Cloud KMS 资源一致性

本主题介绍了创建或修改 Cloud KMS 资源时一致性的影响。

对 Cloud Key Management Service 资源执行的某些操作具有高度一致性,而其他操作则具有最终一致性。最终一致的操作通常会在 1 分钟内生效,但在特殊情况下最长可能需要 3 小时。

密钥环的一致性

创建密钥环是一种具有高度一致性的操作。密钥环在创建后,即可立即使用。

密钥的一致性

创建密钥是一种具有高度一致性的操作。密钥在创建后,即可立即使用。

密钥版本的一致性

启用密钥版本是一种具有高度一致性的操作。启用的密钥版本可立即用于加密和解密数据。

停用密钥版本是一种具有最终一致性的操作。密钥版本在停用后的长达 1 分钟内,通常仍可用于加密和解密数据。在特殊情况下,密钥版本在停用后最长 3 小时内仍然可用。

手动或在密钥轮替期间更改主密钥版本是一项最终一致的操作。虽然这种最终一致的更改会传播,但 CryptoKeyEncrypt 操作可能会使用 CryptoKey 的先前主要版本进行加密。

更改 IAM 访问权限的影响

如果您需要阻止用户在传播具有最终一致性的操作所需的时间内使用 Cloud KMS 资源,请移除该资源的 Identity and Access Management (IAM) 权限。例如,您可以通过移除允许用户访问密钥的 IAM 角色来阻止用户使用新停用的密钥版本。IAM 更改会在几秒内保持一致;如需了解详情,请参阅访问权限更改传播