Amazon web services 如何进行AWS S3 SSE KMS键旋转?
场景-Amazon web services 如何进行AWS S3 SSE KMS键旋转?,amazon-web-services,amazon-s3,aws-kms,Amazon Web Services,Amazon S3,Aws Kms,场景- 我创建了- 1.一个S3桶 2.两个KMS键 3.在S3存储桶上启用了默认加密,使用KMS密钥#1 4.在bucket中上载了一个文件 5.检查对象详细信息,它显示了服务器端加密:AWS-KMS和KMS密钥ID:ARN of KMS密钥#1 6.更改了AWS S3默认加密,现在选择了KMS密钥#2 7.旧对象仍显示KMS密钥ID:ARN of KMS密钥#1 问题- 1.KMS钥匙能否在1年前轮换? 2.我所做的是旋转AWS KMS键的正确方法吗?如果不是,正确的方法是什么? 3.删除密
我创建了-
1.一个S3桶
2.两个KMS键
3.在S3存储桶上启用了
默认加密
,使用KMS密钥#14.在bucket中上载了一个文件
5.检查对象详细信息,它显示了
服务器端加密:AWS-KMS
和KMS密钥ID:ARN of KMS密钥#1
6.更改了AWS S3默认加密,现在选择了
KMS密钥#2
7.旧对象仍显示
KMS密钥ID:ARN of KMS密钥#1
问题-1.KMS钥匙能否在1年前轮换?
2.我所做的是旋转AWS KMS键的正确方法吗?如果不是,正确的方法是什么?
3.删除密钥的旧对象会发生什么情况?自动密钥旋转不会创建新的CMK,它只是旋转HSM备份密钥。旧密钥仅用于解密,而新的备用密钥用于加密和解密新对象。 另一方面,手动关键点旋转要求您创建新的CMK并更新关键点别名以指向新的CMK。这意味着您必须维护多个CMK,只要您有与旧CMK绑定的对象 KMS加密对象时,生成的密文包含明文形式的HSM备份密钥标识符。这就是KMS检索密钥以解密加密消息的方式。 因此,只要不删除密文中存储的备用密钥,KMS就可以解密消息。只有删除CMK时,才会删除备份密钥 回到你的问题上来:
如果您有两个单独的CMK,并且删除了其中一个,那么仍然使用此CMK加密的所有数据将永远丢失(或者至少永远加密,这是一种相同的加密方式)。请注意,在这种情况下,即使是AWS也无法帮助您。这也是计划删除的钥匙和实际删除钥匙之间存在强制延迟的原因。是的,KMS钥匙可以在1年前通过手动旋转而不是自动旋转进行旋转,您可以从这里获得参考。在没有AWS CLI的情况下是否可以执行此操作?是的,可以执行此操作,但我不确定,您可以从这里获得参考