本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
轮换密钥材料
授权用户可以为其客户管理型 KMS 密钥启用年度自动轮换。AWS 托管式密钥始终会每年轮换一次。
KMS 密钥轮换时,系统将创建一个新的 HBK,并将其标记为所有新加密请求所用密钥材料的当前版本。所有之前版本的 HBK 仍然会永久可供使用,以用于解密使用相应 HBK 版本加密的任何加密文字。由于 AWS KMS 不存储任何使用 KMS 密钥加密的加密文字,因此使用已被轮换的较早版本 HBK 加密的加密文字需要使用 HBK 进行解密。您可以通过 ReEncrypt API 以使用 KMS 密钥的新 HBK 或其他 KMS 密钥重新加密任何加密文字,而不暴露明文。
有关启用和禁用密钥轮换的信息,请参阅《AWS Key Management Service 开发人员指南》中的轮换 Amazon KMS 密钥。
