如何做AWS S3 SSE KMS键旋转？

Question

场景-

我创造了-

使用KMS键#1

• 上传了一个文件在桶H 211检查对象详细信息，它显示了Server-side encryption: AWS-KMS和KMS key ID: ARN of KMS key #1

• Changed d17，现在选择了KMS key #2

• The老对象仍然显示KMS key ID: ARN of KMS key #1

。

问题-

1. 能在1年前完成KMS键的旋转吗？
2. 是我旋转AWS KMS键的正确方法吗？如果不是，正确的方法是什么？

，

1. ，键的旧对象发生了什么被删除？

Answer 1

自动键旋转不创建新的CMK，它只是旋转HSM支持键。旧密钥仅用于解密，而新备份密钥用于加密和解密新对象。另一方面，手动密钥旋转要求您创建一个新的CMK并更新密钥别名以指向新的CMK。这意味着，只要使用旧的对象加密对象，就必须维护多个CMK。

当KMS加密对象时，生成的密文包含明文中的HSM支持密钥标识符。这就是KMS检索密钥以解密加密消息的方式。因此，只要不删除存储在密文中的备份密钥，KMS就可以解密消息。只有在删除CMK时才会删除备份密钥。

回到你的问题：

1. 是的，但您必须创建一个新的CMK，如上面所述，
2. 只需更新密钥别名就可以指向新的CMK。旋转CMK变得容易得多，特别是当它用于加密多个存储桶时。如果删除用于生成数据密钥的CMK，则
3. 无法解密对象。您应该使用新的CMK重新加密所有对象，或者保留旧密钥.

。

Answer 2

能在一年前完成KMS键的旋转吗？

是的，但是你需要手动旋转。自动旋转每年进行一次(如果启用此功能)，并且不能更改间隔的长度。

是我旋转AWS键的正确方法吗？如果不是的话，正确的方法是什么？

虽然这是可能的，但这并不是旋转密钥的最佳方法(但这确实是有争议的，这取决于您的安全策略)。

CMK并不是真正的关键。它更像是一个逻辑容器，用于备份密钥，然后用于加密用于加密数据的数据密钥。您可能要做的不是更改容器( CMK )本身，而是更改存储在CMK“内部”的备份密钥。这导致您仍然可以使用相同的CMK (您不需要更新任何代码或脚本)，但是实际的加密密钥(本例中的备份密钥)将有所不同。AWS将存储旧的备份密钥，它将允许您无缝地解密数据，因为它存储用于哪个数据(数据密钥)的支持密钥的指针。但是，这假设所有的备份键都属于同一个CMK。

还请注意，这与重新加密无关。所有以前加密的数据都是用相同的密钥加密的，只是新的数据是用新的备份密钥加密的。如果您需要重新加密您的数据，您将需要自己做。

键的旧对象会发生什么被删除？

当您这样做时，您的旧备份密钥不会被删除，因此您不需要担心无法解密数据。这些仍然是用KMS存储的，它们只用于解密旧的(对应的)数据。

如果您有两个单独的CMK，并且您删除其中一个，那么仍然使用此CMK加密的所有数据都将永远丢失(或者至少永远加密，这是某种程度上相同的)。请注意，即使是AWS也无法在这种情况下帮助您。这也是为什么在计划删除的键和实际删除键之间存在强制延迟的原因。