Activation et désactivation des clés

Vous pouvez activer et désactiver les clés gérées par les clients. Lorsque vous créez une clé KMS, elle est activée par défaut. Si vous désactivez une clé KMS, elle ne peut être utilisée dans aucune opération de chiffrement jusqu'à sa réactivation.

Étant donné qu'il s'agit d'une action temporaire et réversible facilement, la désactivation d'une clé KMS constitue une alternative sûre à sa suppression, action destructrice et irréversible. Si vous envisagez de supprimer une clé KMS, désactivez-la d'abord et configurez une CloudWatch alarme ou un mécanisme similaire pour être certain de ne jamais avoir à utiliser la clé pour déchiffrer des données chiffrées.

Lorsque vous désactivez une clé KMS, elle devient immédiatement inutilisable (sous réserve d'une éventuelle cohérence). Toutefois, les ressources chiffrées à l'aide de clés de données protégées par la clé KMS ne sont pas affectées tant que la clé KMS n'est pas réutilisée, par exemple pour déchiffrer la clé de données. Ce problème affecte les Services AWS, dont beaucoup utilisent des clés de données pour protéger vos ressources. Pour plus de détails, consultez Comment les clés KMS inutilisables affectent les clés de données.

Vous ne pouvez pas activer ou désactiver les Clés gérées par AWS ou les Clés détenues par AWS. Les Clés gérées par AWS sont activées en permanence pour pouvoir être utilisées par des services qui utilisent AWS KMS. Les Clés détenues par AWS sont gérées uniquement par le service qui en est propriétaire.

Note

AWS KMS ne soumet pas les éléments de clé des clés gérées par les clients à la rotation tant qu'elles sont désactivées. Pour plus d’informations, consultez Comment fonctionne la rotation automatique des clés.

Activation et désactivation des clés KMS (console)

Vous pouvez utiliser la console AWS KMS pour activer et désactiver les clés gérées par les clients.

1. Connectez-vous à AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms.

2. Pour changer le paramètre Région AWS, utilisez le sélecteur de région dans l'angle supérieur droit de la page.

3. Dans le volet de navigation, choisissez Clés gérées par le client.

4. Cochez les cases en regard des clés KMS que vous voulez activer ou désactiver.

5. Pour activer une clé KMS, choisissez Key actions (Actions de clé), Enable (Activer). Pour désactiver une clé KMS, choisissez Key actions (Actions de clé), Disable (Désactiver).

Activation et désactivation de clés KMS (API AWS KMS)

L'EnableKeyopération active un désactivéAWS KMS key. Ces exemples utilisent l'AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge. Le paramètre key-id est obligatoire.

Cette opération ne renvoie aucune sortie. Pour voir l'état de la clé, utilisez l'DescribeKeyopération.

$ aws kms enable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

L'DisableKeyopération désactive une clé KMS activée. Le paramètre key-id est obligatoire.

$ aws kms disable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

Cette opération ne renvoie aucune sortie. Pour voir l'état de la clé, utilisez l'DescribeKeyopération et consultez le Enabled champ.

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "MultiRegion": false,
        "Enabled": false,
        "KeyState": "Disabled",
        "KeyUsage": "ENCRYPT_DECRYPT",        
        "CreationDate": 1502910355.475,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333"
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}