Stato chiave e tipi di chiave KMS Tabella dello stato delle chiavi

Stati chiave di AWS KMS keys

An ha AWS KMS key sempre uno stato chiave. Le operazioni sulla chiave KMS e sul relativo ambiente possono modificare lo stato della chiave. Lo stato della chiave può cambiare in modo transitorio o finché un'altra operazione non cambia lo stato della chiave. Queste operazioni vengono eseguite in modo asincrono o tramite una chiamata API.

La tabella in questa sezione mostra come gli stati chiave influiscono sulle chiamate alle AWS KMS operazioni API. Come risultato dello stato della chiave, si prevede che un'operazione su una chiave KMS abbia esito positivo (✓), esito negativo (X), o esito positivo solo in determinate condizioni (?). Il risultato spesso differisce per le chiavi KMS con il materiale della chiave importato.

Questa tabella include solo le operazioni API che utilizzano una chiave KMS. Altre operazioni, come CreateKeye ListKeys, vengono omesse.

Stato chiave e tipi di chiave KMS

Il tipo di chiave KMS determina gli stati della chiave che può avere.

Tutte le chiavi KMS possono essere incluse negli stati Enabled, Disabled e PendingDeletion.
La maggior parte delle chiavi KMS viene creata nello stato Enabled. Le chiavi KMS con il materiale chiave importato vengono create nello stato PendingImport.
Lo stato PendingImport si applica unicamente alle chiavi KMS con materiale chiave importato. Quando un materiale chiave per una chiave importata viene eliminato o questa scade, lo stato cambia da aEnabled. PendingImport
Lo stato Unavailable si applica unicamente a una chiave KMS in un archivi delle chiavi personalizzate. Una chiave KMS in un archivio AWS CloudHSM chiavi si verifica Unavailable quando l'archivio chiavi personalizzato viene intenzionalmente disconnesso dal relativo cluster. AWS CloudHSM Una chiave KMS in un archivio delle chiavi esterne è Unavailable quando l'archivio delle chiavi personalizzate viene disconnesso intenzionalmente dal relativo proxy dell'archivio delle chiavi esterne. Puoi visualizzare e gestire chiavi KMS non disponibili, ma non puoi utilizzarle nelle operazioni di crittografia.

Lo stato di una chiave KMS in un archivio delle chiavi personalizzate non è influenzato dalle modifiche apportate al relativo materiale della chiave. Una chiave KMS in un archivio AWS CloudHSM chiavi non è influenzata dalle modifiche al materiale chiave associato nel cluster. AWS CloudHSM Una chiave KMS in un archivio delle chiavi esterne non è influenzata dalle modifiche apportate alla relativa chiave esterna in un gestore delle chiavi esterne. Se il materiale della chiave è disattivato o eliminato, lo stato della chiave KMS non cambia, ma le operazioni di crittografia che utilizzano la chiave KMS avranno esito negativo.
Gli stati della chiave Creating, Updating ePendingReplicaDeletion si applicano solo alle chiavi multiregione.
- Una chiave di replica multiregione si trova nello stato della chiave Creating transitorio mentre è in fase di creazione. Questo processo potrebbe essere ancora in corso al termine dell'ReplicateKeyoperazione. Una volta completato il processo di replica, la chiave di replica si trova nello stato Enabled o PendingImport.
- Multi-Region le chiavi si trovano nello stato di Updating chiave transitoria durante l'aggiornamento della regione primaria. Questo processo potrebbe essere ancora in corso al termine dell'UpdatePrimaryRegionoperazione. Al termine del processo di aggiornamento, le chiavi primarie e di replica riprendono lo stato della chiave Enabled.
- Quando si pianificherà l'eliminazione di una chiave primaria multiregione che dispone di chiavi di replica, la chiave primaria si trova nello stato PendingReplicaDeletion finché non vengono eliminate tutte le chiavi di replica. Lo stato della chiave diventa PendingDeletion. Per informazioni dettagliate, vedi Deleting multi-Region keys.

Tabella dello stato delle chiavi

Nella tabella seguente viene illustrato l'effetto dello stato chiave di una chiave KMS sulle operazioni AWS KMS .

Le descrizioni delle note a piè di pagina numerate ([n]) si trovano alla fine di questo argomento.

Nota

Potrebbe essere necessario scorrere orizzontalmente o verticalmente per visualizzare tutti i dati di questa tabella.

"Hello, World!"	Abilitato	Disabilitato	In attesa di eliminazione In attesa di eliminazione della replica	In attesa di importazione	Non disponibile	Creazione in corso	Aggiornamento in corso
CancelKeyDeletion	[4]	[4]		[4]	[4], [13]	[4]	[4]
CreateAlias			[3]
CreateGrant		[1]	[2] o [3]	[5]		[14]
Decrypt		[1]	[2] o [3]	[5]	[11]	[14]
DeleteAlias
DeleteImportedKeyMaterial	[9]	[9]	[9]		N/A	[14]	[15]
DeriveSharedSecret		[1]	[2] o [3]	[5]	N/A	[14]
DescribeKey
DisableKey			[3]	[5]	[12]	[14]	[15]
DisableKeyRotation	[7]	[1] o [7]	[3] o [7]	[6]	[7]	[14]	[7]
EnableKey			[3]	[5]	[12]	[14]	[15]
EnableKeyRotation	[7]	[1] o [7]	[3] o [7]	[6]	[7]	[14]	[7]
Crittografa		[1]	[2] o [3]	[5]	[11]	[14]
GenerateDataKey		[1]	[2] o [3]	[5]	[11]	[14]
GenerateDataKeyPair		[1]	[2] o [3]	[5]	[7]	[14]
GenerateDataKeyPairWithoutPlaintext		[1]	[2] o [3]	[5]	[7]	[14]
GenerateDataKeyWithoutPlaintext		[1]	[2] o [3]	[5]	[11]	[14]
GenerateMac		[1]	[2] o [3]	[5]	N/A	[14]
GetKeyPolicy
GetKeyRotationStatus	[7]	[7]	[7]	[6]	[7]	[7]	[7]
GetParametersForImport	[9]	[9]	[8] o [9]		[9]	[14]	[15]
GetPublicKey			[2] o [3]		N/A	[14]
ImportKeyMaterial	[9]	[9]	[9]		[9]	[14]
ListAliases
ListGrants
ListKeyPolicies
ListKeyRotations	[7]	[7]	[7]		[7]	[7]	[7]
ListResourceTags
PutKeyPolicy
ReEncrypt		[1]	[2] o [3]	[5]	[11]	[14]
ReplicateKey		[1]	[2] o [3]	[5]	N/A	[14]	[15]
RetireGrant
RevokeGrant
RotateKeyOnDemand	[7]	[1] o [7]	[3] o [7]	[5]	[7]	[14]	[7]
ScheduleKeyDeletion			[3]				[15]
Sign		[1]	[2] o [3]	[5]	N/A	[14]
TagResource			[3]
UntagResource			[3]
UpdateAlias			[10]
UpdateKeyDescription			[3]
UpdatePrimaryRegion		[1]	[2] o [3]	[5]	N/A	[14]
Verifica		[1]	[2] o [3]	[5]	N/A	[14]
VerifyMac		[1]	[2] o [3]	[5]	N/A	[14]

Dettagli tabella

[1] DisabledException: <key ARN> is disabled.
[2] DisabledException: <key ARN> is pending deletion (or pending replica deletion).
[3] KMSInvalidStateException: <key ARN> is pending deletion (or pending replica deletion).
[4] KMSInvalidStateException: <key ARN> is not pending deletion (or pending replica deletion).
[5] KMSInvalidStateException: <key ARN> is pending import because no key material has ever been imported or one of the imported key materials is deleted or expired.
[6] UnsupportedOperationException: <key ARN> origin is EXTERNAL which is not valid for this operation.
[7] Se la chiave KMS si trova in un archivio di chiavi personalizzato:. UnsupportedOperationException
[8] Se la chiave KMS ha importato il materiale della chiave: KMSInvalidStateException
[9] Se la chiave KMS non può avere importato materiale chiave:. UnsupportedOperationException
[10] Se la chiave KMS di origine è in attesa di eliminazione, il comando viene completato. Se la chiave KMS di destinazione è in attesa di eliminazione, il comando ha esito negativo con l'errore: KMSInvalidStateException : <key ARN> is pending deletion.
[11] KMSInvalidStateException: <key ARN> is unavailable. Non puoi eseguire questa operazione su una chiave KMS non disponibile.
[12] L'operazione riesce, ma lo stato di chiave della chiave KMS non cambia finché questa non diventa disponibile.
[13] Quando una chiave KMS in un archivio delle chiavi personalizzate è in attesa di eliminazione, il relativo stato rimane PendingDeletion anche se la chiave KMS diventa non disponibile. Ciò ti consente di annullare l'eliminazione della chiave KMS in qualsiasi momento durante il periodo di attesa.
[14] KMSInvalidStateException: <key ARN> is creating. AWS KMS genera questa eccezione mentre replica una chiave multiregionale (). ReplicateKey
[15] KMSInvalidStateException: <key ARN> is updating. AWS KMS genera questa eccezione mentre aggiorna la regione principale di una chiave multiregionale (). UpdatePrimaryRegion

Convenzioni dei documenti

Documentazione di riferimento

Documentazione di riferimento dei tipi di chiave