本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
金鑰的 AWS KMS 金鑰狀態
AWS KMS key 一律具有金鑰狀態。KMS 金鑰及其環境的操作可以變更金鑰狀態。金鑰狀態可以暫時變更,或直到另一個操作變更其金鑰狀態為止。這些操作會以非同步方式或 API 呼叫來完成。
本節中的表格顯示金鑰狀態如何影響對 AWS KMS API 操作的呼叫。其金鑰狀態的結果,KMS 金鑰上的操作預期會成功 (✓),失敗 (X),或者只在某些條件下成功 (?)。結果對於含匯入金鑰材料的 KMS 金鑰來說,通常是不同的。
此資料表僅包含使用現有 KMS 金鑰的 API 操作。其他操作,例如 CreateKey 和 ListKeys,則會省略。
金鑰狀態和 KMS 金鑰類型
KMS 金鑰的類型決定了其可以具有的金鑰狀態。
-
所有 KMS 金鑰都可以處於
Enabled、Disabled和PendingDeletion狀態。 -
大部分的 KMS 金鑰都是在
Enabled狀態中建立。具有匯入金鑰材料的金鑰會在PendingImport狀態中建立。 -
PendingImport狀態僅適用於具有匯入金鑰材料的 KMS 金鑰。當匯入金鑰的任何金鑰材料遭到刪除或過期時,狀態會從 變更為EnabledPendingImport。 -
Unavailable狀態僅適用於自訂金鑰存放區中的 KMS 金鑰。AWS CloudHSM 金鑰存放區中的 KMS 金鑰是當自訂金鑰存放區刻意與其 AWS CloudHSM 叢集中斷連線Unavailable時。當自訂金鑰存放區刻意中斷與其外部金鑰存放區代理的連接時,外部金鑰存放區中的 KMS 金鑰為Unavailable。您可以檢視和管理無法使用的 KMS 金鑰,但無法在密碼編譯操作中使用它們。自訂金鑰存放區中 KMS 金鑰的金鑰狀態不會受其備份金鑰的變更影響。 AWS CloudHSM 金鑰存放區中的 KMS 金鑰不受 AWS CloudHSM 叢集中其相關聯金鑰材料的變更影響。外部金鑰存放區中的 KMS 金鑰不會受外部金鑰管理器中外部金鑰的變更影響。如果停用或刪除備份金鑰,KMS 金鑰狀態不會變更,但使用 KMS 金鑰進行的密碼編譯操作會失敗。
-
Creating、Updating和PendingReplicaDeletion金鑰狀態僅適用於多區域金鑰。-
多區域複本金鑰在建立時處於暫時
Creating金鑰狀態。ReplicateKey 操作完成時,此程序可能仍在進行中。複寫程序完成時,複本金鑰處於Enabled或PendingImport狀態。 -
多區域金鑰在主要區域更新時處於暫時
Updating金鑰狀態。UpdatePrimaryRegion 操作完成時,此程序可能仍在進行中。當更新程序完成時,主要和複本金鑰會繼續保持Enabled金鑰狀態。 -
當您排程刪除具有複本金鑰的多區域主要金鑰時,主要金鑰處於
PendingReplicaDeletion狀態,直到刪除其所有複本金鑰為止。其金鑰狀態會變更為PendingDeletion。如需詳細資訊,請參閱Deleting multi-Region keys。
-
金鑰狀態資料表
下表顯示 KMS 金鑰的金鑰狀態如何影響 AWS KMS 操作。
編號註腳的描述 ([n]) 在本主題的結尾處。
注意
您可能需要水平或垂直捲動,才能查看此資料表中的所有資料。
| API | 已啟用 | 已停用 |
待刪除 待刪除複本 |
待匯入 | Unavailable | 正在建立 | 更新中 |
|---|---|---|---|---|---|---|---|
| CancelKeyDeletion |  [4] |
[4] |
 |
[4] |
[4], [13] |
[4] |
[4] |
| CreateAlias | |
|
[3] |
|
|
|
|
| CreateGrant | |
[1] |
[2] 或 [3] |
[5] |
|
[14] |
|
| 解密 | |
[1] |
[2] 或 [3] |
[5] |
[11] |
[14] |
|
| DeleteAlias | |
|
|
|
|
|
|
| DeleteImportedKeyMaterial |
[9] |
[9] |
[9] |
|
N/A |
[14] |
[15] |
| DeriveSharedSecret | |
[1] |
[2] 或 [3] |
[5] |
N/A |
[14] |
|
| DescribeKey | |
|
|
|
|
|
|
| DisableKey | |
|
[3] |
[5] |
[12] |
[14] |
[15] |
| DisableKeyRotation |
[7] |
[1] 或 [7] |
[3] 或 [7] |
[6] |
[7] |
[14] |
[7] |
| EnableKey | |
|
[3] |
[5] |
[12] |
[14] |
[15] |
| EnableKeyRotation |
[7] |
[1] 或 [7] |
[3] 或 [7] |
[6] |
[7] |
[14] |
[7] |
| 加密 | |
[1] |
[2] 或 [3] |
[5] |
[11] |
[14] |
|
| GenerateDataKey | |
[1] |
[2] 或 [3] |
[5] |
[11] |
[14] |
|
| GenerateDataKeyPair | |
[1] |
[2] 或 [3] |
[5] |
[7] |
[14] |
|
| GenerateDataKeyPairWithoutPlaintext | |
[1] |
[2] 或 [3] |
[5] |
[7] |
[14] |
|
| GenerateDataKeyWithoutPlaintext | |
[1] |
[2] 或 [3] |
[5] |
[11] |
[14] |
|
| GenerateMac | |
[1] |
[2] 或 [3] |
[5] |
N/A |
[14] |
|
| GetKeyPolicy | |
|
|
|
|
|
|
| GetKeyRotationStatus |
[7] |
[7] |
[7] |
[6] |
[7] |
[7] |
[7] |
| GetParametersForImport |
[9] |
[9] |
[8] 或 [9] |
|
[9] |
[14] |
[15] |
| GetPublicKey | |
|
[2] 或 [3] |
|
N/A |
[14] |
|
| ImportKeyMaterial |
[9] |
[9] |
[9] |
|
[9] |
[14] |
|
| ListAliases | |
|
|
|
|
|
|
| ListGrants | |
|
|
|
|
|
|
| ListKeyPolicies | |
|
|
|
|
|
|
| ListKeyRotations |
[7] |
[7] |
[7] |
[6] |
[7] |
[7] |
[7] |
| ListResourceTags | |
|
|
|
|
|
|
| PutKeyPolicy | |
|
|
|
|
|
|
| ReEncrypt | |
[1] |
[2] 或 [3] |
[5] |
[11] |
[14] |
|
| ReplicateKey | |
[1] |
[2] 或 [3] |
[5] |
N/A |
[14] |
[15] |
| RetireGrant | |
|
|
|
|
|
|
| RevokeGrant | |
|
|
|
|
|
|
| RotateKeyOnDemand |
[7] |
[1] 或 [7] |
[3] 或 [7] |
[5] |
[7] |
[14] |
[7] |
| ScheduleKeyDeletion | |
|
[3] |
|
|
|
[15] |
| 符號 | |
[1] |
[2] 或 [3] |
[5] |
N/A |
[14] |
|
| TagResource | |
|
[3] |
|
|
|
|
| UntagResource | |
|
[3] |
|
|
|
|
| UpdateAlias | |
|
[10] |
|
|
|
|
| UpdateKeyDescription | |
|
[3] |
|
|
|
|
| UpdatePrimaryRegion | |
[1] |
[2] 或 [3] |
[5] |
N/A |
[14] |
|
| 確認 | |
[1] |
[2] 或 [3] |
[5] |
N/A |
[14] |
|
| VerifyMac | |
[1] |
[2] 或 [3] |
[5] |
N/A |
[14] |
|
資料表詳細資訊
-
[1]
DisabledException:<key ARN>is disabled. -
[2]
DisabledException:<key ARN>is pending deletion (or pending replica deletion). -
[3]
KMSInvalidStateException:<key ARN>is pending deletion (or pending replica deletion). -
[4]
KMSInvalidStateException:<key ARN>is not pending deletion (or pending replica deletion). -
[5]
KMSInvalidStateException:<key ARN>is pending import because no key material has ever been imported or one of the imported key materials is deleted or expired. -
[6]
UnsupportedOperationException:<key ARN>origin is EXTERNAL which is not valid for this operation. -
【7】 如果 KMS 金鑰位於自訂金鑰存放區中:
UnsupportedOperationException。 -
[8] 如果 KMS 金鑰已匯入金鑰材料:
KMSInvalidStateException -
【9】 如果 KMS 金鑰無法匯入金鑰材料:
UnsupportedOperationException。 -
[10] 如果來源 KMS 金鑰正在等待刪除,則命令成功。如果目的地 KMS 金鑰正在等待刪除,則命令失敗,並出現錯誤:
KMSInvalidStateException :<key ARN>is pending deletion. -
[11]
KMSInvalidStateException:對於無法使用的 KMS 金鑰,您無法執行此操作。<key ARN>is unavailable. -
[12] 操作成功,但 KMS 金鑰在變成可用之前,狀態不會變更。
-
[13] 當自訂金鑰存放區中的 KMS 金鑰等待刪除時,即使 KMS 金鑰變成無法使用,其金鑰狀態仍為
PendingDeletion。這可讓您在等待期間隨時取消刪除 KMS 金鑰。 -
【14】 在複寫多區域金鑰 () 時
KMSInvalidStateException:AWS KMS 擲回此例外狀況<key ARN>is creating.ReplicateKey。 -
【15】 在更新多區域金鑰的主要區域 () 時
KMSInvalidStateException:AWS KMS 擲回此例外狀況<key ARN>is updating.UpdatePrimaryRegion。
