Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Como as chaves do KMS inutilizáveis afetam as chaves de dados

Modo de foco
Como as chaves do KMS inutilizáveis afetam as chaves de dados - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Quando uma chave do KMS torna-se inutilizável, o efeito é quase imediato (sujeito a consistência posterior). O estado de chave da chave do KMS é alterado para refletir sua nova condição, e todas as solicitações para usar a chave do KMS em operações de criptografia falham.

No entanto, o efeito nas chaves de dados criptografadas pela chave do KMS e nos dados criptografados pela chave de dados é adiado até que a chave do KMS seja usada novamente, por exemplo, para descriptografar a chave de dados.

As chaves do KMS podem se tornar inutilizáveis por vários motivos, inclusive pelas ações a seguir que você pode executar.

Esse efeito é particularmente importante para muitos Serviços da AWS que usam chaves de dados para proteger os recursos que o serviço gerencia. O exemplo a seguir usa o Amazon Elastic Block Store (Amazon EBS) e o Amazon Elastic Compute Cloud EC2 (Amazon). Diferentes Serviços da AWS usam chaves de dados de maneiras diferentes. Para obter detalhes, consulte a seção de proteção de dados do capítulo de segurança do AWS service (Serviço da AWS).

Por exemplo, considere este cenário:

  1. Crie um volume do EBS criptografado e especifique uma chave do KMS para protegê-lo. O Amazon EBS solicita que o AWS KMS use a chave do KMS para gerar uma chave de dados criptografada para o volume. O Amazon EBS armazena a chave de dados criptografada com os metadados do volume.

  2. Quando você anexa o volume do EBS a uma EC2 instância, a Amazon EC2 usa sua chave KMS para descriptografar a chave de dados criptografada do volume do EBS. A Amazon EC2 usa a chave de dados no hardware Nitro, que é responsável por criptografar toda a E/S do disco no volume do EBS. A chave de dados persiste no hardware Nitro enquanto o volume do EBS está conectado à instância. EC2

  3. Você executa uma ação que torna a chave do KMS inutilizável. Isso não tem efeito imediato na EC2 instância ou no volume do EBS. A Amazon EC2 usa a chave de dados, não a chave KMS, para criptografar toda a E/S do disco enquanto o volume está conectado à instância.

  4. No entanto, quando o volume criptografado do EBS é separado da EC2 instância, o Amazon EBS remove a chave de dados do hardware Nitro. Na próxima vez que o volume criptografado do EBS for anexado a uma EC2 instância, o anexo falhará, porque o Amazon EBS não pode usar a chave KMS para descriptografar a chave de dados criptografada do volume. Para usar o volume do EBS novamente, é necessário tornar a chave do KMS utilizável novamente.

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.