Como faço para alternar manualmente as chaves gerenciadas pelo cliente no AWS KMS?

3 minuto de leitura
0

O AWS Key Management Service (AWS KMS) alterna as chaves do AWS KMS automaticamente uma vez por ano. Como faço para alternar manualmente as chaves do AWS KMS antes que elas sejam automaticamente alternadas uma vez por ano?

Resolução

Use a alternância manual de chaves para criar uma nova chave do AWS KMS para substituir a chave atual.

Este exemplo mostra como alternar sua chave do AWS KMS atual com uma nova chave.

Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), certifique-se de estar usando a versão mais recente da AWS CLI.

1.    Crie um alias chamado application-current e, em seguida, anexe-o à chave do AWS KMS existente:

acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-current --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current    alias/application-current    0987dcba-09fe-87dc-65ba-ab0987654321

2.    Crie um novo alias chamado application-20180606 que inclua a data de alternância como parte do nome, para que a chave do AWS KMS seja alternada. No exemplo abaixo, a data de alternância é 06/06/2018. A chave do AWS KMS tem dois alias:

acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-20180606 --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-20180606    alias/application-20180606    0987dcba-09fe-87dc-65ba-ab0987654321
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current     alias/application-current     0987dcba-09fe-87dc-65ba-ab0987654321

3.    Crie uma nova chave do AWS KMS semelhante à seguinte:

acbc32cf8f6f:~ $$ aws kms create-key
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "9bf76697-5b41-4caf-9fe1-e23bbe20f858",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1528289057.531,
        "Arn": "arn:aws:kms:eu-west-1:123456789012:key/9bf76697-5b41-4caf-9fe1-e23bbe20f858",
        "AWSAccountId": "123456789012"
    }
}

4.    Associe o alias application-current à nova chave do AWS KMS. Certifique-se de substituir NEW_KMS_KEY_ID pelo ID da nova chave criada na etapa 3:

$$ aws kms update-alias --alias-name alias/application-current --target-key-id NEW_KMS_KEY_ID

5.    Você tem as chaves novas e atuais do AWS KMS. Use a chave application-current para criptografar dados. O AWS KMS resolve automaticamente a chave do AWS KMS ao descriptografar os dados:

acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-20180606    alias/application-20180606    0987dcba-09fe-87dc-65ba-ab0987654321
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current     alias/application-current     9b5d79d7-f04c-4b30-baf1-deed52a7cc97

Importante: mantenha a chave do AWS KMS atual como backup para rastrear quando a alternância da chave ocorreu ou para reverter as alterações.

Observação: os usuários com uma chave existente devem copiar essa política para a chave application-current.

6.    Faça login no console do AWS KMS e escolha as Chaves gerenciadas pelo cliente.

7.    Em Alias, escolha a chave atual.

8.    Em Política de chave, escolha Mudar para exibição da política.

9.    Copie a política atual e escolha Customer managed keys.

10.    Em Alias, escolha application-current.

11.    Em Política de chave, escolha Alterar, exclua a política application-current, cole a política atual e escolha Salvar alterações.


Informações relacionadas

Como faço para importar minhas chaves para o AWS Key Management Service?

AWS OFICIAL
AWS OFICIALAtualizada há um ano