AWS KMS 推出面向导入密钥的按需密钥轮换功能

发布于: 2025年6月6日

AWS Key Management Service (KMS) 宣布支持使用导入的密钥材料按需轮换对称加密 KMS 密钥。借助这项新功能，您无需更改密钥标识符（密钥 ARN）即可轮换自带密钥 (BYOK) 的加密密钥材料。轮换密钥可帮助您满足要求定期轮换密钥的合规性要求和安全最佳实践。

现在，在 AWS KMS 中使用导入的密钥时，组织可以更好地将密钥轮换与其内部安全策略保持一致。这项新推出的按需轮换功能既支持即时轮换，也支持计划轮换。与标准 KMS 密钥的灵活轮换功能类似，这种新的轮换功能可在现有 KMS 密钥 ARN 和密钥别名中无缝过渡到新的密钥材料，整个过程停机时间为零，并且与受该密钥保护的现有数据完全向后兼容。

按需密钥轮换已在所有 AWS 区域提供，包括 AWS GovCloud（美国）区域和中国区域。要了解更多信息，请参阅 AWS 安全博客，了解如何对导入的密钥使用按需轮换，并查看 AWS KMS 开发人员指南中的按需轮换主题。