Habilitar e desabilitar chaves - AWS Key Management Service

Habilitar e desabilitar chaves

Você pode desabilitar ou reabilitar as chaves do KMS que você gerencia. Ao criar uma chave do KMS, ela é habilitada por padrão. Se você desabilitar uma chave do KMS, ela não poderá ser usada em nenhuma operação criptográfica até que seja reabilitada.

Por ser temporário e facilmente desfeito, desabilitar uma chave do KMS é uma alternativa segura a excluir uma chave do KMS, que é uma ação destrutiva e irreversível. Se você estiver pensando em excluir uma chave do KMS, desabilite-a primeiro e defina um alarme do CloudWatch ou um mecanismo semelhante para ter certeza de que nunca precisará usar a chave para descriptografar dados criptografados.

Não é possível habilitar ou desabilitar Chaves gerenciadas pela AWS ou Chaves pertencentes à AWS. Chaves gerenciadas pela AWS são permanentemente habilitadas para uso pelos serviços que usam o AWS KMS. Chaves pertencentes à AWS são gerenciadas unicamente pelo serviço que as possui.

nota

AWS KMSO não alterna o material de chave das chaves gerenciadas pelo cliente enquanto elas estão desabilitadas. Para obter mais informações, consulte . Como funciona a alternância de chaves automática.

Habilitar e desabilitar chaves do KMS (console)

É possível usar o console do AWS KMS para habilitar e desabilitar chaves gerenciadas pelo cliente.

  1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a Região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.

  3. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).

  4. Marque a caixa de seleção das chaves do KMS que você deseja habilitar ou desabilitar.

  5. Para habilitar uma chave do KMS, selecione Key actions (Ações de chaves), Enable (Habilitar). Para desativar chave do KMS, escolha Key actions (Ações de chaves), Disable (Desabilitar).

Habilitar e desabilitar chaves do KMS (API do AWS KMS)

A operação EnableKey habilita uma AWS KMS key desabilitada. Estes exemplos usam a AWS Command Line Interface (AWS CLI), mas você pode usar qualquer linguagem de programação compatível. O parâmetro key-id é obrigatório.

Esta operação não apresenta nenhuma saída. Para ver o status da chave, use a operação DescribeKey.

$ aws kms enable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

A operação DisableKey desabilita uma chave do KMS habilitada. O parâmetro key-id é obrigatório.

$ aws kms disable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

Esta operação não apresenta nenhuma saída. Para ver o status da chave, use a operação DescribeKey e veja o campo Enabled.

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "MultiRegion": false, "Enabled": false, "KeyState": "Disabled", "KeyUsage": "ENCRYPT_DECRYPT", "CreationDate": 1502910355.475, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333" "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }