开启密钥轮换

前提条件

• 密钥处于“启用”状态。
• “密钥材料来源”为“密钥管理”。
• 仅对称密钥支持开启密钥轮换。

约束条件

• 如果自定义密钥开启密钥轮换以后，禁用了自定义密钥，KMS也不会轮换该自定义密钥。

  当自定义密钥恢复到“启用”状态时，密钥轮换将立即重新激活。如果刚恢复“启用”状态的自定义密钥距离上次轮换的时间已超过轮换周期，KMS将在24小时内轮换该自定义密钥。

• 只有区域主密钥可以进行轮转，副本密钥不允许进行密钥轮转。

操作步骤

1. 登录管理控制台。
2. 单击管理控制台左上角，选择区域或项目。
3. 单击页面左侧，选择“安全与合规 > 数据加密服务”，默认进入“密钥管理”界面。

4. 单击目标自定义密钥的别名，进入密钥详细信息页面。
5. 单击“轮换策略”，进入“轮换策略”页面，如图1所示。
   图1 密钥轮换
   

6. 单击，将“密钥轮换”设置为，弹出“启用轮换策略”对话框。
7. 设置轮换周期（天），单击“确定”。如图2所示。参数说明如表1所示。
   图2 开启密钥轮换
   

   表1 密钥轮换参数说明

   参数	说明
   密钥轮换	密钥轮换开关，默认。 ：关闭。 ：开启。 开启密钥轮换后，密钥在设置的轮换周期到达后开始轮换。 说明： 如果自定义密钥开启密钥轮换以后，禁用了自定义密钥，KMS也不会轮换该自定义密钥。 当自定义密钥恢复到“启用”状态时，密钥轮换将立即重新激活。如果刚恢复“启用”状态的自定义密钥距离上次轮换的时间已超过轮换周期，KMS将在24小时内轮换该自定义密钥。
   轮换周期（天）	轮换周期。取值范围为“30~365”的整数，默认“365”天。 轮换周期需要根据自定义密钥的使用频率进行设置，如果密钥使用频率高，建议设置为短周期；反之，则设置为长周期。

8. 开启后，页面显示密钥轮换详情，如图 密钥轮换详情所示。
   图3 密钥轮换详情
   
   

   用户可单击，修改轮换周期。修改轮换周期后，根据新设置的轮换周期进行轮换。