Estado da chave: Efeito na sua chave do KMS - AWS Key Management Service

Estado da chave: Efeito na sua chave do KMS

Uma AWS KMS key tem sempre um estado de chave. As operações na chave do KMS e em seu ambiente podem alterar esse estado de chave, de forma transitória ou até que outra operação altere seu estado de chave.

A tabela nesta seção mostra como estados de chave afetam chamadas para operações de API do AWS KMS. Como resultado de seu estado de chave, espera-se que uma operação em uma chave do KMS tenha êxito (), apresente falhas (X) ou tenha êxito somente em certas condições (?). O resultado muitas vezes é diferente para chaves do KMS com material de chave importado.

Essa tabela inclui apenas as operações de API que usam uma chave do KMS existente. Outras operações, como CreateKey e ListKeys, são omitidas.

Estados de chave e tipos de chaves do KMS

O tipo da chave do KMS determina os estados de chave que ela pode ter.

  • A maioria das chaves do KMS é criada no estado Enabled. Chaves com material de chave importado são criadas no estado PendingImport.

  • Chaves do KMS simétricas podem estar no estado Enabled, Disabled, PendingImport, PendingDeletion ou Unavailable.

  • Chaves do KMS assimétricas podem estar no estado de chave Enabled, Disabled ou PendingDeletion.

  • O estado PendingImport aplica-se somente a chaves do KMS com material de chave importado.

  • O estado Unavailable aplica-se somente a uma chave do KMS em um armazenamento de chaves personalizado. Uma chave do KMS em um armazenamento de chaves personalizado é Unavailable quando esse armazenamento é intencionalmente desconectado do seu cluster do AWS CloudHSM. É possível visualizar e gerenciar chaves do KMS indisponíveis, mas não é possível usá-las em operações de criptografia.

  • Os estados de chave Creating, Updating ePendingReplicaDeletion aplicam-se somente a chaves de várias regiões.

    • Uma chave de réplica de várias regiões está no estado de chave Creating enquanto ela está sendo criada. Esse processo ainda pode estar em andamento quando a operação ReplicateKey é concluída. Quando o processo de replicação estiver concluído, a chave de réplica estará no estado Enabled ou PendingImport.

    • Chaves de várias regiões estão no estado de chave Updating transitório enquanto a região primária está sendo atualizada. Esse processo ainda pode estar em andamento quando a operação UpdatePrimaryRegion é concluída. Quando o processo de atualização estiver concluído, as chaves primária e de réplica retomarão o estado de chave Enabled.

    • Quando você programar a exclusão de uma chave primária de várias regiões contendo chaves de réplica, essa chave primária estará no estado PendingReplicaDeletion até que todas as suas chaves de réplica sejam excluídas. Seu estado de chave muda para PendingDeletion. Para obter mais detalhes, consulte Excluir chaves de várias regiões.

Tabela de estados de chave

A tabela a seguir mostra como o estado de uma chave do KMS afeta operações do AWS KMS.

Descrições de notas de rodapé numeradas ([n]) estão no final deste tópico.

nota

Talvez seja necessário rolar horizontalmente ou verticalmente para ver todos os dados nessa tabela.

API Enabled Desabilitado

Exclusão pendente

Exclusão de réplica pendente

Importação pendente Indisponível Creating (Criando) Atualizando
CancelKeyDeletion

[4]

[4]

[4]

[4], [13]

[4]

[4]

CreateAlias

[3]

CreateGrant

[1]

[2] ou [3]

[5]

[14]

Decrypt

[1]

[2] ou [3]

[5]

[11]

[14]

DeleteAlias
DeleteImportedKeyMaterial

[9]

[9]

[9]

(sem efeito)

N/D

[14]

[15]

DescribeKey
DisableKey

[3]

[5]

[12]

[14]

[15]

DisableKeyRotation

[7]

[1] ou [7]

[3] ou [7]

[6]

[7]

[14]

[7]

EnableKey

[3]

[5]

[12]

[14]

[15]

EnableKeyRotation

[7]

[1] ou [7]

[3] ou [7]

[6]

[7]

[14]

[7]

Encrypt

[1]

[2] ou [3]

[5]

[11]

[14]

GenerateDataKey

[1]

[2] ou [3]

[5]

[11]

[14]

GenerateDataKeyPair

[1]

[2] ou [3]

[5]

[11]

[14]

GenerateDataKeyPairWithoutPlaintext

[1]

[2] ou [3]

[5]

[11]

[14]

GenerateDataKeyWithoutPlaintext

[1]

[2] ou [3]

[5]

[11]

[14]

GetKeyPolicy
GetKeyRotationStatus

[7]

[7]

[7]

[6]

[7]

[7]

[7]

GetParametersForImport

[9]

[9]

[8] ou [9]

[9]

[14]

[15]

GetPublicKey

[1]

[2] ou [3]

N/D N/D

[14]

ImportKeyMaterial

[9]

[9]

[8] ou [9]

[9]

[14]

ListAliases
ListGrants
ListKeyPolicies
ListResourceTags
PutKeyPolicy
ReEncrypt

[1]

[2] ou [3]

[5]

[11]

[14]

ReplicateKey

[1]

[2] ou [3]

[5]

N/D

[14]

[15]

RetireGrant
RevokeGrant
ScheduleKeyDeletion

[3]

[15]

Sign

[1]

[2] ou [3]

N/D N/D

[14]

TagResource

[3]

UntagResource

[3]

UpdateAlias

[10]

UpdateKeyDescription

[3]

UpdatePrimaryRegion

[1]

[2] ou [3]

[5]

N/D

[14]

Verificar

[1]

[2] ou [3]

N/D N/D

[14]

Detalhes da tabela

  • [1] DisabledException: <key ARN> is disabled.

  • [2] DisabledException: <key ARN> is pending deletion (or pending replica deletion).

  • [3] KMSInvalidStateException: <key ARN> is pending deletion (or pending replica deletion).

  • [4] KMSInvalidStateException: <key ARN> is not pending deletion (or pending replica deletion).

  • [5] KMSInvalidStateException: <key ARN> is pending import.

  • [6] UnsupportedOperationException: <key ARN> origin is EXTERNAL which is not valid for this operation.

  • [7] Se a chave do KMS tiver material de chave importado ou estiver em um armazenamento de chaves personalizado: UnsupportedOperationException.

  • [8] Se a chave do KMS tiver material de chave importado: KMSInvalidStateException

  • [9] Se a chave do KMS não puder ter ou não tiver material de chave importado: UnsupportedOperationException.

  • [10] Se a exclusão da chave do KMS de origem está pendente, o comando foi bem-sucedido. Se a exclusão da chave do KMS de destino está pendente, o comando falha com o erro: KMSInvalidStateException : <key ARN> is pending deletion.

  • [11] KMSInvalidStateException: <key ARN> is unavailable. Não é possível executar essa operação em uma chave do KMS indisponível.

  • [12] A operação é bem-sucedida, mas o estado da chave do KMS não muda até que ela se torne disponível.

  • [13] Enquanto a exclusão de uma chave do KMS em um armazenamento de chaves personalizado estiver pendente, seu estado de chave permanecerá PendingDeletion, mesmo que a chave do KMS se torne indisponível. Isso permite que você cancele a exclusão da chave do KMS a qualquer momento durante o período de espera.

  • [14] KMSInvalidStateException: <key ARN> is creating. O AWS KMS lança essa exceção enquanto está replicando uma chave de várias regiões (ReplicateKey).

  • [15] KMSInvalidStateException: <key ARN> is updating. O AWS KMS lança essa exceção enquanto está atualizando a região primária de uma chave de várias regiões (UpdatePrimaryRegion).