Comment puis-je effectuer une rotation manuelle des clés gérées par le client dans AWS KMS ?

Dernière mise à jour : 31-10-2022

Utilisez Rotation manuelle des clés pour créer une clé AWS KMS qui remplacera l'actuelle.

Cet exemple montre comment procéder à une rotation de votre clé AWS KMS actuelle avec une nouvelle clé.

Remarque : si vous recevez des erreurs lors de l'exécution de commandes depuis l'interface de la ligne de commande AWS (AWS CLI), assurez-vous d'utiliser la version la plus récente de l'AWS CLI.

1.    Créez un alias nommé application-current puis attachez-le à la nouvelle clé AWS KMS :

acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-current --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current    alias/application-current    0987dcba-09fe-87dc-65ba-ab0987654321

2.    Créez un nouvel alias nommé application-20180606 dont le nom comporte la date de la rotation dans son nom pour permettre la rotation de la clé AWS KMS. Dans l'exemple ci-dessous, la date de rotation est 2018-06-06. La clé AWS KMS possède deux alias :

acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-20180606 --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-20180606    alias/application-20180606    0987dcba-09fe-87dc-65ba-ab0987654321
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current     alias/application-current     0987dcba-09fe-87dc-65ba-ab0987654321

3.    Créez une nouvelle clé AWS KMS similaire à la suivante :

acbc32cf8f6f:~ $$ aws kms create-key
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "9bf76697-5b41-4caf-9fe1-e23bbe20f858",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1528289057.531,
        "Arn": "arn:aws:kms:eu-west-1:123456789012:key/9bf76697-5b41-4caf-9fe1-e23bbe20f858",
        "AWSAccountId": "123456789012"
    }
}

4.    Associez l'alias application-current à la nouvelle clé AWS KMS. Assurez-vous de remplacer NEW_KMS_KEY_ID par l'ID de clé que vous venez de créer à l'étape 3 :

$$ aws kms update-alias --alias-name alias/application-current --target-key-id NEW_KMS_KEY_ID

5.    Vous disposez à la fois de la nouvelle clé AWS KMS et des clés AWS KMS actuelles. Utilisez la clé application-current pour chiffrer les données. AWS KMS résout automatiquement la clé AWS KMS lors du déchiffrage des données :

acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-20180606    alias/application-20180606    0987dcba-09fe-87dc-65ba-ab0987654321
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current     alias/application-current     9b5d79d7-f04c-4b30-baf1-deed52a7cc97

Important : conservez la clé AWS KMS actuelle comme sauvegarde pour suivre la rotation de la clé ou pour annuler les modifications.

Remarque : les utilisateurs disposant déjà d'une clé doivent appliquer cette politique à la clé application-current.

6.    Connectez-vous à la console AWS KMS et sélectionnez Clés gérées par le client.

7.    Dans Alias, sélectionnez la clé actuelle.

8.    Dans Politique de clé, choisissez Passer à l’affichage des stratégies.

9.    Copiez la stratégie actuelle puis sélectionnez Clés gérées par le client.

10.    Dans Alias, sélectionnez application-actuelle.

11.    Dans Stratégie de clé, sélectionnez Édition, supprimez la stratégie application-actuelle, collez la stratégie actuelle puis cliquez sur Enregistrer les modifications.