Wie rotiere ich von Kunden verwaltete Schlüssel in AWS KMS manuell?

Lesedauer: 3 Minute
0

Der AWS Key Management Service (AWS KMS) rotiert die AWS-KMS-Schlüssel automatisch einmal pro Jahr. Ich möchte die AWS-KMS-Schlüssel manuell rotieren, bevor sie automatisch rotieren.

Lösung

Gehen Sie wie folgt vor, um Ihren aktuellen AWS KMS-Schlüssel manuell in einen neuen Schlüssel zu rotieren:

**Hinweis:**Wenn bei der Ausführung von AWS Command Line Interface (AWS CLI)-Befehlen Fehler auftreten, finden Sie weitere Informationen unter Troubleshoot AWS CLI errors. Stellen Sie außerdem sicher, dass Sie die neueste Version von AWS CLI verwenden.

  1. Erstellen Sie ein Alias mit dem Namen application-current und hängen Sie dieses dann an den vorhandenen AWS-KMS-Schlüssel an:

    acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-current --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
    ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current    alias/application-current    0987dcba-09fe-87dc-65ba-ab0987654321
  2. Erstellen Sie ein neues Alias mit dem Namen application-20180606, welches das Rotationsdatum als Teil seines Namens für den zu rotierenden AWS-KMS-Schlüssel enthält. Im folgenden Beispiel ist das Rotationsdatum der 06.06.2018. Der AWS-KMS-Schlüssel verfügt über zwei Alias:

    acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-20180606 --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
    ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-20180606    alias/application-20180606    0987dcba-09fe-87dc-65ba-ab0987654321
    ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current     alias/application-current     0987dcba-09fe-87dc-65ba-ab0987654321
  3. Erstellen Sie einen neuen AWS-KMS-Schlüssel, der dem folgenden ähnelt:

    acbc32cf8f6f:~ $$ aws kms create-key{
        "KeyMetadata": {
            "Origin": "AWS_KMS",
            "KeyId": "9bf76697-5b41-4caf-9fe1-e23bbe20f858",
            "Description": "",
            "KeyManager": "CUSTOMER",
            "Enabled": true,
            "KeyUsage": "ENCRYPT_DECRYPT",
            "KeyState": "Enabled",
            "CreationDate": 1528289057.531,
            "Arn": "arn:aws:kms:eu-west-1:123456789012:key/9bf76697-5b41-4caf-9fe1-e23bbe20f858",
            "AWSAccountId": "123456789012"
        }
    }
  4. Ordnen Sie das Alias application-current dem neuen AWS-KMS-Schlüssel zu. Ersetzen Sie NEW_KMS_KEY_ID durch Ihre neu erstellte Schlüssel-ID aus Schritt 3:

    $$ aws kms update-alias --alias-name alias/application-current --target-key-id NEW_KMS_KEY_ID

    Hinweis: Der neue KMS-Schlüssel kann Daten, die mit dem alten Schlüssel verschlüsselt wurden, nicht entschlüsseln. Für Daten, die mit symmetrischen Verschlüsselungsschlüsseln verschlüsselt wurden, extrahiert AWS KMS die AWS-KMS-Schlüssel-ID aus den Metadaten. Anschließend verwendet AWS KMS diesen Schlüssel, um die Entschlüsselung durchzuführen. Stellen Sie sicher, dass Sie in Ihrer Entschlüsselungsanfrage keine Schlüssel-ID angeben. Wenn Sie asymmetrische AWS-KMS-Schlüssel verwenden, müssen Sie die Schlüssel-ID in Ihren Entschlüsselungsanfragen manuell angeben. Stellen Sie sicher, dass Sie den AWS-KMS-Schlüssel verfolgen, der für Verschlüsselungsaktionen verwendet wird.

  5. Sie haben sowohl den neuen als auch den aktuellen AWS-KMS-Schlüssel. Verwenden Sie Schlüssel application-current, um Daten zu verschlüsseln. Wenn AWS KMS die Daten entschlüsselt, wird der AWS KMS-Schlüssel automatisch aufgelöst:

    acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep applicationALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-20180606    alias/application-20180606    0987dcba-09fe-87dc-65ba-ab0987654321
    ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current     alias/application-current     9bf76697-5b41-4caf-9fe1-e23bbe20f858

    Um nachzuverfolgen, wann die Schlüsselrotation stattgefunden hat, oder um Änderungen rückgängig zu machen, bewahren Sie den aktuellen AWS-KMS-Schlüssel als Backup auf.
    Hinweis: Wenn Sie über einen vorhandenen Schlüssel verfügen, kopieren Sie diese Richtlinie in den Schlüssel application-current.

  6. Öffnen Sie die AWS-KMS-Konsole und wählen Sie dann Kunden verwaltete Schlüssel.

  7. Wählen Sie unter Alias den aktuellen Schlüssel aus.

  8. Wählen Sie unter Schlüsselrichtlinie die Option Zur Richtlinienansicht wechseln.

  9. Kopieren Sie die aktuelle Richtlinie und wählen Sie dann die Option Vom Kunden verwaltete Schlüssel aus.

  10. Wählen Sie unter Alias die Option application-current aus.

  11. Wählen Sie unter Schlüsselrichtlinie die Option Bearbeiten aus. Löschen Sie die Richtlinie application-current und fügen Sie die aktuelle Richtlinie ein. Wählen Sie dann Änderungen speichern aus.

Ähnliche Informationen

Wie importiere ich meine Schlüssel in den AWS Key Management Service?