Berputar AWS KMS keys - AWS Key Management Service
Mengapa memutar tombol KMS?Cara kerja rotasi kunciCara mengaktifkan dan menonaktifkan rotasi kunci otomatisCara melakukan rotasi kunci sesuai permintaanMemutar kunci secara manual

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Berputar AWS KMS keys

Untuk membuat materi kriptografi baru untuk kunci yang dikelola pelanggan Anda, Anda dapat membuat kunci KMS baru, dan kemudian mengubah aplikasi atau alias Anda untuk menggunakan kunci KMS baru. Atau, Anda dapat memutar materi kunci yang terkait dengan kunci KMS yang ada dengan mengaktifkan rotasi tombol otomatis atau melakukan rotasi sesuai permintaan.

Secara default, ketika Anda mengaktifkan rotasi kunci otomatis untuk kunci KMS, AWS KMS menghasilkan materi kriptografi baru untuk kunci KMS setiap tahun. Anda juga dapat menentukan kustom rotation-period untuk menentukan jumlah hari setelah Anda mengaktifkan rotasi kunci otomatis yang AWS KMS akan memutar materi kunci Anda, dan jumlah hari antara setiap rotasi otomatis sesudahnya. Jika Anda perlu segera memulai rotasi material kunci, Anda dapat melakukan rotasi sesuai permintaan, terlepas dari apakah rotasi kunci otomatis diaktifkan atau tidak. Rotasi sesuai permintaan tidak mengubah jadwal rotasi otomatis yang ada.

AWS KMS menyimpan semua versi sebelumnya dari materi kriptografi selama-lamanya sehingga Anda dapat mendekripsi data apa pun yang dienkripsi dengan kunci KMS itu. AWS KMS tidak menghapus materi kunci yang diputar sampai Anda menghapus kunci KMS. Anda dapat melacak rotasi bahan kunci untuk kunci KMS Anda di Amazon CloudWatch, AWS CloudTrail, dan AWS Key Management Service konsol. Anda juga dapat menggunakan GetKeyRotationStatusoperasi untuk memverifikasi apakah rotasi otomatis diaktifkan untuk kunci KMS dan mengidentifikasi rotasi sesuai permintaan yang sedang berlangsung. Anda dapat menggunakan ListKeyRotationsoperasi untuk melihat rincian rotasi selesai.

Saat Anda menggunakan kunci KMS yang diputar untuk mengenkripsi data, AWS KMS gunakan materi kunci saat ini. Saat Anda menggunakan kunci KMS yang diputar untuk mendekripsi ciphertext, AWS KMS gunakan versi bahan kunci yang digunakan untuk mengenkripsi itu. Anda tidak dapat memilih versi tertentu dari bahan utama untuk operasi dekripsi, AWS KMS secara otomatis memilih versi yang benar. Karena AWS KMS secara transparan mendekripsi dengan bahan kunci yang sesuai, Anda dapat dengan aman menggunakan kunci KMS yang diputar dalam aplikasi dan tanpa perubahan kode. AWS layanan

Namun, rotasi tombol otomatis tidak berpengaruh pada data yang dilindungi oleh kunci KMS. Itu tidak memutar kunci data yang dihasilkan oleh kunci KMS atau mengenkripsi ulang data apa pun yang dilindungi oleh kunci KMS, dan itu tidak akan mengurangi efek dari kunci data yang dikompromikan.

AWS KMS mendukung rotasi kunci otomatis dan sesuai permintaan hanya untuk kunci KMS enkripsi simetris dengan bahan kunci yang dibuat. AWS KMS Rotasi otomatis adalah opsional untuk kunci KMS yang dikelola pelanggan. AWS KMS selalu memutar bahan kunci untuk kunci KMS yang AWS dikelola setiap tahun. Rotasi kunci KMS yang AWS dimiliki dikelola oleh AWS layanan yang memiliki kunci.

catatan

Periode rotasi untuk Kunci yang dikelola AWS berubah pada Mei 2022. Lihat perinciannya di Kunci yang dikelola AWS.

Rotasi kunci hanya mengubah materi kunci, yang merupakan rahasia kriptografi yang digunakan dalam operasi enkripsi. Kunci KMS adalah sumber daya logis yang sama, terlepas dari apakah atau berapa kali materi utamanya berubah. Properti kunci KMS tidak berubah, seperti yang ditunjukkan pada gambar berikut.

Key rotation diagram showing key material change while Key ID remains constant.

Anda mungkin memutuskan untuk membuat kunci KMS baru dan menggunakannya sebagai pengganti kunci KMS asli. Ini memiliki efek yang sama seperti memutar bahan kunci dalam kunci KMS yang ada, sehingga sering dianggap sebagai memutar kunci secara manual. Rotasi manual adalah pilihan yang baik ketika Anda ingin memutar tombol KMS yang tidak memenuhi syarat untuk rotasi kunci otomatis, termasuk kunci KMS asimetris, kunci KMSHMAC, kunci KMS di toko kuncikhusus, dan kunci KMS dengan bahan kunci impor.

Rotasi kunci dan harga

AWS KMS membebankan biaya bulanan untuk rotasi pertama dan kedua bahan kunci yang dipertahankan untuk kunci KMS Anda. Kenaikan harga ini dibatasi pada rotasi kedua, dan setiap rotasi berikutnya tidak akan ditagih. Untuk detail selengkapnya, lihat Harga AWS Key Management Service.

catatan

Anda dapat menggunakan AWS Cost Explorer Serviceuntuk melihat rincian biaya penyimpanan kunci Anda. Misalnya, Anda dapat memfilter tampilan untuk melihat total biaya untuk kunci yang ditagih sebagai kunci KMS saat ini dan yang diputar dengan menentukan $REGION-KMS-Keys Jenis Penggunaan dan mengelompokkan data berdasarkan Operasi API.

Anda mungkin masih melihat contoh operasi Unknown API lama untuk tanggal historis.

Rotasi kunci dan kuota

Setiap kunci KMS dihitung sebagai satu kunci saat menghitung kuota sumber daya kunci, terlepas dari jumlah versi material kunci yang diputar.

Untuk informasi rinci tentang materi utama dan rotasi, lihat Detail AWS Key Management Service Kriptografi.

Mengapa memutar tombol KMS?

Praktik terbaik kriptografi mencegah penggunaan kembali kunci yang mengenkripsi data secara langsung, seperti kunci data yang dihasilkan. AWS KMS Ketika kunci data 256-bit mengenkripsi jutaan pesan, mereka dapat menjadi kelelahan dan mulai menghasilkan ciphertext dengan pola halus yang dapat dimanfaatkan oleh aktor pintar untuk menemukan bit dalam kunci. Untuk menghindari kelelahan kunci ini, yang terbaik adalah menggunakan kunci data sekali, atau hanya beberapa kali, yang secara efektif memutar materi kunci.

Namun, kunci KMS paling sering digunakan sebagai kunci pembungkus, juga dikenal sebagai kunci enkripsi kunci. Alih-alih mengenkripsi data, kunci pembungkus mengenkripsi kunci data yang mengenkripsi data Anda. Dengan demikian, mereka digunakan jauh lebih jarang daripada kunci data, dan hampir tidak pernah cukup digunakan kembali untuk risiko kelelahan kunci.

Meskipun risiko kelelahan yang sangat rendah ini, Anda mungkin diminta untuk memutar kunci KMS Anda karena aturan bisnis atau kontrak atau peraturan pemerintah. Ketika Anda dipaksa untuk memutar tombol KMS, kami sarankan Anda menggunakan rotasi tombol otomatis di mana itu didukung, dan rotasi tombol manual ketika rotasi tombol otomatis tidak didukung.

Anda dapat mempertimbangkan untuk melakukan rotasi sesuai permintaan untuk menunjukkan kemampuan rotasi material utama atau untuk memvalidasi skrip otomatisasi. Kami merekomendasikan penggunaan rotasi sesuai permintaan untuk rotasi yang tidak direncanakan, dan menggunakan rotasi kunci otomatis dengan periode rotasi khusus bila memungkinkan.

Cara kerja rotasi kunci

Rotasi kunci dalam AWS KMS dirancang agar transparan dan mudah digunakan. AWS KMS mendukung rotasi kunci otomatis dan sesuai permintaan opsional hanya untuk kunci yang dikelola pelanggan.

Rotasi kunci otomatis

AWS KMS memutar tombol KMS secara otomatis pada tanggal rotasi berikutnya yang ditentukan oleh periode rotasi Anda. Anda tidak perlu mengingat atau menjadwalkan pembaruan.

Rotasi sesuai permintaan

Segera mulai rotasi materi kunci yang terkait dengan kunci KMS Anda, terlepas dari apakah rotasi tombol otomatis diaktifkan atau tidak.

Mengelola materi utama

AWS KMS mempertahankan semua materi kunci untuk kunci KMS, bahkan jika rotasi tombol dinonaktifkan. AWS KMS menghapus materi kunci hanya ketika Anda menghapus kunci KMS.

Menggunakan bahan utama

Saat Anda menggunakan kunci KMS yang diputar untuk mengenkripsi data, AWS KMS gunakan materi kunci saat ini. Saat Anda menggunakan kunci KMS yang diputar untuk mendekripsi ciphertext, AWS KMS gunakan versi yang sama dari bahan kunci yang digunakan untuk mengenkripsi itu. Anda tidak dapat memilih versi tertentu dari bahan utama untuk operasi dekripsi, AWS KMS secara otomatis memilih versi yang benar.

Periode rotasi

Periode rotasi menentukan jumlah hari setelah Anda mengaktifkan rotasi kunci otomatis yang AWS KMS akan memutar materi kunci Anda, dan jumlah hari antara setiap rotasi kunci otomatis sesudahnya. Jika Anda tidak menentukan nilai RotationPeriodInDays saat Anda mengaktifkan rotasi kunci otomatis, nilai defaultnya adalah 365 hari.

Anda dapat menggunakan kms: RotationPeriodInDays condition key untuk lebih membatasi nilai-nilai yang prinsipal dapat menentukan dalam parameter. RotationPeriodInDays

Tanggal rotasi

AWS KMS secara otomatis memutar tombol KMS pada tanggal rotasi yang ditentukan oleh periode rotasi Anda. Periode rotasi default adalah 365 hari.

Kunci yang dikelola pelanggan

Karena rotasi kunci otomatis bersifat opsional pada kunci yang dikelola pelanggan dan dapat diaktifkan dan dinonaktifkan kapan saja, tanggal rotasi tergantung pada tanggal rotasi terakhir diaktifkan. Tanggal dapat berubah jika Anda mengubah periode rotasi untuk kunci yang sebelumnya Anda aktifkan rotasi tombol otomatis. Tanggal rotasi dapat berubah berkali-kali selama masa pakai kunci.

Misalnya, jika Anda membuat kunci terkelola pelanggan pada 1 Januari 2022, dan mengaktifkan rotasi kunci otomatis dengan periode rotasi default 365 hari pada 15 Maret 2022, AWS KMS putar materi kunci pada 15 Maret 2023, 15 Maret 2024, dan setiap 365 hari setelahnya.

Contoh berikut mengasumsikan bahwa rotasi kunci otomatis diaktifkan dengan periode rotasi default 365 hari. Contoh-contoh ini menunjukkan kasus-kasus khusus yang mungkin memengaruhi periode rotasi kunci.

  • Nonaktifkan rotasi tombol - Jika Anda menonaktifkan rotasi tombol otomatis pada titik mana pun, tombol KMS terus menggunakan versi bahan kunci yang digunakannya saat rotasi dinonaktifkan. Jika Anda mengaktifkan rotasi tombol otomatis lagi, AWS KMS putar materi kunci berdasarkan tanggal pengaktifan rotasi baru.

  • Tombol KMS dinonaktifkan - Sementara kunci KMS dinonaktifkan, AWS KMS tidak memutarnya. Namun, status rotasi kunci tidak berubah, dan Anda tidak dapat mengubahnya saat kunci KMS dinonaktifkan. Ketika kunci KMS diaktifkan kembali, jika materi kunci melewati tanggal rotasi terjadwal terakhirnya, AWS KMS putar segera. Jika materi kunci tidak melewatkan tanggal rotasi terakhirnya yang dijadwalkan, AWS KMS lanjutkan jadwal rotasi kunci asli.

  • Kunci KMS tertunda penghapusan - Sementara kunci KMS sedang menunggu penghapusan, tidak memutarnya. AWS KMS Status rotasi kunci diatur ke false dan Anda tidak dapat mengubahnya saat penghapusan tertunda. Jika penghapusan dibatalkan, status rotasi kunci sebelumnya akan dipulihkan. Jika bahan kunci melewati tanggal rotasi terakhirnya yang dijadwalkan, segera AWS KMS putar. Jika materi kunci tidak melewatkan tanggal rotasi terakhirnya yang dijadwalkan, AWS KMS lanjutkan jadwal rotasi kunci asli.

Kunci yang dikelola AWS

AWS KMS secara otomatis berputar Kunci yang dikelola AWS setiap tahun (sekitar 365 hari). Anda tidak dapat mengaktifkan atau menonaktifkan rotasi kunci untuk Kunci yang dikelola AWS.

Bahan kunci untuk sebuah pertama kali Kunci yang dikelola AWS diputar satu tahun setelah tanggal pembuatannya, dan setiap tahun (sekitar 365 hari dari rotasi terakhir) sesudahnya.

catatan

Pada Mei 2022, AWS KMS mengubah jadwal rotasi Kunci yang dikelola AWS dari setiap tiga tahun (sekitar 1.095 hari) menjadi setiap tahun (sekitar 365 hari).

Baru Kunci yang dikelola AWS secara otomatis diputar satu tahun setelah dibuat, dan kira-kira setiap tahun setelahnya.

Yang Kunci yang dikelola AWS ada secara otomatis diputar satu tahun setelah rotasi terbaru mereka, dan setiap tahun setelahnya.

Kunci milik AWS

Anda tidak dapat mengaktifkan atau menonaktifkan rotasi kunci untuk Kunci milik AWS. Strategi rotasi kunci untuk sebuah Kunci milik AWS ditentukan oleh AWS layanan yang membuat dan mengelola kunci. Untuk detail selengkapnya, lihat topik Enkripsi Tidak Aktif di panduan pengguna atau panduan developer untuk layanan tersebut.

Jenis kunci KMS yang didukung

Rotasi kunci otomatis hanya didukung pada kunci KMS enkripsi simetris dengan bahan kunci yang AWS KMS menghasilkan (Asal = AWS_KMS).

Rotasi tombol otomatis tidak didukung pada jenis tombol KMS berikut, tetapi Anda dapat memutar tombol KMS ini secara manual.

Kunci Multi-Wilayah

Anda dapat mengaktifkan dan menonaktifkan rotasi kunci otomatis untuk kunci multi-Wilayah. Anda mengatur properti hanya pada kunci primer. Saat AWS KMS menyinkronkan kunci, ia menyalin pengaturan properti dari kunci utama ke kunci replika. Ketika bahan kunci dari kunci utama diputar, AWS KMS secara otomatis menyalin materi kunci itu ke semua kunci replika. Lihat perinciannya di Memutar kunci multi-Wilayah.

AWS layanan

Anda dapat mengaktifkan rotasi kunci otomatis pada kunci terkelola pelanggan yang Anda gunakan untuk enkripsi sisi server dalam layanan. AWS Rotasi tahunan transparan dan kompatibel dengan layanan AWS .

Memantau rotasi kunci

Saat AWS KMS memutar materi kunci untuk kunci yang dikelola pelanggan Kunci yang dikelola AWSatau pelanggan, ia menulis KMS CMK Rotation acara ke Amazon EventBridge dan RotateKey acara ke AWS CloudTrail log Anda. Anda dapat menggunakan catatan ini untuk memverifikasi bahwa kunci KMS telah diputar.

Anda dapat menggunakan AWS Key Management Service konsol untuk melihat jumlah rotasi sesuai permintaan yang tersisa dan daftar semua rotasi material kunci yang diselesaikan untuk kunci KMS.

Anda dapat menggunakan ListKeyRotationsoperasi untuk melihat rincian rotasi selesai.

Konsistensi akhirnya

Rotasi kunci tunduk pada efek konsistensi akhirnya yang sama seperti operasi AWS KMS manajemen lainnya. Mungkin ada sedikit penundaan sebelum materi kunci baru tersedia di seluruh AWS KMS. Namun, memutar materi kunci tidak menyebabkan gangguan atau keterlambatan dalam operasi kriptografi. Materi kunci saat ini digunakan dalam operasi kriptografi sampai bahan kunci baru tersedia di seluruh AWS KMS. Ketika materi kunci untuk kunci Multi-wilayah diputar secara otomatis, AWS KMS gunakan materi kunci saat ini hingga materi kunci baru tersedia di semua Wilayah dengan kunci Multi-wilayah terkait.

Cara mengaktifkan dan menonaktifkan rotasi kunci otomatis

Secara default, ketika Anda mengaktifkan rotasi kunci otomatis untuk kunci KMS, AWS KMS menghasilkan materi kriptografi baru untuk kunci KMS setiap tahun. Anda juga dapat menentukan kustom rotation-period untuk menentukan jumlah hari setelah Anda mengaktifkan rotasi kunci otomatis yang AWS KMS akan memutar materi kunci Anda, dan jumlah hari antara setiap rotasi otomatis sesudahnya.

Rotasi kunci otomatis memiliki manfaat sebagai berikut:

  • Properti kunci KMS, termasuk ID kunci, ARN kunci, wilayah, kebijakan, dan izin, tidak berubah ketika kunci diputar.

  • Anda tidak perlu mengubah aplikasi atau alias yang merujuk ke ID kunci atau ARN kunci dari kunci KMS.

  • Bahan kunci yang berputar tidak mempengaruhi penggunaan kunci KMS di mana pun. AWS layanan

  • Setelah Anda mengaktifkan rotasi kunci, AWS KMS putar tombol KMS secara otomatis pada tanggal rotasi berikutnya yang ditentukan oleh periode rotasi Anda. Anda tidak perlu mengingat atau menjadwalkan pembaruan.

Pengguna yang berwenang dapat menggunakan AWS KMS konsol dan AWS KMS API untuk mengaktifkan dan menonaktifkan rotasi kunci otomatis dan melihat status rotasi kunci.

Mengaktifkan dan menonaktifkan rotasi tombol otomatis (konsol)

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di panel navigasi, pilih Kunci yang dikelola pelanggan. (Anda tidak dapat mengaktifkan atau menonaktifkan rotasi Kunci yang dikelola AWS. Mereka secara otomatis diputar setiap tahun.)

  4. Pilih alias atau ID kunci dari kunci KMS.

  5. Pilih tab Rotasi kunci.

    Tab Rotasi kunci hanya muncul di halaman detail kunci KMS enkripsi simetris dengan bahan kunci yang AWS KMS dihasilkan (Asal adalah AWS_KMS), termasuk kunci KMS enkripsi simetris Multi-wilayah.

    Anda tidak dapat secara otomatis memutar kunci KMS asimetris, kunci KMS HMAC, kunci KMS dengan bahan kunci impor, atau kunci KMS di toko kunci khusus. Namun, Anda dapat memutarnya secara manual.

  6. Di bagian Rotasi tombol otomatis, pilih Edit.

  7. Untuk Rotasi tombol, pilih Aktifkan.

    catatan

    Jika kunci KMS dinonaktifkan atau penghapusan tertunda, AWS KMS tidak memutar materi kunci dan Anda tidak dapat memperbarui status rotasi tombol otomatis atau periode rotasi. Aktifkan tombol KMS atau batalkan penghapusan untuk memperbarui konfigurasi rotasi tombol otomatis. Untuk detailnya, lihat Cara kerja rotasi kunci dan Status AWS KMS kunci kunci.

  8. (Opsional) Ketik periode rotasi antara 90 dan 2560 hari. Nilai defaultnya adalah 365 hari. Jika Anda tidak menentukan periode rotasi kustom, AWS KMS akan memutar bahan kunci setiap tahun.

    Anda dapat menggunakan kms: RotationPeriodInDays condition key untuk membatasi nilai yang dapat ditentukan oleh prinsipal untuk periode rotasi.

  9. Pilih Simpan.

Mengaktifkan dan menonaktifkan rotasi kunci otomatis (API)AWS KMS

Anda dapat menggunakan AWS Key Management Service (AWS KMS) API untuk mengaktifkan dan menonaktifkan rotasi kunci otomatis, dan melihat status rotasi saat ini dari setiap kunci yang dikelola pelanggan. Contoh-contoh ini menggunakan AWS Command Line Interface (AWS CLI), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung.

EnableKeyRotationOperasi ini memungkinkan rotasi tombol otomatis untuk kunci KMS yang ditentukan. DisableKeyRotationOperasi menonaktifkannya. Untuk mengidentifikasi kunci KMS dalam operasi ini, gunakan ID kunci atau kunci ARN. Secara default, rotasi kunci dinonaktifkan untuk kunci yang dikelola pelanggan.

Anda dapat menggunakan kms: RotationPeriodInDays condition key untuk membatasi nilai yang dapat ditentukan oleh prinsipal untuk RotationPeriodInDays parameter permintaan. EnableKeyRotation

Contoh berikut memungkinkan rotasi kunci dengan periode rotasi 180 hari pada kunci KMS enkripsi simetris yang ditentukan dan menggunakan GetKeyRotationStatusoperasi untuk melihat hasilnya. Kemudian, itu menonaktifkan rotasi kunci dan, sekali lagi, menggunakan GetKeyRotationStatus untuk melihat perubahannya.

$ aws kms enable-key-rotation \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --rotation-period-in-days 180

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": true,
    "RotationPeriodInDays": 180,
    "NextRotationDate": "2024-02-14T18:14:33.587000+00:00"
}

$ aws kms disable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": false
}

Cara melakukan rotasi kunci sesuai permintaan

Anda dapat melakukan rotasi sesuai permintaan dari materi utama dalam kunci KMS yang dikelola pelanggan, terlepas dari apakah rotasi kunci otomatis diaktifkan atau tidak. Menonaktifkan rotasi otomatis (DisableKeyRotation) tidak memengaruhi kemampuan Anda untuk melakukan rotasi sesuai permintaan, juga tidak membatalkan rotasi sesuai permintaan yang sedang berlangsung. Rotasi sesuai permintaan tidak mengubah jadwal rotasi otomatis yang ada. Misalnya, pertimbangkan kunci KMS yang memiliki rotasi tombol otomatis diaktifkan dengan periode rotasi 730 hari. Jika kunci dijadwalkan untuk berputar secara otomatis pada 14 April 2024, dan Anda melakukan rotasi sesuai permintaan pada 10 April 2024, kunci akan berputar secara otomatis, sesuai jadwal, pada 14 April 2024 dan setiap 730 hari setelahnya.

Anda dapat melakukan rotasi kunci sesuai permintaan maksimal 10 kali per tombol KMS. Anda dapat menggunakan AWS KMS konsol untuk melihat jumlah rotasi sesuai permintaan yang tersisa yang tersedia untuk kunci KMS.

Rotasi kunci sesuai permintaan hanya didukung pada kunci KMS enkripsi simetris. Anda tidak dapat melakukan rotasi sesuai permintaan kunci KMS asimetris, kunci KMS HMAC, kunci KMS dengan bahan kunci impor, atau kunci KMS di toko kunci khusus. Untuk melakukan rotasi sesuai permintaan dari satu set kunci Multi-wilayah terkait, panggil rotasi sesuai permintaan pada kunci utama.

Pengguna yang berwenang dapat menggunakan AWS KMS konsol dan AWS KMS API untuk memulai rotasi kunci sesuai permintaan dan melihat status rotasi kunci.

Memulai rotasi kunci sesuai permintaan (konsol)

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di panel navigasi, pilih Kunci yang dikelola pelanggan. (Anda tidak dapat melakukan rotasi sesuai permintaan. Kunci yang dikelola AWS Mereka secara otomatis diputar setiap tahun.)

  4. Pilih alias atau ID kunci dari kunci KMS.

  5. Pilih tab Rotasi kunci.

    Tab Rotasi kunci hanya muncul di halaman detail kunci KMS enkripsi simetris dengan bahan kunci yang AWS KMS dihasilkan (Asal adalah AWS_KMS), termasuk kunci KMS enkripsi simetris Multi-wilayah.

    Anda tidak dapat melakukan rotasi sesuai permintaan kunci KMS asimetris, kunci KMS HMAC, kunci KMS dengan bahan kunci impor, atau kunci KMS di toko kunci khusus. Namun, Anda dapat memutarnya secara manual.

  6. Di bagian rotasi tombol On-Demand, pilih tombol Rotate.

  7. Baca dan pertimbangkan peringatan dan informasi tentang jumlah rotasi sesuai permintaan yang tersisa untuk kunci tersebut. Jika Anda memutuskan bahwa Anda tidak ingin melanjutkan rotasi sesuai permintaan, pilih Batalkan.

  8. Pilih tombol Putar untuk mengonfirmasi rotasi sesuai permintaan.

    catatan

    Rotasi on-demand tunduk pada efek konsistensi akhirnya yang sama seperti operasi AWS KMS manajemen lainnya. Mungkin ada sedikit penundaan sebelum materi kunci baru tersedia di seluruh AWS KMS. Spanduk di bagian atas konsol memberi tahu Anda saat rotasi sesuai permintaan selesai.

Memulai rotasi kunci sesuai permintaan (API)AWS KMS

Anda dapat menggunakan AWS Key Management Service (AWS KMS) API untuk memulai rotasi kunci sesuai permintaan, dan melihat status rotasi saat ini dari setiap kunci yang dikelola pelanggan. Contoh-contoh ini menggunakan AWS Command Line Interface (AWS CLI), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung.

RotateKeyOnDemandOperasi segera memulai rotasi kunci sesuai permintaan untuk kunci KMS yang ditentukan. Untuk mengidentifikasi kunci KMS dalam operasi ini, gunakan ID kunci atau kunci ARN.

Contoh berikut memulai rotasi kunci sesuai permintaan pada kunci KMS enkripsi simetris yang ditentukan dan menggunakan GetKeyRotationStatusoperasi untuk memverifikasi bahwa rotasi sesuai permintaan sedang berlangsung. The OnDemandRotationStartDate in the kms:GetKeyRotationStatus response mengidentifikasi tanggal dan waktu rotasi on-demand yang sedang berlangsung dimulai.

$ aws kms rotate-key-on-demand --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"    
}

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": true,
    "NextRotationDate": "2024-03-14T18:14:33.587000+00:00",
    "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
    "RotationPeriodInDays": 365    
}

Memutar kunci secara manual

Anda mungkin ingin membuat kunci KMS baru dan menggunakannya sebagai pengganti kunci KMS saat ini alih-alih mengaktifkan rotasi tombol otomatis. Ketika kunci KMS baru memiliki bahan kriptografi yang berbeda dari kunci KMS saat ini, menggunakan kunci KMS baru memiliki efek yang sama seperti mengubah materi kunci dalam kunci KMS yang ada. Proses mengganti satu kunci KMS dengan yang lain dikenal sebagai rotasi kunci manual.

Diagram showing manual key rotation process with application, old key, and new key.

Rotasi manual adalah pilihan yang baik ketika Anda ingin memutar tombol KMS yang tidak memenuhi syarat untuk rotasi kunci otomatis, seperti kunci KMS asimetris, kunci KMS HMAC, kunci KMS di toko kunci khusus, dan kunci KMS dengan bahan kunci impor.

catatan

Ketika Anda mulai menggunakan kunci KMS baru, pastikan untuk menjaga kunci KMS asli diaktifkan sehingga AWS KMS dapat mendekripsi data yang kunci KMS asli dienkripsi.

Saat Anda memutar tombol KMS secara manual, Anda juga perlu memperbarui referensi ke ID kunci KMS atau ARN kunci di aplikasi Anda. Alias, yang mengaitkan nama ramah dengan kunci KMS, dapat membuat proses ini lebih mudah. Gunakan alias untuk merujuk ke kunci KMS di aplikasi Anda. Kemudian, ketika Anda ingin mengubah kunci KMS yang digunakan aplikasi, alih-alih mengedit kode aplikasi Anda, ubah kunci KMS target alias. Lihat perinciannya di Menggunakan alias dalam aplikasi Anda.

catatan

Alias yang mengarah ke versi terbaru dari kunci KMS yang diputar secara manual adalah solusi yang baik untuk operasi DescribeKey, Enkripsi,,,, GenerateDataKeyGenerateDataKeyPairGenerateMac, dan Tanda Tangan. Alias tidak diizinkan dalam operasi yang mengelola kunci KMS, seperti DisableKeyatau. ScheduleKeyDeletion

Saat memanggil operasi Dekripsi pada kunci KMS enkripsi simetris yang diputar secara manual, hilangkan parameter dari perintah. KeyId AWS KMS secara otomatis menggunakan kunci KMS yang mengenkripsi ciphertext.

KeyIdParameter diperlukan saat memanggil Decrypt atau Verifikasi dengan kunci KMS asimetris, atau memanggil VerifyMacdengan kunci HMAC KMS. Permintaan ini gagal ketika nilai KeyId parameter adalah alias yang tidak lagi menunjuk ke kunci KMS yang melakukan operasi kriptografi, seperti ketika kunci diputar secara manual. Untuk menghindari kesalahan ini, Anda harus melacak dan menentukan kunci KMS yang benar untuk setiap operasi.

Untuk mengubah kunci KMS target alias, gunakan UpdateAliasoperasi di API. AWS KMS Misalnya, perintah ini memperbarui alias/TestKey alias untuk menunjuk ke kunci KMS baru. Karena operasi tidak mengembalikan output apa pun, contoh menggunakan ListAliasesoperasi untuk menunjukkan bahwa alias sekarang dikaitkan dengan kunci KMS yang berbeda dan LastUpdatedDate bidang diperbarui. ListAliases Perintah menggunakan queryparameter dalam AWS CLI untuk mendapatkan hanya alias/TestKey alias.

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]'
{
    "Aliases": [
        {
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey",
            "AliasName": "alias/TestKey",
            "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
            "CreationDate": 1521097200.123,
            "LastUpdatedDate": 1521097200.123
        },
    ]
}


$ aws kms update-alias --alias-name alias/TestKey --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
            
$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]'
{
    "Aliases": [
        {
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey",
            "AliasName": "alias/TestKey",
            "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
            "CreationDate": 1521097200.123,
            "LastUpdatedDate": 1604958290.722
        },
    ]
}