Rotativo AWS KMS keys - AWS Key Management Service
¿Por qué rotar las claves de KMS?Cómo funciona la rotación de teclasCómo habilitar y desactivar la rotación automática de claves¿Cómo realizar la rotación de claves bajo demandaRotar manualmente las claves

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Rotativo AWS KMS keys

Para crear nuevo material criptográfico para sus claves administradas por el cliente, puede crear nuevas claves KMS y, a continuación, cambiar sus aplicaciones o alias para que utilicen las claves. O bien, puede rotar el material clave asociado a una clave KMS existente activando la rotación automática de claves o realizando la rotación bajo demanda.

De forma predeterminada, al activar la rotación automática de claves para una clave KMS, se AWS KMS genera nuevo material criptográfico para la clave KMS cada año. También puede especificar una opción personalizada rotation-period para definir el número de días después de activar la rotación automática de claves que AWS KMS rotará el material clave y el número de días que transcurrirán entre cada rotación automática a partir de entonces. Si necesita iniciar inmediatamente la rotación del material clave, puede realizar la rotación bajo demanda, independientemente de si la rotación automática de claves está habilitada o no. Las rotaciones bajo demanda no cambian los programas de rotación automática existentes.

AWS KMS guarda todas las versiones anteriores del material criptográfico a perpetuidad para que pueda descifrar cualquier dato cifrado con esa clave KMS. AWS KMS no elimina ningún material de clave girada hasta que elimine la clave KMS. Puede realizar un seguimiento de la rotación del material clave de sus claves de KMS en Amazon CloudWatch y en la AWS Key Management Service consola. AWS CloudTrail También puede utilizar la GetKeyRotationStatusoperación para comprobar si la rotación automática está habilitada para una clave de KMS e identificar cualquier rotación que se esté realizando bajo demanda. Puede utilizar la ListKeyRotationsoperación para ver los detalles de las rotaciones completadas.

Cuando utiliza una clave KMS girada para cifrar datos, AWS KMS utiliza el material de clave actual. Cuando utiliza la clave KMS girada para descifrar el texto cifrado, AWS KMS utiliza la versión del material clave que se utilizó para cifrarlo. No puede seleccionar una versión concreta del material clave para las operaciones de descifrado, AWS KMS sino que elige automáticamente la versión correcta. Como descifra de AWS KMS forma transparente con el material clave adecuado, puede utilizar de forma segura una clave KMS girada en las aplicaciones y Servicios de AWS sin cambios de código.

Sin embargo, la rotación automática de claves no afecta a los datos que la clave KMS protege. No rota las claves de datos que ha generado la clave KMS ni vuelve a cifrar los datos protegidos por la clave KMS. Además, no mitiga el efecto de una clave de datos comprometida.

AWS KMS admite la rotación de claves automática y bajo demanda solo para claves KMS de cifrado simétrico con el material de clave que crea. AWS KMS La rotación automática es opcional para las claves KMS administradas por el cliente. AWS KMS siempre rota el material de claves para claves KMS administradas de AWS cada año. La rotación de las claves KMS AWS propias la gestiona el AWS servicio propietario de la clave.

nota

El período de rotación Claves administradas por AWS cambió en mayo de 2022. Para obtener más detalles, consulte Claves administradas por AWS.

La rotación de claves cambia únicamente el material de claves, que es el secreto criptográfico que se usa en las operaciones de cifrado. La clave KMS es el mismo recurso lógico, independientemente de si el material de claves cambie o de cuántas veces lo haga. Las propiedades de la clave KMS no cambian, tal y como se muestra en la siguiente imagen.

Podría optar por crear una nueva clave KMS y utilizarla en lugar de la clave KMS original. Esto tiene el mismo efecto que rotar el material de claves de una clave KMS existente, así que a menudo se considera una rotación manual de la clave. La rotación manual es una buena opción si desea rotar claves KMS que no son aptas para la rotación automática de claves, como las claves KMS asimétricas, las claves KMS HMAC, las claves KMS en almacenes de claves personalizados y las claves KMS con material clave importado.

Rotación de claves y precios

AWS KMS cobra una cuota mensual por la primera y la segunda rotación del material clave conservado para tu clave KMS. Este aumento de precio está limitado a la segunda rotación y las rotaciones posteriores no se facturarán. Consulte los Precios de AWS Key Management Service para obtener más información.

nota

Puedes usar AWS Cost Explorer Service para ver un desglose de los cargos por almacenamiento de claves. Por ejemplo, puede filtrar la vista para ver los cargos totales de las claves facturadas como claves de KMS actuales y rotadas especificando $REGION-KMS-Keys en Tipo de uso y agrupando los datos por Operación de la API.

Es posible que siga viendo instancias de la operación de la API Unknown heredada para fechas antiguas.

Rotación de claves y cuotas

Cada clave KMS cuenta como una clave para el cálculo de las cuotas de recursos clave, independientemente del número de versiones de material de claves rotadas.

Para obtener información detallada sobre el material de claves y la rotación, consulte los Detalles criptográficos de AWS Key Management Service.

¿Por qué rotar las claves de KMS?

Las mejores prácticas criptográficas desalientan la reutilización extensiva de las claves que cifran los datos directamente, como las claves de datos que se generan. AWS KMS Cuando las claves de datos de 256 bits cifran millones de mensajes, estas pueden fatigarse y empezar a producir texto cifrado con patrones sutiles que los actores inteligentes pueden aprovechar para descubrir los bits de la clave. Para evitar que las claves se fatiguen, lo mejor es utilizar las claves de datos una vez o solo unas cuantas veces, lo que permite rotar el material de la clave de forma eficaz.

Sin embargo, las claves de KMS se utilizan con mayor frecuencia como claves de encapsulamiento, también conocidas como claves de cifrado de claves. En lugar de cifrar los datos, las claves de encapsulamiento cifran las claves de datos que cifran los datos. Por lo tanto, se utilizan con mucha menos frecuencia que las claves de datos y casi nunca se reutilizan lo suficiente como para correr el riesgo de que se fatiguen las claves.

A pesar de que el riesgo de fatiga es muy bajo, es posible que tenga que cambiar sus claves de KMS debido a normas comerciales o contractuales o a normativas gubernamentales. Cuando se vea en la obligación de rotar las claves de KMS, le recomendamos que utilice la rotación automática de claves cuando se permita y la rotación manual de claves cuando no se admita la rotación automática de claves.

Podría considerar la posibilidad de realizar rotaciones bajo demanda para demostrar las capacidades clave de rotación de materiales o para validar los scripts de automatización. Recomendamos utilizar rotaciones bajo demanda para las rotaciones no planificadas y utilizar la rotación clave automática con un período de rotación personalizado siempre que sea posible.

Cómo funciona la rotación de teclas

La rotación de teclas AWS KMS está diseñada para ser transparente y fácil de usar. AWS KMS admite la rotación de claves automática y bajo demanda opcional solo para las claves administradas por el cliente.

Rotación automática de llaves

AWS KMS gira la clave KMS automáticamente en la siguiente fecha de rotación definida por su período de rotación. No necesita recordar ni programar la actualización.

Rotación bajo demanda

Inicie inmediatamente la rotación del material clave asociado a su clave KMS, independientemente de si la rotación automática de claves está habilitada o no.

Administración de material de claves

AWS KMS conserva todo el material clave de una clave KMS, incluso si la rotación de claves está desactivada. AWS KMS elimina el material clave solo cuando se elimina la clave KMS.

Uso de material de claves

Cuando utiliza una clave KMS girada para cifrar datos, AWS KMS utiliza el material de clave actual. Cuando se utiliza la clave KMS rotada para descifrar el texto cifrado, AWS KMS utiliza la misma versión del material de claves utilizado para cifrarlo. No puede seleccionar una versión concreta del material clave para las operaciones de descifrado, sino que elige AWS KMS automáticamente la versión correcta.

Periodo de rotación

El período de rotación define el número de días después de activar la rotación automática de claves que AWS KMS rotará el material clave y el número de días que transcurrirán entre cada rotación automática de claves a partir de entonces. Si no especifica un valor para RotationPeriodInDays activar la rotación automática de claves, el valor predeterminado es 365 días.

Puede usar la clave de RotationPeriodInDays condición kms: para restringir aún más los valores que los directores pueden especificar en el RotationPeriodInDays parámetro.

Fecha de rotación

AWS KMS gira automáticamente la clave KMS en la fecha de rotación definida por el período de rotación. El período de rotación predeterminado es de 365 días.

Claves administradas por el cliente

Como la rotación automática de claves es opcional en las claves administradas por el cliente y se puede habilitar y deshabilitar en cualquier momento, la fecha de rotación depende de la fecha en que se habilitó la rotación por última vez. La fecha puede cambiar si modifica el período de rotación de una clave en la que anteriormente había activado la rotación automática de claves. La fecha de rotación puede cambiar muchas veces a lo largo de la vida útil de la clave.

Por ejemplo, si crea una clave gestionada por el cliente el 1 de enero de 2022 y habilita la rotación automática de claves con el período de rotación predeterminado de 365 días el 15 de marzo de 2022, AWS KMS rota el material clave el 15 de marzo de 2023, el 15 de marzo de 2024 y, a partir de entonces, cada 365 días.

En los ejemplos siguientes se supone que la rotación automática de claves estaba habilitada con el período de rotación predeterminado de 365 días. Estos ejemplos muestran casos especiales que pueden afectar al período de rotación de una clave.

  • Deshabilitar la rotación de claves: si deshabilita la rotación automática de claves en cualquier momento, la clave de KMS seguirá utilizando la versión del material de claves que utilizaba cuando la rotación estaba deshabilitada. Si vuelve a activar la rotación automática de claves, AWS KMS gira el material clave en función de la nueva fecha de activación de la rotación.

  • Teclas KMS deshabilitadas: mientras una clave KMS esté deshabilitada, AWS KMS no la rota. Sin embargo, el estado de rotación de clave no cambia y no puede cambiarlo mientras la clave KMS esté deshabilitada. Cuando se vuelve a activar la clave KMS, si el material clave ha pasado su última fecha de rotación programada, lo AWS KMS rota inmediatamente. Si el material clave no ha perdido la última fecha de rotación programada, AWS KMS reanuda el programa de rotación clave original.

  • Claves de KMS pendientes de eliminación: mientras una clave de KMS esté pendiente de eliminación, AWS KMS no la rota. El estado de rotación de clave se establece en false y no puede cambiarla mientras su eliminación está pendiente. Si se cancela la eliminación, se restaura el estado de rotación de clave anterior. Si el material clave ha pasado su última fecha de rotación programada, lo AWS KMS gira inmediatamente. Si el material clave no ha perdido su última fecha de rotación programada, AWS KMS reanuda la programación de rotación clave original.

Claves administradas por AWS

AWS KMS rota automáticamente Claves administradas por AWS cada año (aproximadamente 365 días). No puede habilitar ni desactivar la rotación de claves de Claves administradas por AWS.

El material clave de un objeto Clave administrada de AWS se rota primero un año después de su fecha de creación y, a partir de entonces, todos los años (aproximadamente 365 días a partir de la última rotación).

nota

En mayo de 2022, AWS KMS cambiamos el programa de rotación Claves administradas por AWS de cada tres años (aproximadamente 1095 días) a uno anual (aproximadamente 365 días).

Claves administradas por AWS Los nuevos se rotan automáticamente un año después de su creación y aproximadamente cada año a partir de entonces.

Claves administradas por AWS Los existentes se rotan automáticamente un año después de su rotación más reciente y cada año a partir de entonces.

Claves propiedad de AWS

No puede habilitar ni desactivar la rotación de claves de Claves propiedad de AWS. La estrategia de rotación clave de una Clave propiedad de AWS es determinada por el AWS servicio que crea y administra la clave. Para obtener más detalles, consulte el tema Cifrado en reposo en la Guía del usuario o en la Guía para desarrolladores del servicio.

Tipos de claves KMS compatibles

La rotación automática de la clave es compatible únicamente con las claves KMS de cifrado simétricas con material de claves que AWS KMS genera (Origen = AWS_KMS).

La rotación automática de claves no es compatible en los siguientes tipos de claves KMS, pero puede rotar estas claves KMS de forma manual.

Claves de varias regiones

Puede habilitar y desactivar la rotación automática de claves paraClaves de varias regiones. La propiedad solo se establece en la clave principal. Al AWS KMS sincronizar las claves, copia la configuración de la propiedad de la clave principal a sus claves de réplica. Cuando se gira el material clave de la clave principal, lo copia AWS KMS automáticamente en todas sus réplicas de claves. Para obtener más detalles, consulte Rotación de las claves de varias regiones .

AWS servicios

Puede habilitar la rotación automática de claves en las claves administradas por el cliente que utilice para el cifrado en el lado del servidor en los servicios de AWS . La rotación anual es transparente y compatible con los servicios de AWS .

Supervisión de la rotación de claves

Cuando AWS KMS rota el material clave de una Clave administrada de AWSclave gestionada por el cliente, escribe un KMS CMK Rotation evento en Amazon EventBridge y otro RotateKey en tu AWS CloudTrail registro. Puede usar estos registros para comprobar que la clave KMS se ha rotado.

Puede usar la AWS Key Management Service consola para ver el número de rotaciones pendientes bajo demanda y una lista de todas las rotaciones de materiales clave completadas para una clave de KMS.

Puede utilizar la ListKeyRotationsoperación para ver los detalles de las rotaciones completadas.

Consistencia final

La rotación de claves está sujeta a los mismos posibles efectos de coherencia que otras operaciones AWS KMS de gestión. Es posible que haya un ligero retraso antes de que el nuevo material de claves esté disponible en AWS KMS. Sin embargo, la rotación de material clave no causa ninguna interrupción o retraso en las operaciones criptográficas. El material clave actual se utiliza en operaciones criptográficas hasta que el nuevo material de claves esté disponible en toda la AWS KMS. Cuando el material clave de una clave multirregional se rota automáticamente, AWS KMS utiliza el material clave actual hasta que el nuevo material clave esté disponible en todas las regiones con una clave multirregional relacionada.

Cómo habilitar y desactivar la rotación automática de claves

De forma predeterminada, cuando se habilita la rotación automática de claves para una clave de KMS, se AWS KMS genera nuevo material criptográfico para la clave de KMS cada año. También puede especificar una opción personalizada rotation-period para definir el número de días después de activar la rotación automática de claves que AWS KMS rotará el material clave y el número de días que transcurrirán entre cada rotación automática a partir de entonces.

La rotación automática de claves tiene las siguientes ventajas:

  • Las propiedades de la clave KMS, incluido su ID de clave, ARN de clave, región, políticas y permisos, no cambian cuando se rota la clave.

  • No necesita cambiar las aplicaciones ni los alias que hacen referencia al ID o ARN de la clave KMS.

  • El material de claves de rotación no afecta al uso de la clave KMS en ningún Servicio de AWS.

  • Tras activar la rotación de claves, AWS KMS gira la clave KMS automáticamente en la siguiente fecha de rotación definida por el período de rotación. No necesita recordar ni programar la actualización.

Los usuarios autorizados pueden usar la AWS KMS consola y la AWS KMS API para activar y desactivar la rotación automática de claves y ver el estado de la rotación de claves.

Activación y desactivación de la rotación automática de claves (consola)

  1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) AWS Management Console y ábrala en https://console.aws.amazon.com/kms.

  2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente. (No puede habilitar o desactivar la rotación de Claves administradas por AWS. Estas rotan cada año de forma automática).

  4. Elija el alias o el ID de clave de una clave KMS.

  5. Seleccione la pestaña Key Rotation (Rotación de claves).

    La pestaña Rotación de claves solo aparece en la página de detalles de las claves KMS de cifrado simétrico con el material de claves que se AWS KMS generaron (el origen es AWS_KMS), incluidas las claves KMS de cifrado simétrico multirregional.

    No puede rotar de forma automática las claves KMS asimétricas, las claves KMS HMAC, las claves KMS con material de claves importado o las claves KMS en los almacenes de claves personalizados. Sin embargo, puede rotarlas manualmente.

  6. En la sección Rotación automática de claves, selecciona Editar.

  7. Para la rotación de claves, selecciona Activar.

    nota

    Si una clave KMS está deshabilitada o pendiente de ser eliminada, AWS KMS no rota el material clave y no se puede actualizar el estado de rotación automática de la clave ni el período de rotación. Active la clave KMS o cancele la eliminación para actualizar la configuración de rotación automática de claves. Para más detalles, consulte Cómo funciona la rotación de teclas y Estados clave de AWS KMS las claves.

  8. (Opcional) Escriba un período de rotación de entre 90 y 2560 días. El valor predeterminado es 365 días. Si no especifica un período de rotación personalizado, AWS KMS rotará el material clave cada año.

    Puede usar la clave de RotationPeriodInDays condición kms: para limitar los valores que los directores pueden especificar para el período de rotación.

  9. Seleccione Guardar.

Habilitar y deshabilitar la rotación automática de claves (API)AWS KMS

Puedes usar la API AWS Key Management Service (AWS KMS) para activar y desactivar la rotación automática de claves y ver el estado actual de la rotación de cualquier clave gestionada por el cliente. En estos ejemplos, se utiliza la AWS Command Line Interface (AWS CLI), pero puede usar cualquier lenguaje de programación admitido.

La EnableKeyRotationoperación permite la rotación automática de claves para la clave KMS especificada. La DisableKeyRotationoperación la desactiva. Para identificar la clave KMS en estas operaciones, utilice el ID de la clave o el ARN de la clave. De forma predeterminada, la rotación de claves está desactivada para las claves KMS administradas por el cliente.

Puede usar la clave de RotationPeriodInDays condición kms: para limitar los valores que los principales pueden especificar para el RotationPeriodInDays parámetro de una EnableKeyRotation solicitud.

El siguiente ejemplo permite la rotación de claves con un período de rotación de 180 días en la clave KMS de cifrado simétrico especificada y utiliza la GetKeyRotationStatusoperación para ver el resultado. A continuación, se desactiva la rotación de claves y, de nuevo, se utiliza GetKeyRotationStatus para ver el cambio.

$ aws kms enable-key-rotation \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --rotation-period-in-days 180

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": true,
    "RotationPeriodInDays": 180,
    "NextRotationDate": "2024-02-14T18:14:33.587000+00:00"
}

$ aws kms disable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": false
}

¿Cómo realizar la rotación de claves bajo demanda

Puede realizar la rotación bajo demanda del material clave en las claves de KMS gestionadas por el cliente, independientemente de si la rotación automática de claves está habilitada o no. La desactivación de la rotación automática (DisableKeyRotation) no afecta a su capacidad para realizar rotaciones bajo demanda ni cancela ninguna rotación bajo demanda en curso. Las rotaciones bajo demanda no cambian los programas de rotación automática existentes. Por ejemplo, pensemos en una clave KMS que tenga habilitada la rotación automática de claves con un período de rotación de 730 días. Si la clave está programada para rotar automáticamente el 14 de abril de 2024 y usted realiza una rotación bajo demanda el 10 de abril de 2024, la clave rotará automáticamente, según lo programado, el 14 de abril de 2024 y, a partir de entonces, cada 730 días.

Puede realizar la rotación de claves bajo demanda un máximo de 10 veces por clave KMS. Puede utilizar la AWS KMS consola para ver el número de rotaciones bajo demanda restantes disponibles para una clave KMS.

La rotación de claves bajo demanda solo se admite en las claves KMS de cifrado simétrico. No puede realizar la rotación bajo demanda de claves KMS asimétricas, claves KMS HMAC, claves KMS con material de claves importado o claves KMS en un almacén de claves personalizado. Para realizar la rotación bajo demanda de un conjunto de claves multirregionales relacionadas, invoque la rotación bajo demanda en la clave principal.

Los usuarios autorizados pueden usar la AWS KMS consola y la AWS KMS API para iniciar la rotación de claves bajo demanda y ver el estado de la rotación de claves.

Iniciar la rotación de claves bajo demanda (consola)

  1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) AWS Management Console y ábrala en https://console.aws.amazon.com/kms.

  2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente. (No puede realizar la rotación bajo demanda de. Claves administradas por AWS Se rotan automáticamente cada año.)

  4. Elija el alias o el ID de clave de una clave KMS.

  5. Seleccione la pestaña Key Rotation (Rotación de claves).

    La pestaña Rotación de claves solo aparece en la página de detalles de las claves KMS de cifrado simétrico con el material de clave que AWS KMS se generaron (el origen es AWS_KMS), incluidas las claves KMS de cifrado simétrico multirregional.

    No puede realizar la rotación bajo demanda de claves KMS asimétricas, claves KMS HMAC, claves KMS con material de claves importado o claves KMS en almacenes de claves personalizados. Sin embargo, puede rotarlas manualmente.

  6. En la sección Rotación de claves bajo demanda, selecciona Rotar clave.

  7. Lea y tenga en cuenta la advertencia y la información sobre el número de rotaciones bajo demanda restantes de la clave. Si decide que no desea continuar con la rotación bajo demanda, seleccione Cancelar.

  8. Seleccione la tecla Rotar para confirmar la rotación bajo demanda.

    nota

    La rotación bajo demanda está sujeta a los mismos posibles efectos de coherencia que otras operaciones AWS KMS de gestión. Es posible que haya un ligero retraso antes de que el nuevo material de claves esté disponible en AWS KMS. El cartel situado en la parte superior de la consola le avisa cuando se ha completado la rotación bajo demanda.

Iniciar la rotación de claves bajo demanda (API)AWS KMS

Puedes usar la API AWS Key Management Service (AWS KMS) para iniciar la rotación de claves bajo demanda y ver el estado actual de la rotación de cualquier clave gestionada por el cliente. En estos ejemplos, se utiliza la AWS Command Line Interface (AWS CLI), pero puede usar cualquier lenguaje de programación admitido.

La RotateKeyOnDemandoperación inicia inmediatamente la rotación de claves bajo demanda para la clave de KMS especificada. Para identificar la clave KMS en estas operaciones, utilice el ID de la clave o el ARN de la clave.

En el siguiente ejemplo, se inicia la rotación de claves bajo demanda en la clave KMS de cifrado simétrico especificada y se utiliza la GetKeyRotationStatusoperación para comprobar que la rotación bajo demanda está en curso. OnDemandRotationStartDateEn la kms:GetKeyRotationStatus respuesta, se identifica la fecha y la hora en que se inició una rotación bajo demanda en curso.

$ aws kms rotate-key-on-demand --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"    
}

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": true,
    "NextRotationDate": "2024-03-14T18:14:33.587000+00:00",
    "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
    "RotationPeriodInDays": 365    
}

Rotar manualmente las claves

Es posible que le interese crear una nueva clave KMS y utilizarla en sustitución de una clave KMS actual en lugar de activar la rotación automática de claves. Cuando la nueva clave KMS tiene diferente material criptográfico que la clave KMS actual, el uso de la nueva clave KMS tiene el mismo efecto que cambiar el material de claves de una clave KMS existente. El proceso de sustitución de una clave KMS por otra se denomina rotación manual de claves.

La rotación manual es una buena opción si desea rotar claves de KMS que no son aptas para la rotación automática de claves, como las claves KMS asimétricas, las claves KMS de HMAC, las claves de KMS en almacenes de claves personalizados y las claves de KMS con material clave importado.

nota

Cuando empiece a usar la nueva clave KMS, asegúrese de mantener habilitada la clave KMS original para AWS KMS poder descifrar los datos cifrados por la clave KMS original.

Cuando rota las claves KMS de forma manual, también debe actualizar las referencias al ID de la clave KMS o al ARN de la clave en sus aplicaciones. Los alias, que asocian un nombre descriptivo a una clave KMS, pueden facilitar este proceso. Utilice un alias para hacer referencia a una clave KMS en sus aplicaciones. Después, cuando desee cambiar la clave KMS que utiliza la aplicación, en lugar editar su código de aplicación, cambie la clave KMS de destino del alias. Para obtener más detalles, consulte Usar alias en las aplicaciones.

nota

Los alias que apuntan a la última versión de una clave KMS girada manualmente son una buena solución para las operaciones de cifrado DescribeKey, GenerateDataKeyGenerateDataKeyPairGenerateMac, y firma. Los alias no están permitidos en las operaciones que administran claves de KMS, como o. DisableKeyScheduleKeyDeletion

Al realizar la operación de descifrado en claves KMS de cifrado simétrico rotadas manualmente, omita el parámetro en el KeyId comando. AWS KMS utiliza automáticamente la clave KMS que cifró el texto cifrado.

El KeyId parámetro es obligatorio cuando se llama Decrypt o se verifica con una clave KMS asimétrica, o cuando se llama VerifyMaccon una clave HMAC KMS. Estas solicitudes fallan cuando el valor del parámetro KeyId es un alias que ya no apunta a la clave de KMS que realizó la operación criptográfica, por ejemplo, cuando se rota una clave de forma manual. Para evitar este error, debe realizar un seguimiento y especificar la clave de KMS correcta para cada operación.

Para cambiar la clave KMS de destino de un alias, usa la UpdateAliasoperación en la AWS KMS API. Por ejemplo, este comando actualiza el alias alias/TestKey para apuntar hacia una nueva clave KMS. Como la operación no devuelve ningún resultado, en el ejemplo se usa la ListAliasesoperación para mostrar que el alias ahora está asociado a una clave de KMS diferente y que el LastUpdatedDate campo está actualizado. Los ListAliases comandos utilizan el queryparámetro de AWS CLI para obtener únicamente el alias/TestKey alias.

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]'
{
    "Aliases": [
        {
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey",
            "AliasName": "alias/TestKey",
            "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
            "CreationDate": 1521097200.123,
            "LastUpdatedDate": 1521097200.123
        },
    ]
}


$ aws kms update-alias --alias-name alias/TestKey --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
            
$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]'
{
    "Aliases": [
        {
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey",
            "AliasName": "alias/TestKey",
            "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
            "CreationDate": 1521097200.123,
            "LastUpdatedDate": 1604958290.722
        },
    ]
}