Cloud KMS 资源一致性

本文档介绍了创建或修改 Cloud KMS 资源时一致性的影响。

对 Cloud Key Management Service 资源执行的某些操作具有高度一致性，而其他操作具有最终一致性。最终一致性操作通常会在 1 分钟内传播，但在特殊情况下可能需要几个小时。

密钥环的一致性

创建密钥环是一种具有高度一致性的操作。密钥环在创建后，即可立即使用。

密钥的一致性

创建密钥是一种具有高度一致性的操作。密钥在创建后，即可立即使用。

密钥版本的一致性

启用密钥版本是一种具有高度一致性的操作。启用的密钥版本可立即用于加密和解密数据。

停用密钥版本是一种具有最终一致性的操作。密钥版本在停用后的一段时间（通常最长 1 分钟）内，仍可用于加密和解密数据。在特殊情况下，密钥版本在停用后仍可使用数小时。如需了解 Cloud KMS 数据新鲜度问题，请参阅 Service Health 信息中心。

手动或在密钥轮替期间更改主密钥版本是一种具有最终一致性的操作。虽然此类最终一致的更改会传播，但 CryptoKey 的 Encrypt 操作可能会使用 CryptoKey 的先前主要版本进行加密。

更改 IAM 访问权限的影响

如果您需要阻止用户在传播具有最终一致性的操作所需的时间内使用 Cloud KMS 资源，请移除该资源的 Identity and Access Management (IAM) 权限。例如，您可以通过移除允许用户访问密钥的 IAM 角色来阻止用户使用新停用的密钥版本。IAM 更改会在数秒内达成一致。如需了解详情，请参阅访问权限更改传播。