Como faço para alternar manualmente as chaves gerenciadas pelo cliente no AWS KMS?

3 minuto de leitura

O AWS Key Management Service (AWS KMS) alterna as chaves do AWS KMS automaticamente uma vez por ano. Quero alternar manualmente as chaves do AWS KMS antes que elas alternem automaticamente.

Resolução

Para alternar manualmente sua chave atual do AWS KMS para uma nova chave, conclua as seguintes etapas:

Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solucionar erros da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

Crie um alias chamado application-current e, em seguida, anexe-o à chave do AWS KMS existente:

acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-current --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current    alias/application-current    0987dcba-09fe-87dc-65ba-ab0987654321

Crie um novo alias chamado application-20180606 que inclua a data de alternância como parte do nome, para que a chave do AWS KMS seja alternada. No exemplo a seguir, a data de rotação é 06/06/2018. A chave do AWS KMS tem dois alias:

acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-20180606 --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-20180606    alias/application-20180606    0987dcba-09fe-87dc-65ba-ab0987654321
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current     alias/application-current     0987dcba-09fe-87dc-65ba-ab0987654321

Crie uma nova chave do AWS KMS semelhante à seguinte:

acbc32cf8f6f:~ $$ aws kms create-key{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "9bf76697-5b41-4caf-9fe1-e23bbe20f858",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1528289057.531,
        "Arn": "arn:aws:kms:eu-west-1:123456789012:key/9bf76697-5b41-4caf-9fe1-e23bbe20f858",
        "AWSAccountId": "123456789012"
    }
}

Associe o alias application-current à nova chave do AWS KMS. Substitua NEW_KMS_KEY_ID pelo ID de chave recém-criado na etapa 3:
```
$$ aws kms update-alias --alias-name alias/application-current --target-key-id NEW_KMS_KEY_ID
```
Observação: a nova chave KMS não pode descriptografar dados criptografados com a chave antiga. Para dados criptografados sob chaves de criptografia simétricas, o AWS KMS extrai o ID da chave do AWS KMS dos metadados. Em seguida, o AWS KMS usa essa chave para realizar a descriptografia. Certifique-se de não especificar um ID de chave em sua solicitação de descriptografia. Se você usar chaves assimétricas do AWS KMS, deverá especificar manualmente o ID da chave em suas solicitações de descriptografia. Certifique-se de rastrear a chave do AWS KMS que é usada em ações de criptografia.

Você tem as chaves novas e atuais do AWS KMS. Use a chave application-current para criptografar dados. Quando o AWS KMS descriptografa os dados, a chave do AWS KMS é resolvida automaticamente:

acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep applicationALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-20180606    alias/application-20180606    0987dcba-09fe-87dc-65ba-ab0987654321
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current     alias/application-current     9bf76697-5b41-4caf-9fe1-e23bbe20f858

Para rastrear quando ocorreu a alternância da chave ou reverter as alterações, mantenha a chave atual do AWS KMS como backup.
Observação: se você tiver uma chave existente, copie essa política para a chave application-current.

Abra o console do AWS KMS e escolha Chaves gerenciadas pelo cliente.
Em Alias, escolha a chave atual.
Em Política de chave, escolha Mudar para visualização da política.
Copie a política atual e escolha Customer managed keys.
Em Alias, escolha application-current.
Em Política de chaves, escolha Editar. Exclua a política application-current e cole a política atual. Então, escolha Salvar alterações.

Informações relacionadas

Como faço para importar minhas chaves para o AWS Key Management Service?

Tópicos

Segurança, identidade e conformidade

Vídeos relacionados

Assista ao vídeo de Celiwe para saber mais (3:15)

AWS OFICIALAtualizada há um ano

Sem comentários

Conteúdo relevante

Não consigo me logar pela conta principal
Lince Web
feita há 2 meses
A AWS emite algum documento comprovando para fins legais que a gente tá usando a infraestrutura e serviços da AWS?
Resposta aceita
Marcos Abreu
feita há 4 meses
Acesso de novos usuarios ao Amazon S3
Kleber FIleno
feita há 9 dias
Text to speech - Amazon Polly
Paulo Silveira
feita há um mês
Executar sitek do IIS pelo browser
Iramar
feita há um mês
Devo usar uma chave gerenciada do AWS KMS ou uma chave do KMS gerenciada pelo cliente para criptografar meus objetos no Amazon S3?
AWS OFICIALAtualizada há 3 anos
Como verifico as assinaturas geradas pelas chaves assimétricas do AWS KMS?
AWS OFICIALAtualizada há 4 meses
Por que estou sendo cobrado pelas chaves do AWS KMS?
AWS OFICIALAtualizada há 2 anos
Preciso especificar a chave do AWS KMS quando faço download de um objeto do Amazon S3 criptografado pelo KMS?
AWS OFICIALAtualizada há 2 anos