Comment effectuer une rotation manuelle des clés gérées par le client dans AWS KMS ?

Lecture de 3 minute(s)

AWS Key Management Service (AWS KMS) effectue une rotation automatique des clés AWS KMS une fois par an. Je souhaite effectuer une rotation manuelle des clés AWS KMS avant leur rotation automatique.

Résolution

Pour remplacer manuellement votre clé AWS KMS actuelle par une nouvelle clé, procédez comme suit :

Remarque : si des erreurs surviennent lorsque vous exécutez des commandes de l’interface de la ligne de commande AWS (AWS CLI), consultez la page Résoudre les erreurs liées à AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l’AWS CLI.

Créez un alias nommé application-current, puis attachez-le à la clé AWS KMS existante :

acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-current --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current    alias/application-current    0987dcba-09fe-87dc-65ba-ab0987654321

Créez un nouvel alias nommé application-20180606 qui inclut la date de rotation dans le nom de la clé AWS KMS à remplacer. Dans l'exemple suivant, la date de rotation est le 06/06/2018. La clé AWS KMS possède deux alias :

acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-20180606 --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-20180606    alias/application-20180606    0987dcba-09fe-87dc-65ba-ab0987654321
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current     alias/application-current     0987dcba-09fe-87dc-65ba-ab0987654321

Créez une nouvelle clé AWS KMS similaire à la suivante :

acbc32cf8f6f:~ $$ aws kms create-key{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "9bf76697-5b41-4caf-9fe1-e23bbe20f858",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1528289057.531,
        "Arn": "arn:aws:kms:eu-west-1:123456789012:key/9bf76697-5b41-4caf-9fe1-e23bbe20f858",
        "AWSAccountId": "123456789012"
    }
}

Associez l'alias application-current à la nouvelle clé AWS KMS. Remplacez NEW_KMS_KEY_ID par l’ID de la clé créée à l'étape 3 :
```
$$ aws kms update-alias --alias-name alias/application-current --target-key-id NEW_KMS_KEY_ID
```
Remarque : la nouvelle clé KMS ne peut pas déchiffrer les données chiffrées avec l'ancienne clé. Dans le cas de données chiffrées à l'aide de clés de chiffrement symétriques, AWS KMS extrait l'ID de la clé AWS KMS à partir des métadonnées. AWS KMS utilise ensuite cette clé pour effectuer le déchiffrement. Vous devez donc éviter de spécifier un ID de clé dans votre demande de déchiffrement. Si vous utilisez des clés AWS KMS asymétriques, vous devez spécifier manuellement l'ID de clé dans vos demandes de déchiffrement. Veillez à surveiller la clé AWS KMS utilisée dans les actions de chiffrement.

Vous disposez à la fois de la nouvelle clé AWS KMS et de la clé actuelle. Utilisez la clé application-current pour chiffrer les données. Lorsqu'AWS KMS déchiffre les données, la clé AWS KMS est automatiquement résolue :

acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep applicationALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-20180606    alias/application-20180606    0987dcba-09fe-87dc-65ba-ab0987654321
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current     alias/application-current     9bf76697-5b41-4caf-9fe1-e23bbe20f858

Pour conserver une trace de la date de rotation de la clé ou pour annuler les modifications apportées, conservez la clé AWS KMS actuelle en tant que sauvegarde.
Remarque : si vous disposez d'une clé existante, copiez cette stratégie dans la clé application-current.

Ouvrez la console AWS KMS, puis choisissez Clés gérées par le client.
Dans Alias, choisissez la clé actuelle.
Dans le champ Stratégie de clé, choisissez Passer à la vue de stratégie.
Copiez la stratégie actuelle, puis choisissez Clés gérées par le client.
Dans Alias, choisissez application-current.
Dans Stratégie de clé, choisissez Modifier. Supprimez la stratégie pour application-current et collez la stratégie actuelle. Choisissez Enregistrer les modifications.

Informations connexes

Comment importer des clés dans AWS Key Management Service ?

Sujets: Security, Identity, & Compliance
Balises: AWS Key Management Service
Langue: Français

Vidéos associées

Regardez la vidéo de Celiwe pour en savoir plus (3:15)

AWS OFFICIELA mis à jour il y a un an

Aucun commentaire

Contenus pertinents

Désactiver le chiffrement côté serveur sur Amazon S3
rePost-User-6017646
demandé il y a 3 ans
Appels sortants à partir de salesforce / Amazon Connect
benoit paternotte
demandé il y a 2 ans
Est ce que les factures que nous recevons sont emises par AWS France ?
malik
demandé il y a 6 mois
Comment résoudre le problème de remplacement des images
TEKEU
demandé il y a un an
Problème d'accès à une base de données logique dans une application laravel multi-tenant
rePost-User-0746455
demandé il y a 10 mois
Puis-je utiliser une clé AWS KMS gérée par le client pour chiffrer la clé privée d'un certificat ACM ?
AWS OFFICIELA mis à jour il y a un an
Dois-je utiliser une clé gérée par AWS KMS ou une clé KMS gérée par le client pour chiffrer mes objets sur Amazon S3 ?
AWS OFFICIELA mis à jour il y a 3 ans
Pourquoi les utilisateurs intercomptes reçoivent-ils des erreurs d'accès refusé lorsqu'ils tentent d'accéder à des objets S3 que j'ai chiffrés avec une clé gérée par le client AWS KMS ?
AWS OFFICIELA mis à jour il y a 2 ans
Pourquoi ne puis-je pas utiliser une clé AWS KMS personnalisée pour créer ou attacher un volume EBS chiffré ?
AWS OFFICIELA mis à jour il y a 2 ans