Wichtige Zustände von AWS KMS Schlüsseln - AWS Key Management Service
Schlüsselstatus und KMS-SchlüsseltypenSchlüsselstatus-Tabelle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wichtige Zustände von AWS KMS Schlüsseln

An hat AWS KMS key immer einen Schlüsselstatus. Operationen auf dem KMS-Schlüssel und seiner Umgebung können diesen Schlüsselstatus entweder vorübergehend ändern oder bis eine andere Operation seinen Schlüsselstatus ändert.

Die Tabelle in diesem Abschnitt zeigt, wie sich wichtige Status auf Aufrufe von AWS KMS API-Vorgängen auswirken. Aufgrund des Schlüsselstatus wird erwartet, dass eine Operation für einen KMS-Schlüssel erfolgreich ist (), fehlschlägt (X) oder nur unter bestimmten Bedingungen erfolgreich ist (?). Bei KMS-Schlüssel mit importiertem Schlüsselmaterial kommt es häufig zu abweichenden Ergebnissen.

Diese Tabelle enthält nur die API-Operationen, die einen vorhandenen KMS-Schlüssel verwenden. Andere Operationen, wie CreateKeyund ListKeys, werden weggelassen.

Schlüsselstatus und KMS-Schlüsseltypen

Der Typ des KMS-Schlüssels bestimmt den Schlüsselstatus, den er haben kann.

  • Alle KMS-Schlüssel können im Status Enabled, Disabled, und PendingDeletion sein.

  • Die meisten KMS-Schlüssel werden im Status Enabled erstellt. Schlüssel mit importiertem Schlüsselmaterial werden im Status PendingImport erstellt.

  • Der Status PendingImport gilt nur für KMS-Schlüssel mit importiertem Schlüsselmaterial.

  • Der Status Unavailable gilt nur für KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher. Ein KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher liegt vorUnavailable, wenn der benutzerdefinierte Schlüsselspeicher absichtlich von seinem AWS CloudHSM Cluster getrennt wird. Ein KMS-Schlüssel in einem externen Schlüsselspeicher ist Unavailable, wenn der benutzerdefinierte Schlüsselspeicher von seinem externen Schlüsselspeicher-Proxy absichtlich getrennt wird. Sie können diese nicht-verfügbaren KMS-Schlüssel anzeigen und verwalten, Sie können sie jedoch nicht in kryptografischen Operationen verwenden.

    Der Schlüsselstatus eines KMS-Schlüssels in einem benutzerdefinierten Schlüsselspeicher wird durch Änderungen an seinem Unterstützungsschlüssel nicht beeinflusst. Ein KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher wird durch Änderungen an seinem zugehörigen Schlüsselmaterial im AWS CloudHSM Cluster nicht beeinträchtigt. Ein KMS-Schlüssel in einem externen Schlüsselspeicher wird durch Änderungen an seinem externen Schlüssel in einem externen Schlüsselmanager nicht beeinflusst. Wenn der Unterstützungsschlüssel deaktiviert oder gelöscht wird, ändert sich der Status des KMS-Schlüssels nicht. Kryptografische Vorgänge, die den KMS-Schlüssel verwenden, schlagen jedoch fehl.

  • Der Creating-, Updating-, und PendingReplicaDeletion-Schlüsselstatus gilt nur für multiregionale Schlüssel.

    • Ein multiregionaler Replikatschlüssel befindet sich während der Erstellung im vorübergehenden Schlüsselstatus Creating. Dieser Vorgang ist möglicherweise noch im Gange, wenn der ReplicateKeyVorgang abgeschlossen ist. Wenn der Replikationsprozess abgeschlossen ist, befindet sich der Replikatschlüssel im Status Enabled oder PendingImport.

    • Multiregionale Schlüssel befinden sich im vorübergehenden Schlüsselstatus Updating, während die primäre Region aktualisiert wird. Dieser Vorgang ist möglicherweise noch im Gange, wenn der UpdatePrimaryRegionVorgang abgeschlossen ist. Wenn der Aktualisierungsvorgang abgeschlossen ist, setzen die Primär- und Replikatschlüssel den Enabled-Schlüsselstatus fort.

    • Wenn Sie das Löschen eines multiregionalen Primärschlüssels planen, der Replikatschlüssel besitzt, befindet sich der Primärschlüssel im Status PendingReplicaDeletion, bis alle seine Replikatschlüssel gelöscht werden. Danach wechselt der Schlüsselstatus zu PendingDeletion. Details hierzu finden Sie unter Löschen von multiregionalen Schlüsseln.

Schlüsselstatus-Tabelle

Die folgende Tabelle zeigt, wie sich der Schlüsselstatus eines KMS-Schlüssels auf AWS KMS -Operationen auswirkt.

Die Beschreibungen der nummerierten Fußnoten ([n] sind am Ende dieses Themas.

Anmerkung

Möglicherweise müssen Sie horizontal oder vertikal Scrollen, um alle Daten in dieser Tabelle anzuzeigen.

API Enabled Disabled

Löschen ausstehend

Löschen des Replikats ausstehend

 Import ausstehend Nicht verfügbar Erstellen Aktualisieren
CancelKeyDeletion

[4]

[4]

[4]

[4], [13]

[4]

[4]

CreateAlias

[3]

CreateGrant

[1]

[2] oder [3]

[5]

[14]
Decrypt

[1]

[2] oder [3]

[5]

[11]

[14]
DeleteAlias
DeleteImportedKeyMaterial

[9]

[9]

[9]

(keine Auswirkung)

 N/A

[14]

[15]
DescribeKey
DisableKey

[3]

[5]

[12]

[14]

[15]
DisableKeyRotation

[7]

[1] oder [7]

[3] oder [7]

[6]

[7]

[14]

[7]
EnableKey

[3]

[5]

[12]

[14]

[15]
EnableKeyRotation

[7]

[1] oder [7]

[3] oder [7]

[6]

[7]

[14]

[7]

Encrypt

[1]

[2] oder [3]

[5]

[11]

[14]
GenerateDataKey

[1]

[2] oder [3]

[5]

[11]

[14]

GenerateDataKeyPair

[1]

[2] oder [3]

[5]

[11]

[14]
GenerateDataKeyPairWithoutPlaintext

[1]

[2] oder [3]

[5]

[11]

[14]
GenerateDataKeyWithoutPlaintext

[1]

[2] oder [3]

[5]

[11]

[14]
GenerateMac

[1]

[2] oder [3]

 N/A N/A

[14]
GetKeyPolicy
GetKeyRotationStatus

[7]

[7]

[7]

[6]

[7]

[7]

[7]
GetParametersForImport

[9]

[9]

[8] oder [9]

[9]

[14]

[15]
GetPublicKey

[1]

[2] oder [3]

 N/A N/A

[14]
ImportKeyMaterial

[9]

[9]

[8] oder [9]

[9]

[14]
ListAliases
ListGrants
ListKeyPolicies
ListKeyRotations

[7]

[7]

[7]

[6]

[7]

[7]

[7]
ListResourceTags
PutKeyPolicy
ReEncrypt

[1]

[2] oder [3]

[5]

[11]

[14]
ReplicateKey

[1]

[2] oder [3]

[5]

N/A

[14]

[15]
RetireGrant
RevokeGrant
RotateKeyOnDemand

[7]

[1] oder [7]

[3] oder [7]

[6]

[7]

[14]

[7]

ScheduleKeyDeletion

[3]

[15]
Sign

[1]

[2] oder [3]

 N/A N/A

[14]
TagResource

[3]

UntagResource

[3]

UpdateAlias

[10]
UpdateKeyDescription

[3]

UpdatePrimaryRegion

[1]

[2] oder [3]

[5]

N/A

[14]
Verify

[1]

[2] oder [3]

 N/A N/A

[14]
VerifyMac

[1]

[2] oder [3]

 N/A N/A

[14]

Tabellendetails

  • [1] DisabledException: <key ARN> is disabled.

  • [2] DisabledException: <key ARN> is pending deletion (or pending replica deletion).

  • [3] KMSInvalidStateException: <key ARN> is pending deletion (or pending replica deletion).

  • [4] KMSInvalidStateException: <key ARN> is not pending deletion (or pending replica deletion).

  • [5] KMSInvalidStateException: <key ARN> is pending import.

  • [6] UnsupportedOperationException: <key ARN> origin is EXTERNAL which is not valid for this operation.

  • [7] Wenn der KMS-Schlüssel importiertes Schlüsselmaterial enthält oder sich in einem benutzerdefinierten Schlüsselspeicher befindet: UnsupportedOperationException.

  • [8] Wenn der KMS-Schlüssel importiertes Schlüsselmaterial enthält: KMSInvalidStateException

  • [9] Wenn der KMS-Schlüssel kein importiertes Schlüsselmaterial enthält bzw. enthalten kann: UnsupportedOperationException

  • [10] Wenn für den Quell-KMS-Schlüssel die Löschung aussteht, wird der Befehl erfolgreich ausgeführt. Wenn für den Ziel-KMS-Schlüssel die Löschung aussteht, schlägt der Befehl mit diesem Fehler fehl: KMSInvalidStateException : <key ARN> is pending deletion.

  • [11] KMSInvalidStateException: <key ARN> is unavailable. Sie können diese Operation nicht auf einem KMS-Schlüssel durchführen, der nicht verfügbar ist.

  • [12] Die Operation ist erfolgreich, aber der Schlüsselstatus des KMS-Schlüssels ändert sich erst, wenn er tatsächlich verfügbar ist.

  • [13] Wenn ein KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher zur Löschung aussteht, bleibt der Schlüsselstatus auf PendingDeletion, auch wenn der KMS-Schlüssel nicht mehr verfügbar ist. Dies erlaubt es Ihnen, die Löschung des KMS-Schlüssels vor Ablauf der Wartefrist jederzeit abzubrechen.

  • [14] KMSInvalidStateException: <key ARN> is creating. AWS KMS löst diese Ausnahme aus, während ein Schlüssel für mehrere Regionen repliziert wird (). ReplicateKey

  • [15] KMSInvalidStateException: <key ARN> is updating. AWS KMS löst diese Ausnahme aus, während die primäre Region eines Schlüssels mit mehreren Regionen aktualisiert wird (). UpdatePrimaryRegion