本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
您可以禁用和重新启用客户托管密钥。KMS 密钥在创建完成后默认处于启用状态。如果禁用 KMS 密钥,则在您重新启用它之前,它不能用于任何加密操作。
因为它是临时的且容易撤消,因此,禁用 KMS 密钥是删除 KMS 密钥的安全替代方法,此操作具有破坏性且不可撤销。如果您正在考虑删除 KMS 密钥,请先将其禁用,然后设置CloudWatch 警报或类似机制,确保您永远不需要使用该密钥来解密加密数据。
当您禁用 KMS 密钥时,它会立即变为不可用(视最终一致性而定)。不过,在再次使用 KMS 密钥(例如解密数据密钥)之前,使用受 KMS 密钥保护的数据密钥加密的资源不会受到影响。此问题会影响 AWS 服务,其中许多使用数据密钥来保护您的资源。有关详细信息,请参阅不可用的 KMS 密钥如何影响数据密钥。
您无法启用或禁用AWS 托管式密钥或AWS 拥有的密钥。 AWS 托管式密钥 已永久启用,供使用的服务使用 AWS KMS。 AWS 拥有的密钥 完全由拥有它们的服务管理。
注意
AWS KMS 在客户管理的密钥处于禁用状态时,不会轮换其密钥材料。有关更多信息,请参阅 密钥轮换的工作原理。
您可以使用 AWS KMS 控制台启用和禁用客户托管密钥。
-
登录 AWS Management Console 并在 https://console.aws.amazon.com/km
s 处打开 AWS Key Management Service (AWS KMS) 控制台。 -
要更改 AWS 区域,请使用页面右上角的区域选择器。
-
在导航窗格中,选择客户托管密钥。
-
选中要启用或禁用的 KMS 密钥对应的复选框。
-
要启用 KMS 密钥,请依次选择 Key actions(密钥操作)、 Enable(启用)。要禁用 KMS 密钥,请依次选择 Key actions(密钥操作)、Disable(禁用)。
该EnableKey操作启用了已禁用 AWS KMS key的。这些示例使用 AWS Command Line Interface (AWS CLI)key-id 参数是必需的。
该操作不返回任何输出。要查看密钥状态,请使用DescribeKey操作。
$aws kms enable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
该DisableKey操作会禁用已启用的 KMS 密钥。key-id 参数是必需的。
$aws kms disable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
该操作不返回任何输出。要查看密钥状态,请使用DescribeKey操作并查看字Enabled段。
$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyMetadata": {
"Origin": "AWS_KMS",
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"Description": "",
"KeyManager": "CUSTOMER",
"MultiRegion": false,
"Enabled": false,
"KeyState": "Disabled",
"KeyUsage": "ENCRYPT_DECRYPT",
"CreationDate": 1502910355.475,
"Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"AWSAccountId": "111122223333"
"KeySpec": "SYMMETRIC_DEFAULT",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
]
}
}