Habilitación de la rotación automática de claves - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitación de la rotación automática de claves

De forma predeterminada, cuando habilita la rotación automática de claves para una clave KMS, AWS KMS genera nuevo material criptográfico para la KMS cada año. También puede especificar un rotation-period personalizado para definir el número de días después de habilitar la rotación automática de claves que AWS KMS rotará el material clave y el número de días que transcurrirán entre cada rotación automática a partir de entonces.

La rotación automática de claves tiene las siguientes ventajas:

  • Las propiedades de la clave KMS, incluido su ID de clave, ARN de clave, región, políticas y permisos, no cambian cuando se rota la clave.

  • No necesita cambiar las aplicaciones ni los alias que hacen referencia al ID o ARN de la clave KMS.

  • El material de claves de rotación no afecta al uso de la clave KMS en ningún Servicio de AWS.

  • Después de habilitar la rotación de claves, AWS KMS rota la clave KMS automáticamente en la siguiente fecha de rotación definida por su periodo de rotación. No necesita recordar ni programar la actualización.

Puede habilitar la rotación automática de claves en la consola de AWS KMS o mediante la operación EnableKeyRotation. Para habilitar la rotación automática de claves, necesita permisos de kms:EnableKeyRotation. Para obtener más información acerca de los permisos de AWS KMS, consulte la Referencia de permisos.

  1. Inicie sesión en la AWS Management Console y abra la consola AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente. (No puede habilitar o desactivar la rotación de Claves administradas por AWS. Estas rotan cada año de forma automática).

  4. Elija el alias o el ID de clave de una clave KMS.

  5. Seleccione la pestaña Key Rotation (Rotación de claves).

    La pestaña Key rotation (Rotación de claves) solo aparece en la página de detalles de las claves KMS de cifrado simétricas con el material de claves que AWS KMS genera (el Origen es AWS_KMS), incluidas las claves KMS de cifrado simétricas de varias regiones.

    No puede rotar de forma automática las claves KMS asimétricas, las claves KMS HMAC, las claves KMS con material de claves importado o las claves KMS en los almacenes de claves personalizados. Sin embargo, puede rotarlas manualmente.

  6. En la sección Automatic key rotation (Rotación automática de claves), seleccione Edit (Editar).

  7. En Key rotation (rotación de claves), seleccione Enable (Habilitar).

    nota

    Si una clave KMS está deshabilitada o pendiente de eliminación, AWS KMS no rota el material de claves y no podrá actualizar el estado de rotación automática de claves ni el periodo de rotación. Para actualizar la configuración de la rotación automática de claves, habilite la clave KMS o cancele la eliminación. Para más detalles, consulte Cómo funciona la rotación de claves y Estados de clave de de las claves AWS KMS.

  8. (Opcional) Escriba un periodo de rotación de entre 90 y 2560 días. El valor predeterminado es 365 días. Si no especifica un periodo de rotación personalizado, AWS KMS rotará el material de claves cada año.

    Puede usar la clave de condición kms:RotationPeriodInDays para limitar los valores que las entidades principales pueden especificar para el periodo de rotación.

  9. Seleccione Guardar.

Puede utilizar la API de AWS Key Management Service (AWS KMS) para habilitar la rotación automática de claves y ver el estado de rotación actual de cualquier clave administrada por el cliente. En estos ejemplos, se utiliza la AWS Command Line Interface (AWS CLI), pero puede usar cualquier lenguaje de programación admitido.

La operación EnableKeyRotation activa la rotación automática de claves para la clave KMS especificada. Para identificar la clave KMS en esta operación, utilice el ID de la clave o el ARN de la clave. De forma predeterminada, la rotación de claves está desactivada para las claves KMS administradas por el cliente.

Puede utilizar la clave de condición kms:RotationPeriodInDays para limitar los valores que las entidades principales pueden especificar para el parámetro RotationPeriodInDays de una solicitud de EnableKeyRotation.

En el siguiente ejemplo, se activa la rotación de claves con un periodo de rotación de 180 días en la clave KMS de cifrado simétrica y especificada, y se utiliza la operación GetKeyRotationStatus para ver el resultado.

$ aws kms enable-key-rotation \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --rotation-period-in-days 180

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": true,
    "RotationPeriodInDays": 180,
    "NextRotationDate": "2024-02-14T18:14:33.587000+00:00"
}