Comment effectuer une rotation manuelle des clés CMK gérées par le client dans AWS KMS ?

Date de la dernière mise à jour : 12/04/2019

AWS Key Management Service (AWS KMS) effectue automatiquement une rotation des clés principales du client (en anglais : Customer Master Key, ou CMK) une fois par an. Comment puis-je effectuer une rotation manuelle des clés CMK avant leur rotation automatique annuelle ?

Résolution

Utiliser Rotation manuelle des clés pour créer une nouvelle clé CMK qui remplacera l’actuelle.

L’exemple suivant montre comment effectuer une rotation pour remplacer votre clé CMK actuelle par une nouvelle.

Important : Avant de commencer, il est impératif que l'interface de ligne de commande AWS (AWS CLI) soit installée et configurée.

1.    Créez un alias nommé application-actuelle puis rattachez-le à la nouvelle clé CMK :

acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-current --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current    alias/application-current    0987dcba-09fe-87dc-65ba-ab0987654321

2.    Créez un nouvel alias nommé « application-20180606 » dont le nom comporte la date de la rotation (dans notre cas, « 2018-06-06 », soit le 06 juin 2018) dans son nom pour permettre la rotation de la clé KMS. La clé CMK possède deux alias :

acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-20180606 --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-20180606    alias/application-20180606    0987dcba-09fe-87dc-65ba-ab0987654321
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current     alias/application-current     0987dcba-09fe-87dc-65ba-ab0987654321

3.    Créez une nouvelle clé CMK de la façon suivante :

acbc32cf8f6f:~ $$ aws kms create-key
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "9bf76697-5b41-4caf-9fe1-e23bbe20f858",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1528289057.531,
        "Arn": "arn:aws:kms:eu-west-1:123456789012:key/9bf76697-5b41-4caf-9fe1-e23bbe20f858",
        "AWSAccountId": "123456789012"
    }
}

4.    Associez l'alias application-actuelle à la nouvelle clé CMK :

$$ aws kms update-alias --alias-name alias/application-current --target-key-id NEW_KMS_KEY_ID

5.    Vous voilà avec la clé CMK actuelle et la nouvelle clé CMK. Utilisez la clé de application-actuelle pour chiffrer les données. AWS KMS résout automatiquement la clé CMK lors du déchiffrage des données :

acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-20180606    alias/application-20180606    0987dcba-09fe-87dc-65ba-ab0987654321
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current     alias/application-current     9b5d79d7-f04c-4b30-baf1-deed52a7cc97

Important : Sauvegardez la clé CMK actuelle pour garder une trace de date de rotation de la clé et pour pouvoir annuler les modifications si besoin.

Remarque : Les utilisateurs disposant déjà d’une clé doivent copier cette stratégie à la clé application-actuelle.

6.    Connectez-vous à la console KMS et sélectionnez Clés gérées par le client.

7.    Dans Alias, sélectionnez la clé actuelle.

8.    Dans Stratégie de clé, choisissez Passer à l’affichage des stratégies.

9.    Copiez la stratégie actuelle puis sélectionnez Clés gérées par le client.

10.   Dans Alias, sélectionnez application-actuelle.

11.   Dans Stratégie de clé, sélectionnez Édition, supprimez la stratégie application-actuelle, collez la stratégie actuelle puis cliquez sur Enregistrer les modifications.


Cette page vous a-t-elle été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d’aide ?