As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Como as chaves do KMS inutilizáveis afetam as chaves de dados Quando uma chave do KMS torna-se inutilizável, o efeito é quase imediato (sujeito a consistência posterior). O [estado de chave](key-state.md) da chave do KMS é alterado para refletir sua nova condição, e todas as solicitações para usar a chave do KMS em [operações de criptografia](kms-cryptography.md#cryptographic-operations) falham. No entanto, o efeito nas chaves de dados criptografadas pela chave do KMS e nos dados criptografados pela chave de dados é adiado até que a chave do KMS seja usada novamente, por exemplo, para descriptografar a chave de dados. As chaves do KMS podem se tornar inutilizáveis por vários motivos, inclusive pelas ações a seguir que você pode executar. + [Desabilitar a chave do KMS](enabling-keys.md) + [Agendar a exclusão da chave do KMS](deleting-keys.md) + [Excluir o material de chaves](importing-keys-delete-key-material.md) de uma chave do KMS com material de chaves importado ou permitir que o material de chaves importado expire. Se uma chave do KMS com a origem `EXTERNAL` tiver vários materiais de chave associados, a exclusão ou expiração de qualquer material de chave fará com que a chave se torne inutilizável. + [Desconectar o armazenamento de AWS CloudHSM chaves](disconnect-keystore.md) que hospeda a chave KMS ou [excluir a chave do AWS CloudHSM cluster](fix-keystore.md#fix-cmk-failed) que serve como material de chave para a chave KMS. + [Desconectar o armazenamento de chaves externas](about-xks-disconnecting.md) que hospeda a chave do KMS ou qualquer outra ação que interfira nas solicitações de criptografia e descriptografia do proxy de armazenamento de chaves externas, inclusive excluir a chave externa do gerenciador de chaves externas. Esse efeito é particularmente importante para muitos Serviços da AWS que usam chaves de dados para proteger os recursos que o serviço gerencia. O exemplo a seguir usa o Amazon Elastic Block Store (Amazon EBS) e o Amazon Elastic Compute Cloud EC2 (Amazon). Diferentes Serviços da AWS usam chaves de dados de maneiras diferentes. Para obter detalhes, consulte a seção de proteção de dados do capítulo de segurança do AWS service (Serviço da AWS). Por exemplo, considere este cenário: 1. [Crie um volume do EBS criptografado](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html) e especifique uma chave do KMS para protegê-lo. O Amazon EBS solicita que o AWS KMS use a chave do KMS para [gerar uma chave de dados criptografada](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) para o volume. O Amazon EBS armazena a chave de dados criptografada com os metadados do volume. 1. Quando você anexa o volume do EBS a uma EC2 instância, a Amazon EC2 usa sua chave KMS para descriptografar a chave de dados criptografada do volume do EBS. A Amazon EC2 usa a chave de dados no hardware Nitro, que é responsável por criptografar todo o disco no volume I/O do EBS. A chave de dados persiste no hardware Nitro enquanto o volume do EBS está conectado à instância. EC2 1. Você executa uma ação que torna a chave do KMS inutilizável. Isso não tem efeito imediato na EC2 instância ou no volume do EBS. A Amazon EC2 usa a chave de dados, não a chave KMS, para criptografar todo o disco I/O enquanto o volume está conectado à instância. 1. No entanto, quando o volume criptografado do EBS é separado da EC2 instância, o Amazon EBS remove a chave de dados do hardware Nitro. Na próxima vez que o volume criptografado do EBS for anexado a uma EC2 instância, o anexo falhará, porque o Amazon EBS não pode usar a chave KMS para descriptografar a chave de dados criptografada do volume. Para usar o volume do EBS novamente, é necessário tornar a chave do KMS utilizável novamente.