Wie kann ich von Kunden verwaltete Schlüssel in AWS KMS manuell rotieren?

Lesedauer: 3 Minute
0

Der AWS Key Management Service (AWS KMS) rotiert die AWS-KMS-Schlüssel automatisch einmal pro Jahr. Wie kann ich AWS-KMS-Schlüssel manuell rotieren, bevor sie automatisch einmal pro Jahr rotiert werden?

Lösung

Verwenden Sie die manuelle Schlüsselrotation, um einen neuen AWS-KMS-Schlüssel zu erstellen, der den aktuellen Schlüssel ersetzt.

Dieses Beispiel zeigt, wie Sie Ihren aktuellen AWS-KMS-Schlüssel durch einen neuen Schlüssel aus der Rotation ersetzen.

Hinweis: Wenn Sie beim Ausführen von Befehlen um AWS Command Line Interface (AWS CLI) Fehlermeldungen erhalten, stellen Sie sicher, dass Sie die neueste Version des AWS CLI verwenden.

1.    Erstellen Sie ein Alias mit dem Namen application-current und hängen Sie dieses dann an den vorhandenen AWS-KMS-Schlüssel an:

acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-current --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current    alias/application-current    0987dcba-09fe-87dc-65ba-ab0987654321

2.    Erstellen Sie ein neues Alias mit dem Namen application-20180606, welches das Rotationsdatum als Teil seines Namens für den zu rotierenden AWS-KMS-Schlüssel enthält. Im nachfolgenden Beispiel ist das Rotationsdatum der 06.06.2018. Der AWS-KMS-Schlüssel verfügt über zwei Alias:

acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-20180606 --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-20180606    alias/application-20180606    0987dcba-09fe-87dc-65ba-ab0987654321
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current     alias/application-current     0987dcba-09fe-87dc-65ba-ab0987654321

3.    Erstellen Sie einen neuen AWS-KMS-Schlüssel, der dem folgenden ähnelt:

acbc32cf8f6f:~ $$ aws kms create-key
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "9bf76697-5b41-4caf-9fe1-e23bbe20f858",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1528289057.531,
        "Arn": "arn:aws:kms:eu-west-1:123456789012:key/9bf76697-5b41-4caf-9fe1-e23bbe20f858",
        "AWSAccountId": "123456789012"
    }
}

4.    Ordnen Sie das Alias application-current dem neuen AWS-KMS-Schlüssel zu. Achten Sie darauf, NEW_KMS_KEY_ID durch Ihre neu erstellte Schlüssel-ID aus Schritt 3 zu ersetzen:

$$ aws kms update-alias --alias-name alias/application-current --target-key-id NEW_KMS_KEY_ID

5.    Sie haben sowohl den neuen als auch den aktuellen AWS-KMS-Schlüssel. Verwenden Sie Schlüssel application-current, um Daten zu verschlüsseln. AWS KMS wendet den AWS-KMS-Schlüssel automatisch an, wenn die Daten entschlüsselt werden:

acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-20180606    alias/application-20180606    0987dcba-09fe-87dc-65ba-ab0987654321
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current     alias/application-current     9b5d79d7-f04c-4b30-baf1-deed52a7cc97

Wichtig: Bewahren Sie den aktuellen AWS-KMS-Schlüssel als Backup auf, um nachzuverfolgen, wann die Schlüsselrotation stattgefunden hat, oder um Änderungen rückgängig zu machen.

Hinweis: Benutzer mit einem vorhandenen Schlüssel müssen diese Richtlinie in den Schlüssel application-current kopieren.

6.    Melden Sie sich bei der AWS-KMS-Konsole an und wählen Sie Vom Kunden verwaltete Schlüssel aus.

7.    Wählen Sie unter Alias den aktuellen Schlüssel aus.

8.    Wählen Sie unter Schlüsselrichtlinie die Option Zur Richtlinienansicht wechseln aus.

9.    Kopieren Sie die aktuelle Richtlinie und wählen Sie dann die Option Vom Kunden verwaltete Schlüssel aus.

10.    Wählen Sie unter Alias die Option application-current aus.

11.    Wählen Sie unter Schlüsselrichtlinie die Option Bearbeiten aus, löschen Sie die Richtlinie application-current, fügen Sie die aktuelle Richtlinie ein und wählen Sie dann Änderungen speichern.


Ähnliche Informationen

Wie importiere ich meine Schlüssel in den AWS Key Management Service?