本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
删除一个 Amazon KMS keys
删除具有破坏性 Amazon KMS key ,并且具有潜在的危险。它会删除密钥材料和与密KMS钥关联的所有元数据,并且是不可逆的。删除KMS密钥后,您将无法再解密使用该密KMS钥加密的数据,这意味着数据将无法恢复。(唯一的例外是多区域副本密钥和非对称密钥以及带有导入HMACKMS密钥材料的密钥。) 对于用于加密的非对称KMS密钥来说,这种风险非常大,在这种情况下,用户可以在没有警告或错误的情况下继续使用公钥生成密文,而这些密文在从中删除私钥后无法解密。 Amazon KMS
只有在确定不再需要使用KMS密钥时,才应将其删除。如果您不确定,可以考虑禁用KMS密钥而不是将其删除。您可以重新启用已禁用的KMS密钥并取消按计划删除KMS密钥,但无法恢复已删除的KMS密钥。
您只能安排删除客户托管的密钥。您无法删除 Amazon 托管式密钥 或 Amazon 拥有的密钥。
在删除KMS密钥之前,您可能想知道在该KMS密钥下加密了多少密文。 Amazon KMS 不存储此信息,也不存储任何密文。要获取此信息,您必须确定KMS密钥的过去使用情况。如需帮助,请转到 确定KMS密钥的过去使用情况。
Amazon KMS 除非您明确安排删除KMS密钥并且强制等待期已过期,否则永远不要删除您的密钥。
但是,出于以下一个或多个原因,您可能会选择删除KMS密钥:
-
完成不再需要的KMS密钥的密钥生命周期
-
为了避免与维护未使用的KMS密钥相关的管理开销和成本
-
减少计入KMS密钥资源配额的KMS密钥数量
注意
如果您关闭了 Amazon Web Services 账户,您的KMS密钥将无法访问,并且不再需要为它们付费。
Amazon KMS 当您计划删除密钥时以及实际删除KMS密钥时,会在 Amazon CloudTrail 日志中KMS记录一个条目。
关于等待期限
由于删除KMS密钥具有破坏性和潜在危险, Amazon KMS 因此需要将等待期设置为 7 到 30 天。默认的等待期限为 30 天。
但是,实际等待期限可能最多比您计划的时间长 24 小时。要获取删除KMS密钥的实际日期和时间,请使用DescribeKey操作。或者在 Amazon KMS 控制台中,在KMS密钥的详细信息页面上,在 “常规配置” 部分,请参阅计划删除日期。请务必记下时区。
在等待期间,KMS密钥状态和密钥状态为 “待删除”。
-
待删除的KMS密钥不能用于任何加密操作。
-
Amazon KMS 不会轮换待删除的KMS密钥的密钥材料。
等待期结束后, Amazon KMS 删除KMS密钥、其别名和所有相关的 Amazon KMS 元数据。
计划删除KMS密钥可能不会立即影响由该密钥加密的数据密KMS钥。有关详细信息,请参阅不可用的KMS密钥如何影响数据密钥。
使用等待期来确保你现在或将来都不需要KMS密钥。您可以配置 Amazon CloudWatch 警报,以便在等待期间有人或应用程序尝试使用KMS密钥时向您发出警告。要恢复KMS密钥,您可以在等待期结束之前取消密钥删除。等待期结束后,您无法取消密钥删除,也无法 Amazon KMS 删除KMS密钥。
特殊注意事项
在安排删除密钥之前,请查看以下删除特殊用途KMS密钥的特殊注意事项。
- 删除非对称密钥 KMS
-
获得授权的用户可以删除对称或非对称密钥KMS。对于这两种类型的KMS密钥,安排删除这些密钥的步骤相同。但是,由于非对称密钥的公KMS钥可以在外部下载和使用 Amazon KMS,因此该操作会带来显著的额外风险,特别是对于用于加密的非对称KMS密钥(密钥的用法是
ENCRYPT_DECRYPT
)。-
当您计划删除密钥时,KMS密钥的KMS密钥状态将更改为待删除,并且该KMS密钥无法用于加密操作。但是,计划删除对之外的公钥没有影响 Amazon KMS。持有公有密钥的用户可以继续使用该密钥加密消息。他们不会收到密钥状态已更改的任何通知。除非删除取消,否则使用公有密钥创建的密文将无法解密。
-
警报、日志和其他策略如果检测到有人企图使用待删除的KMS密钥,则无法检测到在外部使用公钥的情况 Amazon KMS。
-
删除KMS密钥后,所有涉及该密KMS钥的 Amazon KMS 操作都将失败。但是,持有公有密钥的用户可以继续使用该密钥加密消息。这些密文将无法解密。
如果您必须删除KMS密钥用法为的非对称密钥
ENCRYPT_DECRYPT
,请使用您的 CloudTrail 日志条目来确定公钥是否已下载和共享。如果有,请验证该公有密钥是否在 Amazon KMS外部使用。然后,考虑禁用KMS密钥而不是将其删除。对于具有导入密钥材料的非对称KMS密钥,可以缓解删除非对称KMS密钥所带来的风险。有关详细信息,请参阅Deleting KMS keys with imported key material。
-
- 删除多区域密钥
-
要删除主密钥,您必须计划删除其所有副本密钥,然后等待副本密钥被删除。删除主密钥所需的等待时间从删除主密钥的最后一个副本密钥开始。如果您必须从特定区域删除主密钥而不删除其副本密钥,请通过更新主区域将主密钥更改为副本密钥。
您可以随时删除副本密钥。它不依赖于任何其他密钥的KMS密钥状态。如果您误删了副本密钥,可以通过在同一区域中复制相同主密钥,以此方式来重新创建副本密钥。您创建的新副本密钥具有与原始副本密钥相同的共享属性。
- 使用导入的KMS密钥材料删除密钥
-
删除带有导入密钥材料的KMS密钥材料是暂时的,也是可逆的。要恢复密钥,请重新导入其密钥材料。
相比之下,删除KMS密钥是不可逆的。如果您计划删除密钥并且所需的等待期已过期,则将 Amazon KMS 永久且不可逆转地删除KMS密钥、其密钥材料以及与该KMS密钥关联的所有元数据。
但是,删除带有导入密钥材料的KMS密钥的风险和后果取决于密钥的类型(“密钥规范”)。KMS
-
对称加密密钥-如果删除对称加密密钥,则所有由该KMS密钥加密的其余密文都无法恢复。即使您拥有相同的密KMS钥材料,也无法创建新的对称加密密钥来解密已删除的对称加密KMS密钥的密文。每个KMS密钥独有的元数据以加密方式绑定到每个对称密文。此安全功能可确保只有加密对称密文的KMS密钥才能对其进行解密,但它会阻止您重新创建等效的密钥。KMS
-
非对称HMAC密钥和密钥 — 如果您拥有原始密钥材料,则可以创建一个与非对称KMS密钥或已删除的密钥具有相同加密属性的新HMACKMS密钥。 Amazon KMS 生成标准RSA密文和签名、ECC签名和HMAC标记,其中不包含任何独特的安全功能。此外,您还可以在之外HMAC使用非对称密钥对的密钥或私钥。 Amazon
使用相同的非对称材料或KMS密钥材料创建的新HMAC密钥将具有不同的密钥标识符。您必须创建新的密钥策略,重新创建所有别名,并更新现有IAM策略和授权才能引用新密钥。
-
- 从KMS密钥库中删除 Amazon CloudHSM 密钥
-
当您计划从KMS密钥库中删除密钥时,其 Amazon CloudHSM 密钥状态将更改为 “待删除”。即使由于您已断开自定义KMS密钥存储库的连接而导致KMS密钥不可用,密钥在整个等待期间仍处于待删除状态。这允许您在等待期间随时取消对KMS密钥的删除。
等待期到期后,从中 Amazon KMS 删除KMS密钥 Amazon KMS。然后 Amazon KMS 尽最大努力从关联的 Amazon CloudHSM 集群中删除密钥材料。如果 Amazon KMS 无法删除密钥材料(如当密钥存储与 Amazon KMS断开连接时),您可能需要手动从集群中删除孤立密钥材料。
Amazon KMS 不会从群集备份中删除密钥材料。即使您从集群中删除KMS密钥 Amazon KMS 并将其密钥材料从 Amazon CloudHSM 集群中删除,通过备份创建的集群也可能包含已删除的密钥材料。要永久删除密钥材料,请使用DescribeKey操作来确定KMS密钥的创建日期。然后,删除所有集群备份(可能包含密钥材料)。
当您计划从KMS密钥库中删除密钥时,该 Amazon CloudHSM 密KMS钥会立即变得不可用(视最终一致性而定)。但是,使用受密钥保护的数据密钥加密的KMS资源在再次使用该KMS密钥之前不会受到影响,例如用于解密数据密钥。此问题会影响 Amazon Web Services 服务,其中许多使用数据密钥来保护您的资源。有关详细信息,请参阅不可用的KMS密钥如何影响数据密钥。
- 从外部KMS密钥库中删除密钥
-
从外部KMS密钥存储库中删除密钥不会对用作其密钥材料的外部密钥产生任何影响。
当您计划从外部KMS密钥存储库中删除密钥时,其密钥状态将更改为 “待删除”。即使由于您已断开外部KMS密钥存储的连接而导致KMS密钥不可用,密钥在整个等待期间仍处于待删除状态。这允许您在等待期间随时取消对KMS密钥的删除。等待期到期后,从中 Amazon KMS 删除KMS密钥 Amazon KMS。
当您计划从外部KMS密钥存储库中删除密钥时,该密KMS钥会立即变得不可用(视最终一致性而定)。但是,使用受密钥保护的数据密钥加密的KMS资源在再次使用该KMS密钥之前不会受到影响,例如用于解密数据密钥。此问题会影响 Amazon Web Services 服务,因为许多服务使用数据密钥来保护您的资源。有关详细信息,请参阅不可用的KMS密钥如何影响数据密钥。