本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 轮换密钥材料 授权用户可以为其客户管理型 KMS 密钥启用年度自动轮换。 AWS 托管式密钥 始终会每年轮换一次。 KMS 密钥轮换时,系统将创建一个新的 HBK,并将其标记为所有新加密请求所用密钥材料的当前版本。所有之前版本的 HBK 仍然会永久可供使用,以用于解密使用相应 HBK 版本加密的任何加密文字。由于 AWS KMS 不存储任何在 KMS 密钥下加密的密文,因此在较旧的、轮换的 HBK 下加密的密文需要 HBK 进行解密。您可以通过 [https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) API 以使用 KMS 密钥的新 HBK 或其他 KMS 密钥重新加密任何加密文字,而不暴露明文。 有关启用和禁用密钥轮换的信息,请参阅《AWS Key Management Service 开发人员指南》中的[轮换 Amazon KMS 密钥](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html)。