In diesem Thema wird erläutert, welche Auswirkung die Konsistenz beim Erstellen oder Ändern von Cloud KMS-Ressourcen hat.
Einige Vorgänge für Cloud Key Management Service-Ressourcen sind strikt konsistent, während andere letztendlich konsistent sind. Letztendlich konsistente Vorgänge werden in der Regel innerhalb von einer Minute wirksam, in Ausnahmefällen kann es aber auch bis zu drei Stunden dauern.
Konsistenz der Schlüsselbunde
Das Erstellen eines Schlüsselbunds ist ein Vorgang mit Strong Consistency. Schlüsselbunde sind nach der Erstellung sofort verfügbar.
Konsistenz der Schlüssel
Das Erstellen eines Schlüssels ist ein Vorgang mit Strong Consistency. Schlüssel sind nach der Erstellung sofort verfügbar.
Konsistenz der Schlüsselversionen
Das Aktivieren einer Schlüsselversion ist ein Vorgang mit Strong Consistency. Schlüssel sind nach der Aktivierung sofort zum Ver- und Entschlüsseln von Daten verfügbar.
Das Deaktivieren einer Schlüsselversion ist ein Vorgang mit Eventual Consistency. Die Schlüsselversion kann nach der Deaktivierung normalerweise bis zu 1 Minute lang zum Ver- und Entschlüsseln von Daten verwendet werden. In Ausnahmefällen kann die Schlüsselversion nach ihrer Deaktivierung noch bis zu 3 Stunden lang verwendet werden.
Das manuelle Ändern der Primärschlüsselversion entweder manuell oder während der Schlüsselrotation ist ein Vorgang mit Eventual Consistency. Solche letztendlich konsistenten Änderungen werden zwar weitergegeben, aber Encrypt
-Vorgänge für eine CryptoKey
verwenden möglicherweise die vorherige Primärversion der CryptoKey
zur Verschlüsselung.
Auswirkungen einer Änderung des IAM-Zugriffs
Wenn Sie verhindern möchten, dass Nutzer eine Cloud KMS-Ressource innerhalb des Zeitraums bis zum Inkrafttreten eines Vorgangs mit Eventual Consistency verwenden, entfernen Sie die IAM-Berechtigung für die Ressource. Sie können beispielsweise verhindern, dass ein Nutzer eine soeben deaktivierte Schlüsselversion verwendet, indem Sie die IAM-Rolle entfernen, mit der der Nutzer auf den Schlüssel zugreifen kann. IAM-Änderungen werden innerhalb von Sekunden konsistent. Weitere Informationen finden Sie unter Weitergabe von Zugriffsänderungen.