Habilitar e desabilitar chaves

É possível desabilitar e reabilitar chaves gerenciadas pelo cliente. Ao criar uma chave do KMS, ela é habilitada por padrão. Se você desabilitar uma chave do KMS, ela não poderá ser usada em nenhuma operação criptográfica até que seja reabilitada.

Por ser temporário e facilmente desfeito, desabilitar uma chave do KMS é uma alternativa segura a excluir uma chave do KMS, que é uma ação destrutiva e irreversível. Se você estiver pensando em excluir uma chave KMS, desative-a primeiro e defina um CloudWatch alarme ou mecanismo semelhante para garantir que você nunca precise usar a chave para descriptografar dados criptografados.

Quando você desabilita uma chave do KMS, ela se torna inutilizável imediatamente (sujeita a consistência posterior). Porém, os recursos criptografados com chaves de dados protegidas pela chave do KMS não são afetados até que a chave do KMS seja usada novamente, por exemplo, para descriptografar a chave de dados. Esse problema afeta os Serviços da AWS, pois muitos deles usam chaves de dados para proteger recursos. Para obter detalhes, consulte Como as chaves do KMS inutilizáveis afetam as chaves de dados.

Não é possível habilitar ou desabilitar Chaves gerenciadas pela AWS ou Chaves pertencentes à AWS. Chaves gerenciadas pela AWS são permanentemente habilitadas para uso pelos serviços que usam o AWS KMS. Chaves pertencentes à AWS são gerenciadas unicamente pelo serviço que as possui.

nota

O AWS KMS não alterna o material de chave das chaves gerenciadas pelo cliente enquanto elas estão desabilitadas. Para ter mais informações, consulte Como funciona a alternância de chaves automática.

Habilitar e desabilitar chaves do KMS (console)

É possível usar o console do AWS KMS para habilitar e desabilitar chaves gerenciadas pelo cliente.

1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

2. Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.

3. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).

4. Marque a caixa de seleção das chaves do KMS que deseja habilitar ou desabilitar.

5. Para habilitar uma chave do KMS, selecione Key actions (Ações de chaves), Enable (Habilitar). Para desativar chave do KMS, escolha Key actions (Ações de chaves), Disable (Desabilitar).

Habilitar e desabilitar chaves do KMS (API do AWS KMS)

A EnableKeyoperação ativa um desativadoAWS KMS key. Estes exemplos usam a AWS Command Line Interface (AWS CLI), mas você pode usar qualquer linguagem de programação compatível. O parâmetro key-id é obrigatório.

Esta operação não apresenta nenhuma saída. Para ver o status da chave, use a DescribeKeyoperação.

$ aws kms enable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

A DisableKeyoperação desativa uma chave KMS ativada. O parâmetro key-id é obrigatório.

$ aws kms disable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

Esta operação não apresenta nenhuma saída. Para ver o status da chave, use a DescribeKeyoperação e veja o Enabled campo.

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "MultiRegion": false,
        "Enabled": false,
        "KeyState": "Disabled",
        "KeyUsage": "ENCRYPT_DECRYPT",        
        "CreationDate": 1502910355.475,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333"
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}