轮换客户主密钥 - AWS Key Management Service
自动密钥轮换的工作方式如何启用和禁用自动密钥轮换手动轮换密钥
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

轮换客户主密钥

加密最佳实践建议不要广泛重复使用加密密钥。要为您的 AWS Key Management Service (AWS KMS) 客户主密钥 (CMK) 创建新的加密材料,您可以创建新的 CMK,然后更改您的应用程序或别名来使用新的 CMK。或者,您可以为现有客户拥有的 CMK 启用自动密钥轮换。

当您为客户托管的 CMK 启用自动密钥轮换 时,AWS KMS 会每年为该 CMK 生成新的加密材料。AWS KMS 还会永久保留 CMK 的较旧加密材料,以便用它来解密其加密的数据。AWS KMS 不会删除任何轮换的密钥材料,直至您删除 CMK

密钥轮换只会更改 CMK 的备用密钥,即加密操作中所使用的加密材料。不管备用密钥有没有变更或变更了多少次,该 CMK 仍是相同的逻辑资源。CMK 的属性不会发生变化,如下图所示。

自动密钥轮换具有以下优点:

  • CMK 的属性,包括其密钥 ID、密钥 ARN、区域、策略和权限,在密钥轮换时不会发生改变。

  • 您无需更改引用该 CMK ID 或 ARN 的应用程序或别名。

  • 启用密钥轮换后,AWS KMS 会每年自动轮换 CMK。您无需记住或计划更新。

然而,自动密钥轮换对 CMK 所保护的数据无效。它不会轮换 CMK 生成的数据密钥,也不会对任何受 CMK 保护的数据重新加密,并且它无法减轻数据密钥泄露的影响。

您可能决定创建新的 CMK 来替代原有的 CMK。这跟轮换现有 CMK 的密钥材料具有相同效果,因此这通常被视为手动轮换密钥 。如果您想控制密钥轮换计划,手动轮换是很好的选择。对于不符合自动密钥轮换要求的 CMK,包括非对称 CMK自定义密钥存储中的 CMK 以及包含导入的密钥材料的 CMK,这也提供了一种轮换方式。

密钥轮换和定价

轮换客户管理的 CMK 可能会导致额外的月度费用。有关详细信息,请参阅 AWS Key Management Service 定价。有关备用密钥和轮换的更多详细信息,请参阅 KMS 加密详细信息白皮书。

自动密钥轮换的工作方式

AWS KMS 中的密钥轮换属于加密最佳实践,特点是透明且易于使用。AWS KMS 仅对客户托管的 CMK 支持可选的自动密钥轮换。

  • 备用密钥管理。AWS KMS 会保留 CMK 的所有备用密钥,即使密钥轮换处于禁用状态。只有删除 CMK 后才会删除备用密钥。如果使用 CMK 进行加密,AWS KMS 会使用当前的备用密钥。如果使用 CMK 进行解密,AWS KMS 会使用加密时所用的备用密钥。

  • 启用和禁用密钥轮换。默认情况下,客户管理的 CMK 的自动密钥轮换处于禁用状态。当您启用(或重新启用)密钥轮换时,AWS KMS 会在启用日期 365 天后自动轮换 CMK,并在此后每隔 365 天轮换一次。

  • 已禁用的 CMK。 禁用 CMK 后,AWS KMS 不会对它进行轮换。但是,密钥轮换状态不会发生改变,并且在 CMK 处于禁用状态时不能对其进行更改。重新启用 CMK 后,如果备用密钥已超过 365 天,AWS KMS 会立即轮换,并在此后每隔 365 天轮换一次。如果备用密钥少于 365 天,AWS KMS 会恢复原始密钥轮换计划。

  • 待删除的 CMK。 对于待删除的 CMK,AWS KMS 不会对它进行轮换。密钥轮换状态设为 false,处于待删除状态时不能更改。如果删除被取消,将恢复之前的密钥轮换状态。如果备用密钥已超过 365 天,AWS KMS 会立即轮换,并在此后每隔 365 天轮换一次。如果备用密钥少于 365 天,AWS KMS 会恢复原始密钥轮换计划。

  • AWS 托管 CMK。 对于 AWS 托管 CMK,您无法管理其密钥轮换。AWS KMS 每隔三年(1095 天)自动轮换一次 AWS 托管 CMK。

  • AWS 拥有的 CMK。 对于 AWS 拥有的 CMK,您无法管理其密钥轮换。AWS 拥有的 CMK 的密钥轮换策略由创建和管理 CMK 的 AWS 服务确定。有关详细信息,请参阅服务的用户指南或开发人员指南中的静态加密 主题。

  • AWS 服务。在 AWS 服务中,您可以在用于服务器端加密的 客户托管 CMK 上启用自动密钥轮换。年度轮换是透明的,并与 AWS 服务兼容。

  • 监控密钥轮换。 当 AWS KMS 自动轮换 AWS 托管 CMK客户托管 CMK 的密钥材料时,会将 KMS CMK Rotation (KMS CMK 轮换) 事件写入 Amazon CloudWatch Events 中。您可以通过该事件验证 CMK 是否已轮换。

  • 不支持的 CMK 类型。 以下类型的 CMK 支持自动密钥轮换,但您可以手动轮换这些 CMK

如何启用和禁用自动密钥轮换

您可以使用 AWS KMS 控制台或 AWS KMS API 启用和禁用自动密钥轮换,并查看任何客户管理的 CMK 的轮换状态。

当您启用自动密钥轮换时,AWS KMS 会在启用日期 365 天后轮换 CMK,并在此后每隔 365 天轮换一次。

启用和禁用密钥轮换(控制台)

  1. 登录 AWS 管理控制台并通过以下网址打开 AWS Key Management Service (AWS KMS) 控制台:https://console.amazonaws.cn/kms

  2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择 Customer managed keys (客户托管密钥)。(您无法启用或禁用 AWS 托管密钥的轮换。它们每三年自动轮换一次。)

  4. 选择 CMK 的别名和密钥 ID。

  5. 选择 Key rotation (密钥轮换) 选项卡。

    Key rotation (密钥轮换) 选项卡仅显示在具有 AWS KMS 生成的密钥材料(即 Origin (源)AWS_KMS)的对称 CMK 的详细信息页面上。您不能自动轮换非对称CMK、具有导入的密钥材料的 CMK 或自定义密钥存储中的 CMK。但是,您可以手动轮换它们

  6. 选中或清除 Automatically rotate this CMK every year (每年自动轮换此 CMK) 复选框。

    注意

    如果 CMK 被禁用或待删除,则将清除 Automatically rotate this CMK every year (每年自动轮换此 CMK) 复选框,并且您不能对其进行更改。在启用 CMK 或取消删除后,将恢复密钥轮换状态。有关详细信息,请参阅 自动密钥轮换的工作方式密钥状态:对您的 CMK 产生的影响

  7. 选择 Save

启用和禁用密钥轮换 (AWS KMS API)

您可以使用 AWS Key Management Service (AWS KMS) API 启用和禁用自动密钥轮换,并查看任何客户管理的 CMK 的当前轮换状态。这些示例使用 AWS Command Line Interface (AWS CLI),但您可以使用任何受支持的编程语言。

EnableKeyRotation操作可以为指定 CMK 启用自动密钥轮换。DisableKeyRotation 操作会禁用它。要在这些操作中标识 CMK,请使用其密钥 ID密钥 ARN。在默认情况下,客户管理 CMK 的密钥轮换处于禁用状态。

以下示例对指定的对称 CMK 启用密钥轮换,并使用 GetKeyRotationStatus 操作查看结果。然后,它禁用了密钥轮换,并使用 GetKeyRotationStatus 查看更改。 

$ aws kms enable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyRotationEnabled": true
}

$ aws kms disable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyRotationEnabled": false
}

手动轮换密钥

您可能希望创建一个新的 CMK,并使用它替代当前的 CMK,而不启用自动密钥轮换。当新的 CMK 使用的加密材料与当前 CMK 使用的加密材料不相同时,使用新的 CMK 与更改现有 CMK 的备用密钥具有相同的效果。使用一个 CMK 替换另一个 CMK 的过程被称为手动密钥轮换

如果您希望控制轮换的频率,建议您通过手动的方式轮换密钥。对于不符合自动密钥轮换要求的 CMK,例如非对称 CMK、自定义密钥存储中的 CMK 以及具有导入的密钥材料的 CMK,这也是一种很好的解决方案。

注意

当您开始使用新的 CMK 时,请确保启用原来的 CMK,以便 AWS KMS 可以解密使用原 CMK 加密的数据。在解密数据时,KMS 会识别出用于加密这些数据的 CMK,并会使用相同的 CMK 解密这些数据。只要您保持启用原来的 CMK 和新的 CMK,AWS KMS 便可以解密使用原 CMK 或新 CMK 加密的任何数据。

由于新 CMK 与当前 CMK 属于不同的资源,它具有不同的密钥 ID 和 ARN。当您更改 CMK 时,您需要更新应用程序中对 CMK ID 或 ARN 的引用。将友好名称与 CMK 关联的别名,使得这个过程变得更容易。使用别名来引用应用程序中的 CMK。之后,当您想更改应用程序所使用的 CMK 时,更改别名的目标 CMK 即可。

要更新别名的目标 CMK,请使用 AWS KMS API 中的 UpdateAlias 操作。例如,此命令会更新 TestCMK 别名以指向新 CMK。由于该操作不返回任何输出,该示例使用 ListAliases 操作以显示该别名已关联到不同的 CMK。 

$ aws kms list-aliases
{
    "Aliases": [
        {
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestCMK",
            "AliasName": "alias/TestCMK",
            "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
        },
    ]
}            

$ aws kms update-alias --alias-name alias/TestCMK --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
            
$ aws kms list-aliases
{
    "Aliases": [
        {
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestCMK",
            "AliasName": "alias/TestCMK",
            "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321"
        },
    ]
}