啟用和停用金鑰 - AWS Key Management Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用和停用金鑰

您可以停用和重新啟用客戶受管金鑰。當您建立金鑰時,預設會啟用該KMS金鑰。如果您停用KMS金鑰,則在您重新啟用金鑰之前,無法在任何密碼編譯操作中使用金鑰。

由於它是暫時且容易復原的,因此停用KMS金鑰是刪除KMS金鑰的安全替代方案,這是具有破壞性和不可復原性的動作。如果您正在考慮刪除KMS金鑰,請先將其停用,並設定CloudWatch 警示或類似機制,以確定您永遠不需要使用金鑰來解密加密的資料。

當您停用KMS金鑰時,金鑰會立即變成無法使用 (取決於最終一致性)。不過,在再次KMS使用金鑰之前,使用受KMS金鑰保護的資料金鑰加密的資源不會受到影響,例如解密資料金鑰。此問題會影響 AWS 服務,其中許多 都使用資料金鑰來保護您的 資源。如需詳細資訊,請參閱 無法使用的KMS金鑰如何影響資料金鑰

您無法啟用或停用 AWS 受管金鑰AWS 擁有的金鑰。 AWS 受管金鑰 永久啟用以供使用 的服務 AWS KMS使用。 僅由擁有它們的服務 AWS 擁有的金鑰 管理。

注意

AWS KMS 停用時, 不會輪換客戶受管金鑰的金鑰材料。如需詳細資訊,請參閱金鑰輪換的運作方式

您可以使用 AWS KMS 主控台來啟用和停用客戶受管金鑰

  1. 登入 AWS Management Console 並在 https://console.aws.amazon.com/kms 開啟 AWS Key Management Service (AWS KMS) 主控台。

  2. 若要變更 AWS 區域,請使用頁面右上角的區域選擇器。

  3. 在導覽窗格中,選擇 Customer managed keys (客戶受管金鑰)。

  4. 選擇您要啟用或停用之KMS金鑰的核取方塊。

  5. 若要啟用KMS金鑰,請選擇金鑰動作 啟用 。若要停用KMS金鑰,請選擇金鑰動作 停用

EnableKey 操作會啟用停用的 AWS KMS key。以下範例使用 AWS Command Line Interface (AWS CLI),但您可以使用任何支援的程式設計語言。key-id 參數是必要參數。

此操作不會傳回輸出。若要查看金鑰狀態,請使用 DescribeKey操作。

$ aws kms enable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

DisableKey 操作會停用啟用的KMS金鑰。key-id 參數是必要參數。

$ aws kms disable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

此操作不會傳回輸出。若要查看金鑰狀態,請使用 DescribeKey操作,並查看 Enabled 欄位。

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "MultiRegion": false,
        "Enabled": false,
        "KeyState": "Disabled",
        "KeyUsage": "ENCRYPT_DECRYPT",        
        "CreationDate": 1502910355.475,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333"
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}