本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
無法使用的KMS金鑰如何影響資料金鑰
當KMS金鑰變得無法使用時,效果幾乎是立即的 (取決於最終一致性)。KMS 金鑰的金鑰狀態會變更以反映其新條件,而且所有在密碼編譯操作中使用KMS金鑰的請求都會失敗。
不過,對KMS金鑰加密的資料金鑰以及對資料金鑰加密的資料的影響會延遲,直到再次使用KMS金鑰,例如解密資料金鑰為止。
KMS 金鑰可能因各種原因而無法使用,包括您可能執行的下列動作。
-
從KMS具有匯入金鑰材料的金鑰中刪除金鑰材料,或允許匯入的金鑰材料過期。
-
中斷託管金鑰的 AWS CloudHSM 金鑰存放區,或從充當金鑰金鑰材料的AWS CloudHSM 叢集刪除KMS金鑰。 KMS
-
中斷託管金鑰的外部金鑰存放區,或任何其他會干擾外部金鑰存放區代理的加密和解密請求的動作,包括從外部金鑰管理員刪除外部金鑰。 KMS
對於使用資料金鑰來保護服務管理的資源 AWS 服務 的許多人來說,此效果特別重要。下列範例使用 Amazon Elastic Block Store (Amazon EBS) 和 Amazon Elastic Compute Cloud (Amazon EC2)。不同的 會以不同的方式 AWS 服務 使用資料金鑰。如需詳細資訊,請參閱 AWS 服務的「安全性」一章的「資料保護」一節。
例如,考量以下情境:
-
您可以建立加密EBS磁碟區,並指定KMS金鑰來保護它。Amazon EBS要求 AWS KMS 使用您的KMS金鑰來產生磁碟區的加密資料金鑰。Amazon 會將加密的資料金鑰與磁碟區的中繼資料一起EBS存放。
-
當您將EBS磁碟區連接至EC2執行個體時,Amazon EC2會使用 KMS金鑰來解密EBS磁碟區的加密資料金鑰。Amazon EC2使用 Nitro 硬體中的資料金鑰,負責將所有磁碟 I/O 加密至EBS磁碟區。當EBS磁碟區連接至EC2執行個體時,資料金鑰會留在 Nitro 硬體中。
-
您執行的動作會使KMS金鑰無法使用。這不會對EC2執行個體或EBS磁碟區造成立即影響。Amazon EC2使用資料金鑰,而不是KMS金鑰,在磁碟區連接至執行個體時加密所有磁碟 I/O。
-
不過,當加密磁碟EBS區與EC2執行個體分離時,Amazon 會從 Nitro 硬體EBS移除資料金鑰。下次將加密磁碟EBS區連接至EC2執行個體時,附件會失敗,因為 Amazon EBS無法使用 KMS金鑰解密磁碟區的加密資料金鑰。若要再次使用EBS磁碟區,您必須讓KMS金鑰再次可用。
