Konsistenz von Cloud KMS-Ressourcen

Einige Vorgänge für Cloud Key Management Service-Ressourcen sind strikt konsistent. Andere weisen Eventual Consistency auf. Bei Letzteren kann es bis zu 3 Stunden dauern, bis Änderungen wirksam werden. In diesem Thema wird erläutert, welche Auswirkung die Konsistenz beim Erstellen oder Ändern von Cloud KMS-Ressourcen hat.

Konsistenz der Schlüsselbunde

Das Erstellen eines Schlüsselbunds ist ein Vorgang mit Strong Consistency. Schlüsselbunde sind nach der Erstellung sofort verfügbar.

Konsistenz der Schlüssel

Das Erstellen eines Schlüssels ist ein Vorgang mit Strong Consistency. Schlüssel sind nach der Erstellung sofort verfügbar.

Wie es sich mit der Konsistenz einer Schlüsselversion nach der Rotation eines Schlüssels verhält, erfahren Sie unter Konsistenz der Schlüsselversionen.

Konsistenz der Schlüsselversionen

Das Aktivieren einer Schlüsselversion ist ein Vorgang mit Strong Consistency. Schlüssel sind nach der Aktivierung sofort zum Ver- und Entschlüsseln von Daten verfügbar.

Das Deaktivieren einer Schlüsselversion ist ein Vorgang mit Eventual Consistency. Die Schlüsselversion kann nach der Deaktivierung weiterhin durchschnittlich 40 Minuten und maximal bis zu 3 Stunden für die Ver- und Entschlüsselung verwendet werden.

Die Schlüsselrotation, die zu einer neuen Primärschlüsselversion führt, und das manuelle Ändern der Primärschlüsselversion sind Vorgänge mit Eventual Consistency. Bis eine neu festgelegte Primärschlüsselversion in Kraft tritt, wird die vorherige Primärschlüsselversion durchschnittlich 40 Minuten und maximal bis zu 3 Stunden weiter für die Datenverschlüsselung verwendet.

Auswirkungen einer Änderung des IAM-Zugriffs

Wenn Sie verhindern möchten, dass ein Nutzer eine Cloud KMS-Ressource während der Zeit verwendet, die für die Übernahme eines Eventual Consistency-Vorgangs benötigt wird, entfernen Sie die IAM-Berechtigung (Identitäts- und Zugriffsverwaltung) für die Ressource. Sie können beispielsweise verhindern, dass ein Nutzer eine neu deaktivierte Schlüsselversion verwendet. Dazu entfernen Sie die IAM-Rolle, mit der der Nutzer auf den Schlüssel zugreifen kann. IAM-Änderungen sind innerhalb von Sekunden konsistent. Weitere Informationen finden Sie unter FAQ-Einträge zu IAM.