Можно ли произвести ротацию ключей KMS до 1 года?
Да, но вам нужно будет выполнить поворот вручную. Автоматическая ротация выполняется один раз в год (если вы включили эту функцию), и вы не можете изменить длину интервала.
Правильно ли я сделал ротацию ключа AWS KMS? Если нет, то как правильно?
Хотя это возможно, это не лучший способ смены ключа (но это действительно спорно и зависит от вашей политики безопасности).
CMK на самом деле не является ключом. Это больше похоже на логический контейнер для резервных ключей, которые затем используются для шифрования ключей данных, которые используются для шифрования данных. Возможно, вы захотите изменить не сам контейнер (CMK), а скорее ключ поддержки, хранящийся «внутри» CMK. Это приводит к тому, что вы по-прежнему можете использовать тот же CMK (вам не нужно обновлять какой-либо код или скрипты), но фактический ключ шифрования (в данном случае резервный ключ) будет другим. AWS будет хранить старые резервные ключи, и это позволит вам беспрепятственно расшифровать данные, потому что в нем хранятся указатели на то, какой резервный ключ использовался для каких данных (действительно, ключ данных). Но это предполагает, что все резервные ключи принадлежат одному и тому же CMK.
Также обратите внимание, что это не имеет ничего общего с повторным шифрованием. Все ранее зашифрованные данные остаются зашифрованными одним и тем же ключом, просто новые данные зашифровываются новым резервным ключом. Если вам нужно повторно зашифровать ваши данные, вам нужно будет сделать это самостоятельно.
Что происходит с более старыми объектами ключа, которые удаляются?
Когда вы делаете это так, как описано выше, ваши старые резервные ключи не удаляются, поэтому вам не нужно беспокоиться о том, что вы не сможете расшифровать данные. Они по-прежнему хранятся в KMS и используются только для расшифровки старых (соответствующих) данных.
Если у вас есть два отдельных CMK и вы удалите один из них, все данные, которые все еще зашифрованы с помощью этого CMK, будут навсегда потеряны (или, по крайней мере, навсегда зашифрованы, что в некотором роде то же самое). Учтите, что даже AWS не сможет вам помочь в такой ситуации. Это также причина того, почему существует обязательная задержка между запланированным удалением ключей и фактическим удалением ключа.
person
Matus Dubrava
schedule
27.11.2019