KMS提供密鑰輪轉功能實現密鑰版本化，從而加強密鑰使用的安全性，有效提升業務數據加密的安全性。本文為您介紹如何配置對稱密鑰和非對稱密鑰的輪轉。

密鑰輪轉的必要性

• 密碼合規要求

相關行業標準中明確規范，要求密鑰進行周期性輪轉。

• 減少每個密鑰版本加密的數據量，降低密碼分析攻擊風險

一個密鑰的安全性與被它加密的數據量呈反相關。數據量通常是指同一個密鑰加密的數據總字節數。通過定期輪轉密鑰，可使每個密鑰具有更小的密碼分析攻擊面，使加密方案整體具有更高的安全性。

• 減少密鑰破解的時間窗口

如果在定期輪轉密鑰的基礎上，將舊密鑰加密的密文數據用新密鑰重新加密，則輪轉周期即為一個密鑰的破解時間窗口。這意味著惡意者只有在兩次輪轉事件之間完成破解，才能拿到數據。

密鑰版本概述

KMS中的用戶CMK支持多個密鑰版本。每一個密鑰版本是一個獨立生成的密鑰，同一個CMK下的多個密鑰版本在密碼學上互不相關。

對稱密鑰版本

密鑰版本可通過自動輪轉策略，由系統自動生成，對稱密鑰的版本分為主版本和非主版本。

• 一個對稱密鑰版本包含一個主版本和多個非主版本。密鑰創建后KMS會生成初始密鑰版本并將其設置為主版本，輪轉后會生成一個新的密鑰版本，并將新的密鑰版本設置為主版本，原版本設置為非主版本；
• 在調用對稱密鑰進行加解密操作時，KMS默認使用主版本實現；
• 密鑰輪轉產生新的主版本后，KMS不會刪除或禁用非主版本，它們需要被用作解密數據。

非對稱密鑰版本

非對稱密鑰不支持自動輪轉，需人工創建新的密鑰版本，版本創建后立即生效。

• 非對稱的用于主密鑰沒有主版本（PrimaryKeyVersion）的概念，因此使用非對稱密碼運算的接口除需指定用戶主密鑰標志符（或別名）之外，還需指定密鑰版本。

操作步驟

設置自動輪轉（對稱密鑰）

1. 登錄密鑰管理服務控制臺。
2. 在頁面最上方的導航欄的資源池下拉列表，選擇密鑰所在的區域；

3. 在左側導航欄，單擊密鑰管理服務，進入密鑰列表；
4. 定位待設置的對稱密鑰，點擊密鑰ID，進入密鑰詳情頁；
5. 在密鑰版本區域，點擊設置輪轉策略；

6. 在設置輪轉策略對話框，選擇輪轉周期，30天、90天、180天，或自定義天數；

7. 設置了自動輪轉策略后，將顯示密鑰下次輪轉時間。點擊確定完成設置；

創建密鑰版本（非對稱密鑰）

1. 登錄密鑰管理服務控制臺；
2. 在頁面最上方的導航欄的資源池下拉列表，選擇密鑰所在的區域；

3. 在左側導航欄，單擊密鑰管理服務，進入密鑰列表；
4. 定位待設置的非對稱密鑰，點擊密鑰ID，進入密鑰詳情頁；
5. 在密鑰版本區域，點擊創建密鑰版本；

6. 在彈出的對話框內，點擊確定；

7. 在密鑰版本列表，可查看密鑰版本ID、創建日期。點擊查看公鑰，在彈出的對話框，可復制或下載公鑰。