Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Activer et désactiver les touches
Vous pouvez activer et désactiver les clés gérées par les clients. Lorsque vous créez une clé KMS, elle est activée par défaut. Si vous désactivez une clé KMS, elle ne peut être utilisée dans aucune opération de chiffrement jusqu'à sa réactivation.
Étant donné qu'il s'agit d'une action temporaire et réversible facilement, la désactivation d'une clé KMS constitue une alternative sûre à sa suppression, action destructrice et irréversible. Si vous envisagez de supprimer une clé KMS, désactivez-la d'abord et configurez une CloudWatch alarme ou un mécanisme similaire pour être certain de ne jamais avoir à utiliser la clé pour déchiffrer des données chiffrées.
Lorsque vous désactivez une clé KMS, elle devient immédiatement inutilisable (sous réserve d'une éventuelle cohérence). Toutefois, les ressources chiffrées à l'aide de clés de données protégées par la clé KMS ne sont pas affectées tant que la clé KMS n'est pas réutilisée, par exemple pour déchiffrer la clé de données. Ce problème concerne la Services AWS plupart d'entre eux qui utilisent des clés de données pour protéger vos ressources. Pour plus de détails, consultez Comment les clés KMS inutilisables affectent les clés de données.
Vous ne pouvez pas activer ou désactiver Clés gérées par AWSou Clés détenues par AWS. Clés gérées par AWS sont activés en permanence pour être utilisés par les services qui utilisent AWS KMS. Clés détenues par AWS sont gérés uniquement par le service qui les détient.
Note
AWS KMS ne fait pas pivoter le contenu clé des clés gérées par le client lorsqu'elles sont désactivées. Pour de plus amples informations, veuillez consulter Comment fonctionne la rotation des clés.
Vous pouvez utiliser la AWS KMS console pour activer et désactiver les clés gérées par le client.
-
Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.
-
Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
-
Dans le volet de navigation, sélectionnez Clés gérées par le client.
-
Cochez les cases en regard des clés KMS que vous voulez activer ou désactiver.
-
Pour activer une clé KMS, choisissez Key actions (Actions de clé), Enable (Activer). Pour désactiver une clé KMS, choisissez Key actions (Actions de clé), Disable (Désactiver).
L'EnableKeyopération active une personne désactivée AWS KMS key. Ces exemples utilisent l'AWS Command Line Interface (AWS CLI)key-id est obligatoire.
Cette opération ne renvoie aucune sortie. Pour voir l'état de la clé, utilisez l'DescribeKeyopération.
$aws kms enable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
L'DisableKeyopération désactive une clé KMS activée. Le paramètre key-id est obligatoire.
$aws kms disable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
Cette opération ne renvoie aucune sortie. Pour voir l'état de la clé, utilisez l'DescribeKeyopération et consultez le Enabled champ.
$aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "MultiRegion": false, "Enabled": false, "KeyState": "Disabled", "KeyUsage": "ENCRYPT_DECRYPT", "CreationDate": 1502910355.475, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333" "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }
