Rotation der wichtigsten AWS KMS Faktoren und Umfang der Auswirkungen - AWS Präskriptive Leitlinien
Symmetrische SchlüsselrotationSchlüsselrotation für Amazon EBSSchlüsselrotation für Amazon RDSSchlüsselrotation für Amazon S3Rotierende Schlüssel mit importiertem Material

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Rotation der wichtigsten AWS KMS Faktoren und Umfang der Auswirkungen

Wir empfehlen die Schlüsselrotation nicht AWS Key Management Service (AWS KMS), es sei denn, Sie müssen die Schlüssel aus regulatorischen Gründen wechseln. Beispielsweise müssen Sie Ihre KMS-Schlüssel möglicherweise aufgrund von Geschäftsrichtlinien, Vertragsregeln oder behördlichen Vorschriften rotieren. Durch das Design von werden die Arten von Risiken, die normalerweise durch Schlüsselrotation gemindert werden, AWS KMS erheblich reduziert. Wenn Sie KMS-Schlüssel rotieren müssen, empfehlen wir, die automatische Schlüsselrotation zu verwenden und die manuelle Schlüsselrotation nur dann zu verwenden, wenn die automatische Schlüsselrotation nicht unterstützt wird.

AWS KMS symmetrische Schlüsselrotation

AWS KMS unterstützt die automatische Schlüsselrotation nur für symmetrische Verschlüsselung von KMS-Schlüsseln mit Schlüsselmaterial, das AWS KMS erstellt. Die automatische Rotation ist für vom Kunden verwaltete KMS-Schlüssel optional. Das Schlüsselmaterial für AWS verwaltete KMS-Schlüssel wird jährlich AWS KMS rotiert. AWS KMS speichert alle früheren Versionen des kryptografischen Materials auf unbestimmte Zeit, sodass Sie alle Daten entschlüsseln können, die mit diesem KMS-Schlüssel verschlüsselt wurden. AWS KMS löscht kein rotiertes Schlüsselmaterial, bis Sie den KMS-Schlüssel löschen. Wenn Sie ein Objekt mit Hilfe von entschlüsseln AWS KMS, bestimmt der Service außerdem das richtige Trägermaterial, das für den Entschlüsselungsvorgang verwendet werden soll. Es müssen keine zusätzlichen Eingabeparameter angegeben werden.

Da frühere Versionen des kryptografischen Schlüsselmaterials AWS KMS beibehalten werden und Sie dieses Material zum Entschlüsseln von Daten verwenden können, bietet die Schlüsselrotation keine zusätzlichen Sicherheitsvorteile. Der Schlüsselrotationsmechanismus dient dazu, die Rotation von Schlüsseln zu vereinfachen, wenn Sie eine Arbeitslast in einem Kontext ausführen, in dem gesetzliche oder andere Anforderungen dies erfordern.

Schlüsselrotation für Amazon EBS-Volumes

Sie können Amazon Elastic Block Store (Amazon EBS) -Datenschlüssel rotieren, indem Sie einen der folgenden Ansätze verwenden. Der Ansatz hängt von Ihren Workflows, Bereitstellungsmethoden und Ihrer Anwendungsarchitektur ab. Möglicherweise möchten Sie dies tun, wenn Sie von einem AWS verwalteten Schlüssel zu einem vom Kunden verwalteten Schlüssel wechseln.

Um die Daten mithilfe von Betriebssystem-Tools von einem Volume auf ein anderes zu kopieren

  1. Erstellen Sie den neuen KMS-Schlüssel. Anweisungen finden Sie unter Erstellen eines KMS-Schlüssels.

  2. Erstellen Sie ein neues Amazon EBS-Volume, das dieselbe Größe wie das Original oder größer als das Original hat. Geben Sie für die Verschlüsselung den KMS-Schlüssel an, den Sie erstellt haben. Anweisungen finden Sie unter Erstellen eines Amazon EBS-Volumes.

  3. Mounten Sie das neue Volume auf derselben Instance oder demselben Container wie das ursprüngliche Volume. Anweisungen finden Sie unter Anhängen eines Amazon EBS-Volumes an eine EC2 Amazon-Instance.

  4. Kopieren Sie mit Ihrem bevorzugten Betriebssystem-Tool Daten vom vorhandenen Volume auf das neue Volume.

  5. Wenn die Synchronisierung abgeschlossen ist, beenden Sie während eines vorab geplanten Wartungsfensters den Datenverkehr zur Instance. Anweisungen finden Sie unter Manuelles Stoppen und Starten Ihrer Instances.

  6. Hängen Sie das ursprüngliche Volume aus. Anweisungen finden Sie unter Trennen eines Amazon EBS-Volumes von einer EC2 Amazon-Instance.

  7. Mounten Sie das neue Volume am ursprünglichen Bereitstellungspunkt.

  8. Stellen Sie sicher, dass das neue Volume ordnungsgemäß funktioniert.

  9. Löschen Sie das ursprüngliche Volume. Anweisungen finden Sie unter Löschen eines Amazon EBS-Volumes.

So verwenden Sie einen Amazon EBS-Snapshot, um die Daten von einem Volume auf ein anderes zu kopieren

  1. Erstellen Sie den neuen KMS-Schlüssel. Anweisungen finden Sie unter Erstellen eines KMS-Schlüssels.

  2. Erstellen Sie einen Amazon EBS-Snapshot des ursprünglichen Volumes. Anweisungen finden Sie unter Amazon EBS-Snapshots erstellen.

  3. Erstellen Sie ein neues Volume aus dem Snapshot. Geben Sie für die Verschlüsselung den neuen KMS-Schlüssel an, den Sie erstellt haben. Anweisungen finden Sie unter Erstellen eines Amazon EBS-Volumes.

    Anmerkung

    Abhängig von Ihrer Arbeitslast möchten Sie möglicherweise Amazon EBS Fast Snapshot Restore verwenden, um die anfängliche Latenz auf dem Volume zu minimieren.

  4. Erstellen Sie eine neue EC2 Amazon-Instance. Anweisungen finden Sie unter Starten einer EC2 Amazon-Instance.

  5. Hängen Sie das von Ihnen erstellte Volume an die EC2 Amazon-Instance an. Anweisungen finden Sie unter Anhängen eines Amazon EBS-Volumes an eine EC2 Amazon-Instance.

  6. Wechseln Sie die neue Instance in die Produktionsumgebung.

  7. Dreht die ursprüngliche Instanz aus der Produktion und löscht sie. Anweisungen finden Sie unter Löschen eines Amazon EBS-Volumes.

Anmerkung

Es ist möglich, Snapshots zu kopieren und den für die Zielkopie verwendeten Verschlüsselungsschlüssel zu ändern. Nachdem Sie den Snapshot kopiert und mit Ihren bevorzugten KMS-Schlüsseln verschlüsselt haben, können Sie auch ein Amazon Machine Image (AMI) aus Snapshots erstellen. Weitere Informationen finden Sie unter Amazon EBS-Verschlüsselung in der EC2 Amazon-Dokumentation.

Schlüsselrotation für Amazon RDS

Bei einigen Diensten, wie Amazon Relational Database Service (Amazon RDS), erfolgt die Datenverschlüsselung innerhalb des Dienstes und wird von AWS KMS bereitgestellt. Verwenden Sie die folgenden Anweisungen, um einen Schlüssel für eine Amazon RDS-Datenbank-Instance zu rotieren.

So rotieren Sie einen KMS-Schlüssel für eine Amazon RDS-Datenbank

  1. Erstellen Sie einen Snapshot der ursprünglichen verschlüsselten Datenbank. Anweisungen finden Sie unter Manuelle Backups verwalten in der Amazon RDS-Dokumentation.

  2. Kopieren Sie den Snapshot in einen neuen Snapshot. Geben Sie für die Verschlüsselung den neuen KMS-Schlüssel an. Anweisungen finden Sie unter Kopieren eines DB-Snapshots für Amazon RDS.

  3. Verwenden Sie den neuen Snapshot, um einen neuen Amazon RDS-Cluster zu erstellen. Anweisungen finden Sie unter Wiederherstellen auf eine DB-Instance in der Amazon RDS-Dokumentation. Standardmäßig verwendet der Cluster den neuen KMS-Schlüssel.

  4. Überprüfen Sie den Betrieb der neuen Datenbank und der darin enthaltenen Daten.

  5. Rotieren Sie die neue Datenbank in die Produktionsumgebung.

  6. Rotieren Sie die alte Datenbank aus der Produktion und löschen Sie sie. Anweisungen finden Sie unter Löschen einer DB-Instance.

Schlüsselrotation für Amazon S3 und Replikation in derselben Region

Um den Verschlüsselungsschlüssel eines Objekts für Amazon Simple Storage Service (Amazon S3) zu ändern, müssen Sie das Objekt lesen und neu schreiben. Wenn Sie das Objekt neu schreiben, geben Sie den neuen Verschlüsselungsschlüssel beim Schreibvorgang explizit an. Um dies für viele Objekte zu tun, können Sie Amazon S3 Batch Operations verwenden. Geben Sie in den Auftragseinstellungen für den Kopiervorgang die neuen Verschlüsselungseinstellungen an. Sie könnten beispielsweise SSE-KMS wählen und die KeyID eingeben.

Alternativ können Sie Amazon S3 Same-Region Replication (SRR) verwenden. SSR kann die Objekte während der Übertragung erneut verschlüsseln.

Rotierende KMS-Schlüssel mit importiertem Material

AWS KMS stellt Ihr importiertes Schlüsselmaterial nicht wieder her oder rotiert es nicht. Um einen KMS-Schlüssel mit importiertem Schlüsselmaterial zu rotieren, müssen Sie den Schlüssel manuell drehen.