Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wichtige Zustände von AWS KMS Schlüsseln
An hat AWS KMS key immer einen Schlüsselstatus. Operationen an dem KMS Schlüssel und seiner Umgebung können diesen Schlüsselstatus ändern, entweder vorübergehend oder bis eine andere Operation seinen Schlüsselstatus ändert.
Die Tabelle in diesem Abschnitt zeigt, wie sich wichtige Zustände auf Aufrufe von AWS KMS API Operationen auswirken. Aufgrund des Schlüsselstatus wird erwartet, dass eine Operation mit einem KMS Schlüssel erfolgreich ist (✓
), fehlschlägt (X
) oder nur unter bestimmten Bedingungen erfolgreich ist (?
). Bei KMS Schlüsseln mit importiertem Schlüsselmaterial unterscheidet sich das Ergebnis häufig.
Diese Tabelle enthält nur die API Operationen, die einen vorhandenen KMS Schlüssel verwenden. Andere Operationen, wie z. B. CreateKeyund ListKeys, werden weggelassen.
Wichtige Zustände und KMS Schlüsseltypen
Der Typ des KMS Schlüssels bestimmt, welche Schlüsselstatus er haben kann.
-
Alle KMS Schlüssel können sich in den
PendingDeletion
ZuständenEnabled
Disabled
, und befinden. -
Die meisten KMS Schlüssel werden im
Enabled
Status erstellt. Schlüssel mit importiertem Schlüsselmaterial werden im StatusPendingImport
erstellt. -
Der
PendingImport
Status gilt nur für KMS Schlüssel mit importiertem Schlüsselmaterial. -
Der
Unavailable
Status gilt nur für einen KMS Schlüssel in einem benutzerdefinierten Schlüsselspeicher. Ein KMS Schlüssel in einem AWS CloudHSM Schlüsselspeicher liegt vorUnavailable
, wenn der benutzerdefinierte Schlüsselspeicher absichtlich von seinem AWS CloudHSM Cluster getrennt wird. Ein KMS Schlüssel in einem externen Schlüsselspeicher liegt vorUnavailable
, wenn der benutzerdefinierte Schlüsselspeicher absichtlich von seinem externen Schlüsselspeicher-Proxy getrennt wird. Sie können nicht verfügbare KMS Schlüssel anzeigen und verwalten, sie jedoch nicht für kryptografische Operationen verwenden.Der Schlüsselstatus eines KMS Schlüssels in einem benutzerdefinierten Schlüsselspeicher wird durch Änderungen an seinem Backing-Schlüssel nicht beeinflusst. Änderungen an KMS seinem zugehörigen AWS CloudHSM Schlüsselmaterial im AWS CloudHSM Cluster wirken sich nicht auf einen Schlüssel in einem Schlüsselspeicher aus. Änderungen an seinem externen KMS Schlüssel in einem externen Schlüsselmanager wirken sich nicht auf einen Schlüssel in einem externen Schlüsselspeicher aus. Wenn der Sicherungsschlüssel deaktiviert oder gelöscht wird, ändert sich der KMS Schlüsselstatus nicht, aber kryptografische Operationen, die den KMS Schlüssel verwenden, schlagen fehl.
-
Der
Creating
-,Updating
-, undPendingReplicaDeletion
-Schlüsselstatus gilt nur für multiregionale Schlüssel.-
Ein multiregionaler Replikatschlüssel befindet sich während der Erstellung im vorübergehenden Schlüsselstatus
Creating
. Dieser Vorgang ist möglicherweise noch im Gange, wenn der ReplicateKeyVorgang abgeschlossen ist. Wenn der Replikationsprozess abgeschlossen ist, befindet sich der Replikatschlüssel im StatusEnabled
oderPendingImport
. -
Multiregionale Schlüssel befinden sich im vorübergehenden Schlüsselstatus
Updating
, während die primäre Region aktualisiert wird. Dieser Vorgang ist möglicherweise noch im Gange, wenn der UpdatePrimaryRegionVorgang abgeschlossen ist. Wenn der Aktualisierungsvorgang abgeschlossen ist, setzen die Primär- und Replikatschlüssel denEnabled
-Schlüsselstatus fort. -
Wenn Sie das Löschen eines multiregionalen Primärschlüssels planen, der Replikatschlüssel besitzt, befindet sich der Primärschlüssel im Status
PendingReplicaDeletion
, bis alle seine Replikatschlüssel gelöscht werden. Danach wechselt der Schlüsselstatus zuPendingDeletion
. Details hierzu finden Sie unter Deleting multi-Region keys.
-
Schlüsselstatus-Tabelle
Die folgende Tabelle zeigt, wie sich der Schlüsselstatus eines KMS Schlüssels auf AWS KMS Operationen auswirkt.
Die Beschreibungen der nummerierten Fußnoten ([n] sind am Ende dieses Themas.
Anmerkung
Möglicherweise müssen Sie horizontal oder vertikal scrollen, um alle Daten in dieser Tabelle anzuzeigen.
API | Enabled | Disabled |
Löschen ausstehend Löschen des Replikats ausstehend |
Import ausstehend | Nicht verfügbar | Erstellen | Aktualisieren |
---|---|---|---|---|---|---|---|
CancelKeyDeletion | [4] |
[4] |
[4] |
[4], [13] |
[4] |
[4] |
|
CreateAlias | [3] |
||||||
CreateGrant | [1] |
[2] oder [3] |
[5] |
[14] |
|||
Decrypt | [1] |
[2] oder [3] |
[5] |
[11] |
[14] |
||
DeleteAlias | |||||||
DeleteImportedKeyMaterial |
[9] |
[9] |
[9] |
(keine Auswirkung) |
N/A |
[14] |
[15] |
DescribeKey | |||||||
DisableKey | [3] |
[5] |
[12] |
[14] |
[15] |
||
DisableKeyRotation |
[7] |
[1] oder [7] |
[3] oder [7] |
[6] |
[7] |
[14] |
[7] |
EnableKey | [3] |
[5] |
[12] |
[14] |
[15] |
||
EnableKeyRotation |
[7] |
[1] oder [7] |
[3] oder [7] |
[6] |
[7] |
[14] |
[7] |
Encrypt | [1] |
[2] oder [3] |
[5] |
[11] |
[14] |
||
GenerateDataKey | [1] |
[2] oder [3] |
[5] |
[11] |
[14] |
||
GenerateDataKeyPair | [1] |
[2] oder [3] |
[5] |
[11] |
[14] |
||
GenerateDataKeyPairWithoutPlaintext | [1] |
[2] oder [3] |
[5] |
[11] |
[14] |
||
GenerateDataKeyWithoutPlaintext | [1] |
[2] oder [3] |
[5] |
[11] |
[14] |
||
GenerateMac | [1] |
[2] oder [3] |
N/A | N/A |
[14] |
||
GetKeyPolicy | |||||||
GetKeyRotationStatus |
[7] |
[7] |
[7] |
[6] |
[7] |
[7] |
[7] |
GetParametersForImport |
[9] |
[9] |
[8] oder [9] |
[9] |
[14] |
[15] |
|
GetPublicKey |
[2] oder [3] |
N/A | N/A |
[14] |
|||
ImportKeyMaterial |
[9] |
[9] |
[8] oder [9] |
[9] |
[14] |
||
ListAliases | |||||||
ListGrants | |||||||
ListKeyPolicies | |||||||
ListKeyRotations |
[7] |
[7] |
[7] |
[6] |
[7] |
[7] |
[7] |
ListResourceTags | |||||||
PutKeyPolicy | |||||||
ReEncrypt | [1] |
[2] oder [3] |
[5] |
[11] |
[14] |
||
ReplicateKey |
[1] |
[2] oder [3] |
[5] |
N/A |
[14] |
[15] |
|
RetireGrant | |||||||
RevokeGrant | |||||||
RotateKeyOnDemand |
[7] |
[1] oder [7] |
[3] oder [7] |
[6] |
[7] |
[14] |
[7] |
ScheduleKeyDeletion | [3] |
[15] |
|||||
Sign |
[1] |
[2] oder [3] |
N/A | N/A |
[14] |
||
TagResource | [3] |
||||||
UntagResource | [3] |
||||||
UpdateAlias | [10] |
||||||
UpdateKeyDescription | [3] |
||||||
UpdatePrimaryRegion |
[1] |
[2] oder [3] |
[5] |
N/A |
[14] |
||
Verify |
[1] |
[2] oder [3] |
N/A | N/A |
[14] |
||
VerifyMac | [1] |
[2] oder [3] |
N/A | N/A |
[14] |
Tabellendetails
-
[1]
DisabledException:
<key ARN>
is disabled. -
[2]
DisabledException:
<key ARN>
is pending deletion (or pending replica deletion). -
[3]
KMSInvalidStateException:
<key ARN>
is pending deletion (or pending replica deletion). -
[4]
KMSInvalidStateException:
<key ARN>
is not pending deletion (or pending replica deletion). -
[5]
KMSInvalidStateException:
<key ARN>
is pending import. -
[6]
UnsupportedOperationException:
<key ARN>
origin is EXTERNAL which is not valid for this operation. -
[7] Wenn der KMS Schlüssel Schlüsselmaterial importiert hat oder sich in einem benutzerdefinierten Schlüsselspeicher befindet:
UnsupportedOperationException
. -
[8] Wenn der KMS Schlüssel Schlüsselmaterial importiert hat:
KMSInvalidStateException
-
[9] Wenn für den KMS Schlüssel kein Schlüsselmaterial importiert werden kann oder nicht vorhanden ist:
UnsupportedOperationException
. -
[10] Wenn der KMS Quellschlüssel noch gelöscht werden muss, ist der Befehl erfolgreich. Wenn der KMS Zielschlüssel noch nicht gelöscht werden muss, schlägt der Befehl mit folgender Fehlermeldung fehl:
KMSInvalidStateException :
<key ARN>
is pending deletion. -
[11]
KMSInvalidStateException:
Sie können diesen Vorgang nicht für einen KMS Schlüssel ausführen, der nicht verfügbar ist.<key ARN>
is unavailable. -
[12] Der Vorgang ist erfolgreich, aber der Schlüsselstatus des KMS Schlüssels ändert sich nicht, bis er verfügbar ist.
-
[13] Während ein KMS Schlüssel in einem benutzerdefinierten Schlüsselspeicher noch gelöscht werden muss, bleibt sein Schlüsselstatus
PendingDeletion
auch dann bestehen, wenn der KMS Schlüssel nicht mehr verfügbar ist. Auf diese Weise können Sie das Löschen des KMS Schlüssels während der Wartezeit jederzeit abbrechen. -
[14]
KMSInvalidStateException:
AWS KMS löst diese Ausnahme aus, während ein Schlüssel für mehrere Regionen repliziert wird ().<key ARN>
is creating.ReplicateKey
-
[15]
KMSInvalidStateException:
AWS KMS löst diese Ausnahme aus, während die primäre Region eines Schlüssels mit mehreren Regionen aktualisiert wird ().<key ARN>
is updating.UpdatePrimaryRegion