Rotazione dei tasti AWS KMS e ambito di impatto - AWS Guida prescrittiva
rotazione simmetrica dei tastiRotazione delle chiavi per Amazon EBSRotazione delle chiavi per Amazon RDSRotazione delle chiavi per Amazon S3Chiavi rotanti con materiale importato

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Rotazione dei tasti AWS KMS e ambito di impatto

Non consigliamo la rotazione dei tasti AWS Key Management Service (AWS KMS) a meno che non sia necessario ruotare i tasti per motivi di conformità alle normative. Ad esempio, potrebbe esserti richiesto di ruotare le chiavi KMS a causa di politiche aziendali, regole contrattuali o normative governative. La progettazione di riduce AWS KMS in modo significativo i tipi di rischio che la rotazione delle chiavi viene generalmente utilizzata per mitigare. Se è necessario ruotare i tasti KMS, si consiglia di utilizzare la rotazione automatica dei tasti e di utilizzare la rotazione manuale dei tasti solo se la rotazione automatica dei tasti non è supportata.

AWS KMS rotazione simmetrica dei tasti

AWS KMS supporta la rotazione automatica delle chiavi solo per le chiavi KMS di crittografia simmetrica con materiale chiave che crea. AWS KMS La rotazione automatica è opzionale per le chiavi KMS gestite dal cliente. Su base annuale, AWS KMS ruota il materiale chiave per le chiavi KMS AWS gestite. AWS KMS salva tutte le versioni precedenti del materiale crittografico per sempre, in modo da poter decrittografare tutti i dati crittografati con quella chiave KMS. AWS KMS non elimina alcun materiale con chiave ruotata finché non elimini la chiave KMS. Inoltre, quando si decrittografa un oggetto utilizzando AWS KMS, il servizio determina il materiale di supporto corretto da utilizzare per l'operazione di decrittografia; non è necessario fornire parametri di input aggiuntivi.

Poiché AWS KMS conserva le versioni precedenti del materiale chiave crittografico e poiché è possibile utilizzare tale materiale per decrittografare i dati, la rotazione delle chiavi non offre ulteriori vantaggi in termini di sicurezza. Il meccanismo di rotazione delle chiavi esiste per semplificare la rotazione delle chiavi se si utilizza un carico di lavoro in un contesto in cui lo richiedono requisiti normativi o di altro tipo.

Rotazione delle chiavi per i volumi Amazon EBS

Puoi ruotare le chiavi dati di Amazon Elastic Block Store (Amazon EBS) utilizzando uno dei seguenti approcci. L'approccio dipende dai flussi di lavoro, dai metodi di distribuzione e dall'architettura dell'applicazione. Potresti volerlo fare quando passi da una chiave AWS gestita a una chiave gestita dal cliente.

Utilizzare gli strumenti del sistema operativo per copiare i dati da un volume all'altro

  1. Crea la nuova chiave KMS. Per istruzioni, consulta Creare una chiave KMS.

  2. Crea un nuovo volume Amazon EBS con le stesse dimensioni o più grandi dell'originale. Per la crittografia, specifica la chiave KMS che hai creato. Per istruzioni, consulta Creare un volume Amazon EBS.

  3. Monta il nuovo volume sulla stessa istanza o contenitore del volume originale. Per istruzioni, consulta Collegare un volume Amazon EBS a un' EC2 istanza Amazon.

  4. Utilizzando lo strumento del sistema operativo preferito, copia i dati dal volume esistente al nuovo volume.

  5. Una volta completata la sincronizzazione, durante una finestra di manutenzione prestabilita, interrompi il traffico verso l'istanza. Per istruzioni, consulta Arrestare e avviare manualmente le istanze.

  6. Smonta il volume originale. Per istruzioni, consulta Scollegare un volume Amazon EBS da un'istanza Amazon EC2 .

  7. Monta il nuovo volume sul punto di montaggio originale.

  8. Verificate che il nuovo volume funzioni correttamente.

  9. Eliminare il volume originale. Per istruzioni, consulta Eliminare un volume Amazon EBS.

Utilizzare uno snapshot di Amazon EBS per copiare i dati da un volume all'altro

  1. Crea la nuova chiave KMS. Per istruzioni, consulta Creare una chiave KMS.

  2. Crea uno snapshot Amazon EBS del volume originale. Per istruzioni, consulta Creare snapshot Amazon EBS.

  3. Crea un nuovo volume dallo snapshot. Per la crittografia, specifica la nuova chiave KMS che hai creato. Per istruzioni, consulta Creare un volume Amazon EBS.

    Nota

    A seconda del carico di lavoro, potresti voler utilizzare il ripristino rapido degli snapshot di Amazon EBS per ridurre al minimo la latenza iniziale sul volume.

  4. Crea una nuova EC2 istanza Amazon. Per istruzioni, consulta Avvio di un' EC2 istanza Amazon.

  5. Collega il volume che hai creato all' EC2 istanza Amazon. Per istruzioni, consulta Collegare un volume Amazon EBS a un' EC2 istanza Amazon.

  6. Trasforma la nuova istanza in produzione.

  7. Ruota l'istanza originale dalla produzione ed eliminala. Per istruzioni, consulta Eliminare un volume Amazon EBS.

Nota

È possibile copiare istantanee e modificare la chiave di crittografia utilizzata per la copia di destinazione. Dopo aver copiato lo snapshot e averlo crittografato con le tue chiavi KMS preferite, puoi anche creare un'Amazon Machine Image (AMI) dalle istantanee. Per ulteriori informazioni, consulta la crittografia Amazon EBS nella EC2 documentazione di Amazon.

Rotazione delle chiavi per Amazon RDS

Per alcuni servizi, come Amazon Relational Database Service (Amazon RDS), la crittografia dei dati avviene all'interno del servizio ed è fornita da. AWS KMS Utilizza le seguenti istruzioni per ruotare una chiave per un'istanza di database Amazon RDS.

Per ruotare una chiave KMS per un database Amazon RDS

  1. Crea un'istantanea del database crittografato originale. Per istruzioni, consulta Gestione dei backup manuali nella documentazione di Amazon RDS.

  2. Copia l'istantanea in una nuova istantanea. Per la crittografia, specifica la nuova chiave KMS. Per istruzioni, consulta Copiare uno snapshot DB per Amazon RDS.

  3. Usa la nuova istantanea per creare un nuovo cluster Amazon RDS. Per istruzioni, consulta Ripristino su un'istanza DB nella documentazione di Amazon RDS. Per impostazione predefinita, il cluster utilizza la nuova chiave KMS.

  4. Verifica il funzionamento del nuovo database e dei dati in esso contenuti.

  5. Trasforma il nuovo database in produzione.

  6. Ruota il vecchio database dalla produzione ed eliminalo. Per istruzioni, consulta Eliminazione di un'istanza DB.

Rotazione delle chiavi per Amazon S3 e replica nella stessa regione

Per Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3), per modificare la chiave di crittografia di un oggetto, devi leggere e riscrivere l'oggetto. Quando riscrivi l'oggetto, specifichi esplicitamente la nuova chiave di crittografia nell'operazione di scrittura. Per eseguire questa operazione per molti oggetti, puoi utilizzare Amazon S3 Batch Operations. Nelle impostazioni del lavoro, per l'operazione di copia, specifica le nuove impostazioni di crittografia. Ad esempio, puoi scegliere SSE-KMS e inserire il KeyID.

In alternativa, puoi utilizzare Amazon S3 Same-Region Replication (SRR). SSR può crittografare nuovamente gli oggetti in transito.

Chiavi KMS rotanti con materiale importato

AWS KMS non recupera o ruota il materiale chiave importato. Per ruotare una chiave KMS con materiale chiave importato, è necessario ruotare la chiave manualmente.