En este tema, se proporciona información sobre el impacto de la coherencia cuando se crean o modifican recursos de Cloud KMS.
Algunas operaciones a recursos de Cloud Key Management Service tienen coherencia sólida, mientras que otras tienen coherencia eventual. Las operaciones con coherencia eventual suelen propagarse en 1 minuto, pero pueden tardar hasta 3 horas en casos excepcionales.
Coherencia de los llaveros de claves
La creación de un llavero de claves es una operación de coherencia sólida. Un llavero de claves está disponible para usarse inmediatamente a partir de su creación.
Coherencia de las claves
La creación de una clave es una operación de coherencia sólida. Una clave está disponible para usarse inmediatamente a partir de su creación.
Coherencia de las versiones de clave
Habilitar una versión de clave es una operación de coherencia sólida. La versión de clave habilitada está disponible inmediatamente para la encriptación y desencriptación de datos.
Inhabilitar una versión de clave es una operación de coherencia eventual. Por lo general, la versión de clave se puede seguir usando para encriptar y desencriptar datos hasta 1 minuto después de que se inhabilita. En casos excepcionales, la versión de clave permanece disponible hasta 3 horas después de que se inhabilita.
Cambiar la versión de la clave primaria, de forma manual o durante la rotación de claves, es una operación de coherencia eventual. Si bien se propagan estos cambios de coherencia eventual, las operaciones Encrypt
para una CryptoKey
pueden usar la versión principal anterior de CryptoKey
para la encriptación.
Impacto del cambio de acceso a IAM
Si necesitas evitar que un usuario use un recurso de Cloud KMS durante el tiempo necesario para la propagación de una operación de coherencia eventual, quita el permiso de Identity and Access Management (IAM) del recurso. Por ejemplo, puedes evitar que un usuario use una versión de clave recién inhabilitada si quitas la función de IAM que le permite acceder a la clave. Los cambios de IAM son coherentes en segundos. Para obtener más información, consulta Propagación de cambios de acceso.