KMS 的密钥轮换机制

AWS-managed Key

每一年都会自动轮换:

  • 控制权: 由 AWS 完全管理,用户无法禁用轮换
  • 轮换方式: AWS 自动处理所有轮换步骤,对用户完全透明

Customer managed KMS Keys

可以开启自动key rotation, 开启后每年轮换一次:

image-20230531085414451

KMS 创建新的密钥材料(backing key)作为 CMK 的新版本:

image-20230531090633005

在 key进行轮换后,之前的所有的版本都会永久保留,所以使用历史的key进行加解密都是可以的

关键优势

  • 无需重新加密: 已加密的数据无需重新加密
  • 向后兼容: 所有版本的密钥都能自动解密之前加密的数据
  • 业务连续性: 应用程序无需感知密钥轮换

手动轮换 (Manual Rotation)

手动轮换需要创建全新 CMK

必要步骤:

  1. 创建新 CMK
  2. 更新应用程序引用新 CMK
  3. 可选择用新密钥重新加密旧数据

它的优点是灵活: 可以按任何频率进行

适用场景: 需要彻底弃用旧密钥时