Aktivieren und Deaktivieren von Schlüsseln - AWS Key Management Service
Aktivieren und Deaktivieren von KMS-Schlüsseln (Konsole)Aktivieren und Deaktivieren von KMS-Schlüsseln (AWS KMS-API)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivieren und Deaktivieren von Schlüsseln

Sie können kundenverwaltete Schlüssel aktivieren und deaktivieren. Beim Erstellen eines KMS-Schlüssels ist er standardmäßig aktiviert. Wenn Sie einen KMS-Schlüssel deaktivieren, kann er in keiner kryptografischen Produktion verwendet werden, bis Sie die Option erneut aktivieren.

Da es vorübergehend ist und leicht rückgängig gemacht werden kann, ist das Deaktivieren eines KMS-Schlüssels eine sichere Alternative zum Löschen eines KMS-Schlüssels, einer Aktion, die endgültig und irreversibel ist. Wenn Sie erwägen, einen KMS-Schlüssel zu löschen, deaktivieren Sie ihn zuerst und legen Sie einen CloudWatch Alarm oder einen ähnlichen Mechanismus fest, um sicherzustellen, dass Sie den Schlüssel niemals zum Entschlüsseln verschlüsselter Daten verwenden müssen.

Wenn Sie einen KMS-Schlüssel deaktivieren, wird er sofort unbrauchbar (je nach letztendlicher Konsistenz). Ressourcen, die mit durch den KMS-Schlüssel geschützten Datenschlüsseln verschlüsselt wurden, sind jedoch nicht betroffen, bis der KMS-Schlüssel erneut verwendet wird, z. B. zur Entschlüsselung des Datenschlüssels. Dieses Problem betrifft AWS-Services, von denen viele Datenschlüssel verwenden, um Ihre Ressourcen zu schützen. Details hierzu finden Sie unter Auswirkung von unbrauchbaren KMS-Schlüsseln auf Datenschlüssel.

Sie können Von AWS verwaltete Schlüssel oder AWS-eigene Schlüssel nicht aktivieren oder deaktivieren. Von AWS verwaltete Schlüssel sind dauerhaft für die Verwendung durch -Services aktiviert, die AWS KMS verwenden. AWS-eigene Schlüssel werden ausschließlich von dem Service verwaltet, dem sie gehören.

Anmerkung

AWS KMS dreht nicht die das Schlüsselmaterial von kundenverwalteten Schlüsseln, solange diese deaktiviert sind. Weitere Informationen finden Sie unter So funktioniert die Schlüsselrotation.

Aktivieren und Deaktivieren von KMS-Schlüsseln (Konsole)

Sie können die AWS KMS-Konsole verwenden, um kundenverwaltete Schlüssel zu aktivieren und zu deaktivieren.

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Key Management Service (AWS KMS)-Konsole unter https://console.aws.amazon.com/kms.

  2. Wenn Sie die AWS-Region ändern möchten, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

  4. Aktivieren Sie das Kontrollkästchen für die KMS-Schlüssel, die Sie aktivieren oder deaktivieren möchten.

  5. Um einen KMS-Schlüssel zu aktivieren, wählen Sie Key actions (Schlüsselaktionen) und Enable (aktivieren) aus. Um einen KMS-Schlüssel zu deaktivieren, wählen Sie Key actions (Schlüsselaktionen) und Disable (deaktivieren) aus.

Aktivieren und Deaktivieren von KMS-Schlüsseln (AWS KMS-API)

Die -EnableKeyOperation aktiviert eine deaktivierte AWS KMS key. Für diese Beispiele wird die AWS Command Line Interface (AWS CLI) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen. Der Parameter key-id muss angegeben werden.

Diese Produktion gibt keine Ausgabe zurück. Um den Schlüsselstatus anzuzeigen, verwenden Sie die -DescribeKeyOperation.

$ aws kms enable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

Die -DisableKeyOperation deaktiviert einen aktivierten KMS-Schlüssel. Der Parameter key-id muss angegeben werden.

$ aws kms disable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

Diese Produktion gibt keine Ausgabe zurück. Um den Schlüsselstatus anzuzeigen, verwenden Sie die -DescribeKeyOperation und sehen Sie sich das Enabled Feld an.

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "MultiRegion": false,
        "Enabled": false,
        "KeyState": "Disabled",
        "KeyUsage": "ENCRYPT_DECRYPT",        
        "CreationDate": 1502910355.475,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333"
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}