Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Habilitar y deshabilitar claves KMS
Puede habilitar y deshabilitar claves administradas por el cliente. Al crear una clave KMS, está habilitada de forma predeterminada. Si desactiva una clave KMS, no se puede utilizar en ninguna operación criptográfica hasta que lo vuelva a habilitar.
Debido a que es temporal y se deshace fácilmente, desactivar una clave KMS es una alternativa segura a eliminar una clave KMS, una acción destructiva e irreversible. Si está considerando eliminar una clave KMS, desactívela primero y establezca una Alarma CloudWatch o un mecanismo similar para asegurarse de que nunca tendrá que usar la clave para descifrar datos cifrados.
Al deshabilitar una clave de KMS, queda inutilizable de inmediato (sujeto a posible coherencia). Sin embargo, los recursos cifrados con claves de datos protegidas por la clave de KMS no se ven afectados hasta que se vuelva a utilizar la clave de KMS, por ejemplo, para descifrar la clave de datos. Este problema afecta a los Servicios de AWS, muchos de los cuales utilizan claves de datos para proteger sus recursos. Para obtener más información, consulte Cómo afectan las claves de KMS obsoletas a las claves de datos.
No puede habilitar o desactivar Claves administradas por AWS o Claves propiedad de AWS. Las Claves administradas por AWS están habilitadas de forma permanente para que las usen los servicios que utilizan AWS KMS. Las Claves propiedad de AWS están administradas exclusivamente por el servicio que les pertenece.
nota
AWS KMS no rota el material de claves de las claves administradas por el cliente mientras están deshabilitadas. Para obtener más información, consulte Cómo funciona la rotación de claves.
Puede utilizar la consola AWS KMS para habilitar y deshabilitar claves administradas por el cliente.
-
Inicie sesión en la AWS Management Console y abra la consola AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms
. -
Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.
-
En el panel de navegación, elija Claves administradas por el cliente.
-
Elija la casilla de verificación de las claves de KMS que quiere habilitar o deshabilitar.
-
Para habilitar una clave KMS, elija Key actions (Acciones de claves), Enable (Habilitar). Para deshabilitar una clave KMS, elija Key actions (Acciones de claves), Disable (Deshabilitar).
La operación EnableKey habilita una AWS KMS key deshabilitada. En estos ejemplos, se utiliza la AWS Command Line Interface (AWS CLI)key-id es obligatorio.
Esta operación no devuelve ninguna salida. Para ver el estado de la clave, utilice la operación DescribeKey.
$aws kms enable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
La operación DisableKey deshabilita una clave KMS habilitada. El parámetro key-id es obligatorio.
$aws kms disable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
Esta operación no devuelve ninguna salida. Para ver el estado de la clave, utilice la operación DescribeKey y consulte el campo Enabled.
$aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "MultiRegion": false, "Enabled": false, "KeyState": "Disabled", "KeyUsage": "ENCRYPT_DECRYPT", "CreationDate": 1502910355.475, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333" "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }
