기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
키의 AWS KMS 키 상태
에는 AWS KMS key 항상 키 상태가 있습니다. KMS 키 및 해당 환경에 대한 작업은 키 상태를 변경할 수 있습니다. 키 상태는 일시적으로 또는 다른 작업이 키 상태를 변경할 때까지 변경될 수 있습니다. 이러한 작업은 비동기식으로 또는 API 직접 호출을 통해 수행됩니다.
이 섹션의 표는 키 상태가 AWS KMS API 작업 호출에 미치는 영향을 보여줍니다. 키 상태의 결과로 KMS 키에 대한 작업은 성공(✓), 실패(X) 또는 특정 조건에서만 성공(?)할 것으로 예상됩니다. 결과는 종종 가져온 키 구성 요소가 있는 KMS 키에 따라 다릅니다.
이 테이블에는 기존 KMS 키를 사용하는 API 작업만 포함됩니다. 다른 작업(예: CreateKey 및 ListKeys)은 생략됩니다.
키 상태 및 KMS 키 유형
KMS 키의 유형에 따라 키가 가질 수 있는 상태가 결정됩니다.
-
모든 KMS 키는
Enabled,Disabled, 및PendingDeletion상태일 수 있습니다. -
대부분의 KMS 키는
Enabled상태에서 생성됩니다. 가져온 키 자료가 있는 키는PendingImport상태에서 생성됩니다. -
이
PendingImport상태는 가져온 키 구성 요소가 있는 KMS 키에만 적용됩니다. 가져온 키의 키 구성 요소가 삭제되거나 만료되면 상태가에서Enabled로 변경됩니다PendingImport. -
Unavailable상태는 사용자 지정 키 스토어의 KMS 키에만 적용됩니다. AWS CloudHSM 키 스토어의 KMS 키는 사용자 지정 키 스토어가 의도적으로 AWS CloudHSM 클러스터에서 연결 해제된Unavailable경우입니다. 외부 키 스토어가 외부 키 스토어 프록시에서 의도적으로 연결 해제된 경우 외부 키 스토어의 KMS 키는Unavailable입니다. 사용할 수 없는 KMS 키를 확인 및 관리할 수 있지만, 암호화 작업에서 이들을 사용할 수 없습니다.사용자 지정 키 스토어에 있는 KMS 키의 키 상태는 백업 키가 변경되어도 영향을 받지 않습니다. AWS CloudHSM 키 스토어의 KMS 키는 AWS CloudHSM 클러스터의 연결된 키 구성 요소에 대한 변경의 영향을 받지 않습니다. 외부 키 스토어의 KMS 키는 외부 키 관리자의 외부 키가 변경되어도 영향을 받지 않습니다. 백업 키가 비활성화되거나 삭제된 경우 KMS 키 상태는 변경되지 않지만 KMS 키를 사용한 암호화 작업은 실패합니다.
-
Creating,Updating및PendingReplicaDeletion키 상태는 다중 리전 키에만 적용됩니다.-
다중 리전 복제 키는 생성되는 동안 일시적인
Creating키 상태에 있습니다. 이 프로세스는 ReplicateKey 작업이 완료될 때 계속 진행 중일 수 있습니다. 복제 프로세스가 완료되면 복제 키는Enabled또 는PendingImport상태입니다. -
다중 리전 키는 일시적인
Updating키 상태를 유지하며 기본 리전을 업데이트할 수 있습니다. 이 프로세스는 UpdatePrimaryRegion 작업이 완료될 때 계속 진행 중일 수 있습니다. 업데이트 프로세스가 완료되면 기본 키와 복제본 키가Enabled키 상태를 재개합니다. -
복제 키가 있는 다중 리전 기본 키의 삭제를 예약하면 모든 복제 키가 삭제될 때까지 기본 키는
PendingReplicaDeletion상태입니다. 그런 다음 키 상태가PendingDeletion로 변경됩니다. 자세한 내용은 Deleting multi-Region keys을 참조하세요.
-
키 상태 테이블
다음 표에서는 KMS 키의 키 상태가 AWS KMS 작업에 미치는 영향을 보여줍니다.
번호가 매겨진 각주에 대한 설명([n])은 이 주제의 끝 부분에 있습니다.
참고
이 테이블의 모든 데이터를 보려면 가로 또는 세로로 스크롤해야 할 수도 있습니다.
| API | 활성화됨 | 비활성 |
삭제 보류 중 복제본 삭제 보류 중 |
가져오기 보류 중 | Unavailable | [생성 중] | 업데이트 중 |
|---|---|---|---|---|---|---|---|
| CancelKeyDeletion |  [4] |
[4] |
 |
[4] |
[4], [13] |
[4] |
[4] |
| CreateAlias | |
|
[3] |
|
|
|
|
| CreateGrant | |
[1] |
[2] 또는 [3] |
[5] |
|
[14] |
|
| Decrypt | |
[1] |
[2] 또는 [3] |
[5] |
[11] |
[14] |
|
| DeleteAlias | |
|
|
|
|
|
|
| DeleteImportedKeyMaterial |
[9] |
[9] |
[9] |
|
N/A |
[14] |
[15] |
| DeriveSharedSecret | |
[1] |
[2] 또는 [3] |
[5] |
N/A |
[14] |
|
| DescribeKey | |
|
|
|
|
|
|
| DisableKey | |
|
[3] |
[5] |
[12] |
[14] |
[15] |
| DisableKeyRotation |
[7] |
[1] 또는 [7] |
[3] 또는 [7] |
[6] |
[7] |
[14] |
[7] |
| EnableKey | |
|
[3] |
[5] |
[12] |
[14] |
[15] |
| EnableKeyRotation |
[7] |
[1] 또는 [7] |
[3] 또는 [7] |
[6] |
[7] |
[14] |
[7] |
| 암호화 | |
[1] |
[2] 또는 [3] |
[5] |
[11] |
[14] |
|
| GenerateDataKey | |
[1] |
[2] 또는 [3] |
[5] |
[11] |
[14] |
|
| GenerateDataKeyPair | |
[1] |
[2] 또는 [3] |
[5] |
[7] |
[14] |
|
| GenerateDataKeyPairWithoutPlaintext | |
[1] |
[2] 또는 [3] |
[5] |
[7] |
[14] |
|
| GenerateDataKeyWithoutPlaintext | |
[1] |
[2] 또는 [3] |
[5] |
[11] |
[14] |
|
| GenerateMac | |
[1] |
[2] 또는 [3] |
[5] |
N/A |
[14] |
|
| GetKeyPolicy | |
|
|
|
|
|
|
| GetKeyRotationStatus |
[7] |
[7] |
[7] |
[6] |
[7] |
[7] |
[7] |
| GetParametersForImport |
[9] |
[9] |
[8] 또는 [9] |
|
[9] |
[14] |
[15] |
| GetPublicKey | |
|
[2] 또는 [3] |
|
N/A |
[14] |
|
| ImportKeyMaterial |
[9] |
[9] |
[9] |
|
[9] |
[14] |
|
| ListAliases | |
|
|
|
|
|
|
| ListGrants | |
|
|
|
|
|
|
| ListKeyPolicies | |
|
|
|
|
|
|
| ListKeyRotations |
[7] |
[7] |
[7] |
[6] |
[7] |
[7] |
[7] |
| ListResourceTags | |
|
|
|
|
|
|
| PutKeyPolicy | |
|
|
|
|
|
|
| ReEncrypt | |
[1] |
[2] 또는 [3] |
[5] |
[11] |
[14] |
|
| ReplicateKey | |
[1] |
[2] 또는 [3] |
[5] |
N/A |
[14] |
[15] |
| RetireGrant | |
|
|
|
|
|
|
| RevokeGrant | |
|
|
|
|
|
|
| RotateKeyOnDemand |
[7] |
[1] 또는 [7] |
[3] 또는 [7] |
[5] |
[7] |
[14] |
[7] |
| ScheduleKeyDeletion | |
|
[3] |
|
|
|
[15] |
| Sign | |
[1] |
[2] 또는 [3] |
[5] |
N/A |
[14] |
|
| TagResource | |
|
[3] |
|
|
|
|
| UntagResource | |
|
[3] |
|
|
|
|
| UpdateAlias | |
|
[10] |
|
|
|
|
| UpdateKeyDescription | |
|
[3] |
|
|
|
|
| UpdatePrimaryRegion | |
[1] |
[2] 또는 [3] |
[5] |
N/A |
[14] |
|
| 확인 | |
[1] |
[2] 또는 [3] |
[5] |
N/A |
[14] |
|
| VerifyMac | |
[1] |
[2] 또는 [3] |
[5] |
N/A |
[14] |
|
테이블 세부 정보
-
[1]
DisabledException:<key ARN>is disabled. -
[2]
DisabledException:<key ARN>is pending deletion (or pending replica deletion). -
[3]
KMSInvalidStateException:<key ARN>is pending deletion (or pending replica deletion). -
[4]
KMSInvalidStateException:<key ARN>is not pending deletion (or pending replica deletion). -
[5]
KMSInvalidStateException:<key ARN>is pending import because no key material has ever been imported or one of the imported key materials is deleted or expired. -
[6]
UnsupportedOperationException:<key ARN>origin is EXTERNAL which is not valid for this operation. -
[7] KMS 키가 사용자 지정 키 스토어에 있는 경우:
UnsupportedOperationException. -
[8] KMS 키에 가져온 키 구성 요소가 있는 경우:
KMSInvalidStateException. -
[9] KMS 키에 키 구성 요소를 가져올 수 없는 경우:
UnsupportedOperationException. -
[10] 소스 KMS 키가 삭제 보류 중인 경우 명령이 성공합니다. 대상 KMS 키가 삭제 보류 중인 경우 명령은 오류와 함께 실패합니다.
KMSInvalidStateException :<key ARN>is pending deletion. -
[11]
KMSInvalidStateException:사용할 수 없는 KMS 키에서 이 작업을 수행할 수 없습니다.<key ARN>is unavailable. -
[12] 작업이 성공하지만, KMS 키의 키 상태는 사용 가능한 상태가 될 때까지 변경되지 않습니다.
-
[13] 사용자 지정 키 스토어의 KMS 키에서 삭제가 보류 중인 동안 KMS 키가 사용 불가능한 상태더라도 키 상태는
PendingDeletion으로 유지됩니다. 따라서 대기 시간 동안 언제라도 KMS 키의 삭제를 취소할 수 있습니다. -
[14]는 다중 리전 키()를 복제하는 동안이 예외를
KMSInvalidStateException:AWS KMS 발생시킵니다<key ARN>is creating.ReplicateKey. -
[15]는 다중 리전 키()의 기본 리전을 업데이트하는 동안이 예외를
KMSInvalidStateException:AWS KMS 발생시킵니다<key ARN>is updating.UpdatePrimaryRegion.
