Al usar AWS re:Post, aceptas las AWS re:Post Términos de uso

¿Cómo puedo rotar manualmente las claves administradas por el cliente en AWS KMS?

3 minutos de lectura
0

AWS Key Management Service (AWS KMS) rota las claves de AWS KMS automáticamente una vez al año. Quiero rotar manualmente las claves de AWS KMS antes de que lo hagan automáticamente.

Resolución

Para cambiar manualmente la clave de AWS KMS actual por una nueva clave, siga estos pasos:

Nota: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), consulte Troubleshoot AWS CLI errors. Además, asegúrese de utilizar la versión más reciente de la AWS CLI.

  1. Cree un alias denominado application-current y, a continuación, adjúntelo a la clave de AWS KMS existente:

    acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-current --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
    ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current    alias/application-current    0987dcba-09fe-87dc-65ba-ab0987654321
  2. Cree un nuevo alias denominado application-20180606 que incluya la fecha de rotación como parte de su nombre para rotar la clave de AWS KMS. En el siguiente ejemplo, la fecha de rotación es 2018-06-06. La clave de AWS KMS tiene dos alias:

    acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-20180606 --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
    ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-20180606    alias/application-20180606    0987dcba-09fe-87dc-65ba-ab0987654321
    ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current     alias/application-current     0987dcba-09fe-87dc-65ba-ab0987654321
  3. Cree una nueva clave de AWS KMS similar a la siguiente:

    acbc32cf8f6f:~ $$ aws kms create-key{
        "KeyMetadata": {
            "Origin": "AWS_KMS",
            "KeyId": "9bf76697-5b41-4caf-9fe1-e23bbe20f858",
            "Description": "",
            "KeyManager": "CUSTOMER",
            "Enabled": true,
            "KeyUsage": "ENCRYPT_DECRYPT",
            "KeyState": "Enabled",
            "CreationDate": 1528289057.531,
            "Arn": "arn:aws:kms:eu-west-1:123456789012:key/9bf76697-5b41-4caf-9fe1-e23bbe20f858",
            "AWSAccountId": "123456789012"
        }
    }
  4. Asocie el alias application-current a la nueva clave de AWS KMS. Reemplace NEW_KMS_KEY_ID por el ID de clave recién creado en el paso 3:

    $$ aws kms update-alias --alias-name alias/application-current --target-key-id NEW_KMS_KEY_ID

    Nota: La nueva clave de KMS no puede descifrar los datos cifrados con la clave anterior. Para los datos cifrados con claves de cifrado simétricas, AWS KMS extrae el ID de clave de AWS KMS de los metadatos. A continuación, AWS KMS utiliza esa clave para llevar a cabo el descifrado. Asegúrate de no especificar un identificador de clave en la solicitud de descifrado. Si usa claves asimétricas de AWS KMS, debe especificar manualmente el ID de la clave en sus solicitudes de descifrado. Asegúrese de hacer un seguimiento de la clave de AWS KMS que se utiliza en las acciones de cifrado.

  5. Tiene tanto la clave AWS KMS nueva como la actual. Utilice la clave application-current para cifrar los datos. Cuando AWS KMS descifra los datos, la clave de AWS KMS se resuelve automáticamente:

    acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep applicationALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-20180606    alias/application-20180606    0987dcba-09fe-87dc-65ba-ab0987654321
    ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current     alias/application-current     9bf76697-5b41-4caf-9fe1-e23bbe20f858

    Para hacer un seguimiento de cuándo se produjo la rotación de claves o anular los cambios, conserve la clave de AWS KMS actual como copia de seguridad.
    Nota: Si tiene una clave existente, copie esa política en la clave application-current.

  6. Abra la consola de AWS KMS y, a continuación, seleccione Claves administradas por el cliente.

  7. En Alias, elija la clave actual.

  8. En Política de claves, seleccione Cambiar a la vista de política.

  9. Copie la política actual y, a continuación, seleccione Claves administradas por el cliente.

  10. En Alias, elija application-current.

  11. En Política de claves, elija Editar. Elimine la política application-current y pegue la política actual. Después, seleccione Guardar cambios.

Información relacionada

¿Cómo puedo importar mis claves a AWS Key Management Service?

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 6 meses