Putar AWS KMS tombol yang digunakan untuk enkripsi Amazon EBS - Amazon EBS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Putar AWS KMS tombol yang digunakan untuk enkripsi Amazon EBS

Praktik terbaik kriptografi mencegah penggunaan ulang kunci enkripsi secara ekstensif.

Untuk membuat materi kriptografi baru untuk digunakan dengan enkripsi Amazon EBS, Anda dapat membuat kunci terkelola pelanggan baru, dan kemudian mengubah aplikasi Anda untuk menggunakan kunci KMS baru itu. Atau, Anda dapat mengaktifkan rotasi kunci otomatis untuk kunci terkelola pelanggan yang ada.

Saat Anda mengaktifkan rotasi kunci otomatis untuk kunci yang dikelola pelanggan, AWS KMS hasilkan materi kriptografi baru untuk kunci KMS setiap tahun. AWS KMS menyimpan semua versi sebelumnya dari materi kriptografi sehingga Anda dapat terus mendekripsi dan menggunakan volume dan snapshot yang sebelumnya dienkripsi dengan materi kunci KMS tersebut. AWS KMS tidak menghapus materi kunci yang diputar sampai Anda menghapus kunci KMS.

Saat Anda menggunakan kunci terkelola pelanggan yang diputar untuk mengenkripsi volume atau snapshot baru, AWS KMS gunakan materi kunci (baru) saat ini. Saat Anda menggunakan kunci terkelola pelanggan yang diputar untuk mendekripsi volume atau snapshot, AWS KMS gunakan versi materi kriptografi yang digunakan untuk mengenkripsi itu. Jika volume atau snapshot dienkripsi dengan versi sebelumnya dari materi kriptografi, AWS KMS terus gunakan versi sebelumnya untuk mendekripsi itu. AWS KMS tidak mengenkripsi ulang volume atau snapshot yang sebelumnya dienkripsi untuk menggunakan materi kriptografi baru setelah rotasi kunci. Mereka tetap dienkripsi dengan bahan kriptografi yang awalnya dienkripsi. Anda dapat dengan aman menggunakan kunci terkelola pelanggan yang diputar dalam aplikasi dan AWS layanan tanpa perubahan kode.

catatan

  • Rotasi kunci otomatis hanya didukung untuk kunci yang dikelola pelanggan simetris dengan materi utama yang AWS KMS dibuat.

  • AWS KMS secara otomatis berputar Kunci yang dikelola AWS setiap tahun. Anda tidak dapat mengaktifkan atau menonaktifkan rotasi kunci untuk Kunci yang dikelola AWS.

Untuk informasi selengkapnya, lihat Merotasi kunci KMS di Panduan Developer AWS Key Management Service .