Principaux états des clés AWS KMS
Une AWS KMS key a toujours un état de clé. Les opérations sur la clé KMS et son environnement peuvent modifier cet état de clé, soit de manière transitoire, soit jusqu'à ce qu'une autre opération modifie son état de clé.
Le tableau de cette section montre comment les états de clé affectent les appels vers les opérations d'API AWS KMS. En raison de son état clé, une opération sur une clé KMS devrait réussir (✓), échouer (X), ou ne réussir que dans certaines conditions (?). Le résultat est souvent différent pour les clés KMS avec des éléments de clé importés.
Ce tableau inclut uniquement les opérations d'API qui utilisent une clé KMS existante. D'autres opérations, telles que CreateKey et ListKeys, sont omises.
États de clé et types de clés KMS
Le type de la clé KMS détermine les états de clé qu'elle peut avoir.
-
Toutes les clés KMS peuvent être à l'état
Enabled,DisabledetPendingDeletion. -
La plupart des clés KMS sont créées dans l'état
Enabled. Les clés avec des éléments de clé importés sont créées dans l'étatPendingImport. -
L'état
PendingImports'applique uniquement aux clés KMS avec des éléments de clé importés. -
L'état
Unavailables'applique uniquement à une clé KMS dans un magasin de clés personnalisé. Une clé KMS dans un magasin de clés personnalisé estUnavailablelorsque le magasin de clés personnalisé est intentionnellement déconnecté de son cluster AWS CloudHSM. Vous pouvez afficher et gérer les clés KMS indisponibles, mais vous ne pouvez pas les utiliser dans les opérations de chiffrement. -
Les états de clé
Creating,UpdatingetPendingReplicaDeletions'appliquent uniquement aux clés multi-région.-
Une clé de réplica multi-région se trouve dans l'état de clé
Creatingdurant sa création. Il se peut que ce processus soit toujours en cours lorsque l'opération ReplicateKey se termine. Lorsque le processus de réplication est terminé, la clé de réplica se trouve dans l'étatEnabledouPendingImport. -
Les clés multi-région se trouvent à l'état transitoire
Updatinglorsque la région principale est en cours de mise à jour. Il se peut que ce processus soit toujours en cours lorsque l'opération UpdatePrimaryRegion se termine. Une fois le processus de mise à jour terminé, les clés principales et de réplica reprennent l'état de cléEnabled. -
Lorsque vous planifiez la suppression d'une clé principale multi-région dotée de clés de réplica, la clé principale se trouve à l'état
PendingReplicaDeletionjusqu'à ce que toutes ses clés de réplica soient supprimées. Puis, son état passe àPendingDeletion. Pour plus de détails, veuillez consulter Suppression de clés multi-régions.
-
Tableau d'état de clé
Le tableau suivant montre comment l'état de clé d'une clé KMS affecte les opérations AWS KMS.
Les descriptions des notes de bas de page numérotées ([n]) sont à la fin de cette rubrique.
Vous devrez peut-être faire défiler horizontalement ou verticalement pour voir toutes les données de ce tableau.
| API | Enabled | Désactivé |
Suppression en attente Suppression du réplica en attente |
Importation en attente | Unavailable | Creating | Mise à jour en cours |
|---|---|---|---|---|---|---|---|
| CancelKeyDeletion |  [4] |
[4] |
 |
[4] |
[4], [13] |
[4] |
[4] |
| CreateAlias | |
|
[3] |
|
|
|
|
| CreateGrant | |
[1] |
[2] ou [3] |
[5] |
|
[14] |
|
| Decrypt | |
[1] |
[2] ou [3] |
[5] |
[11] |
[14] |
|
| DeleteAlias | |
|
|
|
|
|
|
| DeleteImportedKeyMaterial |
[9] |
[9] |
[9] |
(Aucun effet) |
N/A |
[14] |
[15] |
| DescribeKey | |
|
|
|
|
|
|
| DisableKey | |
|
[3] |
[5] |
[12] |
[14] |
[15] |
| DisableKeyRotation |
[7] |
[1] ou [7] |
[3] ou [7] |
[6] |
[7] |
[14] |
[7] |
| EnableKey | |
|
[3] |
[5] |
[12] |
[14] |
[15] |
| EnableKeyRotation |
[7] |
[1] ou [7] |
[3] ou [7] |
[6] |
[7] |
[14] |
[7] |
| Encrypt | |
[1] |
[2] ou [3] |
[5] |
[11] |
[14] |
|
| GenerateDataKey | |
[1] |
[2] ou [3] |
[5] |
[11] |
[14] |
|
| GenerateDataKeyPair | |
[1] |
[2] ou [3] |
[5] |
[11] |
[14] |
|
| GenerateDataKeyPairWithoutPlaintext | |
[1] |
[2] ou [3] |
[5] |
[11] |
[14] |
|
| GenerateDataKeyWithoutPlaintext | |
[1] |
[2] ou [3] |
[5] |
[11] |
[14] |
|
| GenerateMac | |
[1] |
[2] ou [3] |
N/A | N/A |
[14] |
|
| GetKeyPolicy | |
|
|
|
|
|
|
| GetKeyRotationStatus |
[7] |
[7] |
[7] |
[6] |
[7] |
[7] |
[7] |
| GetParametersForImport |
[9] |
[9] |
[8] ou [9] |
|
[9] |
[14] |
[15] |
| GetPublicKey | |
[1] |
[2] ou [3] |
N/A | N/A |
[14] |
|
| ImportKeyMaterial |
[9] |
[9] |
[8] ou [9] |
|
[9] |
[14] |
|
| ListAliases | |
|
|
|
|
|
|
| ListGrants | |
|
|
|
|
|
|
| ListKeyPolicies | |
|
|
|
|
|
|
| ListResourceTags | |
|
|
|
|
|
|
| PutKeyPolicy | |
|
|
|
|
|
|
| ReEncrypt | |
[1] |
[2] ou [3] |
[5] |
[11] |
[14] |
|
| ReplicateKey | |
[1] |
[2] ou [3] |
[5] |
N/A |
[14] |
[15] |
| RetireGrant | |
|
|
|
|
|
|
| RevokeGrant | |
|
|
|
|
|
|
| ScheduleKeyDeletion | |
|
[3] |
|
|
|
[15] |
| Sign | |
[1] |
[2] ou [3] |
N/A | N/A |
[14] |
|
| TagResource | |
|
[3] |
|
|
|
|
| UntagResource | |
|
[3] |
|
|
|
|
| UpdateAlias | |
|
[10] |
|
|
|
|
| UpdateKeyDescription | |
|
[3] |
|
|
|
|
| UpdatePrimaryRegion | |
[1] |
[2] ou [3] |
[5] |
N/A |
[14] |
|
| Verify | |
[1] |
[2] ou [3] |
N/A | N/A |
[14] |
|
| VerifyMac | |
[1] |
[2] ou [3] |
N/A | N/A |
[14] |
|
Détails de la table
-
[1]
DisabledException:<key ARN>is disabled. -
[2]
DisabledException:<key ARN>is pending deletion (or pending replica deletion). -
[3]
KMSInvalidStateException:<key ARN>is pending deletion (or pending replica deletion). -
[4]
KMSInvalidStateException:<key ARN>is not pending deletion (or pending replica deletion). -
[5]
KMSInvalidStateException:<key ARN>is pending import. -
[6]
UnsupportedOperationException:<key ARN>origin is EXTERNAL which is not valid for this operation. -
[7] Si la clé KMS possède des éléments de clé importés ou se trouve dans un magasin de clés personnalisé :
UnsupportedOperationException. -
[8] Si la clé KMS comporte des éléments de clé importés :
KMSInvalidStateException -
[9] Si la clé KMS ne peut pas comporter ou ne comporte pas des éléments de clé importés :
UnsupportedOperationException. -
[10] Si la clé KMS source est en attente de suppression, la commande réussit. Si la clé KMS de destination est en attente de suppression, la commande échoue avec l'erreur suivante :
KMSInvalidStateException :<key ARN>is pending deletion. -
[11]
KMSInvalidStateException:Vous ne pouvez pas effectuer cette opération sur une clé KMS indisponible.<key ARN>is unavailable. -
[12] L'opération aboutit, mais l'état de la clé KMS ne change pas jusqu'à ce qu'elle devienne disponible.
-
[13] Même si une clé KMS d'un magasin de clés personnalisé est en attente de suppression, son état de clé demeure
PendingDeletion, même si la clé KMS devient indisponible. Cela vous permet d'annuler la suppression de la clé KMS à tout moment au cours de la période d'attente. -
[14]
KMSInvalidStateException:AWS KMS lève cette exception alors qu'il réplique une clé multi-région (<key ARN>is creating.ReplicateKey). -
[15]
KMSInvalidStateException:AWS KMS lève cette exception pendant qu'il met à jour la région principale d'une clé multi-région (<key ARN>is updating.UpdatePrimaryRegion).
