AWS Key Management Service
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

启用和禁用密钥

您可以禁用并重新启用您管理的 AWS Key Management Service (AWS KMS) 客户主密钥 (CMK)。您无法启用或禁用 AWS 托管 CMK。

CMK 在创建完成后默认处于启用状态。如果您禁用 CMK,它将不能用于加密或解密数据,直到您重新启用它。AWS 管理的 CMK 处于永久启动状态,以供使用 AWS KMS 的服务使用。您无法禁用它们。

您还可以删除 CMK。有关更多信息,请参阅删除客户主密钥

注意

AWS KMS 不会轮换已禁用的客户托管 CMK 的备用密钥。有关更多信息,请参阅自动密钥轮换的工作方式

启用和禁用 CMK(控制台)

您可以从 AWS 管理控制台的 IAM 部分启用和禁用客户管理的 CMK。

注意

AWS KMS 最近引入了新的控制台,使您可以更轻松地组织和管理 KMS 资源。它在除了 AWS GovCloud (US)之外 AWS KMS 支持的所有 AWS 区域中可用。我们建议您通过 https://console.amazonaws.cn/kms 试用新的 AWS KMS 控制台。

原始控制台将在短时间内保持可用状态,以便您有时间熟悉新控制台。要使用原始控制台,请在 IAM 控制台中选择加密密钥,或者转到 。请通过在任意控制台中或者在此页面的右下角选择 Feedback (反馈) 来分享您的反馈。

启用或禁用 CMK(新控制台)
  1. 登录 AWS 管理控制台并通过以下网址打开 AWS Key Management Service (AWS KMS) 控制台:https://console.amazonaws.cn/kms

  2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择 Customer managed keys (客户托管密钥)

  4. 选中要启用或禁用的 CMK 对应的复选框。

  5. 要启用 CMK,请依次选择 Key actionsEnable。要禁用 CMK,请依次选择 Key actionsDisable

启用 CMK(原始控制台)

启用 CMK(控制台)

  1. 登录 AWS 管理控制台,然后转至 。

  2. 对于 Region (区域),选择适当的 AWS 区域。请勿使用导航栏中的区域选择器(右上角)。

  3. 选中要启用或禁用的 CMK 别名旁的复选框。

    注意

    您无法禁用以橙色 AWS 图标表示的 AWS 管理的 CMK。

  4. 要启用 CMK,请依次选择 Key actionsEnable。要禁用 CMK,请依次选择 Key actionsDisable

启用和禁用 CMK(KMS API)

EnableKey 操作会启用已禁用的 AWS KMS 客户主密钥 (CMK)。这些示例使用 AWS Command Line Interface (AWS CLI),但您可以使用任何受支持的编程语言。key-id 参数是必需的。

该操作不返回任何输出。要查看密钥状态,请使用 DescribeKey 操作。

$ aws kms enable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

DisableKey 操作会禁用已启用的 CMK。key-id 参数是必需的。

$ aws kms disable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

该操作不返回任何输出。要查看密钥状态,请使用 DescribeKey 操作,并查看 Enabled 字段。

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "Enabled": false, "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Disabled", "CreationDate": 1502910355.475, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333" } }