키 상태: KMS 키에 미치는 영향 - AWS Key Management Service

키 상태: KMS 키에 미치는 영향

AWS KMS key에는 항상 키 상태가 있습니다. KMS 키 및 해당 환경에 대한 작업은 일시적으로 또는 다른 작업이 해당 키 상태를 변경할 때까지 해당 키 상태를 변경할 수 있습니다.

이 섹션의 표에서는 키 상태가AWS KMS API 작업 호출에 미치는 영향을 보여줍니다. 키 상태의 결과로 KMS 키에 대한 작업은 성공(), 실패(X) 또는 특정 조건에서만 성공(?)할 것으로 예상됩니다. 결과는 종종 가져온 키 구성 요소가 포함된 KMS 키에 따라 다릅니다.

이 테이블에는 기존 KMS 키를 사용하는 API 작업만 포함됩니다. 다른 작업(예: CreateKeyListKeys)은 생략됩니다.

키 상태 및 KMS 키 유형

KMS 키의 유형에 따라 키가 가질 수 있는 상태가 결정됩니다.

  • 대부분의 KMS 키는 Enabled 상태에서 생성됩니다. 가져온 키 자료가 있는 키는 PendingImport 상태에서 생성됩니다.

  • 대칭 KMS 키는 Enabled, Disabled, PendingImport, PendingDeletion 또는 Unavailable 상태일 수 있습니다.

  • 비대칭 KMS 키는 Enabled, Disabled 또는 PendingDeletion 키 상태일 수 있습니다.

  • PendingImport 상태는 가져온 키 구성 요소가 있는 KMS 키에만 적용됩니다.

  • Unavailable 상태는 사용자 지정 키 스토어의 KMS 키에만 적용됩니다. 사용자 지정 키 스토어가 AWS CloudHSM 클러스터에서 의도적으로 연결 해제된 경우 사용자 지정 키 저장소의 KMS 키는 Unavailable입니다. 사용할 수 없는 KMS 키를 확인 및 관리할 수 있지만, 암호화 작업에서 이들을 사용할 수 없습니다.

  • Creating, UpdatingPendingReplicaDeletion 키 상태는 다중 리전 키에만 적용됩니다.

    • 다중 리전 복제 키는 생성되는 동안 일시적인 Creating 키 상태에 있습니다. 이 프로세스는 ReplicateKey 작업이 완료될 때 계속 진행 중일 수 있습니다. 복제 프로세스가 완료되면 복제 키는Enabled 또 는PendingImport 상태입니다.

    • 다중 리전 키는 일시적인 Updating 키 상태를 유지하며 기본 리전을 업데이트할 수 있습니다. 이 프로세스는 UpdatePrimaryRegion 작업이 완료될 때 계속 진행 중일 수 있습니다. 업데이트 프로세스가 완료되면 기본 키와 복제본 키가 Enabled 키 상태를 재개합니다.

    • 복제 키가 있는 다중 리전 기본 키의 삭제를 예약하면 모든 복제 키가 삭제될 때까지 기본 키는 PendingReplicaDeletion 상태입니다. 그런 다음 키 상태가 PendingDeletion로 변경됩니다. 자세한 내용은 다중 리전 키 삭제 단원을 참조하십시오.

키 상태 테이블

다음 표에서는 KMS 키의 키 상태가 AWS KMS 작업에 미치는 영향을 보여줍니다.

번호가 매겨진 각주에 대한 설명([n])은 이 주제의 끝 부분에 있습니다.

참고

이 테이블의 모든 데이터를 보려면 가로 또는 세로로 스크롤해야 할 수도 있습니다.

API 활성 비활성

삭제 보류 중

복제본 삭제 보류 중

가져오기 보류 중 Unavailable 생성 중 Updating
CancelKeyDeletion

[4]

[4]

[4]

[4], [13]

[4]

[4]

CreateAlias

[3]

CreateGrant

[1]

[2] 또는 [3]

[5]

[14]

암호화 해제

[1]

[2] 또는 [3]

[5]

[11]

[14]

DeleteAlias
DeleteImportedKeyMaterial

[9]

[9]

[9]

(효과 없음)

해당 사항 없음

[14]

[15]

DescribeKey
DisableKey

[3]

[5]

[12]

[14]

[15]

DisableKeyRotation

[7]

[1] 또는 [7]

[3] 또는 [7]

[6]

[7]

[14]

[7]

EnableKey

[3]

[5]

[12]

[14]

[15]

EnableKeyRotation

[7]

[1] 또는 [7]

[3] 또는 [7]

[6]

[7]

[14]

[7]

Encrypt

[1]

[2] 또는 [3]

[5]

[11]

[14]

GenerateDataKey

[1]

[2] 또는 [3]

[5]

[11]

[14]

GenerateDataKeyPair

[1]

[2] 또는 [3]

[5]

[11]

[14]

GenerateDataKeyPairWithoutPlaintext

[1]

[2] 또는 [3]

[5]

[11]

[14]

GenerateDataKeyWithoutPlaintext

[1]

[2] 또는 [3]

[5]

[11]

[14]

GetKeyPolicy
GetKeyRotationStatus

[7]

[7]

[7]

[6]

[7]

[7]

[7]

GetParametersForImport

[9]

[9]

[8] 또는 [9]

[9]

[14]

[15]

GetPublicKey

[1]

[2] 또는 [3]

해당 사항 없음 해당 사항 없음

[14]

ImportKeyMaterial

[9]

[9]

[8] 또는 [9]

[9]

[14]

ListAliases
ListGrants
ListKeyPolicies
ListResourceTags
PutKeyPolicy
ReEncrypt

[1]

[2] 또는 [3]

[5]

[11]

[14]

ReplicateKey

[1]

[2] 또는 [3]

[5]

해당 사항 없음

[14]

[15]

RetireGrant
RevokeGrant
ScheduleKeyDeletion

[3]

[15]

Sign

[1]

[2] 또는 [3]

해당 사항 없음 해당 사항 없음

[14]

TagResource

[3]

UntagResource

[3]

UpdateAlias

[10]

UpdateKeyDescription

[3]

UpdatePrimaryRegion

[1]

[2] 또는 [3]

[5]

해당 사항 없음

[14]

확인

[1]

[2] 또는 [3]

해당 사항 없음 해당 사항 없음

[14]

테이블 세부 정보

  • [1] DisabledException: <key ARN> is disabled.

  • [2] DisabledException: <key ARN> is pending deletion (or pending replica deletion).

  • [3] KMSInvalidStateException: <key ARN> is pending deletion (or pending replica deletion).

  • [4] KMSInvalidStateException: <key ARN> is not pending deletion (or pending replica deletion).

  • [5] KMSInvalidStateException: <key ARN> is pending import.

  • [6] UnsupportedOperationException: <key ARN> origin is EXTERNAL which is not valid for this operation.

  • [7] KMS 키가 키 구성 요소를 가져왔고 사용자 지정 키 스토어에 있는 경우: UnsupportedOperationException.

  • [8] KMS 키에 가져온 키 구성 요소가 있는 경우: KMSInvalidStateException.

  • [9] KMS 키에 키 구성 요소를 가져올 수 없거나 가져오지 않은 경우: UnsupportedOperationException.

  • [10] 소스 KMS 키가 삭제 보류 중인 경우 명령이 성공합니다. 대상 KMS 키가 삭제 보류 중인 경우 명령은 오류와 함께 실패합니다. KMSInvalidStateException : <key ARN> is pending deletion.

  • [11] KMSInvalidStateException: <key ARN> is unavailable. 사용할 수 없는 KMS 키에서 이 작업을 수행할 수 없습니다.

  • [12] 작업이 성공하지만, KMS 키의 키 상태는 사용 가능한 상태가 될 때까지 변경되지 않습니다.

  • [13] 사용자 지정 키 스토어의 KMS 키에서 삭제가 보류 중인 동안 KMS 키가 사용 불가능한 상태더라도 키 상태는 PendingDeletion으로 유지됩니다. 따라서 대기 시간 동안 언제라도 KMS 키의 삭제를 취소할 수 있습니다.

  • [14]KMSInvalidStateException: <key ARN> is creating. AWS KMS는 다중 리전 키를 복제하는 동안이 예외를 발생시킵니다(ReplicateKey).

  • [15]KMSInvalidStateException: <key ARN> is updating. AWS KMS는 다중 리전 키의 기본 영역을 업데이트하는 동안 이 예외를 발생시킵니다(UpdatePrimaryRegion).