本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
輪換金鑰材料
授權使用者可以啟用其客戶受管 KMS 金鑰的自動年度輪換。AWS 受管金鑰 一律每年輪換一次。
輪換 KMS 金鑰時,會建立新的 HBK,並標示為所有新加密請求的金鑰素材之目前版本。所有舊版的 HBK 仍然可以使用,以解密使用此 HBK 版本加密的任何密文。由於 AWS KMS 不會存放在 KMS 金鑰下加密的任何密文,因此在較舊的輪換 HBK 下加密的密文會要求 HBK 解密。您可以使用 ReEncrypt API 以在 KMS 金鑰的新 HBK 下或在不會公開純文字的其他 KMS 金鑰下重新加密任何密文。
如需啟用和停用金鑰輪換的資訊,請參閱《AWS Key Management Service 開發人員指南》中的輪換 AWS KMS key。
