AWS KMS 키의 키 상태
AWS KMS key에는 항상 키 상태가 있습니다. KMS 키 및 해당 환경에 대한 작업은 일시적으로 또는 다른 작업이 해당 키 상태를 변경할 때까지 해당 키 상태를 변경할 수 있습니다.
이 섹션의 표에서는 키 상태가AWS KMS API 작업 호출에 미치는 영향을 보여줍니다. 키 상태의 결과로 KMS 키에 대한 작업은 성공(✓), 실패(X) 또는 특정 조건에서만 성공(?)할 것으로 예상됩니다. 결과는 종종 가져온 키 구성 요소가 포함된 KMS 키에 따라 다릅니다.
이 테이블에는 기존 KMS 키를 사용하는 API 작업만 포함됩니다. 다른 작업(예: CreateKey 및 ListKeys)은 생략됩니다.
키 상태 및 KMS 키 유형
KMS 키의 유형에 따라 키가 가질 수 있는 상태가 결정됩니다.
-
대부분의 KMS 키는
Enabled상태에서 생성됩니다. 가져온 키 자료가 있는 키는PendingImport상태에서 생성됩니다. -
대칭 KMS 키는
Enabled,Disabled,PendingImport,PendingDeletion또는Unavailable상태일 수 있습니다. -
비대칭 KMS 키는
Enabled,Disabled또는PendingDeletion키 상태일 수 있습니다. -
이
PendingImport상태는 가져온 키 구성 요소가 있는 KMS 키에만 적용됩니다. -
Unavailable상태는 사용자 지정 키 스토어의 KMS 키에만 적용됩니다. 사용자 지정 키 스토어가 AWS CloudHSM 클러스터에서 의도적으로 연결 해제된 경우 사용자 지정 키 저장소의 KMS 키는Unavailable입니다. 사용할 수 없는 KMS 키를 확인 및 관리할 수 있지만, 암호화 작업에서 이들을 사용할 수 없습니다. -
Creating,Updating및PendingReplicaDeletion키 상태는 다중 리전 키에만 적용됩니다.-
다중 리전 복제 키는 생성되는 동안 일시적인
Creating키 상태에 있습니다. 이 프로세스는 ReplicateKey 작업이 완료될 때 계속 진행 중일 수 있습니다. 복제 프로세스가 완료되면 복제 키는Enabled또 는PendingImport상태입니다. -
다중 리전 키는 일시적인
Updating키 상태를 유지하며 기본 리전을 업데이트할 수 있습니다. 이 프로세스는 UpdatePrimaryRegion 작업이 완료될 때 계속 진행 중일 수 있습니다. 업데이트 프로세스가 완료되면 기본 키와 복제본 키가Enabled키 상태를 재개합니다. -
복제 키가 있는 다중 리전 기본 키의 삭제를 예약하면 모든 복제 키가 삭제될 때까지 기본 키는
PendingReplicaDeletion상태입니다. 그런 다음 키 상태가PendingDeletion로 변경됩니다. 자세한 내용은 다중 리전 키 삭제 단원을 참조하십시오.
-
키 상태 테이블
다음 표에서는 KMS 키의 키 상태가 AWS KMS 작업에 미치는 영향을 보여줍니다.
번호가 매겨진 각주에 대한 설명([n])은 이 주제의 끝 부분에 있습니다.
이 테이블의 모든 데이터를 보려면 가로 또는 세로로 스크롤해야 할 수도 있습니다.
| API | 활성화됨 | 비활성화됨 |
삭제 보류 중 복제본 삭제 보류 중 |
가져오기 보류 중 | Unavailable | 생성 중 | Updating |
|---|---|---|---|---|---|---|---|
| CancelKeyDeletion |  [4] |
[4] |
 |
[4] |
[4], [13] |
[4] |
[4] |
| CreateAlias | |
|
[3] |
|
|
|
|
| CreateGrant | |
[1] |
[2] 또는 [3] |
[5] |
|
[14] |
|
| Decrypt | |
[1] |
[2] 또는 [3] |
[5] |
[11] |
[14] |
|
| DeleteAlias | |
|
|
|
|
|
|
| DeleteImportedKeyMaterial |
[9] |
[9] |
[9] |
(효과 없음) |
해당 사항 없음 |
[14] |
[15] |
| DescribeKey | |
|
|
|
|
|
|
| DisableKey | |
|
[3] |
[5] |
[12] |
[14] |
[15] |
| DisableKeyRotation |
[7] |
[1] 또는 [7] |
[3] 또는 [7] |
[6] |
[7] |
[14] |
[7] |
| EnableKey | |
|
[3] |
[5] |
[12] |
[14] |
[15] |
| EnableKeyRotation |
[7] |
[1] 또는 [7] |
[3] 또는 [7] |
[6] |
[7] |
[14] |
[7] |
| Encrypt | |
[1] |
[2] 또는 [3] |
[5] |
[11] |
[14] |
|
| GenerateDataKey | |
[1] |
[2] 또는 [3] |
[5] |
[11] |
[14] |
|
| GenerateDataKeyPair | |
[1] |
[2] 또는 [3] |
[5] |
[11] |
[14] |
|
| GenerateDataKeyPairWithoutPlaintext | |
[1] |
[2] 또는 [3] |
[5] |
[11] |
[14] |
|
| GenerateDataKeyWithoutPlaintext | |
[1] |
[2] 또는 [3] |
[5] |
[11] |
[14] |
|
| GetKeyPolicy | |
|
|
|
|
|
|
| GetKeyRotationStatus |
[7] |
[7] |
[7] |
[6] |
[7] |
[7] |
[7] |
| GetParametersForImport |
[9] |
[9] |
[8] 또는 [9] |
|
[9] |
[14] |
[15] |
| GetPublicKey | |
[1] |
[2] 또는 [3] |
해당 사항 없음 | 해당 사항 없음 |
[14] |
|
| ImportKeyMaterial |
[9] |
[9] |
[8] 또는 [9] |
|
[9] |
[14] |
|
| ListAliases | |
|
|
|
|
|
|
| ListGrants | |
|
|
|
|
|
|
| ListKeyPolicies | |
|
|
|
|
|
|
| ListResourceTags | |
|
|
|
|
|
|
| PutKeyPolicy | |
|
|
|
|
|
|
| ReEncrypt | |
[1] |
[2] 또는 [3] |
[5] |
[11] |
[14] |
|
| ReplicateKey | |
[1] |
[2] 또는 [3] |
[5] |
해당 사항 없음 |
[14] |
[15] |
| RetireGrant | |
|
|
|
|
|
|
| RevokeGrant | |
|
|
|
|
|
|
| ScheduleKeyDeletion | |
|
[3] |
|
|
|
[15] |
| Sign | |
[1] |
[2] 또는 [3] |
해당 사항 없음 | 해당 사항 없음 |
[14] |
|
| TagResource | |
|
[3] |
|
|
|
|
| UntagResource | |
|
[3] |
|
|
|
|
| UpdateAlias | |
|
[10] |
|
|
|
|
| UpdateKeyDescription | |
|
[3] |
|
|
|
|
| UpdatePrimaryRegion | |
[1] |
[2] 또는 [3] |
[5] |
해당 사항 없음 |
[14] |
|
| Verify | |
[1] |
[2] 또는 [3] |
해당 사항 없음 | 해당 사항 없음 |
[14] |
|
테이블 세부 정보
-
[1]
DisabledException:<key ARN>is disabled. -
[2]
DisabledException:<key ARN>is pending deletion (or pending replica deletion). -
[3]
KMSInvalidStateException:<key ARN>is pending deletion (or pending replica deletion). -
[4]
KMSInvalidStateException:<key ARN>is not pending deletion (or pending replica deletion). -
[5]
KMSInvalidStateException:<key ARN>is pending import. -
[6]
UnsupportedOperationException:<key ARN>origin is EXTERNAL which is not valid for this operation. -
[7] KMS 키가 키 구성 요소를 가져왔고 사용자 지정 키 스토어에 있는 경우:
UnsupportedOperationException. -
[8] KMS 키에 가져온 키 구성 요소가 있는 경우:
KMSInvalidStateException. -
[9] KMS 키에 키 구성 요소를 가져올 수 없거나 가져오지 않은 경우:
UnsupportedOperationException. -
[10] 소스 KMS 키가 삭제 보류 중인 경우 명령이 성공합니다. 대상 KMS 키가 삭제 보류 중인 경우 명령은 오류와 함께 실패합니다.
KMSInvalidStateException :<key ARN>is pending deletion. -
[11]
KMSInvalidStateException:사용할 수 없는 KMS 키에서 이 작업을 수행할 수 없습니다.<key ARN>is unavailable. -
[12] 작업이 성공하지만, KMS 키의 키 상태는 사용 가능한 상태가 될 때까지 변경되지 않습니다.
-
[13] 사용자 지정 키 스토어의 KMS 키에서 삭제가 보류 중인 동안 KMS 키가 사용 불가능한 상태더라도 키 상태는
PendingDeletion으로 유지됩니다. 따라서 대기 시간 동안 언제라도 KMS 키의 삭제를 취소할 수 있습니다. -
[14]
KMSInvalidStateException:AWS KMS가 다중 리전 키를 복제(<key ARN>is creating.ReplicateKey)하는 중에 이 예외를 발생시킵니다. -
[15]
KMSInvalidStateException:AWS KMS가 다중 리전 키의 기본 리전을 업데이트(<key ARN>is updating.UpdatePrimaryRegion)하는 중에 이 예외를 발생시킵니다.
