本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 启用和禁用密钥
<a name="enabling-keys"></a>

您可以禁用和重新启用客户托管密钥。KMS 密钥在创建完成后默认处于启用状态。如果禁用 KMS 密钥，则在您重新启用它之前，它不能用于任何[加密操作](kms-cryptography.md#cryptographic-operations)。

因为它是临时的且容易撤消，因此，禁用 KMS 密钥是删除 KMS 密钥的安全替代方法，此操作具有破坏性且不可撤销。如果您正在考虑删除 KMS 密钥，请先将其禁用，然后设置[CloudWatch 警报](deleting-keys-creating-cloudwatch-alarm.md)或类似机制，确保您永远不需要使用该密钥来解密加密数据。

当您禁用 KMS 密钥时，它会立即变为不可用（视最终一致性而定）。不过，在再次使用 KMS 密钥（例如解密数据密钥）之前，使用受 KMS 密钥保护的[数据密钥](data-keys.md)加密的资源不会受到影响。此问题会影响 AWS 服务，其中许多使用数据密钥来保护您的资源。有关更多信息，请参阅 [不可用的 KMS 密钥如何影响数据密钥](unusable-kms-keys.md)。

您无法启用或禁用[AWS 托管式密钥](concepts.md#aws-managed-key)或[AWS 拥有的密钥](concepts.md#aws-owned-key)。 AWS 托管式密钥 已永久启用，供[使用的服务使用 AWS KMS](service-integration.md)。 AWS 拥有的密钥 完全由拥有它们的服务管理。

**注意**  
AWS KMS 禁用客户管理的密钥时，不会轮换其密钥材料。有关更多信息，请参阅 [密钥轮换的工作原理](rotate-keys.md#rotate-keys-how-it-works)。

## 使用控制 AWS KMS 台
<a name="enabling-keys-console"></a>

您可以使用 AWS KMS 控制台启用和禁用[客户托管密钥](concepts.md#customer-mgn-key)。

1. 登录 AWS 管理控制台 并在 [https://console.aws.amazon.com/km](https://console.aws.amazon.com/kms) s 处打开 AWS Key Management Service (AWS KMS) 控制台。

1. 要更改 AWS 区域，请使用页面右上角的区域选择器。

1. 在导航窗格中，选择**客户托管密钥**。

1. 选中要启用或禁用的 KMS 密钥对应的复选框。

1. 要启用 KMS 密钥，请依次选择 **Key actions**（密钥操作）、 **Enable**（启用）。要禁用 KMS 密钥，请依次选择 **Key actions**（密钥操作）、**Disable**（禁用）。

## 使用 AWS KMS API
<a name="enabling-keys-api"></a>

该[EnableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html)操作启用了禁用 AWS KMS key的。这些示例使用 [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/)，但您可以使用任何受支持的编程语言。`key-id` 参数是必需的。

该操作不返回任何输出。要查看密钥状态，请使用[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)操作。

```
$ aws kms enable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
```

该[DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)操作会禁用已启用的 KMS 密钥。`key-id` 参数是必需的。

```
$ aws kms disable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
```

该操作不返回任何输出。要查看密钥状态，请使用[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)操作并查看字`Enabled`段。

```
$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "MultiRegion": false,
        "Enabled": false,
        "KeyState": "Disabled",
        "KeyUsage": "ENCRYPT_DECRYPT",        
        "CreationDate": 1502910355.475,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333"
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}
```