Habilitar e desabilitar chaves - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitar e desabilitar chaves

É possível desabilitar e reabilitar chaves gerenciadas pelo cliente. Ao criar uma chave do KMS, ela é habilitada por padrão. Se você desabilitar uma chave do KMS, ela não poderá ser usada em nenhuma operação criptográfica até que seja reabilitada.

Por ser temporário e facilmente desfeito, desabilitar uma chave do KMS é uma alternativa segura a excluir uma chave do KMS, que é uma ação destrutiva e irreversível. Se você estiver pensando em excluir uma chave KMS, desative-a primeiro e defina um CloudWatch alarme ou mecanismo semelhante para garantir que você nunca precise usar a chave para descriptografar dados criptografados.

Quando você desabilita uma chave do KMS, ela se torna inutilizável imediatamente (sujeita a consistência posterior). Porém, os recursos criptografados com chaves de dados protegidas pela chave do KMS não são afetados até que a chave do KMS seja usada novamente, por exemplo, para descriptografar a chave de dados. Esse problema afeta Serviços da AWS muitos dos quais usam chaves de dados para proteger seus recursos. Para obter detalhes, consulte Como as chaves do KMS inutilizáveis afetam as chaves de dados.

Você não pode ativar ou desativar Chaves gerenciadas pela AWSou Chaves pertencentes à AWS. Chaves gerenciadas pela AWS estão permanentemente habilitados para uso por serviços que usam AWS KMS. Chaves pertencentes à AWS são gerenciados exclusivamente pelo serviço que os possui.

nota

AWS KMS não alterna o material da chave das chaves gerenciadas pelo cliente enquanto elas estão desativadas. Para obter mais informações, consulte Funcionamento da alternância.

Você pode usar o AWS KMS console para ativar e desativar as chaves gerenciadas pelo cliente.

  1. Faça login no console AWS Management Console e abra o AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

  3. No painel de navegação, escolha Chaves gerenciadas pelo cliente.

  4. Marque a caixa de seleção das chaves do KMS que deseja habilitar ou desabilitar.

  5. Para habilitar uma chave do KMS, selecione Key actions (Ações de chaves), Enable (Habilitar). Para desativar chave do KMS, escolha Key actions (Ações de chaves), Disable (Desabilitar).

A EnableKeyoperação ativa um desativado AWS KMS key. Estes exemplos usam a AWS Command Line Interface (AWS CLI), mas você pode usar qualquer linguagem de programação compatível. O parâmetro key-id é obrigatório.

Esta operação não apresenta nenhuma saída. Para ver o status da chave, use a DescribeKeyoperação.

$ aws kms enable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

A DisableKeyoperação desativa uma chave KMS ativada. O parâmetro key-id é obrigatório.

$ aws kms disable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

Esta operação não apresenta nenhuma saída. Para ver o status da chave, use a DescribeKeyoperação e veja o Enabled campo.

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "MultiRegion": false,
        "Enabled": false,
        "KeyState": "Disabled",
        "KeyUsage": "ENCRYPT_DECRYPT",        
        "CreationDate": 1502910355.475,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333"
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}