gehört.
Anmerkung
Der Rotationszeitraum für Von AWS verwaltete Schlüssel hat sich im Mai 2022 geändert. Details hierzu finden Sie unter Von AWS verwaltete Schlüssel.
Durch die Schlüsseldrehung wird nur das Schlüsselmaterial des CMK geändert. Dabei handelt es sich um das kryptografische Geheimnis, das für Verschlüsselungsoperationen verwendet werden. Der KMS Schlüssel ist dieselbe logische Ressource, unabhängig davon, ob oder wie oft sich ihr Schlüsselmaterial ändert. Die Eigenschaften des KMS Schlüssels ändern sich nicht, wie in der folgenden Abbildung dargestellt.

Möglicherweise möchten Sie einen neuen KMS Schlüssel erstellen und ihn anstelle des ursprünglichen KMS Schlüssels verwenden. Dies hat den gleichen Effekt wie das Drehen des Tastenmaterials in einem vorhandenen KMS Schlüssel, weshalb häufig davon ausgegangen wird, dass der Schlüssel manuell gedreht wird. Die manuelle Drehung ist eine gute Wahl, wenn Sie KMS Schlüssel drehen möchten, die nicht für eine automatische Schlüsselrotation in Frage kommen, z. B. asymmetrische KMS HMACKMSSchlüssel, KMS Schlüssel in benutzerdefinierten Schlüsselspeichern und KMS Schlüssel mit importiertem Schlüsselmaterial.
Schlüsselrotation und Preise
AWS KMS berechnet eine monatliche Gebühr für die erste und zweite Rotation des für Ihren Schlüssel verwalteten KMS Schlüsselmaterials. Diese Preiserhöhung ist bei der zweiten Rotation begrenzt, und alle nachfolgenden Rotationen werden nicht in Rechnung gestellt. Für Einzelheiten vgl. AWS Key Management Service -Preise
Anmerkung
Sie können den AWS Cost Explorer Service verwenden, um eine Aufschlüsselung Ihrer Gebühren für die Aufbewahrung Ihrer Schlüssel einzusehen. Sie können Ihre Ansicht beispielsweise so filtern, dass die Gesamtkosten für Schlüssel, die als aktuelle Schlüssel abgerechnet werden, und für rotierte KMS Schlüssel angezeigt werden, indem Sie die Verwendungsart angeben $REGION-KMS-Keys
und die Daten nach Vorgang gruppieren. API
Möglicherweise werden Ihnen immer noch Instanzen des Unknown
API Vorgängervorgangs für historische Daten angezeigt.
Schlüsselrotation und Kontingente
Jeder KMS Schlüssel zählt bei der Berechnung der wichtigsten Ressourcenkontingente als ein Schlüssel, unabhängig von der Anzahl der rotierten Versionen der wichtigsten Materialien.
Weitere Informationen zu Schlüsselmaterial und Drehung finden Sie unter AWS Key Management Service Kryptografische Details.
Themen
- Warum KMS Schlüssel rotieren?
- So funktioniert die Schlüsselrotation
- Automatische Schlüsselrotation aktivieren
- Deaktivieren Sie die automatische Schlüsselrotation
- Führen Sie die Schlüsselrotation bei Bedarf durch
- Tasten manuell drehen
- Ändern Sie den Primärschlüssel in einer Reihe von Schlüsseln für mehrere Regionen
Warum KMS Schlüssel rotieren?
Bewährte Methoden im Bereich Kryptografie raten von der umfassenden Wiederverwendung von Schlüsseln ab, die Daten direkt verschlüsseln, wie z. B. generierte Datenschlüssel. AWS KMS Wenn 256-Bit-Datenschlüssel Millionen von Nachrichten verschlüsseln, können sie erschöpft sein und anfangen, Geheimtext mit subtilen Mustern zu erzeugen, den clevere Akteure ausnutzen können, um die Bits im Schlüssel zu entdecken. Um diese Erschöpfung der Schlüssel zu vermeiden, empfiehlt es sich, Datenschlüssel einmal oder nur ein paar Mal zu verwenden, wodurch das Schlüsselmaterial effektiv rotiert wird.
KMSSchlüssel werden jedoch am häufigsten als Schlüssel zum Umschließen von Schlüsseln verwendet, die auch als Schlüssel zur Schlüsselverschlüsselung bezeichnet werden. Anstatt Daten zu verschlüsseln, verschlüsseln Mantelschlüssel die Datenschlüssel, die Ihre Daten verschlüsseln. Daher werden sie weitaus seltener verwendet als Datenschlüssel und werden fast nie so oft wiederverwendet, dass das Risiko besteht, dass die Schlüssel erschöpft werden.
Trotz dieses sehr geringen Erschöpfungsrisikos kann es sein, dass Sie Ihre KMS Schlüssel aufgrund von Geschäfts- oder Vertragsbestimmungen oder behördlichen Vorschriften wechseln müssen. Wenn Sie gezwungen sind, KMS Schlüssel zu drehen, empfehlen wir Ihnen, die automatische Schlüsselrotation zu verwenden, sofern sie unterstützt wird, und die manuelle Schlüsselrotation, wenn die automatische Schlüsselrotation nicht unterstützt wird.
Sie könnten erwägen, Rotationen auf Anfrage durchzuführen, um wichtige Funktionen der Materialrotation zu demonstrieren oder Automatisierungsskripte zu validieren. Wir empfehlen, für ungeplante Rotationen On-Demand-Rotationen und, wann immer möglich, die automatische Schlüsselrotation mit einem benutzerdefinierten Rotationsperiode zu verwenden.
So funktioniert die Schlüsselrotation
Die Schlüsselrotation in AWS KMS ist so konzipiert, dass sie transparent und einfach zu bedienen ist. AWS KMS unterstützt die optionale automatische und bedarfsgesteuerte Schlüsselrotation nur für vom Kunden verwaltete Schlüssel.
- Automatische Schlüsselrotation
-
AWS KMS rotiert den KMS Schlüssel automatisch am nächsten Rotationsdatum, das durch Ihre Rotationsperiode definiert ist. Sie müssen das Update nicht selbst planen.
- Rotation auf Anfrage
-
Initiieren Sie sofort die Rotation des mit Ihrem Schlüssel verknüpften KMS Schlüsselmaterials, unabhängig davon, ob die automatische Schlüsselrotation aktiviert ist oder nicht.
- Verwalten von Schlüsselmaterial
-
AWS KMS behält das gesamte Schlüsselmaterial für einen KMS Schlüssel bei, auch wenn die Schlüsselrotation deaktiviert ist. AWS KMS löscht das Schlüsselmaterial nur, wenn Sie den KMS Schlüssel löschen.
- Verwenden von Schlüsselmaterial
-
Wenn Sie einen rotierten KMS Schlüssel zum Verschlüsseln von Daten verwenden, AWS KMS verwendet das aktuelle Schlüsselmaterial. Wenn Sie den gedrehten KMS Schlüssel zum Entschlüsseln von Chiffretext verwenden, AWS KMS verwendet dieselbe Version des Schlüsselmaterials, das für die Verschlüsselung verwendet wurde. Sie können keine bestimmte Version des Schlüsselmaterials für Entschlüsselungsvorgänge auswählen. Es AWS KMS wird automatisch die richtige Version ausgewählt.
- Zeitraum der Rotation
-
Der Rotationszeitraum definiert die Anzahl der Tage nach der Aktivierung der automatischen Schlüsselrotation, wodurch Ihr Schlüsselmaterial rotiert AWS KMS wird, und die Anzahl der Tage zwischen den einzelnen automatischen Schlüsselrotationen danach. Wenn Sie keinen Wert für
RotationPeriodInDays
die Aktivierung der automatischen Schlüsselrotation angeben, ist der Standardwert 365 Tage.Sie können den RotationPeriodInDays Bedingungsschlüssel kms: verwenden, um die Werte, die Prinzipale im Parameter angeben können, weiter einzuschränken.
RotationPeriodInDays
- Rotationsdatum
-
AWS KMS dreht den KMS Schlüssel automatisch an dem durch Ihre Rotationsperiode definierten Rotationsdatum. Der Standardrotationszeitraum beträgt 365 Tage.
- Kundenverwaltete Schlüssel
-
Da die automatische Schlüsselrotation bei vom Kunden verwalteten Schlüsseln optional ist und jederzeit aktiviert und deaktiviert werden kann, hängt das Rotationsdatum von dem Datum ab, an dem die Rotation zuletzt aktiviert wurde. Das Datum kann sich ändern, wenn Sie den Rotationszeitraum für einen Schlüssel ändern, für den Sie zuvor die automatische Schlüsselrotation aktiviert haben. Das Rotationsdatum kann sich im Laufe der Lebensdauer des Schlüssels mehrfach ändern.
Wenn Sie beispielsweise am 1. Januar 2022 einen vom Kunden verwalteten Schlüssel erstellen und die automatische Schlüsselrotation mit dem AWS KMS Standardrotationszeitraum von 365 Tagen am 15. März 2022 aktivieren, wird das Schlüsselmaterial am 15. März 2023, 15. März 2024 und danach alle 365 Tage rotiert.
In den folgenden Beispielen wird davon ausgegangen, dass die automatische Schlüsselrotation mit dem Standardrotationszeitraum von 365 Tagen aktiviert wurde. Diese Beispiele zeigen Sonderfälle, die sich auf die Rotationsperiode eines Schlüssels auswirken können.
-
Schlüsselrotation deaktivieren — Wenn Sie die automatische Schlüsselrotation zu einem beliebigen Zeitpunkt deaktivieren, verwendet der KMS Schlüssel weiterhin die Version des Schlüsselmaterials, das er verwendet hat, als die Rotation deaktiviert wurde. Wenn Sie die automatische Schlüsselrotation wieder aktivieren, AWS KMS rotiert das Schlüsselmaterial auf der Grundlage des neuen Aktivierungsdatums für die Rotation.
-
Deaktivierte KMS Tasten — Solange ein KMS Schlüssel deaktiviert ist, wird AWS KMS er nicht gedreht. Der Status der Schlüsselrotation ändert sich jedoch nicht, und Sie können ihn nicht ändern, solange der KMS Schlüssel deaktiviert ist. Wenn der KMS Schlüssel wieder aktiviert ist und das Schlüsselmaterial sein letztes geplantes Rotationsdatum überschritten hat, wird es sofort AWS KMS rotiert. Wenn das Schlüsselmaterial sein letztes AWS KMS geplantes Rotationsdatum nicht verpasst hat, wird der ursprüngliche Zeitplan für die Schlüsselrotation wieder aufgenommen.
-
KMSSchlüssel, deren Löschung noch aussteht — Solange ein KMS Schlüssel noch gelöscht werden AWS KMS muss, wird er nicht rotiert. Als Status der Schlüsselrotation wird
false
eingestellt und er kann von Ihnen nicht mehr geändert werden, während der Löschvorgang ansteht. Wenn der Löschvorgang abgebrochen wird, wird der vorherige Status der Schlüsselrotation wiederhergestellt. Wenn das Schlüsselmaterial seinen letzten geplanten Rotationstermin überschritten hat, wird es sofort AWS KMS rotiert. Wenn das Schlüsselmaterial seinen letzten geplanten Rotationstermin nicht verpasst hat, AWS KMS wird der ursprüngliche Zeitplan für die Schlüsselrotation wieder aufgenommen.
-
- Von AWS verwaltete Schlüssel
-
AWS KMS wechselt automatisch Von AWS verwaltete Schlüssel jedes Jahr (ungefähr 365 Tage). Sie können die Schlüsseldrehung von Von AWS verwaltete Schlüssel nicht aktivieren oder deaktivieren.
Das Schlüsselmaterial für eine Von AWS verwalteter Schlüssel wird zunächst ein Jahr nach dem Erstellungsdatum rotiert und danach jedes Jahr (ungefähr 365 Tage nach der letzten Rotation).
Anmerkung
Im Mai 2022 AWS KMS wurde der Rotationsplan Von AWS verwaltete Schlüssel von allen drei Jahren (etwa 1.095 Tage) auf jedes Jahr (ungefähr 365 Tage) geändert.
Neue Von AWS verwaltete Schlüssel werden automatisch ein Jahr nach ihrer Erstellung und danach ungefähr jedes Jahr rotiert.
Bestehende Von AWS verwaltete Schlüssel werden automatisch ein Jahr nach ihrer letzten Rotation und danach jedes Jahr gewechselt.
- AWS-eigene Schlüssel
-
Sie können die Schlüsseldrehung von AWS-eigene Schlüssel nicht aktivieren oder deaktivieren. Die Strategie der Schlüsselrotation für einen AWS-eigener Schlüssel wird durch den AWS Dienst bestimmt, der den Schlüssel erstellt und verwaltet. Weitere Informationen finden Sie im Benutzerhandbuch oder Entwicklerhandbuch für den Service unter dem Thema Verschlüsselung im Ruhezustand.
- Unterstützte KMS Schlüsseltypen
-
Die automatische Schlüsselrotation wird nur bei symmetrischen KMS Verschlüsselungsschlüsseln unterstützt, deren Schlüsselmaterial AWS KMS generiert wird (Origin =AWS_KMS).
Die automatische Schlüsselrotation wird bei den folgenden Schlüsseltypen nicht unterstützt, Sie können diese KMS KMS Schlüssel jedoch manuell rotieren.
-
KMSSchlüssel in benutzerdefinierten Schlüsselspeichern
-
KMSSchlüssel mit importiertem Schlüsselmaterial
- Rotierende Tasten für mehrere Regionen
-
Sie können die automatische Rotation aktivieren und deaktivieren und bei Bedarf eine Rotation des Schlüsselmaterials bei symmetrischer Verschlüsselung für mehrere Regionen durchführen. Die Schlüsselrotation ist eine gemeinsame Eigenschaft von Schlüsseln mit mehreren Regionen.
Sie können die automatische Schlüsseldrehung nur für einen Primärschlüssel aktivieren oder deaktivieren. Sie initiieren die Rotation bei Bedarf nur für den Primärschlüssel.
-
Bei der AWS KMS Synchronisierung der Schlüssel für mehrere Regionen wird die Eigenschaftseinstellung für die Schlüsselrotation vom Primärschlüssel auf alle zugehörigen Replikatschlüssel kopiert.
-
Bei der AWS KMS Rotation des Schlüsselmaterials wird neues Schlüsselmaterial für den Primärschlüssel erstellt. Anschließend wird das neue Schlüsselmaterial über Regionsgrenzen hinweg in alle zugehörigen Replikatschlüssel kopiert. Das Schlüsselmaterial wird niemals unverschlüsselt verlassen AWS KMS . Dieser Schritt wird sorgfältig überwacht, um sicherzustellen, dass das Schlüsselmaterial vollständig synchronisiert wird, bevor ein Schlüssel in einer kryptografischen Operation verwendet wird.
-
AWS KMS verschlüsselt keine Daten mit dem neuen Schlüsselmaterial, bis dieses Schlüsselmaterial im Primärschlüssel und in jedem seiner Replikatschlüssel verfügbar ist.
-
Wenn Sie einen gedrehten Primärschlüssel replizieren, enthält der neue Replikatschlüssel das aktuelle Schlüsselmaterial und alle früheren Versionen des Schlüsselmaterials für seine verwandten multiregionalen Schlüssel.
Dieses Muster stellt sicher, dass verwandte multiregionale Schlüssel vollständig interoperabel sind. Jeder multiregionale Schlüssel kann Chiffretext entschlüsseln, der mit einem verwandten multiregionalen Schlüssel verschlüsselt wurde, selbst wenn der Chiffretext vor dem Erstellen des Schlüssels verschlüsselt wurde.
-
- AWS Dienste
-
Sie können für die kundenverwalteten KMS-Schlüssel, die Sie für die serverseitige Verschlüsselung in AWS -Services verwenden, eine automatische Schlüsseldrehung aktivieren. Die jährliche Drehung ist transparent und mit AWS -Services kompatibel.
- Überwachen der Schlüsselrotation.
-
Wenn das Schlüsselmaterial für einen Von AWS verwalteter Schlüsseloder vom Kunden verwalteten Schlüssel AWS KMS rotiert wird, schreibt es ein
KMS CMK Rotation
Ereignis an Amazon EventBridge und ein RotateKey Ereignis in Ihr AWS CloudTrail Protokoll. Anhand dieser Datensätze können Sie überprüfen, ob der KMS Schlüssel rotiert wurde.Sie können die AWS Key Management Service Konsole verwenden, um die Anzahl der verbleibenden On-Demand-Rotationen sowie eine Liste aller abgeschlossenen Materialrotationen für einen KMS Schlüssel anzuzeigen.
Sie können die ListKeyRotationsOperation verwenden, um die Details der abgeschlossenen Rotationen einzusehen.
- Letztendliche Datenkonsistenz
-
Die Schlüsselrotation unterliegt letztlich den gleichen Konsistenzeffekten wie andere AWS KMS Verwaltungsvorgänge. Es kann zu einer leichten Verzögerung kommen, bevor das neue Schlüsselmaterial in allen Bereichen von AWS KMS verfügbar ist. Das Drehen von Schlüsselmaterial verursacht jedoch keine Unterbrechung oder Verzögerung kryptografischer Operationen. Das aktuelle Schlüsselmaterial wird in kryptografischen Operationen verwendet, bis das neue Schlüsselmaterial überall in AWS KMS verfügbar ist. Wenn das Schlüsselmaterial für einen Schlüssel mit mehreren Regionen automatisch rotiert wird, wird das aktuelle Schlüsselmaterial AWS KMS verwendet, bis das neue Schlüsselmaterial in allen Regionen mit einem zugehörigen Schlüssel für mehrere Regionen verfügbar ist.