Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Activer et désactiver les touches
Vous pouvez activer et désactiver les clés gérées par les clients. Lorsque vous créez une KMS clé, elle est activée par défaut. Si vous désactivez une KMS clé, elle ne peut être utilisée dans aucune opération cryptographique tant que vous ne l'avez pas réactivée.
Comme il s'agit d'une opération temporaire et facile à annuler, la désactivation d'une KMS clé constitue une alternative sûre à la suppression d'une KMS clé, une action destructrice et irréversible. Si vous envisagez de supprimer une KMS clé, désactivez-la d'abord et configurez une CloudWatch alarme ou un mécanisme similaire pour être certain de ne jamais avoir à utiliser la clé pour déchiffrer des données chiffrées.
Lorsque vous désactivez une KMS touche, elle devient immédiatement inutilisable (sous réserve de cohérence éventuelle). Toutefois, les ressources chiffrées avec des clés de données protégées par la KMS clé ne sont pas affectées tant que la KMS clé n'est pas réutilisée, par exemple pour déchiffrer la clé de données. Ce problème concerne la Services AWS plupart d'entre eux qui utilisent des clés de données pour protéger vos ressources. Pour plus de détails, consultez Comment les clés inutilisables affectent KMS les clés de données.
Vous ne pouvez pas activer ou désactiver Clés gérées par AWSou Clés détenues par AWS. Clés gérées par AWS sont activés en permanence pour être utilisés par les services qui utilisent AWS KMS. Clés détenues par AWS sont gérés uniquement par le service qui les détient.
Note
AWS KMS ne fait pas pivoter le contenu clé des clés gérées par le client lorsqu'elles sont désactivées. Pour de plus amples informations, veuillez consulter Comment fonctionne la rotation des clés.
Vous pouvez utiliser la AWS KMS console pour activer et désactiver les clés gérées par le client.
-
Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.
-
Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
-
Dans le volet de navigation, sélectionnez Clés gérées par le client.
-
Cochez la case correspondant aux KMS touches que vous souhaitez activer ou désactiver.
-
Pour activer une KMS touche, choisissez Actions clés, puis Activer. Pour désactiver une KMS touche, choisissez Actions clés, puis Désactiver.
L'EnableKeyopération active un désactivé AWS KMS key. Ces exemples utilisent l'AWS Command Line Interface (AWS CLI)key-id
est obligatoire.
Cette opération ne renvoie aucune sortie. Pour voir l'état de la clé, utilisez l'DescribeKeyopération.
$
aws kms enable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
L'DisableKeyopération désactive une KMS touche activée. Le paramètre key-id
est obligatoire.
$
aws kms disable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
Cette opération ne renvoie aucune sortie. Pour voir l'état de la clé, utilisez l'DescribeKeyopération et consultez le Enabled
champ.
$
aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{ "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "MultiRegion": false, "Enabled": false, "KeyState": "Disabled", "KeyUsage": "ENCRYPT_DECRYPT", "CreationDate": 1502910355.475, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333" "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }