Rotação de chaves AWS KMS e escopo do impacto - AWS Orientação prescritiva
Rotação simétrica da chaveRotação de chaves para o Amazon EBSRotação de chaves para Amazon RDSRotação de chaves para o Amazon S3Chaves rotativas com material importado

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Rotação de chaves AWS KMS e escopo do impacto

Não recomendamos a rotação de chaves AWS Key Management Service (AWS KMS), a menos que você precise alternar as chaves para fins de conformidade regulatória. Por exemplo, talvez seja necessário alternar suas chaves KMS devido a políticas comerciais, regras contratuais ou regulamentações governamentais. O design do reduz AWS KMS significativamente os tipos de risco que a rotação de chaves normalmente é usada para mitigar. Se você precisar girar as chaves KMS, recomendamos usar a rotação automática de chaves e usar a rotação manual de chaves somente se a rotação automática de chaves não for suportada.

AWS KMS rotação simétrica da chave

AWS KMS suporta rotação automática de chaves somente para chaves KMS de criptografia simétrica com material de chave que AWS KMS cria. A rotação automática é opcional para chaves KMS gerenciadas pelo cliente. Anualmente, AWS KMS alterna o material de chaves para chaves KMS AWS gerenciadas. AWS KMS salva todas as versões anteriores do material criptográfico perpetuamente, para que você possa descriptografar todos os dados criptografados com essa chave KMS. AWS KMS não exclui nenhum material de chave girada até que você exclua a chave KMS. Além disso, quando você descriptografa um objeto usando AWS KMS, o serviço determina o material de apoio correto a ser usado na operação de descriptografia; nenhum parâmetro de entrada adicional precisa ser fornecido.

Como AWS KMS retém versões anteriores do material da chave criptográfica e porque você pode usar esse material para descriptografar dados, a rotação de chaves não oferece nenhum benefício adicional de segurança. O mecanismo de rotação de chaves existe para facilitar a rotação de chaves se você estiver operando uma carga de trabalho em um contexto em que os requisitos regulatórios ou outros o exijam.

Rotação de chaves para volumes do Amazon EBS

Você pode alternar as chaves de dados do Amazon Elastic Block Store (Amazon EBS) usando uma das seguintes abordagens. A abordagem depende de seus fluxos de trabalho, métodos de implantação e arquitetura do aplicativo. Talvez você queira fazer isso ao mudar de uma chave AWS gerenciada para uma chave gerenciada pelo cliente.

Para usar as ferramentas do sistema operacional para copiar os dados de um volume para outro

  1. Crie a nova chave KMS. Para obter instruções, consulte Criar uma chave KMS.

  2. Crie um novo volume do Amazon EBS que seja do mesmo tamanho ou maior que o original. Para criptografia, especifique a chave KMS que você criou. Para obter instruções, consulte Criar um volume do Amazon EBS.

  3. Monte o novo volume na mesma instância ou contêiner do volume original. Para obter instruções, consulte Anexar um volume do Amazon EBS a uma EC2 instância da Amazon.

  4. Usando sua ferramenta de sistema operacional preferida, copie os dados do volume existente para o novo volume.

  5. Quando a sincronização estiver concluída, durante uma janela de manutenção pré-agendada, interrompa o tráfego para a instância. Para obter instruções, consulte Parar e iniciar manualmente suas instâncias.

  6. Desmonte o volume original. Para obter instruções, consulte Separar um volume do Amazon EBS de uma instância da Amazon EC2 .

  7. Monte o novo volume no ponto de montagem original.

  8. Verifique se o novo volume está funcionando corretamente.

  9. Exclua o volume original. Para obter instruções, consulte Excluir um volume do Amazon EBS.

Para usar um snapshot do Amazon EBS para copiar os dados de um volume para outro

  1. Crie a nova chave KMS. Para obter instruções, consulte Criar uma chave KMS.

  2. Crie um snapshot do Amazon EBS do volume original. Para obter instruções, consulte Criar snapshots do Amazon EBS.

  3. Crie um novo volume a partir do snapshot. Para criptografia, especifique a nova chave KMS que você criou. Para obter instruções, consulte Criar um volume do Amazon EBS.

    nota

    Dependendo da sua carga de trabalho, talvez você queira usar a restauração rápida de snapshots do Amazon EBS para minimizar a latência inicial no volume.

  4. Crie uma nova EC2 instância da Amazon. Para obter instruções, consulte Iniciar uma EC2 instância da Amazon.

  5. Anexe o volume que você criou à EC2 instância da Amazon. Para obter instruções, consulte Anexar um volume do Amazon EBS a uma EC2 instância da Amazon.

  6. Transforme a nova instância em produção.

  7. Retire a instância original da produção e exclua-a. Para obter instruções, consulte Excluir um volume do Amazon EBS.

nota

É possível copiar instantâneos e modificar a chave de criptografia usada para a cópia de destino. Depois de copiar o snapshot e criptografá-lo com suas chaves KMS preferidas, você também pode criar uma Amazon Machine Image (AMI) a partir de snapshots. Para obter mais informações, consulte a criptografia do Amazon EBS na EC2 documentação da Amazon.

Rotação de chaves para Amazon RDS

Para alguns serviços, como o Amazon Relational Database Service (Amazon RDS), a criptografia de dados ocorre dentro do serviço e é fornecida por. AWS KMS Use as instruções a seguir para alternar uma chave para uma instância de banco de dados do Amazon RDS.

Para alternar uma chave KMS para um banco de dados Amazon RDS

  1. Crie um instantâneo do banco de dados criptografado original. Para obter instruções, consulte Gerenciamento de backups manuais na documentação do Amazon RDS.

  2. Copie o instantâneo em um novo instantâneo. Para criptografia, especifique a nova chave KMS. Para obter instruções, consulte Cópia de um DB snapshot para o Amazon RDS.

  3. Use o novo snapshot para criar um novo cluster do Amazon RDS. Para obter instruções, consulte Restauração em uma instância de banco de dados na documentação do Amazon RDS. Por padrão, o cluster usa a nova chave KMS.

  4. Verifique a operação do novo banco de dados e os dados nele contidos.

  5. Transforme o novo banco de dados em produção.

  6. Retire o banco de dados antigo da produção e exclua-o. Para obter instruções, consulte Excluir uma instância de banco de dados.

Rotação de chaves para Amazon S3 e replicação na mesma região

Para o Amazon Simple Storage Service (Amazon S3), para alterar a chave de criptografia de um objeto, você precisa ler e reescrever o objeto. Ao reescrever o objeto, você especifica explicitamente a nova chave de criptografia na operação de gravação. Para fazer isso com muitos objetos, você pode usar o Amazon S3 Batch Operations. Nas configurações do trabalho, para a operação de cópia, especifique as novas configurações de criptografia. Por exemplo, você pode escolher SSE-KMS e inserir o KeyID.

Como alternativa, você pode usar o Amazon S3 Same-Region Replication (SRR). O SSR pode recriptografar os objetos em trânsito.

Chaves KMS rotativas com material importado

AWS KMS não recupera nem gira seu material de chave importado. Para girar uma chave KMS com material de chave importado, você deve girar a chave manualmente.