Wie kann ich von Kunden verwaltete Schlüssel in AWS KMS manuell rotieren?
Der AWS Key Management Service (AWS KMS) rotiert die AWS-KMS-Schlüssel automatisch einmal pro Jahr. Wie kann ich AWS-KMS-Schlüssel manuell rotieren, bevor sie automatisch einmal pro Jahr rotiert werden?
Lösung
Verwenden Sie die manuelle Schlüsselrotation, um einen neuen AWS-KMS-Schlüssel zu erstellen, der den aktuellen Schlüssel ersetzt.
Dieses Beispiel zeigt, wie Sie Ihren aktuellen AWS-KMS-Schlüssel durch einen neuen Schlüssel aus der Rotation ersetzen.
Hinweis: Wenn Sie beim Ausführen von Befehlen um AWS Command Line Interface (AWS CLI) Fehlermeldungen erhalten, stellen Sie sicher, dass Sie die neueste Version des AWS CLI verwenden.
1. Erstellen Sie ein Alias mit dem Namen application-current und hängen Sie dieses dann an den vorhandenen AWS-KMS-Schlüssel an:
acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-current --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321 acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application ALIASES arn:aws:kms:eu-west-1:123456789012:alias/application-current alias/application-current 0987dcba-09fe-87dc-65ba-ab0987654321
2. Erstellen Sie ein neues Alias mit dem Namen application-20180606, welches das Rotationsdatum als Teil seines Namens für den zu rotierenden AWS-KMS-Schlüssel enthält. Im nachfolgenden Beispiel ist das Rotationsdatum der 06.06.2018. Der AWS-KMS-Schlüssel verfügt über zwei Alias:
acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-20180606 --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321 acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application ALIASES arn:aws:kms:eu-west-1:123456789012:alias/application-20180606 alias/application-20180606 0987dcba-09fe-87dc-65ba-ab0987654321 ALIASES arn:aws:kms:eu-west-1:123456789012:alias/application-current alias/application-current 0987dcba-09fe-87dc-65ba-ab0987654321
3. Erstellen Sie einen neuen AWS-KMS-Schlüssel, der dem folgenden ähnelt:
acbc32cf8f6f:~ $$ aws kms create-key { "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "9bf76697-5b41-4caf-9fe1-e23bbe20f858", "Description": "", "KeyManager": "CUSTOMER", "Enabled": true, "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1528289057.531, "Arn": "arn:aws:kms:eu-west-1:123456789012:key/9bf76697-5b41-4caf-9fe1-e23bbe20f858", "AWSAccountId": "123456789012" } }
4. Ordnen Sie das Alias application-current dem neuen AWS-KMS-Schlüssel zu. Achten Sie darauf, NEW_KMS_KEY_ID durch Ihre neu erstellte Schlüssel-ID aus Schritt 3 zu ersetzen:
$$ aws kms update-alias --alias-name alias/application-current --target-key-id NEW_KMS_KEY_ID
5. Sie haben sowohl den neuen als auch den aktuellen AWS-KMS-Schlüssel. Verwenden Sie Schlüssel application-current, um Daten zu verschlüsseln. AWS KMS wendet den AWS-KMS-Schlüssel automatisch an, wenn die Daten entschlüsselt werden:
acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application ALIASES arn:aws:kms:eu-west-1:123456789012:alias/application-20180606 alias/application-20180606 0987dcba-09fe-87dc-65ba-ab0987654321 ALIASES arn:aws:kms:eu-west-1:123456789012:alias/application-current alias/application-current 9b5d79d7-f04c-4b30-baf1-deed52a7cc97
Wichtig: Bewahren Sie den aktuellen AWS-KMS-Schlüssel als Backup auf, um nachzuverfolgen, wann die Schlüsselrotation stattgefunden hat, oder um Änderungen rückgängig zu machen.
Hinweis: Benutzer mit einem vorhandenen Schlüssel müssen diese Richtlinie in den Schlüssel application-current kopieren.
6. Melden Sie sich bei der AWS-KMS-Konsole an und wählen Sie Vom Kunden verwaltete Schlüssel aus.
7. Wählen Sie unter Alias den aktuellen Schlüssel aus.
8. Wählen Sie unter Schlüsselrichtlinie die Option Zur Richtlinienansicht wechseln aus.
9. Kopieren Sie die aktuelle Richtlinie und wählen Sie dann die Option Vom Kunden verwaltete Schlüssel aus.
10. Wählen Sie unter Alias die Option application-current aus.
11. Wählen Sie unter Schlüsselrichtlinie die Option Bearbeiten aus, löschen Sie die Richtlinie application-current, fügen Sie die aktuelle Richtlinie ein und wählen Sie dann Änderungen speichern.
Ähnliche Informationen
Wie importiere ich meine Schlüssel in den AWS Key Management Service?
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor 8 Monaten