Konsistenz von Cloud KMS-Ressourcen

Einige Vorgänge für Cloud Key Management Service-Ressourcen sind strikt konsistent. Andere werden mit der Zeit konsistent. Bei Letzteren dauert es durchschnittlich eine Minute und im Zweifelsfall bis zu drei Stunden (bei weniger als 1 % der Anfragen), bis sie weitergegeben werden. In diesem Thema wird erläutert, welche Auswirkung die Konsistenz beim Erstellen oder Ändern von Cloud KMS-Ressourcen hat.

Konsistenz der Schlüsselbunde

Das Erstellen eines Schlüsselbunds ist ein Vorgang mit Strong Consistency. Schlüsselbunde sind nach der Erstellung sofort verfügbar.

Konsistenz der Schlüssel

Das Erstellen eines Schlüssels ist ein Vorgang mit Strong Consistency. Schlüssel sind nach der Erstellung sofort verfügbar.

Wie es sich mit der Konsistenz einer Schlüsselversion nach der Rotation eines Schlüssels verhält, erfahren Sie unter Konsistenz der Schlüsselversionen.

Konsistenz der Schlüsselversionen

Das Aktivieren einer Schlüsselversion ist ein Vorgang mit Strong Consistency. Schlüssel sind nach der Aktivierung sofort zum Ver- und Entschlüsseln von Daten verfügbar.

Das Deaktivieren einer Schlüsselversion ist ein Vorgang mit Eventual Consistency. Die Schlüsselversion kann nach der Deaktivierung weiterhin für durchschnittlich eine Minute und im Zweifelsfall für bis zu drei Stunden (bei weniger als 1 % der Anfragen) für die Ver- und Entschlüsselung von Daten verwendet werden.

Die Schlüsselrotation, die zu einer neuen Primärschlüsselversion führt, und das manuelle Ändern der Primärschlüsselversion sind Vorgänge mit Eventual Consistency. Bis eine neu festgelegte Primärschlüsselversion in Kraft tritt, wird die vorherige Primärschlüsselversion durchschnittlich 1 Minute und im Zweifelsfall bis zu 3 Stunden (bei weniger als 1 % der Anfragen) weiter für die Datenverschlüsselung verwendet.

Auswirkungen einer Änderung des IAM-Zugriffs

Wenn Sie verhindern möchten, dass ein Nutzer eine Cloud KMS-Ressource während der Weitergabe eines potenziell konsistenten Vorgangs verwendet, entfernen Sie die IAM-Berechtigung (Identity and Access Management) für die Ressource. Sie können beispielsweise verhindern, dass ein Nutzer eine neu deaktivierte Schlüsselversion verwendet, indem Sie die IAM-Rolle entfernen, mit der der Nutzer auf den Schlüssel zugreifen kann. IAM-Änderungen sind innerhalb von Sekunden konsistent. Weitere Informationen finden Sie in den IAM-FAQ.