Ändern Sie den Status eines AWS-KMS-Schlüssels

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 3 Minuten Lesedauer

    • Ändern Sie den Status Ihres Schlüsselverwaltungssystems für Amazon Webservices (AWS KMS), und synchronisieren Sie den Status mit ServiceNow Instanz.

    Vorbereitungen

    Erforderliche Rollen: administrator, Security_admin und sn_kmf.cryptographic_Manager

    Stellen Sie sicher, dass Sie Folgendes haben:

    • Konfigurierte Service für die Verwaltung externer Schlüssel( EKMS) In ServiceNow
    • Berechtigungen zum Ändern des Schlüsselstatus in AWS

    Warum und wann dieser Vorgang ausgeführt wird

    AWS KMS-Schlüssel können verschiedene Status haben, die steuern, ob sie für Verschlüsselungs- und Entschlüsselungsvorgänge verwendet werden können. Das Ändern des Status eines Schlüssels in AWS wirkt sich auf Ihre Fähigkeit aus, neue Daten zu verschlüsseln und vorhandene Daten in zu entschlüsseln Service für die Verwaltung externer Schlüssel( EKMS). Ein Hintergrundsynchronisierungsauftrag wird aktualisiert EKMS Mit dem aktuellen AWS-Schlüsselstatus alle 30 Minuten.

    Wichtig:
    Schlüsselstatusänderungen haben unmittelbare Auswirkungen auf die Sicherheit und den Betrieb. Koordinieren Sie alle Schlüsselstatusänderungen mit Ihrem ServiceNow Administratoren und Anwendungsteams, bevor Änderungen vorgenommen werden.

    Prozedur

    1. Greifen Sie auf den AWS-Schlüsselverwaltungsservice zu.
    2. Überprüfen Sie den aktuellen Schlüsselstatus.
    3. Ändern Sie den Schlüsselstatus basierend auf Ihren Anforderungen.
      Warnung:
      Durch Deaktivieren oder Löschen eines Schlüssels wird verhindert ServiceNow Von der Verschlüsselung neuer Daten und der Entschlüsselung vorhandener Daten. Stellen Sie sicher, dass Sie über einen Plan für die Datenmigration oder Schlüsselwiederherstellung verfügen, bevor Sie den Löschvorgang deaktivieren oder planen.
    4. Warten Sie, bis der geplante Synchronisierungsauftrag die Schlüsselstatusänderung verarbeitet.
      EKMS synchronisiert automatisch alle 30 Minuten den AWS-Schlüsselstatus über einen Hintergrundauftrag. Der Auftrag erkennt und aktualisiert die Schlüsselstatusänderung in Ihrer Instanz innerhalb von 30 Minuten.
    5. Überprüfen Sie den Schlüsselstatus, der in aktualisiert wurde EKMS.
      Siehe Überprüfen Sie den Schlüsselstatus des externen Schlüsselverwaltungsservice .
      Der AWS-Schlüsselstatus wird mit synchronisiert EKMS.

    Ergebnisse

    Der neue Status wird in angezeigt EKMS Konfiguration und Verschlüsselungs- und Entschlüsselungsvorgänge verhalten sich entsprechend dem neuen Schlüsselstatus.

    Wenn Sie einen Schlüssel in AWS deaktivieren, ServiceNow Stellt mehrere Benachrichtigungen für Warnungsadministratoren bereit:

    • Das Feld „externer Schlüsselstatus“ ändert sich auf der in „deaktiviert“ EKMS Konfigurationsseite.
    • Im Sicherheitscenter wird automatisch eine Sicherheitsaufgabe mit hoher Priorität erstellt, die Administratoren darüber benachrichtigt EKMS Schlüssel wurde deaktiviert. Navigieren Sie zu , um Benachrichtigungen anzuzeigen Alle > Sicherheitscenter > Übersichtan. Siehe Sicherheitscenter .

    Während der Schlüssel deaktiviert ist, können Sie Daten in verschlüsselten Feldern nicht verschlüsseln oder entschlüsseln. Sie können weiterhin Datensätze erstellen, wenn das verschlüsselte Feld kein Pflichtfeld ist, und Sie können nicht verschlüsselte Felder in vorhandenen Datensätzen aktualisieren. Alle kryptografischen Vorgänge werden blockiert, bis der Schlüssel in AWS erneut aktiviert wird.

    Nächste Maßnahme

    Wichtige Überlegungen nach dem Ändern des Schlüsselstatus:

    • Wenn Sie Ihren AWS-Schlüssel deaktiviert haben: Neue Daten können nicht verschlüsselt werden, und vorhandene verschlüsselte Daten können erst entschlüsselt werden, wenn der Schlüssel erneut aktiviert wurde. Planen Sie, wie verschlüsselte Felder während dieser Zeit behandelt werden sollen.
    • Wenn Sie einen zuvor deaktivierten Schlüssel aktiviert haben: Verschlüsselungs- und Entschlüsselungsvorgänge werden fortgesetzt, sobald der Synchronisierungsauftrag den Schlüsselstatus in EKMS aktualisiert (innerhalb von 30 Minuten). Testen Sie Ihre EKMS-Konfiguration, indem Sie auf klicken Testen Schaltfläche. Stellen Sie dann sicher, dass alle verschlüsselten Felder zugänglich sind.
    • Wenn Sie den Schlüssel zum Löschen geplant haben: Sie haben 7 bis 30 Tage (abhängig von Ihrem Löschzeitplan in AWS), um die Löschung abzubrechen, bevor der Schlüssel endgültig gelöscht wird. Nach dem dauerhaften Löschen können verschlüsselte Daten nicht wiederhergestellt werden.
    • Wenn Sie eine geplante Löschung abgebrochen haben: Denken Sie daran, den Schlüssel zu aktivieren, wenn er deaktiviert war. Durch das Abbrechen des Löschvorgangs wird der Schlüssel nicht automatisch aktiviert.
    Wichtig:
    Der automatische Synchronisierungsauftrag wird alle 30 Minuten ausgeführt. EKMS Erkennt Statusänderungen automatisch innerhalb von 30 Minuten ab dem Zeitpunkt, zu dem sie in AWS auftreten.

    AWS erfordert eine Wartezeit von mindestens 7 Tagen für die Löschung des Schlüssels. Während dieses Zeitraums wird der Schlüsselstatus sowohl in AWS als auch als „Löschung ausstehend“ angezeigt EKMS. Schlüssel können nicht verwendet werden, während die Löschung aussteht. Nach sieben Tagen wird der Schlüssel endgültig gelöscht und kann nicht wiederhergestellt werden. Alle mit einem gelöschten Schlüssel verschlüsselten Daten sind dauerhaft unzugänglich.