Este tópico fornece informações sobre o impacto da consistência quando os recursos do Cloud KMS são criados ou modificados.
Algumas operações nos recursos do Cloud Key Management Service têm consistência forte, enquanto outras têm consistência posterior. Operações com consistência posterior geralmente se propagam em um minuto, mas podem levar até três horas em casos excepcionais.
Consistência de keyrings
Criar um keyring é uma operação de consistência forte. Após a criação, ele será disponibilizado instantaneamente para uso.
Consistência de chaves
Criar uma chave é uma operação de consistência forte. Após a criação, ela será disponibilizada instantaneamente para uso.
Consistência das versões de chave
A ativação de uma versão de chave é uma operação de consistência forte. A versão ativada será disponibilizada instantaneamente para criptografar e descriptografar dados.
Desativá-la é uma operação de consistência eventual. Normalmente, a versão da chave pode ser usada para criptografar e descriptografar dados por até um minuto após a desativação. Em casos excepcionais, a versão da chave permanece utilizável por até três horas após ser desativada.
Alterar a versão da chave primária manualmente ou durante a rotação de chaves é uma operação de consistência posterior. Embora essas mudanças de consistência posterior
se propaguem, as operações Encrypt
para uma CryptoKey
podem usar a versão primária anterior
de CryptoKey
para criptografar.
Impacto da alteração do acesso IAM
Se você precisar impedir que um usuário use um recurso do Cloud KMS durante o tempo necessário para a propagação de uma operação de consistência posterior, remova a permissão de gerenciamento de identidade e acesso (IAM, na sigla em inglês) do recurso. Por exemplo, impeça o usuário de usar uma versão de chave recém-desativada removendo o papel do IAM que permite que ele acesse a chave. As alterações do IAM são consistentes em segundos. Para saber mais, consulte Propagação de alterações de acesso.