Rotation des AWS KMS keys - AWS Key Management Service
Pourquoi faire pivoter les clés KMS ?Comment fonctionne la rotation automatique des clésActivation et désactivation de la rotation automatique des clésRotation manuelle des clés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rotation des AWS KMS keys

Pour créer de nouveaux éléments de chiffrement pour vos clés gérées par le client, vous pouvez créer de nouvelles clés KMS, puis modifier vos applications ou alias pour utiliser les nouvelles clés KMS. Sinon, vous pouvez activer la rotation automatique des clés pour une clé KMS existante.

Lorsque vous activez la rotation automatique des clés pour une clé KMS, AWS KMS génère pour cette dernière de nouveaux éléments de chiffrement chaque année. AWS KMS enregistre à perpétuité toutes les versions précédentes des éléments de chiffrement afin que vous puissiez déchiffrer toutes les données chiffrées avec cette clé KMS. AWS KMS ne supprime pas les éléments de clé ayant fait l'objet d'une rotation tant que vous n'avez pas supprimé la clé KMS. Vous pouvez suivre la rotation des éléments de clé pour vos clés KMS sur Amazon CloudWatch etAWS CloudTrail

Lorsque vous utilisez une clé KMS qui a fait l'objet d'une rotation pour chiffrer des données, AWS KMS utilise les éléments de clé actuels. Lorsque vous utilisez la clé KMS qui a fait l'objet d'une rotation pour déchiffrer le texte chiffré, AWS KMS utilise la version des éléments de clé qui a été utilisée pour les chiffrer. Vous ne pouvez pas demander de version spécifique des éléments de clé. Étant donné que AWS KMS déchiffre de manière transparente avec les éléments de clé appropriés, vous pouvez utiliser en toute sécurité une clé KMS tournée dans les applications et Services AWS sans changement de code.

Toutefois, la rotation automatique des clés n'a aucun effet sur les données protégées par la clé KMS. La rotation n'est pas appliquée aux clés de données générées par la clé KMS, les données protégées par la clé KMS ne sont pas rechiffrées et l'effet d'une clé de données compromise n'est pas atténué.

AWS KMS prend en charge la rotation automatique des clés uniquement pour les clés KMS de chiffrement symétriques avec les éléments de clé créés par AWS KMS. La rotation automatique est facultative pour les clés KMS gérées par le client. AWS KMS effectue toujours une rotation des éléments de clé pour les clés KMS gérées par AWS tous les ans. La rotation des clés KMS appartenant à AWS varie.

Note

Intervalle de rotation pour Clés gérées par AWS modifié en mai 2022. Pour plus de détails, consultez Clés gérées par AWS.

La rotation des clés change uniquement les éléments de clé, qui correspondent au secret de chiffrement utilisé dans les opérations de chiffrement. La clé KMS est la même ressource logique, indépendamment du fait que ses éléments de clé changent ou du nombre de fois où ils changent. Les propriétés de la clé KMS ne changent pas, comme illustré dans l'image suivante.

La rotation automatique des clés offre les avantages suivants :

  • Les propriétés de la clé KMS, y compris son ID de clé, son ARN de clé, sa région, ses politiques et ses autorisations, ne changent pas lorsque la clé est l'objet d'une rotation.

  • Vous n'avez pas besoin de modifier les applications ou les alias qui font référence à l'ID ou à l'ARN de la clé KMS.

  • La rotation des éléments de clé n'affecte pas l'utilisation de la clé KMS dans Service AWS.

  • Après avoir activé la rotation des clés, AWS KMS soumet la clé KMS à une rotation automatique chaque année. Vous n'avez pas besoin de vous souvenir de la mise à jour ou de la planifier.

Vous pouvez décider de créer une nouvelle clé KMS et de l'utiliser à la place de la clé KMS d'origine. L'effet est le même que celui obtenu par la rotation des éléments de clé dans une clé KMS existante. Ainsi, on parle souvent à ce sujet de rotation manuelle de la clé. La rotation manuelle est un bon choix lorsque vous souhaitez contrôler la planification de la rotation des clés. Elle permet également de soumettre à une rotation les clés KMS qui ne sont pas éligibles à la rotation automatique des clés, y compris les clés KMS asymétriques, les clés KMS HMAC, les clés KMS dans les magasins de clés personnalisés et les clés KMS avec des éléments de clé importés.

Rotation des clés et tarification

AWS KMS facture des frais mensuels pour chaque version des éléments de clé maintenus pour votre clé KMS. Pour plus d'informations, consultez Tarification AWS Key Management Service.

Rotation des clés et quotas

Chaque clé KMS compte comme une clé lors du calcul des quotas de ressources de clés, quel que soit le nombre de versions d'éléments de clé qui ont fait l'objet d'une rotation.

Pour plus d'informations sur les éléments de clé et la rotation, veuillez consulter le livre blanc Détails cryptographiques de AWS Key Management Service.

Pourquoi faire pivoter les clés KMS ?

Les meilleures pratiques cryptographiques découragent la réutilisation intensive des clés qui chiffrent directement les données, telles que les clés de donnéesAWS KMS générées. Lorsque les clés de données 256 bits chiffrent des millions de messages, elles peuvent s'épuiser et commencer à produire du texte chiffré présentant des motifs subtils que des acteurs intelligents peuvent exploiter pour découvrir les bits de la clé. Pour éviter cet épuisement des clés, il est préférable d'utiliser les clés de données une ou plusieurs fois, ce qui permet de faire pivoter efficacement les éléments clés.

Toutefois, les clés KMS sont le plus souvent utilisées comme clés d'encapsulation, également appelées clés de chiffrement. Au lieu de chiffrer les données, les clés d'encapsulation chiffrent les clés de données qui chiffrent vos données. Elles sont donc beaucoup moins utilisées que les clés de données et ne sont presque jamais suffisamment réutilisées pour risquer d'épuiser les clés.

Malgré ce très faible risque d'épuisement, il se peut que vous deviez effectuer une rotation de vos clés KMS en raison de règles commerciales ou contractuelles ou de réglementations gouvernementales. Lorsque vous êtes obligé de faire pivoter les touches KMS, nous vous recommandons d'utiliser la rotation automatique des touches lorsqu'elle est prise en charge, et la rotation manuelle des touches lorsque la rotation automatique des touches n'est pas prise en charge.

Comment fonctionne la rotation automatique des clés

La rotation des touchesAWS KMS est conçue pour être transparente et facile à utiliser. AWS KMSprend en charge la rotation automatique facultative des clés uniquement pour les clés gérées par le client.

Gestion des éléments de clé

AWS KMS conserve tous les éléments d'une clé KMS, même si la rotation des clés est désactivée. AWS KMS ne supprime les éléments de clé que lorsque vous supprimez la clé KMS.

Utilisation des éléments de clé

Lorsque vous utilisez une clé KMS qui a fait l'objet d'une rotation pour chiffrer des données, AWS KMS utilise les éléments de clé actuels. Lorsque vous utilisez la clé KMS qui a fait l'objet d'une rotation pour déchiffrer le texte chiffré, AWS KMS utilise la même version des éléments de clé qui a été utilisée pour les chiffrer. Vous ne pouvez pas demander de version spécifique des éléments de clé.

Date de rotation

AWS KMSfait alterner le matériel clé un an (environ 365 jours) après l'activation de la rotation, puis tous les ans (environ 365 jours) par la suite.

Clés gérées par le client

La rotation automatique des clés étant facultative pour les clés gérées par le client et pouvant être activée et désactivée à tout moment, la date de rotation dépend de la date à laquelle la rotation a été activée pour la dernière fois. Cette date peut changer de date de date de date de date d'utilisation de la clé.

Par exemple, si vous créez une clé gérée par le client le 1er janvier 2022 et que vous activez la rotation automatique des clés le 15 mars 2022, faitesAWS KMS pivoter le matériel clé le 15 mars 2023, le 15 mars 2024 et tous les 365 jours par la suite.

Voici cas cas cas cas cas cas cas cas cas cas cas cas

  • Désactiver la rotation des touches : si vous désactivez la rotation automatique des touches à tout moment, la clé KMS continue d'utiliser la version du matériau clé qu'elle utilisait lorsque la rotation était désactivée. Si vous réactivez la rotation automatique des clés,AWS KMS soumet les éléments de clé à une rotation un an après la nouvelle date d'utilisation, puis tous les ans (environ 365 jours) par la suite.

  • Clés KMS désactivée — Lorsqu'une clé KMS est désactivée,AWS KMS ne la soumet pas à une rotation. Toutefois, l'état de rotation de la clé ne change pas et vous ne pouvez pas le modifier tant que la clé KMS est désactivée. Lorsque la clé KMS est réactivée, si les éléments de clé ont plus d'un an, AWS KMS les soumet immédiatement à une rotation, puis chaque année par la suite. Si les éléments de clé ont moins d'un an, AWS KMS reprend la planification initiale de la rotation de la clé.

  • Clés KMS en attente de suppression,AWS KMS ne la soumet pas à une rotation. L'état de rotation de la clé est défini sur false et vous ne pouvez pas le modifier tant que la suppression est en attente. Si la suppression est annulée, l'état précédent de rotation de la clé est restauré. Si les éléments de clé ont plus d'un an,AWS KMS les soumet immédiatement à une rotation, puis tous les ans (environ 365 jours après la dernière rotation) Si les éléments de clé ont moins d'un an, AWS KMS reprend la planification initiale de la rotation de la clé.

Clés gérées par AWS

AWS KMS soumet automatiquement les Clés gérées par AWS à une rotation chaque année (environ 365 jours). Vous ne pouvez pas activer ou désactiver la rotation des clés pour Clés gérées par AWS.

Le matériel clé d'une rotationClé gérée par AWS est d'abord effectué un an après sa date de création, puis chaque année (environ 365 jours à compter de la dernière rotation) par la suite.

Note

En mai 2022, AWS KMS a modifié le calendrier de rotation pour les Clés gérées par AWS de tous les trois ans (environ 1 095 jours) à tous les ans (environ 365 jours).

Les nouvelles Clés gérées par AWS sont automatiquement soumises à une rotation un an après leur création, puis environ chaque année par la suite.

Les Clés gérées par AWS existantes sont automatiquement soumises à une rotation un an après leur rotation la plus récente, puis chaque année par la suite.

Clés détenues par AWS

Vous ne pouvez pas activer ou désactiver la rotation des clés pour Clés détenues par AWS. La stratégie de rotation des clés d'une Clé détenue par AWS est déterminée par le service AWS qui crée et gère la clé. Pour plus de détails, reportez-vous à la rubrique Chiffrement au repos dans le Guide de l'utilisateur ou le guide du développeur du service.

Types de clés KMS non pris en charge

La rotation automatique des clés est prise en charge uniquement sur les clés KMS de chiffrement symétriques avec les éléments de clé que AWS KMS génère (Origine = AWS_KMS).

La rotation automatique des clés n'est pas prise en charge sur les types de clés KMS suivants, mais vous pouvez soumettre ces clés KMS à la rotation manuellement.

Clés multi-région

Vous pouvez activer et désactiver la rotation automatique des clés pour les clés multi-région. Vous définissez la propriété uniquement sur la clé principale. Quand AWS KMS synchronise les clés, il copie le paramètre de propriété de la clé principale vers ses clés de réplica. Lorsque les éléments de clé de la clé principale sont soumis à une rotation, AWS KMS les copie automatiquement sur toutes ses clés de réplica. Pour plus de détails, veuillez consulter Rotation de clés multi-région.

AWSservices

Vous pouvez activer la rotation automatique des clés sur les clés gérées par le client que vous utilisez pour le chiffrement côté serveur dans les services AWS. La rotation annuelle est transparente et compatible avec les services AWS.

Surveillance de la rotation des clés

Lorsque la rotationAWS KMS automatique du matériel clé pour une clé Clé gérée par AWSou une clé gérée par le client est enregistrée, unKMS CMK Rotation événement est enregistré sur Amazon EventBridge et un RotateKey événement dans votreAWS CloudTrail journal. Vous pouvez utiliser ces registres pour vérifier que la clé KMS a fait l'objet d'une rotation.

Cohérence à terme

La rotation automatique des clés est soumise aux mêmes effets de cohérence éventuelle que les autres opérations de gestion AWS KMS. Il peut y avoir un léger retard avant que les nouveaux éléments de clé ne soient disponibles dans AWS KMS. Toutefois, la rotation des éléments de clé n'entraîne aucune interruption ou aucun retard dans les opérations cryptographiques. Les éléments de clé actuels sont utilisés dans les opérations cryptographiques jusqu'à ce que les nouveaux éléments de clé soient disponibles dans AWS KMS. Lorsque les éléments de clé d'une clé multi-région sont automatiquement soumis à une rotation, AWS KMSutilise les éléments de clé actuels jusqu'à ce que les nouveaux éléments soient disponibles dans toutes les régions avec une clé multi-région associée.

Activation et désactivation de la rotation automatique des clés

Les utilisateurs autorisés peuvent utiliser la console AWS KMS et l'API AWS KMS pour activer et désactiver la rotation automatique des clés et afficher l'état de rotation des clés.

Lorsque vous activez la rotation automatique des clés, AWS KMS soumet les éléments de clé de la clé KMS à une rotation un an après la date d'activation, puis chaque année par la suite.

Activation et désactivation de la rotation des clés (console)

  1. Connectez-vous à la AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms.

  2. Pour changer de Région AWS, utilisez le sélecteur de région dans l'angle supérieur droit de la page.

  3. Dans le volet de navigation, choisissez Clés gérées par le client. (Vous ne pouvez pas activer ou désactiver la rotation des Clés gérées par AWS. Elles sont automatiquement soumises à la rotation tous ans.)

  4. Choisissez l'alias ou l'ID d'une clé KMS.

  5. Choisissez l'onglet Rotation des clés d'accès.

    L'onglet Key rotation (Rotation des clés) apparaît uniquement sur la page détaillée des clés KMS de chiffrement symétriques avec les éléments de clé générés par AWS KMS (l'Origin (Origine) est AWS_KMS), y compris les clés KMS de chiffrement symétriques multi-région.

    Vous ne pouvez pas soumettre automatiquement à la rotation les clés KMS asymétriques, les clés KMS HMAC, les clés KMS avec des éléments de clé importés, ou les clés KMS dans les magasins de clé personnalisés. Cependant, vous pouvez les faire pivoter manuellement.

  6. Activez ou désactivez la case Automatically rotate this KMS key every year (Effectuer une rotation automatique de cette clé KMS chaque année).

    Note

    Si une clé KMS est désactivée ou en attente de suppression, la case Automatically rotate this KMS key every year (Effectuer une rotation automatique de cette clé KMS chaque année) est décochée et vous ne pouvez pas la modifier. L'état de rotation des clés est restauré lorsque vous activez la clé KMS ou annulez la suppression. Pour plus de détails, veuillez consulter Comment fonctionne la rotation automatique des clés et Principaux états des clés AWS KMS.

  7. Choisissez Save (Enregistrer).

Activation et désactivation de la rotation de clés (API AWS KMS)

Vous pouvez utiliser l'API AWS Key Management Service (AWS KMS) pour activer ou désactiver la rotation automatique des clés et afficher l'état de rotation actuel des clés gérées par les clients. Ces exemples utilisent l'AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser tout langage de programmation pris en charge.

L'EnableKeyRotationopération permet d'effectuer une rotation automatique des clés pour la clé KMS spécifiée. L'DisableKeyRotationopération le désactive. Pour identifier la clé KMS dans ces opérations, utilisez son ID de clé ou son ARN de clé. Par défaut, la rotation des clés est désactivée pour les clés gérées par le client.

L'exemple suivant permet d'effectuer une rotation des clés sur la clé KMS de chiffrement symétrique spécifiée et utilise l'GetKeyRotationStatusopération pour voir le résultat Ensuite, il désactive la rotation des clés et, à nouveau, utilise GetKeyRotationStatus pour afficher la modification.

$ aws kms enable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyRotationEnabled": true
}

$ aws kms disable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyRotationEnabled": false
}

Rotation manuelle des clés

Vous pouvez vouloir créer une clé KMS et l'utiliser à la place d'une clé KMS actuelle au lieu d'activer la rotation automatique des clés. Lorsque la nouvelle clé KMS possède des éléments de chiffrement différents de ceux de la clé KMS actuelle, l'utilisation de la nouvelle clé KMS a le même effet que la modification des éléments de clé d'une clé KMS existante. Le processus de remplacement d'une cléKMS par une autre est connu sous le nom de rotation manuelle de clés.

Si vous préférez, vous pouvez effectuer une rotation manuelle des clés afin de pouvoir contrôler la fréquence de rotation. Il s'agit également d'une bonne solution pour les clés KMS qui ne sont pas éligibles à la rotation automatique des clés, comme les clés KMS asymétriques, les clés KMS HMAC, les clés KMS des magasins de clés personnalisés ou les clés KMS avec des éléments de clé importés.

Note

Lorsque vous commencez à utiliser la nouvelle clé KMS, assurez-vous de conserver la clé KMS originale activée de telle sorte que AWS KMS puisse déchiffrer les données que la clé KMS originale a chiffrées.

Lorsque vous faites tourner les clés KMS manuellement, vous devez également mettre à jour les références à l'ID ou à l'ARN de la clé KMS dans vos applications. Les alias, qui associent un nom convivial à une clé KMS, facilitent ce processus. Utilisez un alias pour faire référence à une clé KMS dans vos applications. Ensuite, lorsque vous souhaitez modifier la clé KMS que l'application utilise, au lieu de modifier le code de votre application, modifiez la clé KMS cible de l'alias. Pour plus de détails, consultez Utilisation d'alias dans vos applications.

Note

Les alias qui pointent vers la dernière version d'une clé KMS pivotée manuellement constituent une bonne solution pour les opérations DescribeKeyGenerateDataKey, Encrypt GenerateDataKeyPairGenerateMac, et Sign. Les alias ne sont pas autorisés dans les opérations qui gèrent des clés KMS, telles que DisableKeyou ScheduleKeyDeletion.

Lorsque vous appelez l'opération Decrypt sur les clés KMS de chiffrement symétriques à rotation manuelle, omettez le paramètre KeyId de la commande. AWS KMS utilise automatiquement la clé KMS qui a chiffré le texte chiffré.

LeKeyId paramètre est obligatoire lors de l'appelDecrypt ou lors de la vérification avec clé KMS asymétrique, ou lors de l'appel VerifyMacavec une clé KMS HMAC. Ces demandes échouent lorsque la valeur deKeyIdest un alias qui ne pointe plus vers la clé KMS qui a effectué l'opération cryptographique, par exemple lorsqu'une clé fait l'objet d'une rotation manuelle. Pour éviter cette erreur, vous devez spécifier et suivre la clé bonne KMS pour chaque opération.

Pour changer la clé KMS cible d'un alias, UpdateAliasutilisez la cléAWS KMS KMS Par exemple, cette commande met à jour l'alias alias/TestKey pour pointer vers une nouvelle clé KMS. Étant donné que l'opération ne renvoie aucune sortie, l'exemple utilise l'ListAliasesopération pour montrer que l'alias est désormais associé à une autre clé KMS et que leLastUpdatedDate champ est mis à jour. Les ListAliases commandes utilisent le queryparamètre dans leAWS CLI pour obtenir uniquement l'alias/TestKeyalias.

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]'
{
    "Aliases": [
        {
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey",
            "AliasName": "alias/TestKey",
            "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
            "CreationDate": 1521097200.123,
            "LastUpdatedDate": 1521097200.123
        },
    ]
}


$ aws kms update-alias --alias-name alias/TestKey --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
            
$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]'
{
    "Aliases": [
        {
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey",
            "AliasName": "alias/TestKey",
            "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
            "CreationDate": 1521097200.123,
            "LastUpdatedDate": 1604958290.722
        },
    ]
}