In diesem Thema wird erläutert, welche Auswirkung die Konsistenz beim Erstellen oder Ändern von Cloud KMS-Ressourcen hat.
Einige Vorgänge für Cloud Key Management Service-Ressourcen sind strikt konsistent. Andere sind letztendlich konsistent. Vorgänge mit Eventual Consistency werden in der Regel innerhalb von 1 Minute übertragen, in Ausnahmefällen kann es jedoch bis zu 3 Stunden dauern.
Konsistenz der Schlüsselbunde
Das Erstellen eines Schlüsselbunds ist ein Vorgang mit Strong Consistency. Schlüsselbunde sind nach der Erstellung sofort verfügbar.
Konsistenz der Schlüssel
Das Erstellen eines Schlüssels ist ein Vorgang mit Strong Consistency. Schlüssel sind nach der Erstellung sofort verfügbar.
Konsistenz der Schlüsselversionen
Das Aktivieren einer Schlüsselversion ist ein Vorgang mit Strong Consistency. Schlüssel sind nach der Aktivierung sofort zum Ver- und Entschlüsseln von Daten verfügbar.
Das Deaktivieren einer Schlüsselversion ist ein Vorgang mit Eventual Consistency. Die Schlüsselversion kann nach der Deaktivierung in der Regel noch bis zu eine Minute lang zum Verschlüsseln und Entschlüsseln von Daten verwendet werden. In Ausnahmefällen kann die Schlüsselversion nach der Deaktivierung noch bis zu drei Stunden lang verwendet werden.
Das manuelle Ändern oder Ändern während der Schlüsselrotation der Primärschlüsselversion ist ein Vorgang mit Eventual Consistency. Während solche schlussendlich konsistenten Änderungen weitergegeben werden, wird für Encrypt-Vorgänge für eine CryptoKey möglicherweise die vorherige Primärversion der CryptoKey zur Verschlüsselung verwendet.
Auswirkungen einer Änderung des IAM-Zugriffs
Wenn Sie verhindern möchten, dass Nutzer eine Cloud KMS-Ressource innerhalb des Zeitraums bis zum Inkrafttreten eines Vorgangs mit Eventual Consistency verwenden, entfernen Sie die IAM-Berechtigung für die Ressource. Sie können beispielsweise verhindern, dass ein Nutzer eine soeben deaktivierte Schlüsselversion verwendet, indem Sie die IAM-Rolle entfernen, mit der der Nutzer auf den Schlüssel zugreifen kann. IAM-Änderungen sind innerhalb von Sekunden konsistent. Weitere Informationen finden Sie unter Zugriffsänderungsverteilung.