本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 啟用和停用金鑰
<a name="enabling-keys"></a>

您可以停用和重新啟用客戶受管金鑰。當您建立 KMS 金鑰時，它預設為啟用。如果您停用 KMS 金鑰，則在您重新啟用前，其無法在任何[密碼編譯操作](kms-cryptography.md#cryptographic-operations)中使用。

因其為暫時性並且容易撤消，因此停用 KMS 金鑰是刪除 KMS 金鑰的安全替代方法，刪除是一項具破壞性且不可逆轉的動作。如果您正在考慮刪除 KMS 金鑰，請先將其停用並設定 [CloudWatch 警示](deleting-keys-creating-cloudwatch-alarm.md)或類似機制，以確保您不再會需要用到該金鑰來解密已加密的資料。

當您停用 KMS 金鑰時，該 KMS 金鑰會立即變為無法使用 (視最終一致性而定)。不過，使用受 KMS 金鑰保護之[資料金鑰](data-keys.md)所加密的資源不會受影響，直到再次使用 KMS 金鑰為止 (例如解密資料金鑰)。此問題會影響 AWS 服務，其中許多 會使用資料金鑰來保護您的 資源。如需詳細資訊，請參閱[無法使用的 KMS 金鑰如何影響資料金鑰](unusable-kms-keys.md)。

您無法啟用或停用 [AWS 受管金鑰](concepts.md#aws-managed-key)或 [AWS 擁有的金鑰](concepts.md#aws-owned-key)。 AWS 受管金鑰 永久啟用以供[使用的服務 AWS KMS](service-integration.md)使用。 AWS 擁有的金鑰 僅由擁有它們的服務管理。

**注意**  
AWS KMS 當客戶受管金鑰停用時， 不會輪換金鑰材料。如需詳細資訊，請參閱[金鑰輪換的運作方式](rotate-keys.md#rotate-keys-how-it-works)。

## 使用 AWS KMS 主控台
<a name="enabling-keys-console"></a>

您可以使用 AWS KMS 主控台來啟用和停用[客戶受管金鑰](concepts.md#customer-mgn-key)。

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 的 AWS Key Management Service (AWS KMS) 主控台。

1. 若要變更 AWS 區域，請使用頁面右上角的區域選擇器。

1. 在導覽窗格中，選擇 **Customer managed keys** (客戶受管金鑰)。

1. 選擇您要啟用或停用的 KMS 金鑰的核取方塊。

1. 若要啟用 KMS 金鑰，請選擇 **Key actions** (金鑰動作)、**Enable** (啟用)。若要停用 KMS 金鑰，請選擇 **Key actions** (金鑰動作)、**Disable** (停用)。

## 使用 AWS KMS API
<a name="enabling-keys-api"></a>

[EnableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html) 操作會啟用停用 AWS KMS key。以下範例使用 [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/)，但您可以使用任何支援的程式設計語言。`key-id` 參數是必要參數。

此操作不會傳回輸出。若要查看金鑰狀態，請使用 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 操作。

```
$ aws kms enable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
```

[DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html) 操作會停用已啟用的 KMS 金鑰。`key-id` 參數是必要參數。

```
$ aws kms disable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
```

此操作不會傳回輸出。若要查看金鑰狀態，請使用 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 操作，並查看 `Enabled` 欄位。

```
$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "MultiRegion": false,
        "Enabled": false,
        "KeyState": "Disabled",
        "KeyUsage": "ENCRYPT_DECRYPT",        
        "CreationDate": 1502910355.475,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333"
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}
```