KMS 的密钥轮换机制
AWS-managed Key
每一年都会自动轮换:
- 控制权: 由 AWS 完全管理,用户无法禁用轮换
- 轮换方式: AWS 自动处理所有轮换步骤,对用户完全透明
Customer managed KMS Keys
可以开启自动key rotation
, 开启后每年轮换一次:

KMS 创建新的密钥材料(backing key)作为 CMK 的新版本:

在 key进行轮换后,之前的所有的版本都会永久保留,所以使用历史的key进行加解密都是可以的
关键优势
- 无需重新加密: 已加密的数据无需重新加密
- 向后兼容: 所有版本的密钥都能自动解密之前加密的数据
- 业务连续性: 应用程序无需感知密钥轮换
手动轮换 (Manual Rotation)
手动轮换需要创建全新 CMK
必要步骤:
- 创建新 CMK
- 更新应用程序引用新 CMK
- 可选择用新密钥重新加密旧数据
它的优点是灵活: 可以按任何频率进行
适用场景: 需要彻底弃用旧密钥时