关键状态: 对您的 CMK - AWS Key Management Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

关键状态: 对您的 CMK

客户主密钥 (CMKs)始终处于以下状态之一: EnabledDisabledPendingImportPendingDeletion,或 Unavailable.

下表显示 AWS KMS 运行的API操作 CMK 在每个状态下,都可以预期成功(✓)、失败(x)或仅在某些条件下成功(?)。结果常常不同 CMKs 使用导入的关键材料。

对称度 CMKs 可以在 EnabledDisabledPendingImportPendingDeletion,或 Unavailable 状态。不对称 CMKs 可以在 EnabledDisabled,或 PendingDeletion 关键状态。

TheThethe Unavailable 州仅适用于 CMK 在 自定义密钥存储. A CMK 在 自定义密钥存储 是 Unavailable 当 自定义密钥存储 故意断开 AWS CloudHSM 群集。您可以查看和管理不可用 CMKs,但您无法在加密操作中使用。

以下API操作不会显示在表中,因为它们不使用现有的API操作 CMK.

  • ConnectCustomKeyStore

  • CreateCustomKeyStore

  • CreateKey

  • DeleteCustomKeyStore

  • DescribeCustomKeyStores

  • DisconnectCustomKeyStore

  • GenerateRandom

  • UpdateCustomKeyStore

API Enabled (已启用) 已禁用 待导入 待删除 Unavailable
CancelKeyDeletion

[4]

[4]

[4]

[4]、[13]

CreateAlias

[3]

CreateGrant

[1]

[5]

[2] 或 [3]

Decrypt

[1]

[5]

[2] 或 [3]

[11]

DeleteAlias
DeleteImportedKeyMaterial

[9]

[9]

(无影响)

[9]

[9]

DescribeKey
DisableKey

[5]

[3]

[12]

DisableKeyRotation

7.

[1] 或 [7]

[6]

[3] 或 [7]

7.

EnableKey

[5]

[3]

[12]

EnableKeyRotation

7.

[1] 或 [7]

[6]

[3] 或 [7]

7.

加密

[1]

[5]

[2] 或 [3]

[11]

GenerateDataKey

[1]

[5]

[2] 或 [3]

[11]

GenerateDataKeyPair

[1]

[5]

[2] 或 [3]

[11]

GenerateDataKeyPairWithoutPlaintext

[1]

[5]

[2] 或 [3]

[11]

GenerateDataKeyWithoutPlaintext

[1]

[5]

[2] 或 [3]

[11]

GetKeyPolicy
GetKeyRotationStatus

7.

7.

[6]

7.

7.

GetParametersForImport

[9]

[9]

[8] 或 [9]

[9]

GetPublicKey

[1]

不适用*

[2] 或 [3]

不适用*
ImportKeyMaterial

[9]

[9]

[8] 或 [9]

[9]

ListAliases
ListGrants
ListKeyPolicies
ListKeys
ListResourceTags
ListRetirableGrants
PutKeyPolicy
ReEncrypt

[1]

[5]

[2] 或 [3]

[11]

RetireGrant
RevokeGrant
ScheduleKeyDeletion

[3]

Sign

[1]

不适用*

[2] 或 [3]

不适用*
TagResource ()

[3]

UnTagResource

[3]

UpdateAlias

[10]

UpdateKeyDescription

[3]

验证

[1]

不适用*

[2] 或 [3]

不适用*

表详细信息

  • [1] DisabledException: <CMK ARN> is disabled.

  • [2] DisabledException: <CMK ARN> is pending deletion.

  • [3] KMSInvalidStateException: <CMK ARN> is pending deletion.

  • [4] KMSInvalidStateException: <CMK ARN> is not pending deletion.

  • [5] KMSInvalidStateException: <CMK ARN> is pending import.

  • 6 = UnsupportedOperationException: <CMK ARN> origin is EXTERNAL which is not valid for this operation.

  • [7]如果 CMK 已导入关键材料或者在自定义密钥存储中: UnsupportedOperationException.

  • [8]如果 CMK 已导入关键材料: KMSInvalidStateException

  • [9]如果 CMK 无法或没有导入的关键材料: UnsupportedOperationException.

  • [10]如果来源 CMK 正在等待删除,命令成功。如果目的地 CMK 正在等待删除,命令失败,错误为: KMSInvalidStateException : <CMK ARN> is pending deletion.

  • [11] KMSInvalidStateException: <CMK ARN> is unavailable. 无法在不可用时执行此操作 CMK.

  • [12]操作成功,但关键状态为 CMK 在可用之前,不会更改。

  • [13]虽然 CMK 在自定义密钥存储处于待删除状态时,其关键状态仍然保留 PendingDeletion 即使是 CMK 不可用。这允许您取消删除 CMK 在等待期间的任何时间。