As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Alternar AWS KMS keys
Para criar um novo material criptográfico para suas chaves gerenciadas pelo cliente, você pode criar novas chaves do KMS e, em seguida, alterar suas aplicações ou seus aliases para usar essas novas chaves do KMS. Como alternativa, você pode alternar o material de chave associado a uma chave existente do KMS habilitando a alternância automática da chave ou executando a alternância sob demanda.
Por padrão, ao habilitar a alternância automática de chaves para uma chave do KMS, o AWS KMS gera um novo material criptográfico para a chave do KMS anualmente. Você também pode especificar um rotation-period personalizado para definir após quantos dias depois da habilitação da alternância automática de chaves o AWS KMS vai alternar o material de chave e o número de dias entre cada alternância automática posteriormente. Se precisar iniciar imediatamente a alternância do material de chave, você poderá realizar a alternância sob demanda, independentemente de a alternância automática de chaves estar ou não habilitada. As alternâncias sob demanda não alteram os cronogramas de alternância automática existentes.
O AWS KMS salva todas as versões anteriores do material criptográfico perpetuamente para que você possa descriptografar todos os dados criptografados com a respectiva chave do KMS. O AWS KMS não exclui nenhum material de chave alternada até que você exclua a chave do KMS. Você pode monitorar a alternância do material de chave para suas chaves do KMS no Amazon CloudWatch, no AWS CloudTrail e no console do AWS Key Management Service. Você também pode usar a operação GetKeyRotationStatus para verificar se a alternância automática está habilitada para uma chave do KMS e identificar qualquer alternância sob demanda que esteja em andamento. Você pode usar a operação ListKeyRotations para visualizar os detalhes das alternâncias concluídas.
Quando você usa uma chave do KMS alternada para criptografar dados, o AWS KMS usa o material de chave atual. Quando você usa a chave do KMS alternada para descriptografar texto cifrado, o AWS KMS usa a versão do material de chave que foi usado para criptografá-lo. Você não pode selecionar uma versão específica do material de chave para operações de descriptografia. O AWS KMS escolhe automaticamente a versão correta. Como o AWS KMS descriptografa de modo transparente com o material de chave adequado, você pode usar com segurança uma chave alternada do KMS em aplicações e Serviços da AWS sem alterações de código.
No entanto, a alternância automática de chaves não afeta os dados protegidos pela chave do KMS. Ela não alterna as chaves de dados geradas pela chave do KMS, não criptografa novamente quaisquer dados protegidos pela chave do KMS e não reduzirá o impacto de uma chave de dados comprometida.
O AWS KMS é compatível com a alternância automática e sob demanda de chaves somente para chaves do KMS de criptografia simétrica com material de chave que o AWS KMS cria. A alternância automática é opcional para chaves do KMS gerenciadas pelo cliente. O AWS KMS sempre alterna o material de chave para chaves do KMS gerenciadas pela AWS a cada ano. A alternância das chaves do KMS de propriedade da AWS é gerenciada pelo serviço da AWS que é proprietário da chave.
nota
O período de alternância para Chaves gerenciadas pela AWS mudou em maio de 2022. Para obter detalhes, consulte Chaves gerenciadas pela AWS.
A alternância de chaves altera apenas o material de chave, que é o segredo criptográfico usado em operações de criptografia. A chave do KMS é o mesmo recurso lógico, independentemente da ocorrência de alterações ou do número de vezes que estas tenham sido feitas no material de chave. As propriedades da chave do KMS não são alteradas, conforme mostrado na imagem a seguir.
Você pode optar por criar uma nova chave do KMS e usá-la em vez da chave do KMS original. Isso tem o mesmo efeito que alternar o material da chave em uma chave do KMS existente e, portanto, normalmente é considerado como alternar manualmente a chave. A alternância manual é uma boa opção quando você quiser alternar chaves do KMS que não estejam qualificadas para alternância automática de chaves, incluindo chaves do KMS assimétricas, chaves do KMS de código de autenticação de mensagem por hash (HMAC), chaves do KMS em repositórios personalizados de chaves e chaves do KMS com material de chave importado.
Alternância de chaves e definição de preço
O AWS KMS cobra uma taxa mensal para a primeira e a segunda alternância do material de chave mantido para sua chave do KMS. Esse aumento de preço é limitado à segunda alternância, e qualquer alternância subsequente não será cobrada. Para obter mais informações, consulte Definição de preço do AWS Key Management Service
nota
É possível usar o AWS Cost Explorer Service para ver um detalhamento das cobranças de armazenamento de chaves. Por exemplo, é possível filtrar a visualização para ver o total de cobranças de chaves cobradas como chaves KMS atuais e alternadas especificando $REGION-KMS-Keys
para o Tipo de Uso e agrupando os dados por Operação de API.
Talvez você ainda veja instâncias da operação da API Unknown
legada para datas históricas.
Alternância de chaves e cotas
Cada chave do KMS conta como uma chave ao calcular cotas de recursos de chaves, independentemente do número de versões de material de chave alternadas.
Para obter informações detalhadas sobre chaves de backup e alternância, consulte o Detalhes criptográficos do AWS Key Management Service.
Tópicos
Por que alternar as chaves do KMS?
As melhores práticas criptográficas desencorajam a reutilização extensiva de chaves que criptografam dados diretamente, como as chaves de dados geradas pelo AWS KMS. Quando as chaves de dados de 256 bits criptografam milhões de mensagens, elas podem se esgotar e começar a produzir texto cifrado com padrões sutis que atores inteligentes podem explorar para descobrir os bits da chave. Para evitar esse esgotamento de chaves, é melhor usar as chaves de dados uma vez ou apenas algumas vezes, o que alterna efetivamente o material da chave.
No entanto, as chaves do KMS são mais frequentemente usadas como chaves de empacotamento, também conhecidas como chaves de criptografia de chaves. Em vez de criptografar dados, as chaves de empacotamento criptografam as chaves de dados que criptografam seus dados. Dessa forma, elas são usadas com muito menos frequência do que as chaves de dados e quase nunca são reutilizadas o suficiente para correr o risco de esgotamento das chaves.
Apesar desse risco de exaustão muito baixo, talvez seja necessário alternar suas chaves do KMS devido a regras comerciais ou contratuais, ou regulamentações governamentais. Quando for obrigatório alternar as chaves do KMS, recomendamos que você use a alternância automática de chaves onde ela for compatível e a alternância manual de chaves quando a alternância automática de chaves não for compatível.
Você poderá considerar realizar alternâncias sob demanda para demonstrar os principais recursos de alternância de material de chave ou para validar scripts de automação. Recomendamos usar alternâncias sob demanda para alternâncias não planejadas e usar a alternância automática de chaves com um período de alternância personalizado sempre que possível.
Funcionamento da alternância
A alternância de chaves no AWS KMS foi criada para ser transparente e fácil de usar. O AWS KMS é compatível com a alternância automática opcional e sob demanda de chaves somente para chaves gerenciadas pelo cliente.
- Alternância automática de chaves
-
O AWS KMS alterna a chave do KMS automaticamente na próxima data de alternância definida por seu período de alternância. Você não precisa lembrar nem programar a atualização.
- Alternância sob demanda
-
Inicie imediatamente a alternância do material de chave associado à sua chave do KMS, independentemente de a alternância automática de chaves estar ou não habilitada.
- Gerenciamento do material de chave
-
O AWS KMS retém todo o material de chave de uma chave do KMS, mesmo que a alternância de chaves esteja desabilitada. O AWS KMS exclui o material da chave somente quando você exclui a chave do KMS.
- Uso do material de chave
-
Quando você usa uma chave do KMS alternada para criptografar dados, o AWS KMS usa o material de chave atual. Quando você usa a chave do KMS alternada para descriptografar texto cifrado, o AWS KMS usa a mesma versão do material de chave que foi usado para criptografá-lo. Você não pode selecionar uma versão específica do material de chave para operações de descriptografia. O AWS KMS escolhe automaticamente a versão correta.
- Período de alternância
-
O período de alternância define após quantos dias depois da habilitação da alternância automática de chaves o AWS KMS vai alternar o material de chave e o número de dias entre cada alternância automática de chaves posteriormente. Se você não especificar um valor para
RotationPeriodInDays
ao habilitar a alternância automática de chaves, o valor padrão será de 365 dias.É possível usar a chave de condição kms:RotationPeriodInDays para limitar adicionalmente os valores que as entidades principais podem especificar no parâmetro
RotationPeriodInDays
. - Data de alternância
-
O AWS KMS alterna automaticamente a chave do KMS na data de alternância definida por seu período de alternância. O período de alternância padrão é de 365 dias.
- Chaves gerenciadas pelo cliente
-
Como a alternância automática de chaves é opcional nas chaves gerenciadas pelo cliente e pode ser ativada e desativada a qualquer momento, a data de alternância dependerá da data em que a alternância foi ativada mais recentemente. A data pode mudar se você modificar o período de alternância para uma chave na qual você habilitou anteriormente a alternância automática de chaves. A data de alternância pode mudar várias vezes ao longo da vida útil da chave.
Por exemplo, se você criar uma chave gerenciada pelo cliente em 1.º de janeiro de 2022 e habilitar a alternância automática de chaves com o período padrão de alternância de 365 dias em 15 de março de 2022, o AWS KMS alternará o material da chave em 15 de março de 2023, 15 de março de 2024 e a cada 365 dias desse ponto em diante.
Os exemplos a seguir pressupõem que a alternância automática de chaves foi habilitada com o período de alternância padrão de 365 dias. Esses exemplos apresentam casos especiais que podem afetar o período de alternância de uma chave.
-
Desabilitar a alternância de chaves — Se você desabilitar a alternância de chaves automática a qualquer momento, a chave do KMS continuará usando a versão do material de chaves que estava usando quando a alternância foi desabilitada. Se você habilitar a alternância automática de chaves, o AWS KMS alternará automaticamente o material de chave com base na data de habilitação.
-
Chaves do KMS desabilitadas — Enquanto uma chave do KMS permanecer desabilitada, o AWS KMS não a alternará. No entanto, o status da alternância de chaves não muda, e você não pode alterá-lo enquanto a chave do KMS está desabilitada. Quando a chave do KMS for habilitada novamente, se o material de chave tiver passado da data da última alternância programada, o AWS KMS fará a alternância imediatamente. Se o material de chave não tiver perdido a data da última alternância programada, o AWS KMS retomará a programação original da alternância de chaves.
-
Chaves do KMS com exclusão pendente — Enquanto uma chave do KMS permanecer com exclusão pendente, o AWS KMS não a alternará. O status da alternância de chaves é definido como
false
e você não pode alterá-lo enquanto a exclusão estiver pendente. Se a exclusão for cancelada, o status da alternância de chaves anterior será restaurado. Se o material de chave tiver passado da última data de alternância programada, o AWS KMS fará a alternância imediatamente. Se o material de chave não tiver perdido a data da última alternância programada, o AWS KMS retomará a programação original da alternância de chaves.
-
- Chaves gerenciadas pela AWS
-
O AWS KMS alterna automaticamente as Chaves gerenciadas pela AWS a cada ano (aproximadamente 365 dias). Não é possível habilitar ou desabilitar a alternância de chaves para Chaves gerenciadas pela AWS.
O material de chave de uma Chave gerenciada pela AWS é alternado primeiro um ano após a data de criação e, a partir de então, todos os anos (aproximadamente 365 dias a partir da última alternância).
nota
Em maio de 2022, o AWS KMS alterou o cronograma de alternância para Chaves gerenciadas pela AWS a cada 3 anos (aproximadamente 1.095 dias) para a cada ano (aproximadamente 365 dias).
Novas Chaves gerenciadas pela AWS são alternadas automaticamente um ano após serem criadas e aproximadamente a cada ano depois disso.
Chaves gerenciadas pela AWS existentes são alternadas automaticamente 1 ano após sua alternância mais recente e a cada ano depois disso.
- Chaves pertencentes à AWS
-
Não é possível habilitar ou desabilitar a alternância de chaves para Chaves pertencentes à AWS. A estratégia de alternância de chaves para uma Chave pertencente à AWS é determinada pelo serviço da AWS que cria e gerencia a chave. Para obter detalhes, consulte o tópico Criptografia em repouso, no manual do usuário ou no guia do desenvolvedor do serviço.
- Tipos de chave do KMS com suporte
-
A alternância automática de chaves só é compatível com chaves do KMS de criptografia simétrica com material de chave que o AWS KMS gera (origem = AWS_KMS).
A alternância automática de chaves não tem suporte com os seguintes tipos de chaves do KMS, mas você pode alternar essas chaves do KMS manualmente.
-
Chaves do KMS em armazenamentos de chaves personalizados
-
Chaves do KMS com material de chave importado
- Alternância de chaves de várias regiões
-
Você pode habilitar e desabilitar a alternância automática e realizar a alternância sob demanda do material de chave em chaves de várias regiões simétricas de criptografia. A alternância de chaves é uma propriedade compartilhada de chaves de várias regiões.
Você habilita e desabilita a alternância automática de chaves somente na chave primária. Você inicia a alternância sob demanda apenas na chave primária.
-
Quando o AWS KMS sincroniza as chaves de várias regiões, ele copia a configuração da propriedade de alternância de chaves da chave primária para todas as chaves de réplica relacionadas.
-
Quando o AWS KMS alterna o material de chave, ele cria novo material de chave para a chave primária e, em seguida, copia o novo material de chave entre limites de região para todas as chaves de réplica relacionadas. O material de chave nunca sai do AWS KMS sem criptografia. Essa etapa é cuidadosamente controlada para garantir que o material de chave seja totalmente sincronizado antes que qualquer chave seja usada em uma operação criptográfica.
-
O AWS KMS não criptografa dados com o novo material de chave até que esse material esteja disponível na chave primária e em cada uma de suas chaves de réplica.
-
Quando você replica uma chave primária que foi alternada, a nova chave de réplica tem o material de chave atual e todas as versões anteriores do material de chave para suas chaves de várias regiões relacionadas.
Esse padrão garante que as chaves de várias regiões relacionadas sejam totalmente interoperáveis. Qualquer chave de várias regiões pode descriptografar qualquer texto cifrado por uma chave de várias regiões relacionada, mesmo que esse texto cifrado tenha sido criptografado antes de a chave ser criada.
-
- Serviços da AWS
-
É possível habilitar a alternância automática de chaves nas chaves gerenciadas pelo cliente que você usa para criptografia no lado do servidor em serviços da AWS. A alternância anual é transparente e compatível com os serviços da AWS.
- Monitoramento da alternância de chaves
-
Quando o AWS KMS alterna automaticamente o material de chave para uma Chave gerenciada pela AWS ou uma chave gerenciada pelo cliente, ele grava um evento
KMS CMK Rotation
no Amazon EventBridge e um evento RotateKey no seu log do AWS CloudTrail. É possível usar esses registros para verificar se a chave do KMS foi alternada.Você pode usar o console do AWS Key Management Service para visualizar o número restante de alternâncias sob demanda e uma lista de todas as alternâncias de material de chave concluídas para uma chave do KMS.
Você pode usar a operação ListKeyRotations para visualizar os detalhes das alternâncias concluídas.
- Consistência eventual
-
A alternância de chaves está sujeita aos mesmos efeitos de consistência eventual de outras operações de gerenciamento do AWS KMS. Pode haver um pequeno atraso antes que o novo material de chave esteja disponível no AWS KMS. Porém, o material de chave alternante não causa interrupção ou atraso em operações de criptografia. O material de chave atual será usado em operações de criptografia até que o novo material de chave esteja disponível no AWS KMS. Quando o material chave para uma chave de várias regiões é alternado automaticamente, o AWS KMS usa o material de chave atual até que o novo material de chave esteja disponível em todas as regiões com uma chave de várias regiões relacionada.