Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Tasten aktivieren und deaktivieren
Sie können kundenverwaltete Schlüssel aktivieren und deaktivieren. Wenn Sie einen KMS Schlüssel erstellen, ist er standardmäßig aktiviert. Wenn Sie einen KMS Schlüssel deaktivieren, kann er erst dann für kryptografische Operationen verwendet werden, wenn Sie ihn erneut aktivieren.
Da es temporär ist und leicht rückgängig gemacht werden kann, ist das Deaktivieren eines KMS Schlüssels eine sichere Alternative zum Löschen eines KMS Schlüssels, eine Aktion, die destruktiv und irreversibel ist. Wenn Sie erwägen, einen KMS Schlüssel zu löschen, deaktivieren Sie ihn zunächst und stellen Sie einen CloudWatch Alarm oder einen ähnlichen Mechanismus ein, um sicherzustellen, dass Sie den Schlüssel niemals zum Entschlüsseln verschlüsselter Daten verwenden müssen.
Wenn Sie einen KMS Schlüssel deaktivieren, wird er sofort unbrauchbar (vorausgesetzt, dass er irgendwann konsistent ist). Ressourcen, die mit durch den KMSSchlüssel geschützten Datenschlüsseln verschlüsselt wurden, sind jedoch erst betroffen, wenn der KMS Schlüssel erneut verwendet wird, z. B. zum Entschlüsseln des Datenschlüssels. Dieses Problem betrifft AWS-Services, dass viele von ihnen Datenschlüssel verwenden, um Ihre Ressourcen zu schützen. Details hierzu finden Sie unter Wie sich unbrauchbare KMS Schlüssel auf Datenschlüssel auswirken.
Sie können oder nicht aktivieren Von AWS verwaltete Schlüsseloder deaktivieren AWS-eigene Schlüssel. Von AWS verwaltete Schlüssel sind dauerhaft für die Nutzung durch Dienste aktiviert, die AWS KMS AWS-eigene Schlüssel werden ausschließlich von dem Dienst verwaltet, dem sie gehören.
Anmerkung
AWS KMS rotiert das Schlüsselmaterial von vom Kunden verwalteten Schlüsseln nicht, solange diese deaktiviert sind. Weitere Informationen finden Sie unter So funktioniert die Schlüsselrotation.
Sie können die AWS KMS Konsole verwenden, um vom Kunden verwaltete Schlüssel zu aktivieren und zu deaktivieren.
-
Melden Sie sich bei der Konsole AWS Key Management Service (AWS KMS) an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms
. -
Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
-
Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.
-
Wählen Sie das Kontrollkästchen für die KMS Schlüssel aus, die Sie aktivieren oder deaktivieren möchten.
-
Um einen KMS Schlüssel zu aktivieren, wählen Sie Schlüsselaktionen, Aktivieren aus. Um einen KMS Schlüssel zu deaktivieren, wählen Sie Wichtige Aktionen, Deaktivieren.
Die EnableKeyOperation aktiviert eine deaktivierte AWS KMS key. Für diese Beispiele wird die AWS Command Line Interface (AWS CLI)key-id
muss angegeben werden.
Diese Produktion gibt keine Ausgabe zurück. Verwenden Sie die DescribeKeyOperation, um den Schlüsselstatus zu sehen.
$
aws kms enable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
Der DisableKeyVorgang deaktiviert einen aktivierten KMS Schlüssel. Der Parameter key-id
muss angegeben werden.
$
aws kms disable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
Diese Produktion gibt keine Ausgabe zurück. Um den Schlüsselstatus zu sehen, verwenden Sie die DescribeKeyOperation und sehen Sie sich das Enabled
Feld an.
$
aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{ "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "MultiRegion": false, "Enabled": false, "KeyState": "Disabled", "KeyUsage": "ENCRYPT_DECRYPT", "CreationDate": 1502910355.475, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333" "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }