Effectuez une rotation des touches à la demande - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Effectuez une rotation des touches à la demande

Vous pouvez effectuer une rotation à la demande des éléments clés dans KMS les clés gérées par le client, que la rotation automatique des clés soit activée ou non. La désactivation de la rotation automatique (DisableKeyRotation) n'a aucune incidence sur votre capacité à effectuer des rotations à la demande et n'annule aucune rotation à la demande en cours. Les rotations à la demande ne modifient pas les programmes de rotation automatiques existants. Prenons l'exemple d'une KMS clé pour laquelle la rotation automatique des touches est activée avec une période de rotation de 730 jours. Si la rotation de la clé est prévue automatiquement le 14 avril 2024 et que vous effectuez une rotation à la demande le 10 avril 2024, la clé tournera automatiquement, comme prévu, le 14 avril 2024 et tous les 730 jours par la suite.

Vous pouvez effectuer une rotation des touches à la demande au maximum 10 fois par KMS touche. Vous pouvez utiliser la AWS KMS console pour afficher le nombre de rotations à la demande restantes disponibles pour une KMS clé.

La rotation des clés à la demande n'est prise en charge que sur les KMSclés de chiffrement symétriques. Vous ne pouvez pas effectuer de rotation à la demande de KMSclés asymétriques, de HMACKMSKMSclés, de clés contenant du matériel clé importé ou de KMS clés dans un magasin de clés personnalisé. Pour effectuer la rotation à la demande d'un ensemble de clés multirégionales associées, appelez la rotation à la demande sur la clé primaire.

Les utilisateurs autorisés peuvent utiliser la AWS KMS console et le AWS KMS API pour lancer la rotation des clés à la demande et consulter l'état de la rotation des clés.

Lancer la rotation des touches à la demande (console)

  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le volet de navigation, sélectionnez Clés gérées par le client. (Vous ne pouvez pas effectuer de rotation à la demande de Clés gérées par AWS. Ils font l'objet d'une rotation automatique chaque année.)

  4. Choisissez l'alias ou l'ID de clé d'une KMS clé.

  5. Choisissez l'onglet Rotation des clés d'accès.

    L'onglet Rotation des clés apparaît uniquement sur la page détaillée des KMS clés de chiffrement symétriques dont le contenu a été AWS KMS généré (l'origine est AWS_KMS), y compris les clés de chiffrement symétriques multirégionales. KMS

    Vous ne pouvez pas effectuer de rotation à la demande de KMS clés asymétriques, de HMAC KMS clés, de KMS clés contenant des éléments clés importés ou de KMS clés stockées dans des magasins de clés personnalisés. Cependant, vous pouvez les faire pivoter manuellement.

  6. Dans la section Rotation des touches à la demande, choisissez Rotation de la clé.

  7. Lisez et prenez en compte l'avertissement et les informations concernant le nombre de rotations à la demande restantes pour la clé. Si vous décidez de ne pas procéder à la rotation à la demande, choisissez Annuler.

  8. Choisissez la touche Rotation pour confirmer la rotation à la demande.

    Note

    La rotation à la demande est soumise aux mêmes effets de cohérence éventuels que les autres opérations AWS KMS de gestion. Il peut y avoir un léger retard avant que les nouveaux éléments de clé ne soient disponibles dans AWS KMS. La bannière en haut de la console vous avertit lorsque la rotation à la demande est terminée.

Lancer la rotation des clés à la demande (AWS KMS API)

Vous pouvez utiliser le AWS Key Management Service (AWS KMS) API pour lancer une rotation des clés à la demande et consulter l'état de rotation actuel de toute clé gérée par le client. Cet exemple utilise le AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

L'RotateKeyOnDemandopération lance immédiatement une rotation de clé à la demande pour la KMS clé spécifiée. Pour identifier la KMS clé dans ces opérations, utilisez son identifiant ou sa clé ARN.

L'exemple suivant lance une rotation de clé à la demande sur la KMS clé de chiffrement symétrique spécifiée et utilise l'GetKeyRotationStatusopération pour vérifier que la rotation à la demande est en cours. La OnDemandRotationStartDate kms:GetKeyRotationStatus réponse indique la date et l'heure auxquelles une rotation à la demande en cours a été initiée.

$ aws kms rotate-key-on-demand --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab" } $ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyRotationEnabled": true, "NextRotationDate": "2024-03-14T18:14:33.587000+00:00", "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00" "RotationPeriodInDays": 365 }