Mục lục bài viết

KMS automatic rotation là gì?

AWS KMS Key cho phép kích hoạt rotation cho các customer keys và thực hiện automatic rotation mỗi năm một lần. Người dùng không thể kích hoạt hoặc vô hiệu hóa rotation của key được quản lý bởi AWS.

Vào tháng 5 năm 2022, AWS KMS đã thay đổi rotation schedule của key AWS quản lý từ khoảng thời gian 3 năm (khoảng 1,095 ngày) sang hàng năm (khoảng 365 ngày). Điều này có nghĩa là khoảng thời gian rotation trước đó rất dài.

Những người muốn rotation ngắn hơn 365 ngày có lẽ đã sử dụng key rotation thủ công.

IMG_256

Nội dung cập nhật

Giờ đây bạn có thể tùy chỉnh khoảng thời gian key rotation từ 90 ngày đến 7 năm (2,560 ngày). Bên cạnh đó, người dùng cũng có thể thực hiện key rotation bằng on-demand cho customer KMS keys.

Đây là một cập nhật tích hợp theo yêu cầu của khách hàng về sự linh hoạt của thời gian rotation.

Tóm tắt :

– Có thể chọn thời gian key rotation

– Có thể sử dụng AWS Management Console của AWS KMS, AWS Command Line Interface (AWS CLI), hoặc AWS KMS API để gọi on-demand rotation

– Có thể kiểm tra lịch sử của các rotated keys

– Hướng dẫn thiết lập giá trần cho việc key rotation

Phương pháp KMS key rotation đối xứng cũng đã được thiết kế lại, để cân nhắc đến tải vận hành.

Key ID được cấu hình để rotation, sẽ thêm key material mới đồng thời giữ lại key material của phiên bản trước đó.

Với phương pháp bổ sung mới, giúp giải mã dữ liệu hiện có đã sử dụng key của phiên bản trước, và có thể rotation mà không cần phải mã hoá lại.

Các yêu cầu mã hóa mới dựa trên key ID được chỉ định sẽ sử dụng phiên bản key mới nhất, và các yêu cầu giải mã dựa trên key ID đó sẽ sử dụng phiên bản thích hợp. Người gọi không cần quản lý phiên bản key được sử dụng cho mã hóa/giải mã, có thể đề xuất quản lý bởi AWS KMS.

IMG_256

Thử nghiệm

Kiểm tra key quản lý của khách hàng từ KMS.

Hãy thử kích hoạt từ tag [Key rotation]. Bạn có thể nhập bất kỳ giá trị nào từ 90 đến 2,560 ngày.

Một hộp thoại xác nhận sẽ xuất hiện trên màn hình [On-Demand Rotation]. Bạn có thể thực hiện tối đa 10 lần key roration.

Nhấp vào [Rotate Key] và rotation thành công. Còn lại 9 lần cũng được hiển thị trong lịch sử cập nhật này.

Chi phí rotation

Đối với KMS key được rotation, chi phí cho lần rotation đầu tiên và thứ hai là 1 usd mỗi tháng (tính theo giờ và được chia theo ngày). Lần thứ 3 trở đi là miễn phí.

Các thông tin khác về chi phí có thể bạn quan tâm:

– Không tốn phí cho customer KMS keys đã xoá scheduled.

– Nếu bạn hủy xóa trong thời gian đợi, customer KMS keys sẽ phát sinh phí như trước khi xoá scheduled.

– Không có phí hàng tháng cho data keys hoặc data key pairs mà AWS KMS tạo ra, ngoại trừ chi phí gọi API.