AWS Key Management Service
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

计划从自定义密钥存储删除 CMK

如果您确定您不需要在任何加密操作中使用客户主密钥 (CMK),可计划删除 CMK。同样使用用于计划从 AWS KMS 删除任何 CMK 的过程。此外,保持您的自定义密钥存储处于连接状态,以便 AWS KMS 可以在等待期到期后从关联的 AWS CloudHSM 集群中删除对应的密钥材料。

警告

删除 CMK 是一种具有破坏性且潜在危险的操作,可阻止您恢复使用 CMK 加密的所有数据。在计划删除 CMK 之前,检查过去使用 CMK 的情况并创建 Amazon CloudWatch 警报,以当某人在 CMK 处于等待删除状态时尝试使用 CMK 的情况下通知您。如有可能,禁用 CMK 而不是将其删除。

如果您计划从自定义密钥存储删除 CMK,其密钥状态将变为 Pending deletion (等待删除)。CMK 将在整个等待期处于 Pending deletion (等待删除) 状态,即使 CMK 因您断开自定义密钥存储而不可用时都是如此。这允许您在等待期内随时取消删除 CMK。

等待期到期后,AWS KMS 将从 AWS KMS 删除 CMK。然后,AWS KMS 将尽可能从关联的 AWS CloudHSM 集群中删除密钥材料。如果 AWS KMS 无法删除密钥材料(如当密钥存储与 AWS KMS 断开连接时),您可能需要手动从集群中删除孤立密钥材料

AWS KMS 不会从集群备份中删除密钥材料。即使您从 AWS KMS 删除 CMK 并且从 AWS CloudHSM 集群删除其密钥材料,通过备份创建的集群也可能包含已删除的密钥材料。要永久删除密钥材料,请查看创建日期(CMK 的创建日期)。然后,删除所有集群备份(可能包含密钥材料)。