本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
启用和禁用密钥
您可以禁用和重新启用客户托管密钥。KMS 密钥在创建完成后默认处于启用状态。如果禁用 KMS 密钥,则在您重新启用它之前,它不能用于任何加密操作。
因为它是临时的且容易撤消,因此,禁用 KMS 密钥是删除 KMS 密钥的安全替代方法,此操作具有破坏性且不可撤销。如果您正在考虑删除 KMS 密钥,请先将其禁用并将 CloudWatch 告警或者类似机制设置为永远不需要使用此密钥来解密加密数据。
当您禁用 KMS 密钥时,它会立即变为不可用(视最终一致性而定)。不过,在再次使用 KMS 密钥(例如解密数据密钥)之前,使用受 KMS 密钥保护的数据密钥加密的资源不会受到影响。此问题会影响 Amazon Web Services 服务,因为许多服务使用数据密钥来保护您的资源。有关详细信息,请参阅不可用的 KMS 密钥如何影响数据密钥。
您无法启用或禁用 Amazon 托管式密钥 或 Amazon 拥有的密钥。Amazon 托管式密钥 处于永久启动状态,以供使用 Amazon KMS 的服务使用。Amazon 拥有的密钥 仅由拥有它们的服务管理。
注意
Amazon KMS 不会轮换已禁用的客户托管密钥的密钥材料。有关更多信息,请参阅 密钥轮换的工作原理。
您可以使用 Amazon KMS 控制台以启用和禁用客户托管密钥。
-
登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Key Management Service(Amazon KMS)控制台:https://console.aws.amazon.com/kms
。 -
要更改 Amazon Web Services 区域,请使用页面右上角的区域选择器。
-
在导航窗格中,选择客户托管密钥。
-
选中要启用或禁用的 KMS 密钥对应的复选框。
-
要启用 KMS 密钥,请依次选择 Key actions(密钥操作)、 Enable(启用)。要禁用 KMS 密钥,请依次选择 Key actions(密钥操作)、Disable(禁用)。
EnableKey 操作将启用已禁用的 Amazon KMS key。这些示例使用 Amazon Command Line Interface (Amazon CLI)key-id
参数是必需的。
该操作不返回任何输出。要查看密钥状态,请使用 DescribeKey 操作。
$
aws kms enable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
DisableKey 操作会禁用已启用的 KMS 密钥。key-id
参数是必需的。
$
aws kms disable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
该操作不返回任何输出。要查看密钥状态,请使用 DescribeKey 操作,并查看 Enabled
字段。
$
aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{ "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "MultiRegion": false, "Enabled": false, "KeyState": "Disabled", "KeyUsage": "ENCRYPT_DECRYPT", "CreationDate": 1502910355.475, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333" "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }