Comment puis-je effectuer une rotation manuelle des clés gérées par le client dans AWS KMS ?

Date de la dernière mise à jour : 25/06/2021

AWS Key Management Service (AWS KMS) procède à une rotation automatique des clés KMS une fois par an. Comment puis-je procéder à une rotation manuelle des clés KMS avant leur rotation automatique annuelle ?

Résolution

Utilisez Rotation manuelle des clés pour créer une clé KMS qui remplacera l'actuelle.

Cet exemple montre comment procéder à une rotation de votre clé AWS KMS actuelle avec une nouvelle clé.

Remarque : si des erreurs s'affichent lors de l'exécution de commandes AWS Command Line Interface (AWS CLI), assurez-vous que vous utilisez la version la plus récente d'AWS CLI.

1.    Créez un alias nommé application-current puis attachez-le à la nouvelle clé KMS :

acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-current --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current    alias/application-current    0987dcba-09fe-87dc-65ba-ab0987654321

2.    Créez un nouvel alias nommé « application-20180606 » dont le nom comporte la date de la rotation (dans notre cas, « 2018-06-06 », soit le 6 juin 2018) dans son nom pour permettre la rotation de la clé KMS. La clé AWS KMS comporte deux alias :

acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-20180606 --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-20180606    alias/application-20180606    0987dcba-09fe-87dc-65ba-ab0987654321
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current     alias/application-current     0987dcba-09fe-87dc-65ba-ab0987654321

3.    Créez une nouvelle clé AWS KMS similaire à la suivante :

acbc32cf8f6f:~ $$ aws kms create-key
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "9bf76697-5b41-4caf-9fe1-e23bbe20f858",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1528289057.531,
        "Arn": "arn:aws:kms:eu-west-1:123456789012:key/9bf76697-5b41-4caf-9fe1-e23bbe20f858",
        "AWSAccountId": "123456789012"
    }
}

4.    Associez l'alias application-current à la nouvelle clé KMS :

$$ aws kms update-alias --alias-name alias/application-current --target-key-id NEW_KMS_KEY_ID

5.    Vous disposez à la fois de la nouvelle clé AWS KMS et des clés AWS KMS actuelles. Utilisez la clé application-current pour chiffrer les données. AWS KMS résout automatiquement la clé KMS lors du déchiffrage des données :

acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-20180606    alias/application-20180606    0987dcba-09fe-87dc-65ba-ab0987654321
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current     alias/application-current     9b5d79d7-f04c-4b30-baf1-deed52a7cc97

Important : conservez la clé KMS actuelle comme sauvegarde pour suivre la rotation de la clé ou pour annuler les modifications.

Remarque : les utilisateurs disposant déjà d'une clé doivent appliquer cette politique à la clé application-current.

6.    Connectez-vous à la console KMS et sélectionnez Clés gérées par le client.

7.    Dans Alias, sélectionnez la clé actuelle.

8.    Dans Politique de clé, choisissez Passer à l’affichage des stratégies.

9.    Copiez la stratégie actuelle puis sélectionnez Clés gérées par le client.

10.    Dans Alias, sélectionnez application-actuelle.

11.    Dans Stratégie de clé, sélectionnez Édition, supprimez la stratégie application-actuelle, collez la stratégie actuelle puis cliquez sur Enregistrer les modifications.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?