Estados de clave de de las claves AWS KMS - AWS Key Management Service
Estados clave y tipos de claves KMSTabla estado de claves

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Estados de clave de de las claves AWS KMS

Una AWS KMS key siempre tiene un estado de clave. Las operaciones en la clave KMS y su entorno pueden cambiar ese estado de clave, ya sea de forma transitoria, o hasta que otra operación cambie su estado clave.

La tabla de esta sección muestra cómo los estados clave afectan a las llamadas a operaciones de la API de AWS KMS. Como resultado de su estado clave, se espera que una operación en una clave KMS tenga éxito (), falle (X), o tenga éxito solo bajo ciertas condiciones (?). El resultado a menudo difiere en el caso de las claves KMS con material de claves importado.

Esta tabla incluye sólo las operaciones de API que utilizan una clave KMS existente. Se omiten otras operaciones ListKeys, como CreateKeyy.

Estados clave y tipos de claves KMS

El tipo de clave KMS determina los estados clave que puede tener.

  • Todas las claves KMS pueden estar en los estados Enabled, Disabled y PendingDeletion.

  • La mayoría de las claves KMS se crean en el estado Enabled. Las claves con material de claves importado se crean en el estado PendingImport.

  • El estado PendingImport solo se aplica a las claves KMS con material de claves importado.

  • El estado Unavailable se aplica solo a una clave KMS en un almacén de claves personalizado. Una clave de KMS en un almacén de claves de AWS CloudHSM está Unavailable cuando el almacén de claves personalizado se desconecta de forma intencionada de su clúster de AWS CloudHSM. Una clave de KMS en un almacén de claves externo está Unavailable cuando el almacén de claves personalizado se desconecta de forma intencionada de su proxy del almacén de claves externo. Puede ver y administrar las claves KMS no disponibles, pero no puede usarlas en operaciones criptográficas.

    El estado de clave de una clave de KMS de un almacén de claves personalizado no se ve afectado por los cambios realizados a su clave de respaldo. Una clave de KMS de un almacén de claves de AWS CloudHSM no se ve afectada por los cambios realizados en el material de claves asociado en el clúster de AWS CloudHSM. Una clave de KMS de un almacén de claves externo no se ve afectada por los cambios en su clave externa en un administrador de claves externo. Si la clave de respaldo está deshabilitada o eliminada, el estado de la clave de KMS no cambia, pero fallan las operaciones criptográficas que utilizan la clave de KMS.

  • Los estados clave Creating, Updating y PendingReplicaDeletion solo se aplican a claves de varias regiones.

    • Una clave de réplica de varias regiones está en el estado de clave Creating transitorio mientras se está creando. Es posible que este proceso siga en curso cuando se complete la ReplicateKeyoperación. Cuando se completa el proceso de replicación, la clave de réplica se encuentra en el estado Enabled o PendingImport.

    • Las claves de varias regiones están en el estado clave Updating transitorio mientras se actualiza la región principal. Es posible que este proceso siga en curso cuando se complete la UpdatePrimaryRegionoperación. Cuando se completa el proceso de actualización, las claves principal y de réplica reanudan el estado de clave Enabled.

    • Cuando se programa la eliminación de una clave principal de varias regiones que tiene claves de réplica, la clave principal se encuentra en el estado PendingReplicaDeletion hasta que se eliminen todas sus claves de réplica. A continuación, el estado de clave cambia a PendingDeletion. Para obtener más detalles, consulte Eliminación de claves de varias regiones.

Tabla estado de claves

En la siguiente tabla se muestra cómo el estado de clave de una clave KMS afecta las operaciones de AWS KMS.

Las descripciones de las notas numeradas a pie de página ([n]) se encuentran al final de este tema.

nota

Es posible que tenga que desplazarse horizontal o verticalmente para ver todos los datos de esta tabla.

API Habilitado Deshabilitad

Eliminación pendiente

Eliminación pendiente de réplica

 Importación pendiente No disponible Creación Actualizar
CancelKeyDeletion

[4]

[4]

[4]

[4], [13]

[4]

[4]
CreateAlias

[3]
CreateGrant

[1]

[2] o [3]

[5]

[14]
Decrypt

[1]

[2] o [3]

[5]

[11]

[14]
DeleteAlias
DeleteImportedKeyMaterial

[9]

[9]

[9]

(sin efecto)

 N/A

[14]

[15]
DescribeKey
DisableKey

[3]

[5]

[12]

[14]

[15]
DisableKeyRotation

[7]

[1] o [7]

[3] o [7]

[6]

[7]

[14]

[7]
EnableKey

[3]

[5]

[12]

[14]

[15]
EnableKeyRotation

[7]

[1] o [7]

[3] o [7]

[6]

[7]

[14]

[7]

Encrypt

[1]

[2] o [3]

[5]

[11]

[14]
GenerateDataKey

[1]

[2] o [3]

[5]

[11]

[14]

GenerateDataKeyPair

[1]

[2] o [3]

[5]

[11]

[14]
GenerateDataKeyPairWithoutPlaintext

[1]

[2] o [3]

[5]

[11]

[14]
GenerateDataKeyWithoutPlaintext

[1]

[2] o [3]

[5]

[11]

[14]
GenerateMac

[1]

[2] o [3]

 N/A N/A

[14]
GetKeyPolicy
GetKeyRotationStatus

[7]

[7]

[7]

[6]

[7]

[7]

[7]
GetParametersForImport

[9]

[9]

[8] o [9]

[9]

[14]

[15]
GetPublicKey

[1]

[2] o [3]

 N/A N/A

[14]
ImportKeyMaterial

[9]

[9]

[8] o [9]

[9]

[14]
ListAliases
ListGrants
ListKeyPolicies
ListResourceTags
PutKeyPolicy
ReEncrypt

[1]

[2] o [3]

[5]

[11]

[14]
ReplicateKey

[1]

[2] o [3]

[5]

 N/A

[14]

[15]
RetireGrant
RevokeGrant
ScheduleKeyDeletion

[3]

[15]
Sign

[1]

[2] o [3]

 N/A N/A

[14]
TagResource

[3]
UntagResource

[3]
UpdateAlias

[10]
UpdateKeyDescription

[3]
UpdatePrimaryRegion

[1]

[2] o [3]

[5]

 N/A

[14]
Verificar

[1]

[2] o [3]

 N/A N/A

[14]
VerifyMac

[1]

[2] o [3]

 N/A N/A

[14]

Detalles de la tabla

  • [1] DisabledException: <key ARN> is disabled.

  • [2] DisabledException: <key ARN> is pending deletion (or pending replica deletion).

  • [3] KMSInvalidStateException: <key ARN> is pending deletion (or pending replica deletion).

  • [4] KMSInvalidStateException: <key ARN> is not pending deletion (or pending replica deletion).

  • [5] KMSInvalidStateException: <key ARN> is pending import.

  • [6] UnsupportedOperationException: <key ARN> origin is EXTERNAL which is not valid for this operation.

  • [7] Si la clave KMS tiene material de claves importado o está en un almacén de claves personalizado: UnsupportedOperationException.

  • [8] Si la clave KMS tiene material de claves importado: KMSInvalidStateException

  • [9] Si la clave KMS no puede tener o no tiene material de claves importado: UnsupportedOperationException.

  • [10] Si la clave KMS de origen está pendiente de eliminación, el comando se ejecuta satisfactoriamente. Si la clave KMS de destino está pendiente de eliminación, el comando genera el error: KMSInvalidStateException : <key ARN> is pending deletion.

  • [11] KMSInvalidStateException: <key ARN> is unavailable. No puede realizar esta operación en una clave KMS no disponible.

  • [12] La operación se ha realizado correctamente pero el estado de clave de la clave KMS no cambiará hasta que esté disponible.

  • [13] Mientras una clave KMS en el almacén de claves personalizado esté pendiente de eliminación, su estado de clave seguirá siendo PendingDeletion incluso si la clave KMS no está disponible. Esto permite cancelar la eliminación de la clave KMS en cualquier momento durante el período de espera.

  • [14] KMSInvalidStateException: <key ARN> is creating. AWS KMS lanza esta excepción mientras está replicando una clave de varias regiones (ReplicateKey).

  • [15] KMSInvalidStateException: <key ARN> is updating. AWS KMS lanza esta excepción mientras actualiza la región principal de una clave de varias regiones (UpdatePrimaryRegion).