轮换用于 Amazon EBS 加密的 Amazon KMS 密钥 - Amazon EBS
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

轮换用于 Amazon EBS 加密的 Amazon KMS 密钥

加密最佳实践建议不要广泛重复使用加密密钥。

要创建用于 Amazon EBS 加密的新加密材料,您可以创建一个新的客户自主管理型密钥,然后更改您的应用程序以使用该新的 KMS 密钥。或者,您可以为现有客户管理的密钥启用自动密钥轮换。

如果您为客户自主管理型密钥启用自动密钥轮换,Amazon KMS 会每年为 KMS 密钥生成新的加密材料。Amazon KMS 会保存加密材料的所有先前版本,以便您可以继续解密和使用先前使用该 KMS 密钥材料加密的卷和快照。Amazon KMS 不会删除任何轮换的密钥材料,直至您删除 KMS 密钥。

当您使用轮换的户自主管理型密钥加密新卷或快照时,Amazon KMS 将使用当前(新)密钥材料。当您使用轮换的客户自主管理型密钥解密卷或快照时,Amazon KMS 将使用用于加密它的加密材料版本。如果使用先前版本的加密材料对卷或快照进行加密,则 Amazon KMS 将继续使用先前版本对其进行解密。密钥轮换后,Amazon KMS 不会重新加密以前加密的卷或快照以使用新的加密材料。它们仍然使用最初加密时使用的加密材料进行加密。您可以在应用程序和 Amazon 服务中安全地使用轮换的客户自主管理型密钥,而无需代码更改。

注意

  • 只有具有 Amazon KMS 创建的密钥材料的对称客户托管密钥才支持自动轮换密钥。

  • Amazon KMS 每年自动轮换 Amazon 托管式密钥。您无法启用或禁用 Amazon 托管式密钥 的密钥轮换。

有关更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的轮换 KMS 密钥