Rotação chaves mestras do cliente - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Rotação chaves mestras do cliente

As melhores práticas criptográficas desencorajam a reutilização extensiva de chaves de criptografia. Para criar um novo material criptográfico para o seu AWS Key Management Service (AWS KMS) chaves mestras do cliente (CMKs), pode criar novos CMKse, em seguida, altere as suas aplicações ou alias para utilizar o novo CMKs. Ou pode ativar a rotação de chave automática para um existente gerido pelo cliente CMK.

Quando ativar rotação automática da chave para um cliente gerido CMK, AWS KMS gera novo material criptográfico para o CMK todos os anos. AWS KMS também guarda o CMKo material criptográfico mais antigo em perpetuidade, para que possa ser utilizado para desencriptar os dados que encriptou. AWS KMS não elimina qualquer material chave rodado até eliminar o CMK.

A rotação da chave muda apenas CMK's chave de segurança, que é o material criptográfico utilizado em operações de encriptação. O CMK é o mesmo recurso lógico, independentemente do número de vezes que as suas principais alterações são introduzidas. As propriedades do CMK não altere, conforme mostrado na imagem seguinte.

A mudança de chaves automática tem os seguintes benefícios:

  • As propriedades do CMK, incluindo a sua ID chave, chave de ARN, região, políticas e permissões, não altere quando a chave é rodada.

  • Não precisa de alterar aplicações ou alias que se referem ao CMK ID ou ARN.

  • Depois de ativar a rotação da chave, AWS KMS roda o CMK automaticamente todos os anos. Você não precisa lembrar nem programar a atualização.

No entanto, a rotação de chave automática não tem qualquer efeito nos dados que o CMK protege. Não roda as teclas de dados que o CMK gerado ou re-encriptar quaisquer dados protegidos pelo CMK, e não irá mitigar o efeito de uma chave de dados comprometida.

Pode decidir criar um novo CMK e use-o em vez do original CMK. Isto tem o mesmo efeito que a rotação do material-chave num existente CMK, por isso, é frequentemente pensado como rodar manualmente a chave. A mudança manual é uma boa opção quando você deseja controlar a programação da mudança de chaves. Também proporciona uma forma de rodar CMKs que não são elegíveis para rotação de chave automática, incluindo assimétrico CMKs, CMKs em lojas-chave personalizadas, e CMKs com material-chave importado.

Rotação de chaves e definição de preço

Gestão de clientes rotativa CMKs pode resultar em custos mensais extra. Para obter mais informações, consulte Definição de preço do AWS Key Management Service. Para obter informações mais detalhadas sobre chaves de suporte e rotação, consulte o Whitepaper Detalhes criptográficos do AWS Key Management Service.

Como funciona a rotação de chaves automática

Rotação da chave em AWS KMS é uma melhor prática criptográfica concebida para ser transparente e fácil de utilizar. AWS KMS compatível com rotação automática apenas para gerido pelo cliente CMKs.

  • Gerir a gestão chave. AWS KMS retém todas as chaves de segurança para um CMK, mesmo que a rotação da chave esteja desativada. As chaves de revestimento são eliminadas apenas quando o CMK é eliminado. Quando utiliza um CMK para encriptar, AWS KMS utiliza a chave de segurança actual. Quando utiliza o CMK para desencriptar, AWS KMS utiliza a chave de segurança utilizada para encriptar.

  • Habilitar e desabilitar a rotação de chaves A rotação automática da chave é desativada por predefinição no cliente gerido CMKs. Quando activar (ou reativar) a rotação chave, AWS KMS roda automaticamente o CMK 365 dias após a data de ativação e a cada 365 dias depois disso.

  • Desativado CMKs. Enquanto um CMK está desativado, AWS KMS não o roda. No entanto, o estado de rotação chave não é alterado e não pode alterá-lo enquanto o CMK está desativado. Quando o CMK é reativado, se a chave de revestimento tiver mais de 365 dias, AWS KMS rola-o imediatamente e a cada 365 dias depois disso. Se a chave de backup tiver menos de 365 dias, o AWS KMS retomará a programação original da alternância de chaves.

  • CMKs eliminação pendente. Enquanto um CMK está pendente de eliminação, AWS KMS não o roda. O status da alternância de chaves é definido como false e você não pode alterá-lo enquanto a exclusão estiver pendente. Se a exclusão for cancelada, o status da alternância de chaves anterior será restaurado. Se a chave de backup tiver mais de 365 dias, o AWS KMS a alternará imediatamente e a cada 365 dias depois disso. Se a chave de backup tiver menos de 365 dias, o AWS KMS retomará a programação original da alternância de chaves.

  • AWS gerido CMKs. Não é possível gerir a rotação da chave para AWS gerido CMKs. AWS KMS roda automaticamente AWS gerido CMKs a cada três anos (1095 dias).

  • AWS proprietário CMKs. Não é possível gerir a rotação da chave para AWS proprietário CMKs. A estratégia de rotação de chaves para uma CMK de propriedade da AWS é determinada pelo serviço da AWS que cria e gerencia a CMK. Para mais detalhes, consulte o Encriptação em repouso tópico no guia do utilizador ou guia da ferramenta de desenvolvimento para o serviço.

  • Serviços da AWS. Pode activar a rotação de chave automática no gerido pelo cliente CMKs que utiliza para encriptação do lado do servidor em AWS serviços. A rotação anual é transparente e compatível com os serviços da AWS.

  • Monitoramento da alternância de chaves. Quando AWS KMS roda automaticamente o material-chave para um AWS gerido CMK ou gerido pelo cliente CMK, escreve um KMS CMK Rotation evento para Eventos do Amazon CloudWatch e um evento chave de rotação ao seu AWS CloudTrail registo. Pode utilizar estes registos para verificar se o CMK foi rodada.

  • Não suportado CMK tipos. A rotação automática da chave é não apoiado nos seguintes tipos de CMKs, mas pode rodar estes CMKs manualmente.

Como habilitar e desabilitar a rotação de chaves automática

Pode utilizar o AWS KMS consola ou AWS KMS API para ativar e desativar a rotação da chave automática e visualizar o estado de rotação de qualquer cliente gerido CMK.

Quando activar a rotação de chave automática, AWS KMS roda o CMK 365 dias após a data de ativação e a cada 365 dias depois disso.

Habilitar e desabilitar a rotação de chaves (console)

  1. Faça login no Console de gerenciamento da AWS e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a região do AWS, use o seletor Region (Região) no canto superior direito da página.

  3. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas de cliente). (Não pode ativar ou desativar a rotação de AWS teclas geridas. São automaticamente rodados a cada três anos.)

  4. Escolha o alias ou a ID chave de um CMK.

  5. Selecione a guia Key rotation (Rotação de chaves).

    O Rotação da chave só aparece na página de detalhes de simétrica CMKs com material-chave que AWS KMS gerado (o Origem é AWS_KMS). Não pode rodar automaticamente assimétrico CMKs, CMKs com material-chave importado, ou CMKs em lojas-chave personalizadas. No entanto, é possível alterná-las manualmente.

  6. Selecione ou desmarque o Rodar automaticamente isto CMK todos os anos.

    nota

    Se um CMK é desativado ou eliminado, o Rodar automaticamente isto CMK todos os anos a caixa de verificação está limpa e não pode alterá-la. O estado de rotação da chave é restaurado quando ativar CMK ou cancelar a eliminação. Para obter detalhes, consulte Como funciona a rotação de chaves automática e Estado chave: Efeito no seu CMK.

  7. Selecione Save (Salvar).

Habilitar e desabilitar a rotação de chaves (AWS KMS API)

Pode utilizar o AWS Key Management Service (AWS KMS) API para ativar e desativar a rotação da chave automática e ver o estado de rotação actual de qualquer cliente gerido CMK. Estes exemplos usam a AWS Command Line Interface (AWS CLI), mas você pode usar qualquer linguagem de programação compatível.

O execuçãodeteclas permite a rotação automática da chave para o especificado CMK. A operação DisableKeyRotation a desativa. Para identificar o CMK nestas operações, use ID chave ou chave ARN. Por predefinição, a rotação da chave é desativada para o cliente gerido CMKs.

O exemplo seguinte permite a rotação de teclas no simétrico especificado CMK e utiliza o getkeyrotationstatus para ver o resultado. Em seguida, ele mostra a desabilitação da mudança de chaves e, novamente, usa GetKeyRotationStatus para ver a alteração.

$ aws kms enable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab $ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyRotationEnabled": true } $ aws kms disable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab $ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyRotationEnabled": false }

Alterar chaves manualmente

Pode querer criar um novo CMK e use-o em vez de uma corrente CMK em vez de ativar a rotação da tecla automática. Quando o novo CMK tem um material criptográfico diferente do atual CMK, usando o novo CMK tem o mesmo efeito que alterar a chave de segurança num CMK. O processo de substituição de um CMK com outra é conhecida como rotação manual da chave.

Você pode preferir mudar as chaves manualmente, para que possa controlar a frequência da mudança. É também uma boa solução para CMKs que não são elegíveis para rotação de chave automática, como assimétrica CMKs, CMKs em lojas-chave personalizadas e CMKs com material-chave importado.

nota

Quando começar a utilizar o novo CMK, certifique-se de que mantém o original CMK para que AWS KMS pode desencriptar dados que o original CMK encriptada. Ao descodificar dados, o KMS identifica o CMK que foi utilizado para encriptar os dados e utiliza o mesmo CMK para desencriptar os dados. Desde que mantenha o original e o novo CMKs ativado, AWS KMS pode descodificar quaisquer dados que tenham sido encriptados CMK.

Porque o novo CMK é um recurso diferente da atual CMK, tem uma ID chave diferente e ARN. Quando muda CMKs, tem de atualizar referências para CMK ID ou ARN nas suas aplicações. Pseudónimos, que associa um nome amigável a um CMK, torne este processo mais fácil. Utilize um pseudónimo para referir a CMK nas suas aplicações. Depois, quando quiser alterar o CMK que a aplicação utiliza, altere o alvo CMK do alias.

Para actualizar o alvo CMK de um pseudónimo, utilizar edidadededata operação no AWS KMS API. Por exemplo, este comando actualiza o TestCMK pseudónimo para apontar para um novo CMK. Como a operação não devolve qualquer resultado, o exemplo utiliza o listaliases operação para mostrar que o alias está agora associado a uma CMK.

$ aws kms list-aliases { "Aliases": [ { "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestCMK", "AliasName": "alias/TestCMK", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab" }, ] } $ aws kms update-alias --alias-name alias/TestCMK --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321 $ aws kms list-aliases { "Aliases": [ { "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestCMK", "AliasName": "alias/TestCMK", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321" }, ] }