Mude o status de uma chave do AWS KMS

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 3 min. de leitura

    • Modifique o status da chave do Amazon Web Services Key Management System (AWS KMS) e sincronize o status com o. ServiceNow instância.

    Antes de Iniciar

    Funções necessárias: admin, security_admin e sn_kmf.cryptographic_manager

    Verifique se você tem:

    • Um configurado Serviço de gestão de chaves externas( EKMS) em ServiceNow
    • Permissões para modificar o status da chave na AWS

    Por Que e Quando Desempenhar Esta Tarefa

    As chaves do AWS KMS podem ter status diferentes que controlam se elas podem ser usadas para operações de criptografia e descriptografia. A mudança do status de uma chave na AWS afeta sua capacidade de criptografar novos dados e descriptografar dados existentes no Serviço de gestão de chaves externas( EKMS). Um trabalho de sincronização em segundo plano é atualizado EKMS Com o status atual da chave da AWS a cada 30 minutos.

    Importante:
    As principais mudanças de status têm impactos operacionais e de segurança imediatos. Coordene todas as principais mudanças de status com seu ServiceNow e equipes de aplicações antes de fazer mudanças.

    Procedimento

    1. Acesse o serviço de gestão de chaves da AWS.
    2. Revise o status da chave atual.
    3. Mude o status da chave com base em seus requisitos.
      Aviso:
      Desabilitar ou excluir uma chave impedirá ServiceNow da criptografia de novos dados e da descriptografia de dados existentes. Antes de desabilitar ou programar a exclusão, verifique se você tem um plano para migração de dados ou recuperação de chave.
    4. Aguarde até que o trabalho de sincronização agendado processe a mudança de status da chave.
      O EKMS sincroniza automaticamente o status da chave da AWS a cada 30 minutos por meio de um trabalho em segundo plano. O trabalho detectará e atualizará a mudança de status da chave em sua instância em 30 minutos.
    5. Verifique o status da chave atualizado em EKMS.
      Consulte Verifique o status da chave do serviço de gestão de chaves externas .
      O status da chave AWS é sincronizado com EKMS.

    Resultado

    O novo status é refletido em seu EKMS as operações de configuração e criptografia e descriptografia se comportam de acordo com o novo status da chave.

    Quando você desabilita uma chave na AWS, ServiceNow fornece várias notificações para alertar administradores:

    • O campo Status da chave externa muda para "Desabilitado" no EKMS Página de configuração.
    • Uma tarefa de segurança de alta prioridade é criada automaticamente na Central de segurança notificando os administradores de que o. EKMS a chave foi desabilitada. Para exibir notificações, navegue até Tudo > Central de segurança > Visão geral. Consulte Central de segurança .

    Enquanto a chave estiver desabilitada, você não poderá criptografar ou descriptografar dados em campos criptografados. Você ainda pode criar registros se o campo criptografado não for um campo obrigatório, e você pode atualizar campos não criptografados em registros existentes. Todas as operações criptográficas são bloqueadas até que a chave seja rehabilitada na AWS.

    O que Fazer Depois

    Considerações importantes após mudar o status da chave:

    • Se você desabilitou sua chave da AWS: Os novos dados não podem ser criptografados e os dados criptografados existentes não podem ser descriptografados até que a chave seja rehabilitada. Planeje como os campos criptografados devem ser tratados durante esse tempo.
    • Se você habilitou uma chave desabilitada anteriormente: As operações de criptografia e descriptografia são retomadas quando o trabalho de sincronização atualiza o status da chave no EKMS (em 30 minutos). Teste a configuração do EKMS clicando em Teste botão. Em seguida, verifique se todos os campos criptografados estão acessíveis.
    • Se você programou a chave para exclusão: Você tem de 7 a 30 dias (dependendo da sua programação de exclusão na AWS) para cancelar a exclusão antes que a chave seja excluída permanentemente. Após a exclusão permanente, os dados criptografados não podem ser recuperados.
    • Se você cancelou uma exclusão agendada: Lembre-se de habilitar a chave se ela estiver desabilitada. O cancelamento da exclusão não habilita automaticamente a chave.
    Importante:
    O trabalho de sincronização automática é executado a cada 30 minutos. EKMS Detecta automaticamente mudanças de status em até 30 minutos após ocorrerem na AWS.

    A AWS requer um período de espera mínimo de 7 dias para a exclusão de chave. Durante esse período, o status da chave é exibido como "Exclusão pendente" na AWS e. EKMS. As chaves não podem ser usadas durante a exclusão pendente. Após sete dias, a chave é excluída permanentemente e não pode ser recuperada. Todos os dados criptografados com uma chave excluída se tornam permanentemente inacessíveis.