计划从自定义密钥存储删除 KMS 密钥 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

计划从自定义密钥存储删除 KMS 密钥

如果您确定您不需要在任何加密操作中使用 Amazon KMS key,您可以计划删除 KMS 密钥。同样使用用于计划从 Amazon KMS 删除任何 KMS 密钥的过程。此外,保持您的自定义密钥存储处于连接状态,以便 Amazon KMS 可以在等待期到期后从关联的 Amazon CloudHSM 集群中删除对应的密钥材料。

警告

删除 KMS 密钥是一种具有破坏性且潜在危险的操作,可阻止您恢复使用 KMS 密钥加密的所有数据。在计划删除 KMS 密钥之前,检查过去使用 KMS 密钥的情况并创建 Amazon CloudWatch 告警,以当某人在 KMS 密钥处于等待删除状态时尝试使用 KMS 密钥的情况下通知您。如有可能,禁用 KMS 密钥而不是将其删除。

如果您计划从自定义密钥存储中删除 KMS 密钥,其密钥状态将变为 Pending deletion(等待删除)。KMS 密钥将在整个等待期处于 Pending deletion(等待删除)状态,即使 KMS 密钥因您断开自定义密钥存储而不可用时都是如此。这允许您在等待期内随时取消删除 KMS 密钥。

等待期到期后,Amazon KMS 将从 Amazon KMS 删除 KMS 密钥。然后,Amazon KMS 将尽可能从关联的 Amazon CloudHSM 集群中删除密钥材料。如果 Amazon KMS 无法删除密钥材料(如当密钥存储与 Amazon KMS 断开连接时),您可能需要手动从集群中删除孤立密钥材料

Amazon KMS 不会从集群备份中删除密钥材料。即使您从 Amazon KMS 删除 KMS 密钥并且从 Amazon CloudHSM 集群删除其密钥材料,通过备份创建的集群也可能包含已删除的密钥材料。要永久删除密钥材料,请 KMS 密钥的查看创建日期。然后,删除所有集群备份(可能包含密钥材料)。