Estados das chaves do AWS KMS
Uma AWS KMS key tem sempre um estado de chave. As operações na chave do KMS e em seu ambiente podem alterar esse estado de chave, de forma transitória ou até que outra operação altere seu estado de chave.
A tabela nesta seção mostra como estados de chave afetam chamadas para operações de API do AWS KMS. Como resultado de seu estado de chave, espera-se que uma operação em uma chave do KMS tenha êxito (✓), apresente falhas (X) ou tenha êxito somente em certas condições (?). O resultado muitas vezes é diferente para chaves do KMS com material de chave importado.
Essa tabela inclui apenas as operações de API que usam uma chave do KMS existente. Outras operações, como CreateKey e ListKeys, são omitidas.
Estados de chave e tipos de chaves do KMS
O tipo da chave do KMS determina os estados de chave que ela pode ter.
-
Todas as chaves do KMS podem estar nos estados
Enabled,DisabledePendingDeletion. -
A maioria das chaves do KMS é criada no estado
Enabled. Chaves com material de chave importado são criadas no estadoPendingImport. -
O estado
PendingImportaplica-se somente a chaves do KMS com material de chave importado. -
O estado
Unavailableaplica-se somente a uma chave do KMS em um armazenamento de chaves personalizado. Uma chave do KMS em um armazenamento de chaves do AWS CloudHSM éUnavailablequando esse armazenamento de chaves personalizado é intencionalmente desconectado do cluster do AWS CloudHSM. Uma chave do KMS em um armazenamento de chaves externas estáUnavailablequando o armazenamento de chaves personalizado foi desconectado do proxy de armazenamento de chaves externas intencionalmente. É possível visualizar e gerenciar chaves do KMS indisponíveis, mas não é possível usá-las em operações de criptografia.O estado da chave de uma chave do KMS em um armazenamento de chaves personalizado não é afetado pelas alterações em sua chave de reserva. Uma chave do KMS em um armazenamento de chaves do AWS CloudHSM não é afetada por alterações em seu material de chaves associado no cluster do AWS CloudHSM. Uma chave do KMS em um armazenamento de chaves externas não é afetada por alterações em sua chave externa em um gerenciador de chaves externas. Se a chave de reserva estiver desabilitada ou excluída, o estado da chave do KMS não será alterado, mas as operações de criptografia que usam a chave do KMS apresentarão falha.
-
Os estados de chave
Creating,UpdatingePendingReplicaDeletionaplicam-se somente a chaves de várias regiões.-
Uma chave de réplica de várias regiões está no estado de chave
Creatingenquanto ela está sendo criada. Esse processo ainda pode estar em andamento quando a operação ReplicateKey é concluída. Quando o processo de replicação estiver concluído, a chave de réplica estará no estadoEnabledouPendingImport. -
Chaves de várias regiões estão no estado de chave
Updatingtransitório enquanto a região primária está sendo atualizada. Esse processo ainda pode estar em andamento quando a operação UpdatePrimaryRegion é concluída. Quando o processo de atualização estiver concluído, as chaves primária e de réplica retomarão o estado de chaveEnabled. -
Quando você programar a exclusão de uma chave primária de várias regiões contendo chaves de réplica, essa chave primária estará no estado
PendingReplicaDeletionaté que todas as suas chaves de réplica sejam excluídas. Seu estado de chave muda paraPendingDeletion. Para obter mais detalhes, consulte Excluir chaves de várias regiões.
-
Tabela de estados de chave
A tabela a seguir mostra como o estado de uma chave do KMS afeta operações do AWS KMS.
Descrições de notas de rodapé numeradas ([n]) estão no final deste tópico.
Talvez seja necessário rolar horizontalmente ou verticalmente para ver todos os dados nessa tabela.
| API | Habilitado | Desabilitado |
Exclusão pendente Exclusão pendente de réplica |
Importação pendente | Indisponível | Creating (Criando) | Atualizando |
|---|---|---|---|---|---|---|---|
| CancelKeyDeletion |  [4] |
[4] |
 |
[4] |
[4], [13] |
[4] |
[4] |
| CreateAlias | |
|
[3] |
|
|
|
|
| CreateGrant | |
[1] |
[2] ou [3] |
[5] |
|
[14] |
|
| Decrypt | |
[1] |
[2] ou [3] |
[5] |
[11] |
[14] |
|
| DeleteAlias | |
|
|
|
|
|
|
| DeleteImportedKeyMaterial |
[9] |
[9] |
[9] |
(sem efeito) |
N/D |
[14] |
[15] |
| DescribeKey | |
|
|
|
|
|
|
| DisableKey | |
|
[3] |
[5] |
[12] |
[14] |
[15] |
| DisableKeyRotation |
[7] |
[1] ou [7] |
[3] ou [7] |
[6] |
[7] |
[14] |
[7] |
| EnableKey | |
|
[3] |
[5] |
[12] |
[14] |
[15] |
| EnableKeyRotation |
[7] |
[1] ou [7] |
[3] ou [7] |
[6] |
[7] |
[14] |
[7] |
| Encrypt | |
[1] |
[2] ou [3] |
[5] |
[11] |
[14] |
|
| GenerateDataKey | |
[1] |
[2] ou [3] |
[5] |
[11] |
[14] |
|
| GenerateDataKeyPair | |
[1] |
[2] ou [3] |
[5] |
[11] |
[14] |
|
| GenerateDataKeyPairWithoutPlaintext | |
[1] |
[2] ou [3] |
[5] |
[11] |
[14] |
|
| GenerateDataKeyWithoutPlaintext | |
[1] |
[2] ou [3] |
[5] |
[11] |
[14] |
|
| GenerateMac | |
[1] |
[2] ou [3] |
N/D | N/D |
[14] |
|
| GetKeyPolicy | |
|
|
|
|
|
|
| GetKeyRotationStatus |
[7] |
[7] |
[7] |
[6] |
[7] |
[7] |
[7] |
| GetParametersForImport |
[9] |
[9] |
[8] ou [9] |
|
[9] |
[14] |
[15] |
| GetPublicKey | |
[1] |
[2] ou [3] |
N/D | N/D |
[14] |
|
| ImportKeyMaterial |
[9] |
[9] |
[8] ou [9] |
|
[9] |
[14] |
|
| ListAliases | |
|
|
|
|
|
|
| ListGrants | |
|
|
|
|
|
|
| ListKeyPolicies | |
|
|
|
|
|
|
| ListResourceTags | |
|
|
|
|
|
|
| PutKeyPolicy | |
|
|
|
|
|
|
| ReEncrypt | |
[1] |
[2] ou [3] |
[5] |
[11] |
[14] |
|
| ReplicateKey | |
[1] |
[2] ou [3] |
[5] |
N/D |
[14] |
[15] |
| RetireGrant | |
|
|
|
|
|
|
| RevokeGrant | |
|
|
|
|
|
|
| ScheduleKeyDeletion | |
|
[3] |
|
|
|
[15] |
| Sign | |
[1] |
[2] ou [3] |
N/D | N/D |
[14] |
|
| TagResource | |
|
[3] |
|
|
|
|
| UntagResource | |
|
[3] |
|
|
|
|
| UpdateAlias | |
|
[10] |
|
|
|
|
| UpdateKeyDescription | |
|
[3] |
|
|
|
|
| UpdatePrimaryRegion | |
[1] |
[2] ou [3] |
[5] |
N/D |
[14] |
|
| Verificar | |
[1] |
[2] ou [3] |
N/D | N/D |
[14] |
|
| VerifyMac | |
[1] |
[2] ou [3] |
N/D | N/D |
[14] |
|
Detalhes da tabela
-
[1]
DisabledException:<key ARN>is disabled. -
[2]
DisabledException:<key ARN>is pending deletion (or pending replica deletion). -
[3]
KMSInvalidStateException:<key ARN>is pending deletion (or pending replica deletion). -
[4]
KMSInvalidStateException:<key ARN>is not pending deletion (or pending replica deletion). -
[5]
KMSInvalidStateException:<key ARN>is pending import. -
[6]
UnsupportedOperationException:<key ARN>origin is EXTERNAL which is not valid for this operation. -
[7] Se a chave do KMS tiver material de chave importado ou estiver em um armazenamento de chaves personalizado:
UnsupportedOperationException. -
[8] Se a chave do KMS tiver material de chave importado:
KMSInvalidStateException -
[9] Se a chave do KMS não puder ter ou não tiver material de chave importado:
UnsupportedOperationException. -
[10] Se a exclusão da chave do KMS de origem está pendente, o comando foi bem-sucedido. Se a exclusão da chave do KMS de destino está pendente, o comando falha com o erro:
KMSInvalidStateException :<key ARN>is pending deletion. -
[11]
KMSInvalidStateException:Não é possível executar essa operação em uma chave do KMS indisponível.<key ARN>is unavailable. -
[12] A operação é bem-sucedida, mas o estado da chave do KMS não muda até que ela se torne disponível.
-
[13] Enquanto a exclusão de uma chave do KMS em um armazenamento de chaves personalizado estiver pendente, seu estado de chave permanecerá
PendingDeletion, mesmo que a chave do KMS se torne indisponível. Isso permite que você cancele a exclusão da chave do KMS a qualquer momento durante o período de espera. -
[14]
KMSInvalidStateException:O AWS KMS lança essa exceção enquanto está replicando uma chave de várias regiões (<key ARN>is creating.ReplicateKey). -
[15]
KMSInvalidStateException:O AWS KMS lança essa exceção enquanto está atualizando a região primária de uma chave de várias regiões (<key ARN>is updating.UpdatePrimaryRegion).
