¿Cómo puedo rotar manualmente las claves administradas por el cliente en AWS KMS?

Resolución

Utilice la rotación manual de claves para crear una nueva clave de AWS KMS que sustituya a la clave actual.

En este ejemplo se muestra cómo rotar la clave de AWS KMS actual por una clave nueva a la que rotar.

Nota: Si recibe errores al ejecutar los comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), asegúrese de que está utilizando la versión más reciente de AWS CLI.

1.    Cree un alias denominado application-current y, a continuación, adjúntelo a la clave de AWS KMS existente:

acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-current --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current    alias/application-current    0987dcba-09fe-87dc-65ba-ab0987654321

2.    Cree un nuevo alias denominado application-20180606 que incluya la fecha de rotación como parte de su nombre para rotar la clave de AWS KMS. En el ejemplo siguiente, la fecha de rotación es el 06 de junio de 2018. La clave de AWS KMS tiene dos alias:

acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-20180606 --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-20180606    alias/application-20180606    0987dcba-09fe-87dc-65ba-ab0987654321
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current     alias/application-current     0987dcba-09fe-87dc-65ba-ab0987654321

3.    Cree una nueva clave de AWS KMS similar a la siguiente:

acbc32cf8f6f:~ $$ aws kms create-key
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "9bf76697-5b41-4caf-9fe1-e23bbe20f858",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1528289057.531,
        "Arn": "arn:aws:kms:eu-west-1:123456789012:key/9bf76697-5b41-4caf-9fe1-e23bbe20f858",
        "AWSAccountId": "123456789012"
    }
}

4.    Asocie el alias application-current a la nueva clave de AWS KMS. Asegúrese de reemplazar NEW_KMS_KEY_ID por el ID de clave recién creado en el paso 3:

$$ aws kms update-alias --alias-name alias/application-current --target-key-id NEW_KMS_KEY_ID

5.    Tiene las claves de AWS KMS nueva y actual. Utilice la clave application-current para cifrar los datos. AWS KMS resuelve automáticamente la clave de AWS KMS al descifrar los datos:

acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-20180606    alias/application-20180606    0987dcba-09fe-87dc-65ba-ab0987654321
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current     alias/application-current     9b5d79d7-f04c-4b30-baf1-deed52a7cc97

Importante: Conserve la clave de AWS KMS actual como copia de seguridad para realizar un seguimiento de cuándo se produjo la rotación de claves o anular los cambios.

Nota: Los usuarios con una clave existente deben copiar esa política a la clave application-current.

6.    Inicie sesión en la consola de AWS KMS y seleccione las Claves administradas por el cliente.

7.    En Alias, elija la clave actual.

8.    En Política de claves, elija Cambiar a la vista de políticas.

9.    Copie la política actual y, a continuación, seleccione Claves administradas por el cliente.

10.    En Alias, elija application-current.

11.    En Política de claves, elija Editar, elimine la política application-current, pegue la política actual y, a continuación, elija Guardar cambios.

Información relacionada

¿Cómo puedo importar mis claves a AWS Key Management Service?