Habilitar e desabilitar chaves
Você pode desabilitar ou reabilitar as chaves do KMS que você gerencia. Ao criar uma chave do KMS, ela é habilitada por padrão. Se você desabilitar uma chave do KMS, ela não poderá ser usada em nenhuma operação criptográfica até que seja reabilitada.
Por ser temporário e facilmente desfeito, desabilitar uma chave do KMS é uma alternativa segura a excluir uma chave do KMS, que é uma ação destrutiva e irreversível. Se você estiver pensando em excluir uma chave do KMS, desabilite-a primeiro e defina um alarme do CloudWatch ou um mecanismo semelhante para ter certeza de que nunca precisará usar a chave para descriptografar dados criptografados.
Não é possível habilitar ou desabilitar Chaves gerenciadas pela AWS ou Chaves pertencentes à AWS. Chaves gerenciadas pela AWS são permanentemente habilitadas para uso pelos serviços que usam o AWS KMS. Chaves pertencentes à AWS são gerenciadas unicamente pelo serviço que as possui.
AWS KMSO não alterna o material de chave das chaves gerenciadas pelo cliente enquanto elas estão desabilitadas. Para obter mais informações, consulte . Como funciona a alternância de chaves automática.
Tópicos
Habilitar e desabilitar chaves do KMS (console)
É possível usar o console do AWS KMS para habilitar e desabilitar chaves gerenciadas pelo cliente.
-
Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms
. -
Para alterar a Região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.
-
No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).
-
Marque a caixa de seleção das chaves do KMS que você deseja habilitar ou desabilitar.
-
Para habilitar uma chave do KMS, selecione Key actions (Ações de chaves), Enable (Habilitar). Para desativar chave do KMS, escolha Key actions (Ações de chaves), Disable (Desabilitar).
Habilitar e desabilitar chaves do KMS (API do AWS KMS)
A operação EnableKey habilita uma AWS KMS key desabilitada. Estes exemplos usam a AWS Command Line Interface (AWS CLI)key-id
é obrigatório.
Esta operação não apresenta nenhuma saída. Para ver o status da chave, use a operação DescribeKey.
$
aws kms enable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
A operação DisableKey desabilita uma chave do KMS habilitada. O parâmetro key-id
é obrigatório.
$
aws kms disable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
Esta operação não apresenta nenhuma saída. Para ver o status da chave, use a operação DescribeKey e veja o campo Enabled
.
$
aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{ "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "MultiRegion": false, "Enabled": false, "KeyState": "Disabled", "KeyUsage": "ENCRYPT_DECRYPT", "CreationDate": 1502910355.475, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333" "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }