Estados de chave e tipos de chaves do KMS Tabela de estados de chave

Estados das chaves do AWS KMS

Uma AWS KMS key tem sempre um estado de chave. As operações na chave do KMS e em seu ambiente podem alterar esse estado de chave, de forma transitória ou até que outra operação altere seu estado de chave.

A tabela nesta seção mostra como estados de chave afetam chamadas para operações de API do AWS KMS. Como resultado de seu estado de chave, espera-se que uma operação em uma chave do KMS tenha êxito (✓), apresente falhas (X) ou tenha êxito somente em certas condições (?). O resultado muitas vezes é diferente para chaves do KMS com material de chave importado.

Essa tabela inclui apenas as operações de API que usam uma chave do KMS existente. Outras operações, como CreateKey e ListKeys, são omitidas.

Tópicos

Estados de chave e tipos de chaves do KMS
Tabela de estados de chave

Estados de chave e tipos de chaves do KMS

O tipo da chave do KMS determina os estados de chave que ela pode ter.

Todas as chaves do KMS podem estar nos estados Enabled, Disabled e PendingDeletion.
A maioria das chaves do KMS é criada no estado Enabled. Chaves com material de chave importado são criadas no estado PendingImport.
O estado PendingImport aplica-se somente a chaves do KMS com material de chave importado.
O estado Unavailable aplica-se somente a uma chave do KMS em um armazenamento de chaves personalizado. Uma chave do KMS em um armazenamento de chaves do AWS CloudHSM é Unavailable quando esse armazenamento de chaves personalizado é intencionalmente desconectado do cluster do AWS CloudHSM. Uma chave do KMS em um armazenamento de chaves externas está Unavailable quando o armazenamento de chaves personalizado foi desconectado do proxy de armazenamento de chaves externas intencionalmente. É possível visualizar e gerenciar chaves do KMS indisponíveis, mas não é possível usá-las em operações de criptografia.

O estado da chave de uma chave do KMS em um armazenamento de chaves personalizado não é afetado pelas alterações em sua chave de reserva. Uma chave do KMS em um armazenamento de chaves do AWS CloudHSM não é afetada por alterações em seu material de chaves associado no cluster do AWS CloudHSM. Uma chave do KMS em um armazenamento de chaves externas não é afetada por alterações em sua chave externa em um gerenciador de chaves externas. Se a chave de reserva estiver desabilitada ou excluída, o estado da chave do KMS não será alterado, mas as operações de criptografia que usam a chave do KMS apresentarão falha.
Os estados de chave Creating, Updating ePendingReplicaDeletion aplicam-se somente a chaves de várias regiões.
- Uma chave de réplica de várias regiões está no estado de chave Creating enquanto ela está sendo criada. Esse processo ainda pode estar em andamento quando a operação ReplicateKey é concluída. Quando o processo de replicação estiver concluído, a chave de réplica estará no estado Enabled ou PendingImport.
- Chaves de várias regiões estão no estado de chave Updating transitório enquanto a região primária está sendo atualizada. Esse processo ainda pode estar em andamento quando a operação UpdatePrimaryRegion é concluída. Quando o processo de atualização estiver concluído, as chaves primária e de réplica retomarão o estado de chave Enabled.
- Quando você programar a exclusão de uma chave primária de várias regiões contendo chaves de réplica, essa chave primária estará no estado PendingReplicaDeletion até que todas as suas chaves de réplica sejam excluídas. Seu estado de chave muda para PendingDeletion. Para obter detalhes, consulte Deleting multi-Region keys.

Tabela de estados de chave

A tabela a seguir mostra como o estado de uma chave do KMS afeta operações do AWS KMS.

Descrições de notas de rodapé numeradas ([n]) estão no final deste tópico.

nota

Talvez seja necessário rolar horizontalmente ou verticalmente para ver todos os dados nessa tabela.

API	Habilitado	Desabilitado	Exclusão pendente Exclusão pendente de réplica	Importação pendente	Indisponível	Criando	Atualizando
CancelKeyDeletion	[4]	[4]		[4]	[4], [13]	[4]	[4]
CreateAlias			[3]
CreateGrant		[1]	[2] ou [3]	[5]		[14]
Decrypt		[1]	[2] ou [3]	[5]	[11]	[14]
DeleteAlias
DeleteImportedKeyMaterial	[9]	[9]	[9]	(sem efeito)	N/D	[14]	[15]
DescribeKey
DisableKey			[3]	[5]	[12]	[14]	[15]
DisableKeyRotation	[7]	[1] ou [7]	[3] ou [7]	[6]	[7]	[14]	[7]
EnableKey			[3]	[5]	[12]	[14]	[15]
EnableKeyRotation	[7]	[1] ou [7]	[3] ou [7]	[6]	[7]	[14]	[7]
Encrypt		[1]	[2] ou [3]	[5]	[11]	[14]
GenerateDataKey		[1]	[2] ou [3]	[5]	[11]	[14]
GenerateDataKeyPair		[1]	[2] ou [3]	[5]	[11]	[14]
GenerateDataKeyPairWithoutPlaintext		[1]	[2] ou [3]	[5]	[11]	[14]
GenerateDataKeyWithoutPlaintext		[1]	[2] ou [3]	[5]	[11]	[14]
GenerateMac		[1]	[2] ou [3]	N/D	N/D	[14]
GetKeyPolicy
GetKeyRotationStatus	[7]	[7]	[7]	[6]	[7]	[7]	[7]
GetParametersForImport	[9]	[9]	[8] ou [9]		[9]	[14]	[15]
GetPublicKey			[2] ou [3]	N/D	N/D	[14]
ImportKeyMaterial	[9]	[9]	[8] ou [9]		[9]	[14]
ListAliases
ListGrants
ListKeyPolicies
ListKeyRotations	[7]	[7]	[7]	[6]	[7]	[7]	[7]
ListResourceTags
PutKeyPolicy
ReEncrypt		[1]	[2] ou [3]	[5]	[11]	[14]
ReplicateKey		[1]	[2] ou [3]	[5]	N/D	[14]	[15]
RetireGrant
RevokeGrant
RotateKeyOnDemand	[7]	[1] ou [7]	[3] ou [7]	[6]	[7]	[14]	[7]
ScheduleKeyDeletion			[3]				[15]
Sign		[1]	[2] ou [3]	N/D	N/D	[14]
TagResource			[3]
UntagResource			[3]
UpdateAlias			[10]
UpdateKeyDescription			[3]
UpdatePrimaryRegion		[1]	[2] ou [3]	[5]	N/D	[14]
Verificar		[1]	[2] ou [3]	N/D	N/D	[14]
VerifyMac		[1]	[2] ou [3]	N/D	N/D	[14]

Detalhes da tabela

[1] DisabledException: <key ARN> is disabled.
[2] DisabledException: <key ARN> is pending deletion (or pending replica deletion).
[3] KMSInvalidStateException: <key ARN> is pending deletion (or pending replica deletion).
[4] KMSInvalidStateException: <key ARN> is not pending deletion (or pending replica deletion).
[5] KMSInvalidStateException: <key ARN> is pending import.
[6] UnsupportedOperationException: <key ARN> origin is EXTERNAL which is not valid for this operation.
[7] Se a chave do KMS tiver material de chave importado ou estiver em um armazenamento de chaves personalizado: UnsupportedOperationException.
[8] Se a chave do KMS tiver material de chave importado: KMSInvalidStateException
[9] Se a chave do KMS não puder ter ou não tiver material de chave importado: UnsupportedOperationException.
[10] Se a exclusão da chave do KMS de origem está pendente, o comando foi bem-sucedido. Se a exclusão da chave do KMS de destino está pendente, o comando falha com o erro: KMSInvalidStateException : <key ARN> is pending deletion.
[11] KMSInvalidStateException: <key ARN> is unavailable. Não é possível executar essa operação em uma chave do KMS indisponível.
[12] A operação é bem-sucedida, mas o estado da chave do KMS não muda até que ela se torne disponível.
[13] Enquanto a exclusão de uma chave do KMS em um armazenamento de chaves personalizado estiver pendente, seu estado de chave permanecerá PendingDeletion, mesmo que a chave do KMS se torne indisponível. Isso permite que você cancele a exclusão da chave do KMS a qualquer momento durante o período de espera.
[14] KMSInvalidStateException: <key ARN> is creating. O AWS KMS lança essa exceção enquanto está replicando uma chave de várias regiões (ReplicateKey).
[15] KMSInvalidStateException: <key ARN> is updating. O AWS KMS lança essa exceção enquanto está atualizando a região primária de uma chave de várias regiões (UpdatePrimaryRegion).

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Referência

Referência de tipos de chaves