Este tópico fornece informações sobre o impacto da consistência quando os recursos do Cloud KMS são criados ou modificados.
Algumas operações para os recursos do Cloud Key Management Service são altamente consistentes, enquanto outras têm consistência eventual. As operações de consistência posterior geralmente são propagadas em um minuto, mas podem levar até três horas em casos excepcionais.
Consistência de keyrings
Criar um keyring é uma operação de consistência forte. Após a criação, ele será disponibilizado instantaneamente para uso.
Consistência de chaves
Criar uma chave é uma operação de consistência forte. Após a criação, ela será disponibilizada instantaneamente para uso.
Consistência das versões de chave
A ativação de uma versão de chave é uma operação de consistência forte. A versão ativada será disponibilizada instantaneamente para criptografar e descriptografar dados.
Desativá-la é uma operação de consistência eventual. A versão da chave normalmente continua utilizável para criptografar e descriptografar dados por até um minuto após ser desativada. Em casos excepcionais, a versão da chave continua utilizável por até três horas após a desativação.
Mudar a versão da chave primária, manualmente ou durante a rotação de chaves, é uma
operação de consistência eventual. Enquanto essas mudanças consistentes
se propagam, as operações Encrypt de um CryptoKey podem usar a versão
principal anterior do CryptoKey para criptografia.
Impacto da alteração do acesso IAM
Se você precisar impedir que um usuário use um recurso do Cloud KMS durante o tempo necessário para a propagação de uma operação de consistência posterior, remova a permissão de gerenciamento de identidade e acesso (IAM, na sigla em inglês) do recurso. Por exemplo, impeça o usuário de usar uma versão de chave recém-desativada removendo o papel do IAM que permite que ele acesse a chave. As mudanças do IAM são consistentes em segundos. Para saber mais, consulte Propagação de mudança de acesso.