Questo argomento fornisce informazioni sull'impatto della coerenza quando vengono create o modificate le risorse Cloud KMS.
Alcune operazioni sulle risorse di Cloud Key Management Service sono fortemente coerenti, mentre altre sono a coerenza finale. Le operazioni eventualmente coerenti in genere vengono propagate entro 1 minuto, ma in alcuni casi eccezionali possono essere necessarie fino a 3 ore.
Coerenza dei keyring
La creazione di un keyring è un'operazione fortemente coerente. Al momento della creazione, un anello di chiavi è immediatamente disponibile per l'utilizzo.
Coerenza delle chiavi
La creazione di una chiave è un'operazione fortemente coerente. Al momento della creazione, una chiave è subito disponibile per l'utilizzo.
Coerenza delle versioni delle chiavi
L'abilitazione di una versione della chiave è un'operazione fortemente coerente. La versione della chiave attivata è immediatamente disponibile per la crittografia e la decrittografia dei dati.
La disattivazione di una versione della chiave è un'operazione a coerenza finale. La versione della chiave rimane in genere utilizzabile per criptare e decriptare i dati fino a un minuto dopo la disattivazione. In casi eccezionali, la versione della chiave rimane utilizzabile per un massimo di 3 ore dopo la disattivazione.
La modifica della versione della chiave primaria, manualmente o durante la rotazione della chiave, è un'operazione con consistenza finale. Mentre queste modifiche incoerenti nel tempo si propagano, le operazioni Encrypt
per un CryptoKey
potrebbero utilizzare la versione primaria precedente del CryptoKey
per la crittografia.
Impatto della modifica dell'accesso IAM
Se devi impedire a un utente di utilizzare una risorsa Cloud KMS durante il tempo necessario per la propagazione di un'operazione eventualmente coerente, rimuovi l'autorizzazione IAM (Identity and Access Management) per la risorsa. Ad esempio, puoi impedire a un utente di utilizzare una versione della chiave appena disattivata rimuovendo il ruolo IAM che consente all'utente di accedere alla chiave. Le modifiche IAM sono coerenti entro pochi secondi. Per scoprire di più, consulta Propagazione della modifica di accesso.