AWS Key Management Service

开发人员指南

AWS 文档 » AWS KMS » 开发人员指南 » 轮换客户主密钥

轮换客户主密钥

加密最佳实践建议不要广泛重复使用加密密钥。要为您的 AWS Key Management Service (AWS KMS) 客户主密钥 (CMK) 创建新的加密材料，您可以创建新的 CMK，然后更改您的应用程序或别名来使用新的 CMK。或者，您可以为现有 CMK 启用自动密钥轮换。

当您为客户托管的 CMK 启用自动密钥轮换 时，AWS KMS 会每年为该 CMK 生成新的加密材料。AWS KMS 还会永久保留 CMK 的较旧加密材料，以便用它来解密其加密的数据。AWS KMS 不会删除任何轮换的密钥材料，直至您删除 CMK。

密钥轮换只会更改 CMK 的备用密钥，即加密操作中所使用的加密材料。不管备用密钥有没有变更或变更了多少次，该 CMK 仍是相同的逻辑资源。CMK 的属性不会发生变化，如下图所示。

自动密钥轮换具有以下优点：

然而，自动密钥轮换对 CMK 所保护的数据无效。它不会轮换 CMK 生成的数据密钥，也不会对任何受 CMK 保护的数据重新加密，并且它无法减轻数据密钥泄露的影响。

您可能决定创建新的 CMK 来替代原有的 CMK。这跟轮换现有 CMK 的密钥材料具有相同效果，因此这通常被视为手动轮换密钥 。如果您想控制密钥轮换计划，手动轮换是很好的选择。此外，该方式也让您能够使用导入的密钥材料轮换 CMK。

有关密钥轮换的更多信息

轮换客户管理的 CMK 可能会导致额外的月度费用。有关详细信息，请参阅 AWS Key Management Service 定价。有关备用密钥和轮换的更多详细信息，请参阅 KMS 加密详细信息白皮书。

自动密钥轮换的工作方式

AWS KMS 中的密钥轮换属于加密最佳实践，特点是透明且易于使用。

如何启用和禁用自动密钥轮换

您可以使用 AWS KMS 控制台或 AWS KMS API 启用和禁用自动密钥轮换，并查看任何客户管理的 CMK 的轮换状态。

当您启用自动密钥轮换时，AWS KMS 会在启用日期 365 天后轮换 CMK，并在此后每隔 365 天轮换一次。

启用和禁用密钥轮换（控制台）

1. 登录 AWS 管理控制台并通过以下网址打开 AWS Key Management Service (AWS KMS) 控制台：https://console.amazonaws.cn/kms。

2. 要更改 AWS 区域，请使用页面右上角的区域选择器。

3. 在导航窗格中，选择 Customer managed keys (客户托管密钥)。（您无法启用或禁用 AWS 托管密钥的轮换。它们每三年自动轮换一次。）

4. 选择 CMK 的别名和密钥 ID。

5. 在 General configuration (常规配置) 下，选择 Key rotation (密钥轮换) 选项卡。

   如果在未使用密钥材料的情况创建了 CMK（其 Origin (源) 为 EXTERNAL (外部)），则没有 Key rotation (密钥轮换) 选项卡。您无法自动轮换这些 CMK，但可以手动轮换它们。

6. 选中或清除 Automatically rotate this CMK every year (每年自动轮换此 CMK) 复选框。

   注意

   如果 CMK 被禁用或待删除，则将清除 Automatically rotate this CMK every year (每年自动轮换此 CMK) 复选框，并且您不能对其进行更改。在启用 CMK 或取消删除后，将恢复密钥轮换状态。有关详细信息，请参阅 自动密钥轮换的工作方式 和 密钥状态对客户主密钥的使用有何影响。

7. 选择 Save。

启用和禁用密钥轮换（KMS API）

您可以使用 AWS Key Management Service (AWS KMS) API 启用和禁用自动密钥轮换，并查看任何客户管理的 CMK 的当前轮换状态。这些示例使用 AWS Command Line Interface (AWS CLI)，但您可以使用任何受支持的编程语言。

EnableKeyRotation操作可以为指定 CMK 启用自动密钥轮换。DisableKeyRotation 操作会禁用它。要标识 CMK，请使用其密钥 ID、密钥 ARN、别名名称或别名 ARN。在默认情况下，客户管理 CMK 的密钥轮换处于禁用状态。

以下示例启用了指定 CMK 的密钥轮换并可通过 GetKeyRotationStatus 操作查看结果。然后，它禁用了密钥轮换，并使用 GetKeyRotationStatus 查看更改。

$ aws kms enable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyRotationEnabled": true
}

$ aws kms disable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyRotationEnabled": false
}

手动轮换密钥

您可能希望创建一个新的 CMK，并使用它替代当前的 CMK，而不启用自动密钥轮换。当新的 CMK 使用的加密材料与当前 CMK 使用的加密材料不相同时，使用新的 CMK 与更改现有 CMK 的备用密钥具有相同的效果。使用一个 CMK 替换另一个 CMK 的过程被称为手动密钥轮换。

如果您希望控制轮换的频率，建议您通过手动的方式轮换密钥。对于不符合自动密钥轮换要求的 CMK，例如自定义密钥存储中的 CMK 或具有导入的密钥材料的 CMK，手动密钥轮换也是一种很好的解决方案。

由于新 CMK 与当前 CMK 属于不同的资源，它具有不同的密钥 ID 和 ARN。当您更改 CMK 时，您需要更新应用程序中对 CMK ID 或 ARN 的引用。将友好名称与 CMK 关联的别名，使得这个过程变得更容易。使用别名来引用应用程序中的 CMK。之后，当您想更改应用程序所使用的 CMK 时，更改别名的目标 CMK 即可。

要更新别名的目标 CMK，请使用 AWS KMS API 中的 UpdateAlias 操作。例如，此命令会更新 TestCMK 别名以指向新 CMK。由于该操作不返回任何输出，该示例使用 ListAliases 操作以显示该别名已关联到不同的 CMK。

$ aws kms list-aliases
{
    "Aliases": [
        {
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestCMK",
            "AliasName": "alias/TestCMK",
            "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
        },
    ]
}            

$ aws kms update-alias --alias-name alias/TestCMK --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
            
$ aws kms list-aliases
{
    "Aliases": [
        {
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestCMK",
            "AliasName": "alias/TestCMK",
            "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321"
        },
    ]
}            
        

本页内容：

• 自动密钥轮换的工作方式
• 如何启用和禁用自动密钥轮换
• 手动轮换密钥