Este documento fornece informações sobre o impacto da consistência quando os recursos do Cloud KMS são criados ou modificados.
Algumas operações nos recursos do Serviço de gestão de chaves na nuvem são fortemente consistentes, enquanto outras são eventualmente consistentes. Normalmente, as operações eventualmente consistentes propagam-se no prazo de 1 minuto, mas podem demorar várias horas em casos excecionais.
Consistência dos porta-chaves
A criação de um conjunto de chaves é uma operação fortemente consistente. Após a criação, um conjunto de chaves está imediatamente disponível para utilização.
Consistência das chaves
A criação de uma chave é uma operação fortemente consistente. Após a criação, uma chave fica disponível para utilização instantaneamente.
Consistência das versões principais
A ativação de uma versão de chave é uma operação fortemente consistente. A versão da chave ativada fica instantaneamente disponível para encriptar e desencriptar dados.
A desativação de uma versão de chave é uma operação que acaba por ser consistente. Normalmente, a versão da chave permanece utilizável para encriptar e desencriptar dados durante um período máximo de 1 minuto após a desativação. Em casos excecionais, a versão da chave permanece utilizável durante várias horas após ser desativada. Consulte o painel de controlo de estado do serviço para problemas de atualidade dos dados do Cloud KMS.
A alteração da versão da chave principal, manual ou durante a rotação de chaves, é uma operação eventualmente consistente. Enquanto essas alterações eventualmente consistentes se propagam, as operações para um Encrypt
podem usar a versão principal anterior do CryptoKey
para encriptar.CryptoKey
Impacto da alteração do acesso à IAM
Se precisar de impedir que um utilizador use um recurso do Cloud KMS durante o tempo necessário para a propagação de uma operação eventualmente consistente, remova a autorização de gestão de identidades e acessos (IAM) para o recurso. Por exemplo, pode impedir que um utilizador use uma versão da chave desativada recentemente removendo a função do IAM que permite ao utilizador aceder à chave. As alterações à IAM são consistentes em segundos. Para saber mais, consulte o artigo Propagação de alterações de acesso.