启用和禁用密钥 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

启用和禁用密钥

您可以禁用和重新启用客户托管密钥。KMS 密钥在创建完成后默认处于启用状态。如果禁用 KMS 密钥,则在您重新启用它之前,它不能用于任何加密操作

因为它是临时的且容易撤消,因此,禁用 KMS 密钥是删除 KMS 密钥的安全替代方法,此操作具有破坏性且不可撤销。如果您正在考虑删除 KMS 密钥,请先将其禁用并将 CloudWatch 告警或者类似机制设置为永远不需要使用此密钥来解密加密数据。

您无法启用或禁用 Amazon 托管式密钥Amazon 拥有的密钥。Amazon 托管式密钥 处于永久启动状态,以供使用 Amazon KMS 的服务使用。Amazon 拥有的密钥 仅由拥有它们的服务管理。

注意

Amazon KMS 不会轮换已禁用的客户托管密钥的密钥材料。有关更多信息,请参阅自动密钥轮换的工作方式

启用和禁用 KMS 密钥(控制台)

您可以使用 Amazon KMS 控制台以启用和禁用客户托管密钥

  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Key Management Service (Amazon KMS) 控制台:https://console.aws.amazon.com/kms

  2. 要更改 Amazon Web Services 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择客户托管密钥

  4. 选中要启用或禁用的 KMS 密钥对应的复选框。

  5. 要启用 KMS 密钥,请依次选择 Key actions(密钥操作)、 Enable(启用)。要禁用 KMS 密钥,请依次选择 Key actions(密钥操作)、Disable(禁用)。

启用和禁用 KMS 密钥 (Amazon KMS API)

EnableKey 操作将启用已禁用的 Amazon KMS key。这些示例使用 Amazon Command Line Interface (Amazon CLI),但您可以使用任何受支持的编程语言。key-id 参数是必需的。

该操作不返回任何输出。要查看密钥状态,请使用 DescribeKey 操作。

$ aws kms enable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

DisableKey 操作会禁用已启用的 KMS 密钥。key-id 参数是必需的。

$ aws kms disable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

该操作不返回任何输出。要查看密钥状态,请使用 DescribeKey 操作,并查看 Enabled 字段。

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "MultiRegion": false, "Enabled": false, "KeyState": "Disabled", "KeyUsage": "ENCRYPT_DECRYPT", "CreationDate": 1502910355.475, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333" "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }