我试图更好地了解在 AWS KMS 中禁用 CMK 时会发生什么。具体来说,如果我有一个使用此密钥加密的 EBS 卷,那是什么。此卷和附加到该卷的 EC2 发生了什么?
在禁用 CMK 期间,卷是否会变得不可用? 卷所连接的 EC2 是否关闭?
非常感谢任何指导。
最好的,
【问题讨论】:
标签: amazon-web-services aws-kms
来自docs:
如果您禁用 CMK,则在您重新启用它之前,它不能用于加密或解密数据。
当您使用 CMK 加密根 EBS 卷然后禁用它时,您将无法再次启动它。
disabled key 上只能执行少数操作,例如 DescribeKey、CreateAlias 或 GetKeyPolicy。
当您在实例运行时禁用密钥时,它将继续运行。原因(我认为)与您delete key时相同:
多种 AWS 服务与 AWS KMS 集成以保护您的数据。其中一些服务(例如 Amazon EBS 和 Amazon Redshift)使用 AWS KMS 中的客户主密钥 (CMK) 生成数据密钥,然后使用数据密钥加密您的数据。这些纯文本数据密钥在内存中持续存在,只要它们保护的数据正在使用中。
计划删除 CMK 会使其无法使用,但不会阻止 AWS 服务使用内存中的数据密钥来加密和解密您的数据。在需要使用待删除或已删除的 CMK 之前,服务不会受到影响。
【讨论】: