Habilitar e desabilitar chaves - AWS Key Management Service
Habilitar e desabilitar chaves do KMS (console)Habilitar e desabilitar chaves do KMS (API do AWS KMS)

Habilitar e desabilitar chaves

É possível desabilitar e reabilitar chaves gerenciadas pelo cliente. Ao criar uma chave do KMS, ela é habilitada por padrão. Se você desabilitar uma chave do KMS, ela não poderá ser usada em nenhuma operação criptográfica até que seja reabilitada.

Por ser temporário e facilmente desfeito, desabilitar uma chave do KMS é uma alternativa segura a excluir uma chave do KMS, que é uma ação destrutiva e irreversível. Se você estiver pensando em excluir uma chave do KMS, desabilite-a primeiro e defina um alarme do CloudWatch ou um mecanismo semelhante para ter certeza de que nunca precisará usar a chave para descriptografar dados criptografados.

Quando você desabilita uma chave do KMS, ela se torna inutilizável imediatamente (sujeita a consistência posterior). Porém, os recursos criptografados com chaves de dados protegidas pela chave do KMS não são afetados até que a chave do KMS seja usada novamente, por exemplo, para descriptografar a chave de dados. Esse problema afeta os Serviços da AWS, pois muitos deles usam chaves de dados para proteger recursos. Para obter mais detalhes, consulte Como as chaves do KMS inutilizáveis afetam as chaves de dados.

Não é possível habilitar ou desabilitar Chaves gerenciadas pela AWS ou Chaves pertencentes à AWS. Chaves gerenciadas pela AWS são permanentemente habilitadas para uso pelos serviços que usam o AWS KMS. Chaves pertencentes à AWS são gerenciadas unicamente pelo serviço que as possui.

nota

O AWS KMS não alterna o material de chave das chaves gerenciadas pelo cliente enquanto elas estão desabilitadas. Para obter mais informações, consulte Como funciona a alternância de chaves automática.

Habilitar e desabilitar chaves do KMS (console)

É possível usar o console do AWS KMS para habilitar e desabilitar chaves gerenciadas pelo cliente.

  1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a Região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.

  3. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).

  4. Marque a caixa de seleção das chaves do KMS que deseja habilitar ou desabilitar.

  5. Para habilitar uma chave do KMS, selecione Key actions (Ações de chaves), Enable (Habilitar). Para desativar chave do KMS, escolha Key actions (Ações de chaves), Disable (Desabilitar).

Habilitar e desabilitar chaves do KMS (API do AWS KMS)

A operação EnableKey habilita uma AWS KMS key desabilitada. Estes exemplos usam a AWS Command Line Interface (AWS CLI), mas você pode usar qualquer linguagem de programação compatível. O parâmetro key-id é obrigatório.

Esta operação não apresenta nenhuma saída. Para ver o status da chave, use a operação DescribeKey.

$ aws kms enable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

A operação DisableKey desabilita uma chave do KMS habilitada. O parâmetro key-id é obrigatório.

$ aws kms disable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

Esta operação não apresenta nenhuma saída. Para ver o status da chave, use a operação DescribeKey e veja o campo Enabled.

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "MultiRegion": false,
        "Enabled": false,
        "KeyState": "Disabled",
        "KeyUsage": "ENCRYPT_DECRYPT",        
        "CreationDate": 1502910355.475,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333"
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}