Alterar chaves mestras do cliente - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Alterar chaves mestras do cliente

As melhores práticas criptográficas desencorajam a reutilização extensiva de chaves de criptografia. Para criar novos materiais criptográficos para as chaves mestras de cliente (CMKs) do AWS Key Management Service (AWS KMS), crie novas CMKs e, em seguida, altere seus aplicativos ou aliases para usar as novas CMKs. Ou é possível habilitar a rotação automática de chaves para uma CMK gerenciada pelo cliente existente.

Quando você habilitamudança de chaves automáticaPara uma CMK gerenciada por cliente, o AWS KMS gera um novo material criptográfico para a CMK todos os anos. O AWS KMS também salva o material criptográfico mais antigo da CMK em perpetuidade para que possa ser usado para descriptografar dados que tenham sido criptografados. O AWS KMS não exclui nenhum material de chave girado até que vocêExcluir a CMK da.

A mudança de chaves altera apenas a chave de backup, que é o material criptográfico usado em operações de criptografia. A CMK é a mesma, independentemente da ocorrência de alterações ou do número de vezes que estas tenham sido feitas na chave de backup. As propriedades da CMK não são alteradas, conforme mostrado na imagem a seguir.

A mudança de chaves automática tem os seguintes benefícios:

  • As propriedades da CMK, incluindo seu ID da chave, ARN de chave, região, políticas e permissões, não são alteradas quando há mudança na chave.

  • Você não precisa alterar aplicativos ou aliases que consultem o ARN ou ID da CMK.

  • Depois que você habilitar a mudança de chaves, o AWS KMS alterna a CMK automaticamente todos os anos. Você não precisa lembrar nem programar a atualização.

No entanto, a alternância automática de chaves não afeta os dados protegidos pela CMK. Ela não alterna as chaves de dados geradas pela CMK, não criptografa novamente quaisquer dados protegidos pela CMK e não reduz o impacto de uma chave de dados comprometida.

Você pode decidir criar uma nova CMK e usá-la em vez da CMK original. Isso tem o mesmo efeito que mudar o material da chave em uma CMK; portanto, normalmente é considerada como mudança manual de chaves. A mudança manual é uma boa opção quando você deseja controlar a programação da mudança de chaves. Ela também fornece uma maneira de alternar CMKs que não são elegíveis para a rotação automática de chaves, incluindo CMKs assimétricas, CMKs nos armazenamentos de chaves personalizados e CMKs com material de chave importada.

Rotação de chaves e definição de preço

Mudar CMKs gerenciadas de cliente pode resultar em cobranças mensais. Para obter mais detalhes, consulte Definição de preço do AWS Key Management Service. Para obter informações mais detalhadas sobre chaves de backup e alternância, consulteAWS Key Management Service Service Service Service Service Details.

Como funciona a rotação de chaves automática

A alternância de chaves no AWS KMS é uma melhor prática criptográfica que visa ser transparente e fácil de usar. O AWS KMS oferece suporte à rotação automática de chaves opcional somente paraCMKs gerenciadas pelo cliente.

  • Gerenciamento de chaves de backup. O AWS KMS retém todas as chaves de backup de uma CMK, mesmo que a alternância de chaves esteja desabilitada. As chaves de backup são excluídas apenas quando a CMK é excluída. Quando você usa uma CMK para criptografar, o AWS KMS usa a chave de backup atual. Quando você usa a CMK para descriptografar, o AWS KMS usa a chave de backup que foi usada para criptografar.

  • Ativar e desativar a alternância de chaves. Por padrão, a alternância automática de chaves está desabilitada nas CMKs gerenciadas pelo cliente. Quando você habilita (ou habilita novamente) a alternância de chaves, o AWS KMS alterna automaticamente a CMK 365 dias após a data de habilitação e a cada 365 dias depois disso.

  • CMKs desabilitadas. Enquanto uma CMK está desabilitada, o AWS KMS não a alterna. No entanto, o status da alternância de chaves não muda, e você não pode alterá-lo enquanto a CMK está desabilitada. Quando a CMK for habilitada novamente, se a chave de backup tiver mais de 365 dias, o AWS KMS a alternará imediatamente e a cada 365 dias depois disso. Se a chave de backup tiver menos de 365 dias, o AWS KMS reiniciará a programação original da alternância de chaves.

  • CMKs pendentes de exclusão. Enquanto uma CMK está pendente de exclusão, o AWS KMS não a alterna. O status da alternância de chaves é definido como false e você não pode alterá-lo enquanto a exclusão estiver pendente. Se a exclusão for cancelada, o status da alternância de chaves anterior será restaurado. Se a chave de backup tiver mais de 365 dias, o AWS KMS a alternará imediatamente e a cada 365 dias depois disso. Se a chave de backup tiver menos de 365 dias, o AWS KMS reiniciará a programação original da alternância de chaves.

  • CMKs gerenciadas pela AWS Não é possível gerenciar a rotação de chaves para oCMKs gerenciadas pela AWS. O AWS KMS alterna automaticamente CMKs gerenciadas pela AWS de três em três anos (1095 dias).

  • CMKs de propriedade da AWS. Não é possível gerenciar a rotação de chaves para CMKs de propriedade da AWS. Omudança de chavesPara uma CMK de propriedade da AWS é determinada pelo serviço da AWS que cria e gerencia a CMK. Para obter detalhes, consulte oCriptografia em repousono guia do usuário ou no guia do desenvolvedor do serviço.

  • Serviços da AWS. Você pode habilitar a rotação automática de chaves noCMKs gerenciadas pelo clienteque você usa para criptografia no lado do servidor nos serviços da AWS. A rotação anual é transparente e compatível com os serviços da AWS.

  • Monitoramento da alternância de chaves. Quando o AWS KMS gira automaticamente o material de chave para umCMK gerenciada pela AWSouCMK gerenciada pelo cliente, ele escreve umKMS CMK RotationEvento para oAmazon CloudWatch Eventse umEvento rotateKeyao seu log do AWS CloudTrail. É possível usar esses registros para verificar se a CMK foi mudada.

  • Tipos de CMK não compatíveis. A rotação automática de chaves não é compatível com os tipos de CMKs a seguir, mas é possível alternar essas CMKs manualmente.

Como habilitar e desabilitar a rotação de chaves automática

Você pode usar o console do AWS KMS ou a API do AWS KMS para habilitar e desabilitar a alternância automática de chaves e visualizar o status da alternância de qualquer CMK gerenciada pelo cliente.

Quando você habilita a alternância automática de chaves, o AWS KMS alterna a CMK 365 dias após a data de habilitação e a cada 365 dias depois disso.

Habilitar e desabilitar a rotação de chaves (console)

  1. Faça login no Console de Gerenciamento da AWS e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.

  3. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas de cliente). (Não é possível habilitar ou desabilitar a alternância de chaves gerenciadas pela AWS. Elas são alternadas automaticamente de três em três anos.)

  4. Escolha o alias ou ID de chave de uma CMK.

  5. Selecione a guia Key rotation (Rotação de chaves).

    ORotação de chavesA guia é exibida apenas na página de detalhes de CMKs simétricas com material de chave que o AWS KMS gerou (aOrigeméAWS_KMS). Não é possível alternar automaticamente CMKs assimétricas, CMKs com material de chave importada nem CMKs em armazenamentos de chave personalizados. No entanto, é possível alterná-las manualmente.

  6. Marque ou desmarque a caixa de seleção Automatically rotate this CMK every year (Alterne esta CMK automaticamente todo ano).

    nota

    Se uma CMK estiver desabilitada ou pendente de exclusão, a caixa de seleção Automatically rotate this CMK every year (Alternar esta CMK automaticamente todo ano) estará vazia, e você não pode alterá-la. O status da alternância de chaves é restaurado quando você habilita a CMK ou cancela a exclusão. Para obter mais detalhes, consulte Como funciona a rotação de chaves automática e Estado da chave: efeito na CMK.

  7. Escolha Save (Salvar).

Habilitar e desabilitar a rotação de chaves (AWS KMS API)

Você pode usar oAWS Key Management Service Service Service (AWS KMS) APIPara habilitar e desabilitar a alternância automática de chaves e visualizar o status atual da alternância de qualquer CMK gerenciada pelo cliente. Estes exemplos usam aInterface da linha de comando da AWS (AWS CLI), mas você pode usar qualquer linguagem de programação compatível.

A operação EnableKeyRotation habilita a mudança de chaves automática para a CMK especificada. A operação DisableKeyRotation a desativa. Para identificar a CMK nessas operações, use seu ID de chave ou ARN de chave. Por padrão, a mudança de chaves está desabilitada nas CMKs gerenciadas de cliente.

O exemplo a seguir ativa a rotação de chaves na CMK simétrica especificada e usa a operação GetKeyRotationStatus para ver o resultado. Em seguida, ele mostra a desabilitação da mudança de chaves e, novamente, usa GetKeyRotationStatus para ver a alteração.

$ aws kms enable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab $ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyRotationEnabled": true } $ aws kms disable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab $ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyRotationEnabled": false }

Alterar chaves manualmente

Talvez você queira criar uma nova CMK e usá-la no lugar de uma CMK atual, em vez de habilitar a mudança de chaves automática. Quando a nova CMK tiver material criptográfico diferente daquele da CMK atual, usar a nova CMK produzirá o mesmo efeito de alterar a chave de backup em uma CMK existente. O processo de substituir uma CMK por outra é conhecido como mudança de chaves manual.

Você pode preferir mudar as chaves manualmente, para que possa controlar a frequência da mudança. Essa também é uma boa solução para as CMKs que não são elegíveis para a rotação automática de chaves, como CMKs assimétricas, CMKs em armazenamentos de chaves personalizados e CMKs com material de chave importada.

nota

Quando você começar a usar a nova CMK, mantenha a CMK original habilitada para que o AWS KMS possa descriptografar dados que a CMK original criptografou. Quando descriptografa dados, o KMS identifica a CMK que foi usada para criptografar os dados e usa a mesma CMK para descriptografar os dados. Desde que você mantenha as CMKs original e nova habilitadas, o AWS KMS poderá descriptografar quaisquer dados que tenham sido criptografados por qualquer uma das duas CMKs.

Como a nova CMK é um recurso diferente da CMK atual, ela tem um ARN e ID de chave diferentes. Quando alterar as CMKs, você precisará atualizar as referências aos ARN e ID da CMK em seus aplicativos. Os aliases, que associam um nome amigável a uma CMK, tornam esse processo mais fácil. Use um alias para fazer referência a uma CMK em seus aplicativos. Quando você desejar alterar a CMK que o aplicativo usa, altere a CMK de destino do alias.

Para atualizar a CMK de destino de um alias, use oUpdateAliasna API do AWS KMS. Por exemplo, este comando atualiza o alias TestCMK para apontar para uma nova CMK. Como a operação não retorna uma saída, o exemplo usa aListAliasesPara mostrar que o alias agora está associado a uma CMK diferente e aLastUpdatedDateé atualizado.

$ aws kms list-aliases { "Aliases": [ { "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestCMK", "AliasName": "alias/TestCMK", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1521097200.123, "LastUpdatedDate": 1521097200.123 }, ] } $ aws kms update-alias --alias-name alias/TestCMK --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321 $ aws kms list-aliases { "Aliases": [ { "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestCMK", "AliasName": "alias/TestCMK", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1521097200.123, "LastUpdatedDate": 1604958290.722 }, ] }