计划删除 CMKs 自定义钥匙店 - AWS Key Management Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

计划删除 CMKs 自定义钥匙店

当您确定您不需要使用 客户主密钥 (CMK)对于任何加密操作,您可以 安排删除 CMK. 使用相同的程序来安排删除任何 CMK 从起 AWS KMS. 此外,保持您的自定义密钥存储处于连接状态,以便 AWS KMS 可以在等待期到期后从关联的 AWS CloudHSM 集群中删除对应的密钥材料。

警告

删除A CMK 是一种破坏性和潜在危险的操作,可防止您恢复在 CMK. 在安排删除 CMK, 检查过去的使用情况 的 CMK 和 创建A Amazon CloudWatch 警报 当某人尝试使用 CMK 等待删除。如果可能, 禁用 CMK,而不是删除。

如果您计划删除A CMK 自定义钥匙店 关键状态 更改为 待删除. TheThethe CMK 保留在 待删除 在等待期间的状态,即使 CMK 因为您拥有 已断开自定义密钥存储. 这允许您取消删除 CMK 在等待期间的任何时间。

等待期限时, AWS KMS 删除 CMK 来自AWSKMS。然后,AWS KMS 将尽可能从关联的 AWS CloudHSM 集群中删除密钥材料。如果 AWS KMS 无法删除密钥材料(如当密钥存储与 AWS KMS 断开连接时),您可能需要手动从集群中删除孤立密钥材料

AWS KMS 不会从集群备份中删除密钥材料。即使您删除 CMK 从起 AWS KMS 并从您的 AWS CloudHSM 群集,从备份创建的群集可能包含已删除的密钥材料。永久删除关键材料 查看创建日期 的 CMK. 然后,删除所有集群备份(可能包含密钥材料)。