Estados clave y tipos de claves KMS Tabla estado de claves

Estados de clave de de las claves AWS KMS

Una AWS KMS key siempre tiene un estado de clave. Las operaciones en la clave de KMS y su entorno pueden cambiar el estado de la clave. El estado de la clave puede cambiar de forma transitoria, o hasta que otra operación cambie su estado de clave. Estas operaciones se realizan de forma asíncrona o mediante una llamada a la API.

La tabla de esta sección muestra cómo los estados clave afectan a las llamadas a operaciones de la API de AWS KMS. Como resultado de su estado clave, se espera que una operación en una clave KMS tenga éxito (✓), falle (X), o tenga éxito solo bajo ciertas condiciones (?). El resultado a menudo difiere en el caso de las claves KMS con material de claves importado.

Esta tabla incluye sólo las operaciones de API que utilizan una clave KMS existente. Otras operaciones, como CreateKey y ListKeys, se omiten.

Estados clave y tipos de claves KMS

El tipo de clave KMS determina los estados clave que puede tener.

Todas las claves KMS pueden estar en los estados Enabled, Disabled y PendingDeletion.
La mayoría de las claves KMS se crean en el estado Enabled. Las claves con material de claves importado se crean en el estado PendingImport.
El estado PendingImport solo se aplica a las claves KMS con material de claves importado. Cuando el material de claves de una clave importada se elimina o caduca, el estado cambia de Enabled a PendingImport.
El estado Unavailable se aplica solo a una clave KMS en un almacén de claves personalizado. Una clave de KMS en un almacén de claves de AWS CloudHSM está Unavailable cuando el almacén de claves personalizado se desconecta de forma intencionada de su clúster de AWS CloudHSM. Una clave de KMS en un almacén de claves externo está Unavailable cuando el almacén de claves personalizado se desconecta de forma intencionada de su proxy del almacén de claves externo. Puede ver y administrar las claves KMS no disponibles, pero no puede usarlas en operaciones criptográficas.

El estado de clave de una clave de KMS de un almacén de claves personalizado no se ve afectado por los cambios realizados a su clave de respaldo. Una clave de KMS de un almacén de claves de AWS CloudHSM no se ve afectada por los cambios realizados en el material de claves asociado en el clúster de AWS CloudHSM. Una clave de KMS de un almacén de claves externo no se ve afectada por los cambios en su clave externa en un administrador de claves externo. Si la clave de respaldo está deshabilitada o eliminada, el estado de la clave de KMS no cambia, pero fallan las operaciones criptográficas que utilizan la clave de KMS.
Los estados clave Creating, Updating y PendingReplicaDeletion solo se aplican a claves de varias regiones.
- Una clave de réplica de varias regiones está en el estado de clave Creating transitorio mientras se está creando. Este proceso aún puede estar en curso cuando se complete la operación ReplicateKey. Cuando se completa el proceso de replicación, la clave de réplica se encuentra en el estado Enabled o PendingImport.
- Las claves de varias regiones están en el estado clave Updating transitorio mientras se actualiza la región principal. Este proceso aún puede estar en curso cuando se completa la operación UpdatePrimaryRegion. Cuando se completa el proceso de actualización, las claves principal y de réplica reanudan el estado de clave Enabled.
- Cuando se programa la eliminación de una clave principal de varias regiones que tiene claves de réplica, la clave principal se encuentra en el estado PendingReplicaDeletion hasta que se eliminen todas sus claves de réplica. A continuación, el estado de clave cambia a PendingDeletion. Para obtener más información, consulte Deleting multi-Region keys.

Tabla estado de claves

En la siguiente tabla se muestra cómo el estado de clave de una clave KMS afecta las operaciones de AWS KMS.

Las descripciones de las notas numeradas a pie de página ([n]) se encuentran al final de este tema.

nota

Es posible que tenga que desplazarse horizontal o verticalmente para ver todos los datos de esta tabla.

API	Habilitado	Deshabilitado	Eliminación pendiente Eliminación pendiente de réplica	Importación pendiente	No disponible	Creación	Actualización
CancelKeyDeletion	[4]	[4]		[4]	[4], [13]	[4]	[4]
CreateAlias			[3]
CreateGrant		[1]	[2] o [3]	[5]		[14]
Decrypt		[1]	[2] o [3]	[5]	[11]	[14]
DeleteAlias
DeleteImportedKeyMaterial	[9]	[9]	[9]		N/A	[14]	[15]
DeriveSharedSecret		[1]	[2] o [3]	[5]	N/A	[14]
DescribeKey
DisableKey			[3]	[5]	[12]	[14]	[15]
DisableKeyRotation	[7]	[1] o [7]	[3] o [7]	[6]	[7]	[14]	[7]
EnableKey			[3]	[5]	[12]	[14]	[15]
EnableKeyRotation	[7]	[1] o [7]	[3] o [7]	[6]	[7]	[14]	[7]
Encrypt		[1]	[2] o [3]	[5]	[11]	[14]
GenerateDataKey		[1]	[2] o [3]	[5]	[11]	[14]
GenerateDataKeyPair		[1]	[2] o [3]	[5]	[7]	[14]
GenerateDataKeyPairWithoutPlaintext		[1]	[2] o [3]	[5]	[7]	[14]
GenerateDataKeyWithoutPlaintext		[1]	[2] o [3]	[5]	[11]	[14]
GenerateMac		[1]	[2] o [3]	[5]	N/A	[14]
GetKeyPolicy
GetKeyRotationStatus	[7]	[7]	[7]	[6]	[7]	[7]	[7]
GetParametersForImport	[9]	[9]	[8] o [9]		[9]	[14]	[15]
GetPublicKey			[2] o [3]		N/A	[14]
ImportKeyMaterial	[9]	[9]	[9]		[9]	[14]
ListAliases
ListGrants
ListKeyPolicies
ListKeyRotations	[7]	[7]	[7]	[6]	[7]	[7]	[7]
ListResourceTags
PutKeyPolicy
ReEncrypt		[1]	[2] o [3]	[5]	[11]	[14]
ReplicateKey		[1]	[2] o [3]	[5]	N/A	[14]	[15]
RetireGrant
RevokeGrant
RotateKeyOnDemand	[7]	[1] o [7]	[3] o [7]	[5]	[7]	[14]	[7]
ScheduleKeyDeletion			[3]				[15]
Sign		[1]	[2] o [3]	[5]	N/A	[14]
TagResource			[3]
UntagResource			[3]
UpdateAlias			[10]
UpdateKeyDescription			[3]
UpdatePrimaryRegion		[1]	[2] o [3]	[5]	N/A	[14]
Verificar		[1]	[2] o [3]	[5]	N/A	[14]
VerifyMac		[1]	[2] o [3]	[5]	N/A	[14]

Detalles de la tabla

[1] DisabledException: <key ARN> is disabled.
[2] DisabledException: <key ARN> is pending deletion (or pending replica deletion).
[3] KMSInvalidStateException: <key ARN> is pending deletion (or pending replica deletion).
[4] KMSInvalidStateException: <key ARN> is not pending deletion (or pending replica deletion).
[5] KMSInvalidStateException: <key ARN> is pending import because no key material has ever been imported or one of the imported key materials is deleted or expired.
[6] UnsupportedOperationException: <key ARN> origin is EXTERNAL which is not valid for this operation.
[7] Si la clave de KMS está en un almacén de claves personalizado: UnsupportedOperationException.
[8] Si la clave KMS tiene material de claves importado: KMSInvalidStateException
[9] Si la clave de KMS no puede tener o no tiene material de claves importado: UnsupportedOperationException.
[10] Si la clave KMS de origen está pendiente de eliminación, el comando se ejecuta satisfactoriamente. Si la clave KMS de destino está pendiente de eliminación, el comando genera el error: KMSInvalidStateException : <key ARN> is pending deletion.
[11] KMSInvalidStateException: <key ARN> is unavailable. No puede realizar esta operación en una clave KMS no disponible.
[12] La operación se ha realizado correctamente pero el estado de clave de la clave KMS no cambiará hasta que esté disponible.
[13] Mientras una clave KMS en el almacén de claves personalizado esté pendiente de eliminación, su estado de clave seguirá siendo PendingDeletion incluso si la clave KMS no está disponible. Esto permite cancelar la eliminación de la clave KMS en cualquier momento durante el período de espera.
[14] KMSInvalidStateException: <key ARN> is creating. AWS KMS lanza esta excepción mientras está replicando una clave de varias regiones (ReplicateKey).
[15] KMSInvalidStateException: <key ARN> is updating. AWS KMS lanza esta excepción mientras actualiza la región principal de una clave de varias regiones (UpdatePrimaryRegion).

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Referencia

Referencia de tipos de claves