本文提供建立或修改 Cloud KMS 資源時對一致性影響的相關資訊。
Cloud Key Management Service 資源的某些作業具有同步一致性,而其他作業則具有最終一致性。最終一致性的作業通常會在 1 分鐘內套用,但在某些例外情況下可能需要數小時。
金鑰環的一致性
建立金鑰環是同步一致性作業。金鑰環在建立之後立即可供使用。
金鑰的一致性
建立金鑰是同步一致性作業。金鑰在建立之後立即可供使用。
金鑰版本的一致性
啟用金鑰版本是同步一致性作業。啟用的金鑰版本可立即用於加密和解密資料。
停用金鑰版本是最終一致性作業。停用金鑰版本後,通常仍可在最多 1 分鐘的時間內,用於加密和解密資料。在特殊情況下,金鑰版本停用後仍可使用數小時。如要瞭解 Cloud KMS 資料更新間隔問題,請參閱服務健康狀況資訊主頁。
手動變更主要金鑰版本或在金鑰輪替期間變更主要金鑰版本,是最終一致性作業。當這類最終一致的變更傳播時,CryptoKey 的 Encrypt 作業可能會使用 CryptoKey 先前的主要版本進行加密。
變更 IAM 存取權的影響
如果您需要禁止使用者在最終一致性作業生效所需的時間內使用 Cloud KMS 資源,請移除資源的 Identity and Access Management (IAM) 權限。舉例來說,您可以移除允許使用者存取金鑰的 IAM 角色,藉此防止使用者使用最近停用的金鑰版本。IAM 變更會在幾秒內保持一致;如需瞭解詳情,請參閱「存取權變更傳播」。