Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Führen Sie die Schlüsselrotation bei Bedarf durch

PDF
RSS
Fokusmodus
Führen Sie die Schlüsselrotation bei Bedarf durch - AWS Key Management Service
Initiierung der On-Demand-Schlüsselrotation (Konsole)Initiierung der On-Demand-Schlüsselrotation (API)AWS KMS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sie können das Schlüsselmaterial in vom Kunden verwalteten KMS-Schlüsseln bei Bedarf rotieren, unabhängig davon, ob die automatische Schlüsselrotation aktiviert ist oder nicht. Die Deaktivierung der automatischen Rotation (DisableKeyRotation) hat keinen Einfluss auf Ihre Fähigkeit, Rotationen auf Anfrage durchzuführen, und es werden auch keine laufenden On-Demand-Rotationen storniert. Rotationen auf Abruf haben keine Auswirkungen auf bestehende Zeitpläne für automatische Rotationen. Stellen Sie sich zum Beispiel einen KMS-Schlüssel vor, für den die automatische Schlüsselrotation aktiviert ist und für den eine Rotationsperiode von 730 Tagen gilt. Wenn für den Schlüssel eine automatische Rotation am 14. April 2024 geplant ist und Sie am 10. April 2024 eine On-Demand-Rotation durchführen, wird der Schlüssel wie geplant am 14. April 2024 und danach alle 730 Tage automatisch rotiert.

Sie können die Schlüsselrotation bei Bedarf maximal zehnmal pro KMS-Schlüssel durchführen. Sie können die AWS KMS Konsole verwenden, um die Anzahl der verbleibenden On-Demand-Rotationen anzuzeigen, die für einen KMS-Schlüssel verfügbar sind.

Die On-Demand-Schlüsselrotation wird nur für KMS-Schlüssel mit symmetrischer Verschlüsselung unterstützt. Sie können keine On-Demand-Rotation von asymmetrischen KMS-Schlüsseln, HMAC-KMS-Schlüsseln, KMS-Schlüsseln mit importiertem Schlüsselmaterial oder KMS-Schlüsseln in einem benutzerdefinierten Schlüsselspeicher durchführen. Rufen Sie die On-Demand-Rotation für einen Satz verwandter Schlüssel mit mehreren Regionen auf Anforderung für den Primärschlüssel auf.

Autorisierte Benutzer können die AWS KMS Konsole und die AWS KMS API verwenden, um eine On-Demand-Schlüsselrotation einzuleiten und den Status der Schlüsselrotation einzusehen.

Initiierung der On-Demand-Schlüsselrotation (Konsole)

  1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms.

  2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel. (Sie können die Rotation von nicht bei Bedarf durchführen. Von AWS verwaltete Schlüssel Sie werden jedes Jahr automatisch rotiert.)

  4. Wählen Sie den Alias oder die Schlüssel-ID eines KMS-Schlüssels.

  5. Wählen Sie die Registerkarte Key rotation (Schlüsselrotation).

    Die Registerkarte Schlüsselrotation wird nur auf der Detailseite von KMS-Schlüsseln mit symmetrischer Verschlüsselung angezeigt, wobei das Schlüsselmaterial AWS KMS generiert wurde (der Ursprung ist AWS_KMS), einschließlich KMS-Schlüsseln mit symmetrischer Verschlüsselung für mehrere Regionen.

    Sie können keine Rotation von asymmetrischen KMS-Schlüsseln, HMAC-KMS-Schlüsseln, KMS-Schlüsseln mit importiertem Schlüsselmaterial oder KMS-Schlüsseln in benutzerdefinierten Schlüsselspeichern bei Bedarf durchführen. Sie können sie jedoch manuell rotieren.

  6. Wählen Sie im Abschnitt Schlüsselrotation auf Anforderung die Option Schlüssel drehen aus.

  7. Lesen und berücksichtigen Sie die Warnung und die Informationen über die Anzahl der verbleibenden Drehungen bei Bedarf für den Schlüssel. Wenn Sie entscheiden, dass Sie mit der Rotation auf Anforderung nicht fortfahren möchten, wählen Sie Abbrechen.

  8. Wählen Sie die Taste „Drehen“, um die Drehung bei Bedarf zu bestätigen.

    Anmerkung

    Die Rotation nach Bedarf unterliegt letztlich den gleichen Konsistenzeffekten wie andere AWS KMS Verwaltungsvorgänge. Es kann zu einer leichten Verzögerung kommen, bevor das neue Schlüsselmaterial in allen Bereichen von AWS KMS verfügbar ist. Das Banner oben in der Konsole informiert Sie, wenn die On-Demand-Rotation abgeschlossen ist.

Initiierung der On-Demand-Schlüsselrotation (API)AWS KMS

Sie können die API AWS Key Management Service (AWS KMS) verwenden, um eine On-Demand-Schlüsselrotation zu initiieren und den aktuellen Rotationsstatus aller vom Kunden verwalteten Schlüssel einzusehen. In diesem Beispiel wird die AWS Command Line Interface (AWS CLI) verwendet, Sie können jedoch jede unterstützte Programmiersprache verwenden.

Der RotateKeyOnDemandVorgang initiiert sofort die On-Demand-Schlüsselrotation für den angegebenen KMS-Schlüssel. Um den KMS-Schlüssel bei diesen Operationen zu identifizieren, verwenden Sie seine Schlüssel-ID oder den Schlüssel-ARN.

Im folgenden Beispiel wird eine On-Demand-Schlüsselrotation für den angegebenen KMS-Schlüssel mit symmetrischer Verschlüsselung initiiert und anhand des GetKeyRotationStatusVorgangs überprüft, ob die On-Demand-Rotation ausgeführt wird. OnDemandRotationStartDateIn der kms:GetKeyRotationStatus Antwort werden Datum und Uhrzeit angegeben, zu denen eine laufende On-Demand-Rotation initiiert wurde.

$ aws kms rotate-key-on-demand --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"    
}

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": true,
    "NextRotationDate": "2024-03-14T18:14:33.587000+00:00",
    "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
    "RotationPeriodInDays": 365    
}

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.