Come posso ruotare manualmente le chiavi gestite dal cliente in AWS KMS?

3 minuti di lettura

Il servizio AWS di gestione delle chiavi (AWS KMS) ruota automaticamente le chiavi AWS KMS una volta all'anno. Voglio ruotare manualmente le chiavi AWS KMS prima che ruotino automaticamente.

Risoluzione

Per ruotare manualmente la chiave AWS KMS corrente su una nuova chiave, completa i seguenti passaggi:

Nota: se ricevi messaggi di errore durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS (AWS CLI), consulta la sezione Troubleshoot AWS CLI errors. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.

Crea un alias denominato application-current, quindi collegalo alla chiave AWS KMS esistente:

acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-current --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current    alias/application-current    0987dcba-09fe-87dc-65ba-ab0987654321

Crea un nuovo alias denominato application-20180606 che includa la data di rotazione come parte del nome per la chiave AWS KMS da ruotare. Nel seguente esempio, la data di rotazione è 2018-06-06. La chiave AWS KMS ha due alias:

acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-20180606 --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-20180606    alias/application-20180606    0987dcba-09fe-87dc-65ba-ab0987654321
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current     alias/application-current     0987dcba-09fe-87dc-65ba-ab0987654321

Crea una nuova chiave AWS KMS simile alla seguente:

acbc32cf8f6f:~ $$ aws kms create-key{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "9bf76697-5b41-4caf-9fe1-e23bbe20f858",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1528289057.531,
        "Arn": "arn:aws:kms:eu-west-1:123456789012:key/9bf76697-5b41-4caf-9fe1-e23bbe20f858",
        "AWSAccountId": "123456789012"
    }
}

Associa l'alias application-current alla nuova chiave AWS KMS. Sostituisci NEW_KMS_KEY_ID con l'ID chiave appena creato al passaggio 3:
```
$$ aws kms update-alias --alias-name alias/application-current --target-key-id NEW_KMS_KEY_ID
```
Nota: la nuova chiave KMS non è in grado di decrittografare i dati crittografati con la vecchia chiave. Per i dati crittografati con chiavi di crittografia simmetriche, AWS KMS estrae l'ID della chiave AWS KMS dai metadati. Quindi, AWS KMS utilizza quella chiave per eseguire la decrittografia. Assicurati di non specificare un ID chiave nella richiesta di decrittografia. Se utilizzi chiavi AWS KMS asimmetriche, dovrai specificare manualmente l'ID della chiave nelle richieste di decrittografia. Assicurati di tenere traccia della chiave AWS KMS utilizzata nelle operazioni di crittografia.

Hai sia la nuova chiave AWS KMS sia quella attuale. Usa la chiave application-current per crittografare i dati. Quando AWS KMS decrittografa i dati, la chiave AWS KMS viene risolta automaticamente:

acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep applicationALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-20180606    alias/application-20180606    0987dcba-09fe-87dc-65ba-ab0987654321
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current     alias/application-current     9bf76697-5b41-4caf-9fe1-e23bbe20f858

Per tenere traccia di quando è avvenuta la rotazione della chiave o per annullare le modifiche, tenere la chiave AWS KMS corrente come backup.
Nota: se disponi di una chiave esistente, copia tale policy nella chiave application-current.

Apri la console AWS KMS, quindi scegli Chiavi gestite dal cliente.
In Alias, scegli la chiave corrente.
In Policy della chiave, scegli Passa alla visualizzazione della policy.
Copia la policy corrente, quindi scegli Chiavi gestite dal cliente.
In Alias, scegli application-current.
In Policy della chiave, scegli Modifica. Elimina la policy application-current e incolla la policy corrente. Quindi scegli Salva modifiche.

Informazioni correlate

Come posso importare le mie chiavi in AWS Key Management Service?

Argomenti

Sicurezza, identità e conformità

Tag

AWS Key Management Service

Lingua

Italiano

Video correlati

Guarda il video di Celiwe per saperne di più (3:15)

AWS UFFICIALEAggiornata un anno fa

Contenuto pertinente

Devo utilizzare una chiave gestita da AWS KMS o una chiave gestita dal cliente KMS per crittografare i miei oggetti su Amazon S3?
AWS UFFICIALEAggiornata 3 anni fa
Perché non posso usare una chiave AWS KMS personalizzata per creare o allegare un volume EBS crittografato?
AWS UFFICIALEAggiornata 2 anni fa
Come posso visualizzare le informazioni sulla crittografia relative a un'AMI o a uno snapshot?
AWS UFFICIALEAggiornata 6 mesi fa
Perché gli utenti multi-account ricevono errori di accesso negato quando tentano di accedere ai miei oggetti S3 che ho crittografato con una chiave gestita dal cliente di AWS KMS?
AWS UFFICIALEAggiornata un anno fa