Estados das chaves do AWS KMS
Uma AWS KMS key tem sempre um estado de chave. As operações na chave do KMS e em seu ambiente podem alterar esse estado de chave, de forma transitória ou até que outra operação altere seu estado de chave.
A tabela nesta seção mostra como estados de chave afetam chamadas para operações de API do AWS KMS. Como resultado de seu estado de chave, espera-se que uma operação em uma chave do KMS tenha êxito (✓), apresente falhas (X) ou tenha êxito somente em certas condições (?). O resultado muitas vezes é diferente para chaves do KMS com material de chave importado.
Essa tabela inclui apenas as operações de API que usam uma chave do KMS existente. Outras operações, como CreateKey e ListKeys, são omitidas.
Estados de chave e tipos de chaves do KMS
O tipo da chave do KMS determina os estados de chave que ela pode ter.
-
A maioria das chaves do KMS é criada no estado
Enabled. Chaves com material de chave importado são criadas no estadoPendingImport. -
Chaves do KMS simétricas podem estar no estado
Enabled,Disabled,PendingImport,PendingDeletionouUnavailable. -
Chaves do KMS assimétricas podem estar no estado de chave
Enabled,DisabledouPendingDeletion. -
O estado
PendingImportaplica-se somente a chaves do KMS com material de chave importado. -
O estado
Unavailableaplica-se somente a uma chave do KMS em um armazenamento de chaves personalizado. Uma chave do KMS em um armazenamento de chaves personalizado éUnavailablequando esse armazenamento é intencionalmente desconectado do seu cluster do AWS CloudHSM. É possível visualizar e gerenciar chaves do KMS indisponíveis, mas não é possível usá-las em operações de criptografia. -
Os estados de chave
Creating,UpdatingePendingReplicaDeletionaplicam-se somente a chaves de várias regiões.-
Uma chave de réplica de várias regiões está no estado de chave
Creatingenquanto ela está sendo criada. Esse processo ainda pode estar em andamento quando a operação ReplicateKey é concluída. Quando o processo de replicação estiver concluído, a chave de réplica estará no estadoEnabledouPendingImport. -
Chaves de várias regiões estão no estado de chave
Updatingtransitório enquanto a região primária está sendo atualizada. Esse processo ainda pode estar em andamento quando a operação UpdatePrimaryRegion é concluída. Quando o processo de atualização estiver concluído, as chaves primária e de réplica retomarão o estado de chaveEnabled. -
Quando você programar a exclusão de uma chave primária de várias regiões contendo chaves de réplica, essa chave primária estará no estado
PendingReplicaDeletionaté que todas as suas chaves de réplica sejam excluídas. Seu estado de chave muda paraPendingDeletion. Para obter mais detalhes, consulte Excluir chaves de várias regiões.
-
Tabela de estados de chave
A tabela a seguir mostra como o estado de uma chave do KMS afeta operações do AWS KMS.
Descrições de notas de rodapé numeradas ([n]) estão no final deste tópico.
Talvez seja necessário rolar horizontalmente ou verticalmente para ver todos os dados nessa tabela.
| API | Enabled | Desabilitado |
Exclusão pendente Exclusão de réplica pendente |
Importação pendente | Indisponível | Creating (Criando) | Atualizando |
|---|---|---|---|---|---|---|---|
| CancelKeyDeletion |  [4] |
[4] |
 |
[4] |
[4], [13] |
[4] |
[4] |
| CreateAlias | |
|
[3] |
|
|
|
|
| CreateGrant | |
[1] |
[2] ou [3] |
[5] |
|
[14] |
|
| Decrypt | |
[1] |
[2] ou [3] |
[5] |
[11] |
[14] |
|
| DeleteAlias | |
|
|
|
|
|
|
| DeleteImportedKeyMaterial |
[9] |
[9] |
[9] |
(sem efeito) |
N/D |
[14] |
[15] |
| DescribeKey | |
|
|
|
|
|
|
| DisableKey | |
|
[3] |
[5] |
[12] |
[14] |
[15] |
| DisableKeyRotation |
[7] |
[1] ou [7] |
[3] ou [7] |
[6] |
[7] |
[14] |
[7] |
| EnableKey | |
|
[3] |
[5] |
[12] |
[14] |
[15] |
| EnableKeyRotation |
[7] |
[1] ou [7] |
[3] ou [7] |
[6] |
[7] |
[14] |
[7] |
| Encrypt | |
[1] |
[2] ou [3] |
[5] |
[11] |
[14] |
|
| GenerateDataKey | |
[1] |
[2] ou [3] |
[5] |
[11] |
[14] |
|
| GenerateDataKeyPair | |
[1] |
[2] ou [3] |
[5] |
[11] |
[14] |
|
| GenerateDataKeyPairWithoutPlaintext | |
[1] |
[2] ou [3] |
[5] |
[11] |
[14] |
|
| GenerateDataKeyWithoutPlaintext | |
[1] |
[2] ou [3] |
[5] |
[11] |
[14] |
|
| GetKeyPolicy | |
|
|
|
|
|
|
| GetKeyRotationStatus |
[7] |
[7] |
[7] |
[6] |
[7] |
[7] |
[7] |
| GetParametersForImport |
[9] |
[9] |
[8] ou [9] |
|
[9] |
[14] |
[15] |
| GetPublicKey | |
[1] |
[2] ou [3] |
N/D | N/D |
[14] |
|
| ImportKeyMaterial |
[9] |
[9] |
[8] ou [9] |
|
[9] |
[14] |
|
| ListAliases | |
|
|
|
|
|
|
| ListGrants | |
|
|
|
|
|
|
| ListKeyPolicies | |
|
|
|
|
|
|
| ListResourceTags | |
|
|
|
|
|
|
| PutKeyPolicy | |
|
|
|
|
|
|
| ReEncrypt | |
[1] |
[2] ou [3] |
[5] |
[11] |
[14] |
|
| ReplicateKey | |
[1] |
[2] ou [3] |
[5] |
N/D |
[14] |
[15] |
| RetireGrant | |
|
|
|
|
|
|
| RevokeGrant | |
|
|
|
|
|
|
| ScheduleKeyDeletion | |
|
[3] |
|
|
|
[15] |
| Sign | |
[1] |
[2] ou [3] |
N/D | N/D |
[14] |
|
| TagResource | |
|
[3] |
|
|
|
|
| UntagResource | |
|
[3] |
|
|
|
|
| UpdateAlias | |
|
[10] |
|
|
|
|
| UpdateKeyDescription | |
|
[3] |
|
|
|
|
| UpdatePrimaryRegion | |
[1] |
[2] ou [3] |
[5] |
N/D |
[14] |
|
| Verificar | |
[1] |
[2] ou [3] |
N/D | N/D |
[14] |
|
Detalhes da tabela
-
[1]
DisabledException:<key ARN>is disabled. -
[2]
DisabledException:<key ARN>is pending deletion (or pending replica deletion). -
[3]
KMSInvalidStateException:<key ARN>is pending deletion (or pending replica deletion). -
[4]
KMSInvalidStateException:<key ARN>is not pending deletion (or pending replica deletion). -
[5]
KMSInvalidStateException:<key ARN>is pending import. -
[6]
UnsupportedOperationException:<key ARN>origin is EXTERNAL which is not valid for this operation. -
[7] Se a chave do KMS tiver material de chave importado ou estiver em um armazenamento de chaves personalizado:
UnsupportedOperationException. -
[8] Se a chave do KMS tiver material de chave importado:
KMSInvalidStateException -
[9] Se a chave do KMS não puder ter ou não tiver material de chave importado:
UnsupportedOperationException. -
[10] Se a exclusão da chave do KMS de origem está pendente, o comando foi bem-sucedido. Se a exclusão da chave do KMS de destino está pendente, o comando falha com o erro:
KMSInvalidStateException :<key ARN>is pending deletion. -
[11]
KMSInvalidStateException:Não é possível executar essa operação em uma chave do KMS indisponível.<key ARN>is unavailable. -
[12] A operação é bem-sucedida, mas o estado da chave do KMS não muda até que ela se torne disponível.
-
[13] Enquanto a exclusão de uma chave do KMS em um armazenamento de chaves personalizado estiver pendente, seu estado de chave permanecerá
PendingDeletion, mesmo que a chave do KMS se torne indisponível. Isso permite que você cancele a exclusão da chave do KMS a qualquer momento durante o período de espera. -
[14]
KMSInvalidStateException:AWS KMS O lança essa exceção enquanto está replicando uma chave de várias regiões (<key ARN>is creating.ReplicateKey). -
[15]
KMSInvalidStateException:AWS KMS O lança essa exceção enquanto está atualizando a região primária de uma chave de várias regiões (<key ARN>is updating.UpdatePrimaryRegion).
