Версия ключа
Каждая операция шифрования выполняется с использованием определенной версии ключа.
Версия ключа — экземпляр криптографического ключа, который может использоваться для операций шифрования. При создании каждой новой версии создается новый криптографический материал. Первая версия ключа создается при его создании. Каждая следующая версия создается при его ротации — периодическом обновлении.
Версия ключа всегда привязана к ключу, от которого создана, и наследует от него алгоритм шифрования.
Версия ключа может быть основной и неосновной:
Основная
Версия, которая используется в операциях шифрования, если в запросе не указана другая версия. При ротации ключа его новая версия автоматически становится основной. Вы можете назначить основной любую другую версию ключа.Неосновная
Все остальные версии ключа. Любая неосновная версия ключа в активном состоянии может быть использована для операций шифрования. Для этого необходимо указать ее при выполнении операции.
В KMS используется механизм отложенного удаления ключей и их версий: удаление выполняется с задержкой, чтобы снизить вероятность потери данных, зашифрованных удаляемой версией ключа. В течение заданного периода времени версия деактивирована, и вы можете отменить запланированное удаление.
Статус версии ключа
Статус | Описание |
|---|---|
ENABLED | Версия активна. Ее можно использовать в операциях шифрования |
DISABLED | Версия деактивирована. Ее нельзя использовать в операциях шифрования |
SCHEDULED FOR DESTRUCTION | Запланировано удаление версии. Она деактивирована. Операции шифрования с ней недоступны |
DESTROYED | Версия ключа уничтожена. Восстановить ее невозможно |
Правила наследования статуса
Статус версии ключа зависит от статуса ключа и меняется по следующим правилам:
Операция с ключом | Изменение статуса версии ключа |
|---|---|
| Деактивация ключа | ENABLED или DISABLED → DISABLEDSCHEDULED FOR DESTRUCTION → SCHEDULED FOR DESTRUCTION |
| Активация ключа | DISABLED → Статус до деактивации (ENABLED или DISABLED)SCHEDULED FOR DESTRUCTION → SCHEDULED FOR DESTRUCTION |
| Планирование удаления ключа | Текущий статус → SCHEDULED FOR DESTRUCTION |
| Отмена запланированного удаления | SCHEDULED FOR DESTRUCTION → DISABLED |
Особенности и ограничения
- На ресурс распространяются квоты и лимиты.
- Невозможно деактивировать основную версию ключа.
- Невозможно восстановить версию ключа после удаления.
Доступные операции
Операция | Комментарий |
|---|---|
| Просмотр списка версий ключа | Список всех версий ключа и информации о них хранится в информации о ключе |
| Просмотр информации о версии ключа | После ротации ключа вы можете посмотреть подробную информацию о новой версии ключа |
| Деактивация и активация версии ключа | Чтобы версия ключа была недоступна или доступна для выполнения операций шифрования, деактивируйте или активируйте ее |
| Назначение основной версии | Чтобы использовать конкретную версию ключа для операций шифрования, назначьте ее основной |
| Удаление версии ключа | Запланируйте удаление версии ключа, если больше не планируете использовать ее |
| Отмена удаления | Если до фактического уничтожения версии ключа возникла необходимость использовать ее в криптографических операциях, отмените ее запланированное удаление |