Activation et désactivation des clés - AWS Key Management Service

Activation et désactivation des clés

Vous pouvez désactiver et réactiver les clés KMS que vous gérez. Lorsque vous créez une clé KMS, elle est activée par défaut. Si vous désactivez une clé KMS, elle ne peut être utilisée dans aucune opération de chiffrement jusqu'à sa réactivation.

Étant donné qu'il s'agit d'une action temporaire et réversible facilement, la désactivation d'une clé KMS constitue une alternative sûre à sa suppression, action destructrice et irréversible. Si vous envisagez de supprimer une clé KMS, commencez par la désactiver et définissez une alarme CloudWatch ou un mécanisme similaire pour vous assurer de ne jamais avoir besoin d'utiliser la clé pour déchiffrer des données.

Vous ne pouvez pas activer ou désactiver les Clés gérées par AWS ou les Clés détenues par AWS. Les Clés gérées par AWS sont activées en permanence pour pouvoir être utilisées par des services qui utilisent AWS KMS. Les Clés détenues par AWS sont gérées uniquement par le service qui en est propriétaire.

Note

AWS KMS ne soumet pas les éléments de clé des clés gérées par les clients à la rotation tant qu'elles sont désactivées. Pour plus d'informations, consultez Comment fonctionne la rotation automatique des clés.

Activation et désactivation des clés KMS (console)

Vous pouvez utiliser la console AWS KMS pour activer et désactiver les clés gérées par les clients.

  1. Connectez-vous à la AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms

  2. Pour changer de Région AWS, utilisez Region selector (Sélecteur de Région) dans l'angle supérieur droit de la page.

  3. Dans le volet de navigation, choisissez Clés gérées par le client.

  4. Cochez la case correspondant aux clés KMS que vous voulez activer ou désactiver.

  5. Pour activer une clé KMS, choisissez Key actions (Actions de clé), Enable (Activer). Pour désactiver une clé KMS, choisissez Key actions (Actions de clé), Disable (Désactiver).

Activation et désactivation de clés KMS (API AWS KMS)

L'opération EnableKey active une AWS KMS key désactivée. Ces exemples utilisent l'AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge. Le paramètre key-id est obligatoire.

Cette opération ne renvoie aucune sortie. Pour afficher le statut d'une clé, utilisez l'opération DescribeKey.

$ aws kms enable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

L'opération DisableKey désactive une clé KMS activée. Le paramètre key-id est obligatoire.

$ aws kms disable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

Cette opération ne renvoie aucune sortie. Pour afficher le statut d'une clé, utilisez l'opération DescribeKey et consultez le champ Enabled.

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "MultiRegion": false, "Enabled": false, "KeyState": "Disabled", "KeyUsage": "ENCRYPT_DECRYPT", "CreationDate": 1502910355.475, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333" "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }