États clés des AWS KMS clés - AWS Key Management Service
États de clé et types de clés KMSTableau d'état de clé

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

États clés des AWS KMS clés

Un a AWS KMS key toujours un état clé. Les opérations sur la clé KMS et son environnement peuvent modifier cet état de clé, soit de manière transitoire, soit jusqu'à ce qu'une autre opération modifie son état de clé.

Le tableau de cette section montre comment les états clés affectent les appels aux opérations AWS KMS d'API. En raison de son état clé, une opération sur une clé KMS devrait réussir (), échouer (X), ou ne réussir que dans certaines conditions (?). Le résultat est souvent différent pour les clés KMS avec des éléments de clé importés.

Ce tableau inclut uniquement les opérations d'API qui utilisent une clé KMS existante. Les autres opérations, telles que CreateKeyet ListKeys, sont omises.

États de clé et types de clés KMS

Le type de la clé KMS détermine les états de clé qu'elle peut avoir.

  • Toutes les clés KMS peuvent être à l'état Enabled, Disabled et PendingDeletion.

  • La plupart des clés KMS sont créées dans l'état Enabled. Les clés avec des éléments de clé importés sont créées dans l'état PendingImport.

  • L'état PendingImport s'applique uniquement aux clés KMS avec des éléments de clé importés.

  • L'état Unavailable s'applique uniquement à une clé KMS dans un magasin de clés personnalisé. Une clé KMS dans un magasin de AWS CloudHSM clés se produit Unavailable lorsque le magasin de clés personnalisé est intentionnellement déconnecté de son AWS CloudHSM cluster. Une clé KMS dans un magasin de clés externe est Unavailable lorsque le magasin de clés personnalisé est intentionnellement déconnecté de son proxy de magasin de clés externe. Vous pouvez afficher et gérer les clés KMS indisponibles, mais vous ne pouvez pas les utiliser dans les opérations de chiffrement.

    L'état d'une clé KMS dans un magasin de clés personnalisé n'est pas affecté par les modifications apportées à sa clé de sauvegarde. Une clé KMS dans un magasin de AWS CloudHSM clés n'est pas affectée par les modifications apportées à son contenu clé associé dans le AWS CloudHSM cluster. Une clé KMS dans un magasin de clés externe n'est pas affectée par les modifications apportées à sa clé externe dans un gestionnaire de clés externe. Si la clé de sauvegarde est désactivée ou supprimée, l'état de la clé KMS ne change pas, mais les opérations cryptographiques utilisant la clé KMS échouent.

  • Les états de clé Creating, Updating et PendingReplicaDeletion s'appliquent uniquement aux clés multi-région.

    • Une clé de réplica multi-région se trouve dans l'état de clé Creating durant sa création. Ce processus est peut-être toujours en cours une fois l'ReplicateKeyopération terminée. Lorsque le processus de réplication est terminé, la clé de réplica se trouve dans l'état Enabled ou PendingImport.

    • Les clés multi-région se trouvent à l'état transitoire Updating lorsque la région principale est en cours de mise à jour. Ce processus est peut-être toujours en cours une fois l'UpdatePrimaryRegionopération terminée. Une fois le processus de mise à jour terminé, les clés principales et de réplica reprennent l'état de clé Enabled.

    • Lorsque vous planifiez la suppression d'une clé principale multi-région dotée de clés de réplica, la clé principale se trouve à l'état PendingReplicaDeletion jusqu'à ce que toutes ses clés de réplica soient supprimées. Puis, son état passe à PendingDeletion. Pour plus de détails, veuillez consulter Suppression de clés multi-régions.

Tableau d'état de clé

Le tableau suivant montre comment l'état de clé d'une clé KMS affecte les opérations AWS KMS .

Les descriptions des notes de bas de page numérotées ([n]) sont à la fin de cette rubrique.

Note

Vous devrez peut-être faire défiler horizontalement ou verticalement pour voir toutes les données de ce tableau.

API Activé Désactivées

Suppression en attente

Suppression du réplica en attente

 Importation en attente Unavailable Création Mise à jour
CancelKeyDeletion

[4]

[4]

[4]

[4], [13]

[4]

[4]

CreateAlias

[3]
CreateGrant

[1]

[2] ou [3]

[5]

[14]
Decrypt

[1]

[2] ou [3]

[5]

[11]

[14]
DeleteAlias
DeleteImportedKeyMaterial

[9]

[9]

[9]

(Aucun effet)

 N/A

[14]

[15]
DescribeKey
DisableKey

[3]

[5]

[12]

[14]

[15]
DisableKeyRotation

[7]

[1] ou [7]

[3] ou [7]

[6]

[7]

[14]

[7]
EnableKey

[3]

[5]

[12]

[14]

[15]
EnableKeyRotation

[7]

[1] ou [7]

[3] ou [7]

[6]

[7]

[14]

[7]

Encrypt

[1]

[2] ou [3]

[5]

[11]

[14]
GenerateDataKey

[1]

[2] ou [3]

[5]

[11]

[14]

GenerateDataKeyPair

[1]

[2] ou [3]

[5]

[11]

[14]
GenerateDataKeyPairWithoutPlaintext

[1]

[2] ou [3]

[5]

[11]

[14]
GenerateDataKeyWithoutPlaintext

[1]

[2] ou [3]

[5]

[11]

[14]
GenerateMac

[1]

[2] ou [3]

 N/A N/A

[14]
GetKeyPolicy
GetKeyRotationStatus

[7]

[7]

[7]

[6]

[7]

[7]

[7]
GetParametersForImport

[9]

[9]

[8] ou [9]

[9]

[14]

[15]
GetPublicKey

[2] ou [3]

 N/A N/A

[14]
ImportKeyMaterial

[9]

[9]

[8] ou [9]

[9]

[14]
ListAliases
ListGrants
ListKeyPolicies
ListKeyRotations

[7]

[7]

[7]

[6]

[7]

[7]

[7]
ListResourceTags
PutKeyPolicy
ReEncrypt

[1]

[2] ou [3]

[5]

[11]

[14]
ReplicateKey

[1]

[2] ou [3]

[5]

 N/A

[14]

[15]
RetireGrant
RevokeGrant
RotateKeyOnDemand

[7]

[1] ou [7]

[3] ou [7]

[6]

[7]

[14]

[7]

ScheduleKeyDeletion

[3]

[15]
Sign (Signer)

[1]

[2] ou [3]

 N/A N/A

[14]
TagResource

[3]
UntagResource

[3]
UpdateAlias

[10]
UpdateKeyDescription

[3]
UpdatePrimaryRegion

[1]

[2] ou [3]

[5]

 N/A

[14]
Vérification

[1]

[2] ou [3]

 N/A N/A

[14]
VerifyMac

[1]

[2] ou [3]

 N/A N/A

[14]

Détails de la table

  • [1] DisabledException: <key ARN> is disabled.

  • [2] DisabledException: <key ARN> is pending deletion (or pending replica deletion).

  • [3] KMSInvalidStateException: <key ARN> is pending deletion (or pending replica deletion).

  • [4] KMSInvalidStateException: <key ARN> is not pending deletion (or pending replica deletion).

  • [5] KMSInvalidStateException: <key ARN> is pending import.

  • [6] UnsupportedOperationException: <key ARN> origin is EXTERNAL which is not valid for this operation.

  • [7] Si la clé KMS possède des éléments de clé importés ou se trouve dans un magasin de clés personnalisé : UnsupportedOperationException.

  • [8] Si la clé KMS comporte des éléments de clé importés : KMSInvalidStateException

  • [9] Si la clé KMS ne peut pas comporter ou ne comporte pas des éléments de clé importés : UnsupportedOperationException.

  • [10] Si la clé KMS source est en attente de suppression, la commande réussit. Si la clé KMS de destination est en attente de suppression, la commande échoue avec l'erreur suivante : KMSInvalidStateException : <key ARN> is pending deletion.

  • [11] KMSInvalidStateException: <key ARN> is unavailable. Vous ne pouvez pas effectuer cette opération sur une clé KMS indisponible.

  • [12] L'opération aboutit, mais l'état de la clé KMS ne change pas jusqu'à ce qu'elle devienne disponible.

  • [13] Même si une clé KMS d'un magasin de clés personnalisé est en attente de suppression, son état de clé demeure PendingDeletion, même si la clé KMS devient indisponible. Cela vous permet d'annuler la suppression de la clé KMS à tout moment au cours de la période d'attente.

  • [14] KMSInvalidStateException: <key ARN> is creating. AWS KMS lance cette exception lors de la réplication d'une clé multirégionale ()ReplicateKey.

  • [15] KMSInvalidStateException: <key ARN> is updating. AWS KMS lance cette exception lors de la mise à jour de la région principale d'une clé multirégionale (UpdatePrimaryRegion).