Share Your AWS re:Post Experience - Quick 3 Question Survey
Help us improve AWS re:Post! We're interested in understanding how you use re:Post and its impact on your AWS journey. Please take a moment to complete our brief 3-question survey.
Wie rotiere ich von Kunden verwaltete Schlüssel in AWS KMS manuell?
Der AWS Key Management Service (AWS KMS) rotiert die AWS-KMS-Schlüssel automatisch einmal pro Jahr. Ich möchte die AWS-KMS-Schlüssel manuell rotieren, bevor sie automatisch rotieren.
Lösung
Gehen Sie wie folgt vor, um Ihren aktuellen AWS KMS-Schlüssel manuell in einen neuen Schlüssel zu rotieren:
**Hinweis:**Wenn bei der Ausführung von AWS Command Line Interface (AWS CLI)-Befehlen Fehler auftreten, finden Sie weitere Informationen unter Troubleshoot AWS CLI errors. Stellen Sie außerdem sicher, dass Sie die neueste Version von AWS CLI verwenden.
-
Erstellen Sie ein Alias mit dem Namen application-current und hängen Sie dieses dann an den vorhandenen AWS-KMS-Schlüssel an:
acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-current --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application ALIASES arn:aws:kms:eu-west-1:123456789012:alias/application-current alias/application-current 0987dcba-09fe-87dc-65ba-ab0987654321
-
Erstellen Sie ein neues Alias mit dem Namen application-20180606, welches das Rotationsdatum als Teil seines Namens für den zu rotierenden AWS-KMS-Schlüssel enthält. Im folgenden Beispiel ist das Rotationsdatum der 06.06.2018. Der AWS-KMS-Schlüssel verfügt über zwei Alias:
acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-20180606 --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application ALIASES arn:aws:kms:eu-west-1:123456789012:alias/application-20180606 alias/application-20180606 0987dcba-09fe-87dc-65ba-ab0987654321 ALIASES arn:aws:kms:eu-west-1:123456789012:alias/application-current alias/application-current 0987dcba-09fe-87dc-65ba-ab0987654321
-
Erstellen Sie einen neuen AWS-KMS-Schlüssel, der dem folgenden ähnelt:
acbc32cf8f6f:~ $$ aws kms create-key{ "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "9bf76697-5b41-4caf-9fe1-e23bbe20f858", "Description": "", "KeyManager": "CUSTOMER", "Enabled": true, "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1528289057.531, "Arn": "arn:aws:kms:eu-west-1:123456789012:key/9bf76697-5b41-4caf-9fe1-e23bbe20f858", "AWSAccountId": "123456789012" } }
-
Ordnen Sie das Alias application-current dem neuen AWS-KMS-Schlüssel zu. Ersetzen Sie NEW_KMS_KEY_ID durch Ihre neu erstellte Schlüssel-ID aus Schritt 3:
$$ aws kms update-alias --alias-name alias/application-current --target-key-id NEW_KMS_KEY_ID
Hinweis: Der neue KMS-Schlüssel kann Daten, die mit dem alten Schlüssel verschlüsselt wurden, nicht entschlüsseln. Für Daten, die mit symmetrischen Verschlüsselungsschlüsseln verschlüsselt wurden, extrahiert AWS KMS die AWS-KMS-Schlüssel-ID aus den Metadaten. Anschließend verwendet AWS KMS diesen Schlüssel, um die Entschlüsselung durchzuführen. Stellen Sie sicher, dass Sie in Ihrer Entschlüsselungsanfrage keine Schlüssel-ID angeben. Wenn Sie asymmetrische AWS-KMS-Schlüssel verwenden, müssen Sie die Schlüssel-ID in Ihren Entschlüsselungsanfragen manuell angeben. Stellen Sie sicher, dass Sie den AWS-KMS-Schlüssel verfolgen, der für Verschlüsselungsaktionen verwendet wird.
-
Sie haben sowohl den neuen als auch den aktuellen AWS-KMS-Schlüssel. Verwenden Sie Schlüssel application-current, um Daten zu verschlüsseln. Wenn AWS KMS die Daten entschlüsselt, wird der AWS KMS-Schlüssel automatisch aufgelöst:
acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep applicationALIASES arn:aws:kms:eu-west-1:123456789012:alias/application-20180606 alias/application-20180606 0987dcba-09fe-87dc-65ba-ab0987654321 ALIASES arn:aws:kms:eu-west-1:123456789012:alias/application-current alias/application-current 9bf76697-5b41-4caf-9fe1-e23bbe20f858
Um nachzuverfolgen, wann die Schlüsselrotation stattgefunden hat, oder um Änderungen rückgängig zu machen, bewahren Sie den aktuellen AWS-KMS-Schlüssel als Backup auf.
Hinweis: Wenn Sie über einen vorhandenen Schlüssel verfügen, kopieren Sie diese Richtlinie in den Schlüssel application-current. -
Öffnen Sie die AWS-KMS-Konsole und wählen Sie dann Kunden verwaltete Schlüssel.
-
Wählen Sie unter Alias den aktuellen Schlüssel aus.
-
Wählen Sie unter Schlüsselrichtlinie die Option Zur Richtlinienansicht wechseln.
-
Kopieren Sie die aktuelle Richtlinie und wählen Sie dann die Option Vom Kunden verwaltete Schlüssel aus.
-
Wählen Sie unter Alias die Option application-current aus.
-
Wählen Sie unter Schlüsselrichtlinie die Option Bearbeiten aus. Löschen Sie die Richtlinie application-current und fügen Sie die aktuelle Richtlinie ein. Wählen Sie dann Änderungen speichern aus.
Ähnliche Informationen
Wie importiere ich meine Schlüssel in den AWS Key Management Service?
Ähnliche Videos


Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 8 Monaten