Principais estados das AWS KMS chaves - AWS Key Management Service
Estados de chave e tipos de chaves do KMSTabela de estados de chave

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Principais estados das AWS KMS chaves

E AWS KMS key sempre tem um estado chave. As operações na chave do KMS e em seu ambiente podem alterar esse estado de chave, de forma transitória ou até que outra operação altere seu estado de chave.

A tabela nesta seção mostra como os estados principais afetam as chamadas para operações de AWS KMS API. Como resultado de seu estado de chave, espera-se que uma operação em uma chave do KMS tenha êxito (), apresente falhas (X) ou tenha êxito somente em certas condições (?). O resultado muitas vezes é diferente para chaves do KMS com material de chave importado.

Essa tabela inclui apenas as operações de API que usam uma chave do KMS existente. Outras operações, como CreateKeye ListKeys, são omitidas.

Estados de chave e tipos de chaves do KMS

O tipo da chave do KMS determina os estados de chave que ela pode ter.

  • Todas as chaves do KMS podem estar nos estados Enabled, Disabled e PendingDeletion.

  • A maioria das chaves do KMS é criada no estado Enabled. Chaves com material de chave importado são criadas no estado PendingImport.

  • O estado PendingImport aplica-se somente a chaves do KMS com material de chave importado.

  • O estado Unavailable aplica-se somente a uma chave do KMS em um armazenamento de chaves personalizado. Uma chave KMS em um armazenamento de AWS CloudHSM chaves ocorre Unavailable quando o armazenamento de chaves personalizado é intencionalmente desconectado de seu cluster. AWS CloudHSM Uma chave do KMS em um armazenamento de chaves externas está Unavailable quando o armazenamento de chaves personalizado foi desconectado do proxy de armazenamento de chaves externas intencionalmente. É possível visualizar e gerenciar chaves do KMS indisponíveis, mas não é possível usá-las em operações de criptografia.

    O estado da chave de uma chave do KMS em um armazenamento de chaves personalizado não é afetado pelas alterações em sua chave de reserva. Uma chave KMS em um armazenamento de AWS CloudHSM chaves não é afetada pelas alterações no material de chaves associado no AWS CloudHSM cluster. Uma chave do KMS em um armazenamento de chaves externas não é afetada por alterações em sua chave externa em um gerenciador de chaves externas. Se a chave de reserva estiver desabilitada ou excluída, o estado da chave do KMS não será alterado, mas as operações de criptografia que usam a chave do KMS apresentarão falha.

  • Os estados de chave Creating, Updating ePendingReplicaDeletion aplicam-se somente a chaves de várias regiões.

    • Uma chave de réplica de várias regiões está no estado de chave Creating enquanto ela está sendo criada. Esse processo ainda pode estar em andamento quando a ReplicateKeyoperação for concluída. Quando o processo de replicação estiver concluído, a chave de réplica estará no estado Enabled ou PendingImport.

    • Chaves de várias regiões estão no estado de chave Updating transitório enquanto a região primária está sendo atualizada. Esse processo ainda pode estar em andamento quando a UpdatePrimaryRegionoperação for concluída. Quando o processo de atualização estiver concluído, as chaves primária e de réplica retomarão o estado de chave Enabled.

    • Quando você programar a exclusão de uma chave primária de várias regiões contendo chaves de réplica, essa chave primária estará no estado PendingReplicaDeletion até que todas as suas chaves de réplica sejam excluídas. Seu estado de chave muda para PendingDeletion. Para obter detalhes, consulte Excluir chaves de várias regiões.

Tabela de estados de chave

A tabela a seguir mostra como o estado de uma chave do KMS afeta operações do AWS KMS .

Descrições de notas de rodapé numeradas ([n]) estão no final deste tópico.

nota

Talvez seja necessário rolar horizontalmente ou verticalmente para ver todos os dados nessa tabela.

API Habilitado Desabilitado

Exclusão pendente

Exclusão pendente de réplica

 Importação pendente Indisponível Criando Atualizando
CancelKeyDeletion

[4]

[4]

[4]

[4], [13]

[4]

[4]
CreateAlias

[3]
CreateGrant

[1]

[2] ou [3]

[5]

[14]
Decrypt

[1]

[2] ou [3]

[5]

[11]

[14]
DeleteAlias
DeleteImportedKeyMaterial

[9]

[9]

[9]

(sem efeito)

 N/D

[14]

[15]
DescribeKey
DisableKey

[3]

[5]

[12]

[14]

[15]
DisableKeyRotation

[7]

[1] ou [7]

[3] ou [7]

[6]

[7]

[14]

[7]
EnableKey

[3]

[5]

[12]

[14]

[15]
EnableKeyRotation

[7]

[1] ou [7]

[3] ou [7]

[6]

[7]

[14]

[7]

Encrypt

[1]

[2] ou [3]

[5]

[11]

[14]
GenerateDataKey

[1]

[2] ou [3]

[5]

[11]

[14]

GenerateDataKeyPair

[1]

[2] ou [3]

[5]

[11]

[14]
GenerateDataKeyPairWithoutPlaintext

[1]

[2] ou [3]

[5]

[11]

[14]
GenerateDataKeyWithoutPlaintext

[1]

[2] ou [3]

[5]

[11]

[14]
GenerateMac

[1]

[2] ou [3]

 N/D N/D

[14]
GetKeyPolicy
GetKeyRotationStatus

[7]

[7]

[7]

[6]

[7]

[7]

[7]
GetParametersForImport

[9]

[9]

[8] ou [9]

[9]

[14]

[15]
GetPublicKey

[2] ou [3]

 N/D N/D

[14]
ImportKeyMaterial

[9]

[9]

[8] ou [9]

[9]

[14]
ListAliases
ListGrants
ListKeyPolicies
ListKeyRotations

[7]

[7]

[7]

[6]

[7]

[7]

[7]
ListResourceTags
PutKeyPolicy
ReEncrypt

[1]

[2] ou [3]

[5]

[11]

[14]
ReplicateKey

[1]

[2] ou [3]

[5]

 N/D

[14]

[15]
RetireGrant
RevokeGrant
RotateKeyOnDemand

[7]

[1] ou [7]

[3] ou [7]

[6]

[7]

[14]

[7]

ScheduleKeyDeletion

[3]

[15]
Sign

[1]

[2] ou [3]

 N/D N/D

[14]
TagResource

[3]
UntagResource

[3]
UpdateAlias

[10]
UpdateKeyDescription

[3]
UpdatePrimaryRegion

[1]

[2] ou [3]

[5]

 N/D

[14]
Verificar

[1]

[2] ou [3]

 N/D N/D

[14]
VerifyMac

[1]

[2] ou [3]

 N/D N/D

[14]

Detalhes da tabela

  • [1] DisabledException: <key ARN> is disabled.

  • [2] DisabledException: <key ARN> is pending deletion (or pending replica deletion).

  • [3] KMSInvalidStateException: <key ARN> is pending deletion (or pending replica deletion).

  • [4] KMSInvalidStateException: <key ARN> is not pending deletion (or pending replica deletion).

  • [5] KMSInvalidStateException: <key ARN> is pending import.

  • [6] UnsupportedOperationException: <key ARN> origin is EXTERNAL which is not valid for this operation.

  • [7] Se a chave do KMS tiver material de chave importado ou estiver em um armazenamento de chaves personalizado: UnsupportedOperationException.

  • [8] Se a chave do KMS tiver material de chave importado: KMSInvalidStateException

  • [9] Se a chave do KMS não puder ter ou não tiver material de chave importado: UnsupportedOperationException.

  • [10] Se a exclusão da chave do KMS de origem está pendente, o comando foi bem-sucedido. Se a exclusão da chave do KMS de destino está pendente, o comando falha com o erro: KMSInvalidStateException : <key ARN> is pending deletion.

  • [11] KMSInvalidStateException: <key ARN> is unavailable. Não é possível executar essa operação em uma chave do KMS indisponível.

  • [12] A operação é bem-sucedida, mas o estado da chave do KMS não muda até que ela se torne disponível.

  • [13] Enquanto a exclusão de uma chave do KMS em um armazenamento de chaves personalizado estiver pendente, seu estado de chave permanecerá PendingDeletion, mesmo que a chave do KMS se torne indisponível. Isso permite que você cancele a exclusão da chave do KMS a qualquer momento durante o período de espera.

  • [14] KMSInvalidStateException: <key ARN> is creating. AWS KMS lança essa exceção enquanto replica uma chave multirregional (). ReplicateKey

  • [15] KMSInvalidStateException: <key ARN> is updating. AWS KMS lança essa exceção enquanto atualiza a região primária de uma chave multirregional ()UpdatePrimaryRegion.