¿Cómo puedo rotar manualmente las claves administradas por el cliente en AWS KMS?
AWS Key Management Service (AWS KMS) rota las claves de AWS KMS automáticamente una vez al año. ¿Cómo puedo rotar manualmente las claves de AWS KMS antes de que se roten automáticamente una vez al año?
Resolución
Utilice la rotación manual de claves para crear una nueva clave de AWS KMS que sustituya a la clave actual.
En este ejemplo se muestra cómo rotar la clave de AWS KMS actual por una clave nueva a la que rotar.
Nota: Si recibe errores al ejecutar los comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), asegúrese de que está utilizando la versión más reciente de AWS CLI.
1. Cree un alias denominado application-current y, a continuación, adjúntelo a la clave de AWS KMS existente:
acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-current --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321 acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application ALIASES arn:aws:kms:eu-west-1:123456789012:alias/application-current alias/application-current 0987dcba-09fe-87dc-65ba-ab0987654321
2. Cree un nuevo alias denominado application-20180606 que incluya la fecha de rotación como parte de su nombre para rotar la clave de AWS KMS. En el ejemplo siguiente, la fecha de rotación es el 06 de junio de 2018. La clave de AWS KMS tiene dos alias:
acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-20180606 --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321 acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application ALIASES arn:aws:kms:eu-west-1:123456789012:alias/application-20180606 alias/application-20180606 0987dcba-09fe-87dc-65ba-ab0987654321 ALIASES arn:aws:kms:eu-west-1:123456789012:alias/application-current alias/application-current 0987dcba-09fe-87dc-65ba-ab0987654321
3. Cree una nueva clave de AWS KMS similar a la siguiente:
acbc32cf8f6f:~ $$ aws kms create-key { "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "9bf76697-5b41-4caf-9fe1-e23bbe20f858", "Description": "", "KeyManager": "CUSTOMER", "Enabled": true, "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1528289057.531, "Arn": "arn:aws:kms:eu-west-1:123456789012:key/9bf76697-5b41-4caf-9fe1-e23bbe20f858", "AWSAccountId": "123456789012" } }
4. Asocie el alias application-current a la nueva clave de AWS KMS. Asegúrese de reemplazar NEW_KMS_KEY_ID por el ID de clave recién creado en el paso 3:
$$ aws kms update-alias --alias-name alias/application-current --target-key-id NEW_KMS_KEY_ID
5. Tiene las claves de AWS KMS nueva y actual. Utilice la clave application-current para cifrar los datos. AWS KMS resuelve automáticamente la clave de AWS KMS al descifrar los datos:
acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application ALIASES arn:aws:kms:eu-west-1:123456789012:alias/application-20180606 alias/application-20180606 0987dcba-09fe-87dc-65ba-ab0987654321 ALIASES arn:aws:kms:eu-west-1:123456789012:alias/application-current alias/application-current 9b5d79d7-f04c-4b30-baf1-deed52a7cc97
Importante: Conserve la clave de AWS KMS actual como copia de seguridad para realizar un seguimiento de cuándo se produjo la rotación de claves o anular los cambios.
Nota: Los usuarios con una clave existente deben copiar esa política a la clave application-current.
6. Inicie sesión en la consola de AWS KMS y seleccione las Claves administradas por el cliente.
7. En Alias, elija la clave actual.
8. En Política de claves, elija Cambiar a la vista de políticas.
9. Copie la política actual y, a continuación, seleccione Claves administradas por el cliente.
10. En Alias, elija application-current.
11. En Política de claves, elija Editar, elimine la política application-current, pegue la política actual y, a continuación, elija Guardar cambios.
Información relacionada
¿Cómo puedo importar mis claves a AWS Key Management Service?
Vídeos relacionados
Contenido relevante
- OFICIAL DE AWSActualizada hace un año
- OFICIAL DE AWSActualizada hace 2 años
- OFICIAL DE AWSActualizada hace 2 años
- ¿Cómo puedo enumerar las concesiones de claves y entidades principales de KMS por región en AWS KMS?OFICIAL DE AWSActualizada hace 3 años