Activer la rotation automatique des touches - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activer la rotation automatique des touches

Par défaut, lorsque vous activez la rotation automatique des clés pour une KMS clé, de nouveaux éléments cryptographiques sont AWS KMS générés chaque année pour la KMS clé. Vous pouvez également définir une option personnalisée rotation-period pour définir le nombre de jours après l'activation de la rotation automatique des clés qui AWS KMS fera pivoter votre matériel clé, ainsi que le nombre de jours entre chaque rotation automatique par la suite.

La rotation automatique des clés offre les avantages suivants :

  • Les propriétés de la KMS clé, notamment son identifiant, sa clé, sa régionARN, ses politiques et ses autorisations, ne changent pas lors de la rotation de la clé.

  • Il n'est pas nécessaire de modifier les applications ou les alias qui font référence à l'ID de clé ou à la clé ARN de la KMS clé.

  • La rotation du matériau de la clé n'affecte en rien l'utilisation de la KMS clé Service AWS.

  • Après avoir activé la rotation des touches, AWS KMS fait automatiquement pivoter la KMS clé à la date de rotation suivante définie par votre période de rotation. Vous n'avez pas besoin de vous souvenir de la mise à jour ou de la planifier.

Vous pouvez activer la rotation automatique des touches dans la AWS KMS console ou en utilisant l'EnableKeyRotationopération. Pour activer la rotation automatique des touches, vous devez disposer d'kms:EnableKeyRotationautorisations. Pour plus d'informations sur AWS KMS les autorisations, consultez leRéférence des autorisations .

  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le volet de navigation, sélectionnez Clés gérées par le client. (Vous ne pouvez pas activer ou désactiver la rotation des Clés gérées par AWS. Elles sont automatiquement soumises à la rotation tous ans.)

  4. Choisissez l'alias ou l'ID de clé d'une KMS clé.

  5. Choisissez l'onglet Rotation des clés d'accès.

    L'onglet Rotation des clés apparaît uniquement sur la page détaillée des KMS clés de chiffrement symétriques dont le contenu a été AWS KMS généré (l'origine est AWS_KMS), y compris les clés de chiffrement symétriques multirégionales. KMS

    Vous ne pouvez pas faire pivoter automatiquement KMS les clés asymétriques, HMAC KMS les clés, KMS les clés dont le matériau clé est importé ou KMS les clés stockées dans des magasins de clés personnalisés. Cependant, vous pouvez les faire pivoter manuellement.

  6. Dans la section Rotation automatique des touches, choisissez Modifier.

  7. Pour Rotation des touches, sélectionnez Activer.

    Note

    Si une KMS clé est désactivée ou en attente de suppression, AWS KMS cela ne fait pas pivoter le matériau clé et vous ne pouvez pas mettre à jour l'état de rotation automatique des clés ou la période de rotation. Activez la KMS clé ou annulez la suppression pour mettre à jour la configuration de rotation automatique des touches. Pour plus d'informations, consultez Comment fonctionne la rotation des clés et États clés des AWS KMS clés.

  8. (Facultatif) Entrez une période de rotation comprise entre 90 et 2560 jours. La valeur par défaut est de 365 jours. Si vous ne spécifiez pas de période de rotation personnalisée, le matériau clé AWS KMS sera alterné chaque année.

    Vous pouvez utiliser la clé de RotationPeriodInDays condition kms : pour limiter les valeurs que les directeurs peuvent spécifier pour la période de rotation.

  9. Choisissez Save (Enregistrer).

Vous pouvez utiliser le AWS Key Management Service (AWS KMS) API pour activer la rotation automatique des clés et afficher l'état de rotation actuel de toute clé gérée par le client. Ces exemples utilisent l'AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

L'EnableKeyRotationopération active la rotation automatique des touches pour la KMS touche spécifiée. Pour identifier la KMS clé dans cette opération, utilisez son identifiant ou sa clé ARN. Par défaut, la rotation des clés est désactivée pour les clés gérées par le client.

Vous pouvez utiliser la clé de kms:RotationPeriodInDayscondition pour limiter les valeurs que les principaux peuvent spécifier pour le RotationPeriodInDays paramètre d'une EnableKeyRotation demande.

L'exemple suivant active la rotation des clés avec une période de rotation de 180 jours sur la KMS clé de chiffrement symétrique spécifiée et utilise l'GetKeyRotationStatusopération pour voir le résultat.

$ aws kms enable-key-rotation \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --rotation-period-in-days 180

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": true,
    "RotationPeriodInDays": 180,
    "NextRotationDate": "2024-02-14T18:14:33.587000+00:00"
}