Come posso ruotare manualmente le chiavi gestite dal cliente in AWS KMS?

Risoluzione

Usa la rotazione manuale delle chiavi per creare una nuova chiave AWS KMS per sostituire la chiave corrente.

Questo esempio mostra come ruotare la chiave AWS KMS corrente con una nuova chiave verso cui ruotare.

Nota: se ricevi messaggi di errore durante l'esecuzione dei comandi dell’Interfaccia della linea di comando AWS (AWS CLI), assicurati di utilizzare la versione di AWS CLI più recente.

1.    Crea un alias denominato application-current, quindi collegalo alla chiave AWS KMS esistente:

acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-current --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current    alias/application-current    0987dcba-09fe-87dc-65ba-ab0987654321

2.    Crea un nuovo alias denominato application-20180606 che includa la data di rotazione come parte del nome per la chiave AWS KMS da ruotare. Nell'esempio seguente, la data di rotazione è 06/06/2018. La chiave AWS KMS ha due alias:

acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-20180606 --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-20180606    alias/application-20180606    0987dcba-09fe-87dc-65ba-ab0987654321
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current     alias/application-current     0987dcba-09fe-87dc-65ba-ab0987654321

3.    Crea una nuova chiave AWS KMS simile alla seguente:

acbc32cf8f6f:~ $$ aws kms create-key
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "9bf76697-5b41-4caf-9fe1-e23bbe20f858",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1528289057.531,
        "Arn": "arn:aws:kms:eu-west-1:123456789012:key/9bf76697-5b41-4caf-9fe1-e23bbe20f858",
        "AWSAccountId": "123456789012"
    }
}

4.    Associa l'alias application-current alla nuova chiave AWS KMS. Assicurati di sostituire NEW_KMS_KEY_ID con l'ID chiave appena creato dal passaggio 3:

$$ aws kms update-alias --alias-name alias/application-current --target-key-id NEW_KMS_KEY_ID

5.    Hai sia la nuova chiave AWS KMS sia quella attuale. Usa la chiave application-current per crittografare i dati. AWS KMS risolve automaticamente la chiave AWS KMS quando decrittografa i dati:

acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-20180606    alias/application-20180606    0987dcba-09fe-87dc-65ba-ab0987654321
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current     alias/application-current     9b5d79d7-f04c-4b30-baf1-deed52a7cc97

Importante: conserva la chiave AWS KMS corrente come backup per tenere traccia della rotazione delle chiavi o per ripristinare le modifiche.

Nota: gli utenti con una chiave esistente devono copiare tale policy nella chiave application-current.

6.    Accedi alla console AWS KMS e scegli Chiavi gestite dal cliente.

7.    In Alias, scegli la chiave corrente.

8.    In Policy della chiave, scegli Passa alla visualizzazione della policy.

9.    Copia la policy corrente, quindi scegli Chiavi gestite dal cliente.

10.    In Alias, scegli application-current.

11.    In Policy della chiave, scegli Modifica, elimina la policy application-current, incolla la policy corrente e quindi scegli Salva modifiche.

Informazioni correlate

Come posso importare le mie chiavi in AWS Key Management Service?