本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 禁用自动密钥轮换 对客户托管密钥启用自动密钥轮换后,您可以随时选择禁用自动轮换。 如果您禁用自动密钥轮换,KMS 密钥将继续使用禁用轮换时使用的密钥材料版本。如果您再次启用自动密钥轮换,则 Amazon KMS 会根据新的启用轮换的日期轮换密钥材料。 禁用自动轮换不会影响您[执行按需轮换](rotating-keys-on-demand.md)的能力,也不会取消任何正在进行的按需轮换。 您可以在 Amazon KMS 控制台中或使用[DisableKeyRotation](https://docs.amazonaws.cn/kms/latest/APIReference/API_DisableKeyRotation.html)操作来禁用自动密钥轮换。要禁用自动密钥轮换,您需要 `kms:DisableKeyRotation` 权限。有关 Amazon KMS 权限的更多信息,请参阅[权限参考](kms-api-permissions-reference.md)。 ## 使用控制 Amazon KMS 台 1. 登录 Amazon Web Services 管理控制台 并在 [https://console.aws.amazon.com/km](https://console.amazonaws.cn/kms) s 处打开 Amazon Key Management Service (Amazon KMS) 控制台。 1. 要更改 Amazon Web Services 区域,请使用页面右上角的区域选择器。 1. 在导航窗格中,选择**客户托管密钥**。(您无法启用或禁用 Amazon 托管式密钥的轮换。它们每年自动轮换一次。) 1. 选择 KMS 密钥的别名和密钥 ID。 1. 选择 **Key rotation (密钥轮换)** 选项卡。 **密钥轮换**选项卡仅出现在对称加密 KMS 密钥的详细信息页面上,其中包含 Amazon KMS 生成的密钥材料(**来源**是 **AWS\$1KMS**),包括[多区域](rotate-keys.md#multi-region-rotate)对称加密 KMS 密钥。 您不能自动轮换非对称 KMS 密钥、HMAC KMS 密钥、具有[导入的密钥材料](importing-keys.md)的 KMS 密钥或[自定义密钥存储](key-store-overview.md#custom-key-store-overview)中的 KMS 密钥。但是,您可以[手动轮换它们](rotate-keys-manually.md)。 1. 在**自动密钥轮换**部分,选择**编辑**。 1. 对于**密钥轮换**,请选择**禁用**。 **注意** 如果 KMS 密钥已禁用或待删除,则 Amazon KMS 不会轮换密钥材料,也无法更新自动密钥轮换状态或轮换周期。启用 KMS 密钥或取消删除以更新自动密钥轮换配置。有关详细信息,请参阅 [密钥轮换的工作原理](rotate-keys.md#rotate-keys-how-it-works) 和 [密 Amazon KMS 钥的关键状态](key-state.md)。 1. 选择**保存**。 ## 使用 Amazon KMS API 您可以使用 [Amazon Key Management Service (Amazon KMS)API](https://docs.amazonaws.cn/kms/latest/APIReference/) 禁用自动密钥轮换,并查看任何客户托管密钥的当前轮换状态。此示例使用 [Amazon Command Line Interface (Amazon CLI)](https://www.amazonaws.cn/cli/),但您可以使用任何受支持的编程语言。 该[DisableKeyRotation](https://docs.amazonaws.cn/kms/latest/APIReference/API_DisableKeyRotation.html)操作将禁用自动密钥轮换。要标识此操作中的 KMS 密钥,请使用其[密钥 ID](concepts.md#key-id-key-id) 或[密钥 ARN](concepts.md#key-id-key-ARN)。在默认情况下,客户托管密钥的密钥轮换处于禁用状态。 以下示例在指定的对称加密 KMS 密钥上禁用自动密钥轮换,并使用该[GetKeyRotationStatus](https://docs.amazonaws.cn/kms/latest/APIReference/API_GetKeyRotationStatus.html)操作来查看结果。 ``` $ aws kms disable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab $ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyRotationEnabled": false } ```