Moeten we KMS-keys roteren en zo ja hoe?
Voor AWS-managed keys gebeurt rotatie automatisch elk jaar. Voor customer-managed keys zet je automatic rotation aan, dat is één checkbox. Handmatig keys roteren met re-encrypt is zelden nodig.
Probeer dit eerst zelf
- 1Voor symmetric customer-managed keys: zet Automatic Key Rotation aan. AWS maakt elk jaar nieuw key-material, oude data blijft leesbaar via key-versies.
- 2Asymmetric keys roteren niet automatisch. Daar maak je een nieuwe key, gebruik je beide aliassen, en migreert software stapsgewijs.
- 3Audit met CloudTrail welke key wat versleutelt. Een KMS-key zonder gebruik is meestal te schedulen voor deletion (7-30 dagen wachttijd).
- 4Op Azure heet dit Key Vault key rotation policy, op GCP Cloud KMS rotation period. Patroon hetzelfde.
- 5Documenteer welke key welke data versleutelt en wie key-admin is. Bij een audit is dat de eerste vraag.
Wanneer ons inschakelen
Werken jullie met PCI-data of patiëntgegevens en is rotatie-frequentie contractueel vastgelegd, dan is een korte review met je security-officer de moeite waard.
Zie ook
- Iedereen logt in met het root-account van AWSHet root-account is voor noodgevallen en facturatie. Dagelijks werk hoort via IAM-users of SSO.
- Iedere developer heeft AdministratorAccessAdministratorAccess overal is gemak nu, drama later. Begin met rolgebaseerde policies.
- Iedereen heeft losse IAM-users met eigen wachtwoordIdentity Center (voorheen AWS SSO) koppelt aan je IdP en geeft tijdelijke credentials per sessie.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.