どうすれば AWS KMS でカスタマーの管理下にある CMK を手動でローテーションできますか?

最終更新日: 2019 年 4 月 12 日

AWS Key Management Service (AWS KMS) は、1 年に 1 回自動的にカスタマーマスターキー (CMK) のローテーションを行います。1 年に 1 回のローテーションを自動的に行う前に、どうすれば CMK を手動でローテーションできますか?

解決方法

手動でのキーローテーション を使用し、現在の CMK の代わりに新しい CMK を作成します。

この例では、現在の CMK を新しい CMK にローテーションする方法を示します。

重要: 始める前に、AWS コマンドラインインターフェイス (AWS CLI) を インストール して設定する必要があります。

1.    アプリケーションの現在という名前のエイリアスを作成し、新しい CMK に添付します。

acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-current --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current    alias/application-current    0987dcba-09fe-87dc-65ba-ab0987654321

2.    更新される KMS キーの名前の一部として、ローテーション日が含まれる "application-20180606" という名前の新しいエイリアスを作成しします (この例では "2018-06-06") 。CMK には 2 つのエイリアスがあります。

acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-20180606 --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-20180606    alias/application-20180606    0987dcba-09fe-87dc-65ba-ab0987654321
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current     alias/application-current     0987dcba-09fe-87dc-65ba-ab0987654321

3.    次のように新しい CMK を作成します。

acbc32cf8f6f:~ $$ aws kms create-key
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "9bf76697-5b41-4caf-9fe1-e23bbe20f858",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1528289057.531,
        "Arn": "arn:aws:kms:eu-west-1:123456789012:key/9bf76697-5b41-4caf-9fe1-e23bbe20f858",
        "AWSAccountId": "123456789012"
    }
}

4.    アプリケーションの現在 エイリアスに新しい CMK を関連付けます。

$$ aws kms update-alias --alias-name alias/application-current --target-key-id NEW_KMS_KEY_ID

5.    新しい CMK と現在の CMK の両方を持ちます。 アプリケーションの現在 キーを使用してデータを暗号化します。AWS KMS はそのデータを解読すると、自動的に CMK を解決します。

acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-20180606    alias/application-20180606    0987dcba-09fe-87dc-65ba-ab0987654321
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current     alias/application-current     9b5d79d7-f04c-4b30-baf1-deed52a7cc97

重要: キーのローテーションが発生した場合、または変更をロールバックする場合に追跡するバックアップとして、現在の CMK を保持します。

注:既存のキーを持っているユーザーは、 アプリケーションの現在 キーのポリシーをコピーする必要があります。

6.    KMS コンソール にサインインし、カスタマーの管理下にあるキーを選択します。

7.    エイリアスで、現在のキーを選択します。

8.    キー ポリシーで、 ポリシーの表示に切り替えるを選択します。

9.    現在のポリシーをコピーし、続いて カスタマーの管理下にあるキーを選択します。

10.   エイリアスで、 アプリケーションの現在を選択します。

11.   キー ポリシーで 、編集を選択し、アプリケーションの現在を削除し、現在のポリシーを貼り付けたら、変更の保存を選択します。


このページは役に立ちましたか?

改善できることはありますか?


さらにサポートが必要な場合