このトピックでは、Cloud KMS リソースの作成時または変更時の整合性の影響に関する情報を提供します。
Cloud Key Management Service のリソースに対するオペレーションの中には、強整合性を持つものと、結果整合性を持つものがあります。結果整合性のあるオペレーションは通常 1 分以内に伝播されますが、例外的には最大 3 時間かかることがあります。
鍵リングの整合性
鍵リングの作成は強整合性のあるオペレーションです。鍵リングを作成すると、直ちに使用できるようになります。
キーの整合性
鍵の作成は強整合性のあるオペレーションです。鍵を作成すると、直ちに使用できるようになります。
鍵バージョンの整合性
鍵バージョンの有効化は、強整合性のあるオペレーションです。有効になった鍵バージョンは、直ちにデータの暗号化と復号に使用できるようになります。
鍵バージョンの無効化は、結果整合性のあるオペレーションです。この鍵バージョンは通常、無効にしてから最大 1 分間、データの暗号化と復号に使用できます。例外的な場合では、鍵バージョンを無効にしてから最大 3 時間使用できます。
手動または鍵のローテーション中の主キーのバージョンの変更は、結果整合性のあるオペレーションです。そのような結果整合性の変更が伝播されますが、CryptoKey
の Encrypt
オペレーションでは、CryptoKey
の以前のプライマリ バージョンを使用して暗号化を行います。
IAM アクセスの変更による影響
結果整合性のあるオペレーションの伝搬に必要な時間中にユーザーが Cloud KMS リソースを使用できないようにする必要がある場合は、そのリソースの Identity and Access Management(IAM)権限を削除します。たとえば、ユーザーに鍵へのアクセスを許可する IAM ロールを削除することで、ユーザーが新しく無効にされた鍵バージョンを使用できないようにすることができます。IAM の変更は数秒で整合性が確保されます。詳細については、アクセス権の変更の伝播をご覧ください。