Principaux états des clés AWS KMS - AWS Key Management Service

Principaux états des clés AWS KMS

Une AWS KMS key a toujours un état de clé. Les opérations sur la clé KMS et son environnement peuvent modifier cet état de clé, soit de manière transitoire, soit jusqu'à ce qu'une autre opération modifie son état de clé.

Le tableau de cette section montre comment les états de clé affectent les appels vers les opérations d'API AWS KMS. En raison de son état clé, une opération sur une clé KMS devrait réussir (), échouer (X), ou ne réussir que dans certaines conditions (?). Le résultat est souvent différent pour les clés KMS avec des éléments de clé importés.

Ce tableau inclut uniquement les opérations d'API qui utilisent une clé KMS existante. D'autres opérations, telles que CreateKey et ListKeys, sont omises.

États de clé et types de clés KMS

Le type de la clé KMS détermine les états de clé qu'elle peut avoir.

  • Toutes les clés KMS peuvent être à l'état Enabled, Disabled et PendingDeletion.

  • La plupart des clés KMS sont créées dans l'état Enabled. Les clés avec des éléments de clé importés sont créées dans l'état PendingImport.

  • L'état PendingImport s'applique uniquement aux clés KMS avec des éléments de clé importés.

  • L'état Unavailable s'applique uniquement à une clé KMS dans un magasin de clés personnalisé. Une clé KMS dans un magasin de clés personnalisé est Unavailable lorsque le magasin de clés personnalisé est intentionnellement déconnecté de son cluster AWS CloudHSM. Vous pouvez afficher et gérer les clés KMS indisponibles, mais vous ne pouvez pas les utiliser dans les opérations de chiffrement.

  • Les états de clé Creating, Updating et PendingReplicaDeletion s'appliquent uniquement aux clés multi-région.

    • Une clé de réplica multi-région se trouve dans l'état de clé Creating durant sa création. Il se peut que ce processus soit toujours en cours lorsque l'opération ReplicateKey se termine. Lorsque le processus de réplication est terminé, la clé de réplica se trouve dans l'état Enabled ou PendingImport.

    • Les clés multi-région se trouvent à l'état transitoire Updating lorsque la région principale est en cours de mise à jour. Il se peut que ce processus soit toujours en cours lorsque l'opération UpdatePrimaryRegion se termine. Une fois le processus de mise à jour terminé, les clés principales et de réplica reprennent l'état de clé Enabled.

    • Lorsque vous planifiez la suppression d'une clé principale multi-région dotée de clés de réplica, la clé principale se trouve à l'état PendingReplicaDeletion jusqu'à ce que toutes ses clés de réplica soient supprimées. Puis, son état passe à PendingDeletion. Pour plus de détails, veuillez consulter Suppression de clés multi-régions.

Tableau d'état de clé

Le tableau suivant montre comment l'état de clé d'une clé KMS affecte les opérations AWS KMS.

Les descriptions des notes de bas de page numérotées ([n]) sont à la fin de cette rubrique.

Note

Vous devrez peut-être faire défiler horizontalement ou verticalement pour voir toutes les données de ce tableau.

API Enabled Désactivé

Suppression en attente

Suppression du réplica en attente

Importation en attente Unavailable Creating Mise à jour en cours
CancelKeyDeletion

[4]

[4]

[4]

[4], [13]

[4]

[4]

CreateAlias

[3]

CreateGrant

[1]

[2] ou [3]

[5]

[14]

Decrypt

[1]

[2] ou [3]

[5]

[11]

[14]

DeleteAlias
DeleteImportedKeyMaterial

[9]

[9]

[9]

(Aucun effet)

N/A

[14]

[15]

DescribeKey
DisableKey

[3]

[5]

[12]

[14]

[15]

DisableKeyRotation

[7]

[1] ou [7]

[3] ou [7]

[6]

[7]

[14]

[7]

EnableKey

[3]

[5]

[12]

[14]

[15]

EnableKeyRotation

[7]

[1] ou [7]

[3] ou [7]

[6]

[7]

[14]

[7]

Encrypt

[1]

[2] ou [3]

[5]

[11]

[14]

GenerateDataKey

[1]

[2] ou [3]

[5]

[11]

[14]

GenerateDataKeyPair

[1]

[2] ou [3]

[5]

[11]

[14]

GenerateDataKeyPairWithoutPlaintext

[1]

[2] ou [3]

[5]

[11]

[14]

GenerateDataKeyWithoutPlaintext

[1]

[2] ou [3]

[5]

[11]

[14]

GenerateMac

[1]

[2] ou [3]

N/A N/A

[14]

GetKeyPolicy
GetKeyRotationStatus

[7]

[7]

[7]

[6]

[7]

[7]

[7]

GetParametersForImport

[9]

[9]

[8] ou [9]

[9]

[14]

[15]

GetPublicKey

[1]

[2] ou [3]

N/A N/A

[14]

ImportKeyMaterial

[9]

[9]

[8] ou [9]

[9]

[14]

ListAliases
ListGrants
ListKeyPolicies
ListResourceTags
PutKeyPolicy
ReEncrypt

[1]

[2] ou [3]

[5]

[11]

[14]

ReplicateKey

[1]

[2] ou [3]

[5]

N/A

[14]

[15]

RetireGrant
RevokeGrant
ScheduleKeyDeletion

[3]

[15]

Sign

[1]

[2] ou [3]

N/A N/A

[14]

TagResource

[3]

UntagResource

[3]

UpdateAlias

[10]

UpdateKeyDescription

[3]

UpdatePrimaryRegion

[1]

[2] ou [3]

[5]

N/A

[14]

Verify

[1]

[2] ou [3]

N/A N/A

[14]

VerifyMac

[1]

[2] ou [3]

N/A N/A

[14]

Détails de la table

  • [1] DisabledException: <key ARN> is disabled.

  • [2] DisabledException: <key ARN> is pending deletion (or pending replica deletion).

  • [3] KMSInvalidStateException: <key ARN> is pending deletion (or pending replica deletion).

  • [4] KMSInvalidStateException: <key ARN> is not pending deletion (or pending replica deletion).

  • [5] KMSInvalidStateException: <key ARN> is pending import.

  • [6] UnsupportedOperationException: <key ARN> origin is EXTERNAL which is not valid for this operation.

  • [7] Si la clé KMS possède des éléments de clé importés ou se trouve dans un magasin de clés personnalisé : UnsupportedOperationException.

  • [8] Si la clé KMS comporte des éléments de clé importés : KMSInvalidStateException

  • [9] Si la clé KMS ne peut pas comporter ou ne comporte pas des éléments de clé importés : UnsupportedOperationException.

  • [10] Si la clé KMS source est en attente de suppression, la commande réussit. Si la clé KMS de destination est en attente de suppression, la commande échoue avec l'erreur suivante : KMSInvalidStateException : <key ARN> is pending deletion.

  • [11] KMSInvalidStateException: <key ARN> is unavailable. Vous ne pouvez pas effectuer cette opération sur une clé KMS indisponible.

  • [12] L'opération aboutit, mais l'état de la clé KMS ne change pas jusqu'à ce qu'elle devienne disponible.

  • [13] Même si une clé KMS d'un magasin de clés personnalisé est en attente de suppression, son état de clé demeure PendingDeletion, même si la clé KMS devient indisponible. Cela vous permet d'annuler la suppression de la clé KMS à tout moment au cours de la période d'attente.

  • [14] KMSInvalidStateException: <key ARN> is creating. AWS KMS lève cette exception alors qu'il réplique une clé multi-région (ReplicateKey).

  • [15] KMSInvalidStateException: <key ARN> is updating. AWS KMS lève cette exception pendant qu'il met à jour la région principale d'une clé multi-région (UpdatePrimaryRegion).