As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Habilitar e desabilitar chaves
<a name="enabling-keys"></a>

É possível desabilitar e reabilitar chaves gerenciadas pelo cliente. Ao criar uma chave do KMS, ela é habilitada por padrão. Se você desabilitar uma chave do KMS, ela não poderá ser usada em nenhuma [operação criptográfica](kms-cryptography.md#cryptographic-operations) até que seja reabilitada.

Por ser temporário e facilmente desfeito, desabilitar uma chave do KMS é uma alternativa segura a excluir uma chave do KMS, que é uma ação destrutiva e irreversível. Se você estiver pensando em excluir uma chave KMS, desative-a primeiro e defina um [CloudWatch alarme](deleting-keys-creating-cloudwatch-alarm.md) ou mecanismo semelhante para garantir que você nunca precise usar a chave para descriptografar dados criptografados. 

Quando você desabilita uma chave do KMS, ela se torna inutilizável imediatamente (sujeita a consistência posterior). Porém, os recursos criptografados com [chaves de dados](data-keys.md) protegidas pela chave do KMS não são afetados até que a chave do KMS seja usada novamente, por exemplo, para descriptografar a chave de dados. Esse problema afeta Serviços da AWS muitos dos quais usam chaves de dados para proteger seus recursos. Para obter detalhes, consulte [Como as chaves do KMS inutilizáveis afetam as chaves de dados](unusable-kms-keys.md).

Você não pode ativar ou desativar [Chaves gerenciadas pela AWS](concepts.md#aws-managed-key)ou [Chaves pertencentes à AWS](concepts.md#aws-owned-key). Chaves gerenciadas pela AWS estão permanentemente habilitados para uso por [serviços que usam AWS KMS](service-integration.md). Chaves pertencentes à AWS são gerenciados exclusivamente pelo serviço que os possui.

**nota**  
AWS KMS não alterna o material da chave das chaves gerenciadas pelo cliente enquanto elas estão desativadas. Para obter mais informações, consulte [Funcionamento da alternância](rotate-keys.md#rotate-keys-how-it-works).

## Usando o AWS KMS console
<a name="enabling-keys-console"></a>

Você pode usar o AWS KMS console para ativar e desativar [as chaves gerenciadas pelo cliente](concepts.md#customer-mgn-key).

1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

1. No painel de navegação, escolha **Chaves gerenciadas pelo cliente**.

1. Marque a caixa de seleção das chaves do KMS que deseja habilitar ou desabilitar.

1. Para habilitar uma chave do KMS, selecione **Key actions** (Ações de chaves), **Enable** (Habilitar). Para desativar chave do KMS, escolha **Key actions** (Ações de chaves), **Disable** (Desabilitar).

## Usando a AWS KMS API
<a name="enabling-keys-api"></a>

A [EnableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html)operação ativa um desativado AWS KMS key. Estes exemplos usam a [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mas você pode usar qualquer linguagem de programação compatível. O parâmetro `key-id` é obrigatório.

Esta operação não apresenta nenhuma saída. Para ver o status da chave, use a [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operação.

```
$ aws kms enable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
```

A [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)operação desativa uma chave KMS ativada. O parâmetro `key-id` é obrigatório.

```
$ aws kms disable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
```

Esta operação não apresenta nenhuma saída. Para ver o status da chave, use a [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operação e veja o `Enabled` campo.

```
$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "MultiRegion": false,
        "Enabled": false,
        "KeyState": "Disabled",
        "KeyUsage": "ENCRYPT_DECRYPT",        
        "CreationDate": 1502910355.475,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333"
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}
```